rsa/rsa_oaep.c

   1
   2 /* rsa_oaep.c */
   3 /*
   4     This file is part of the ARM-Crypto-Lib.
   5     Copyright (C) 2006-2012 Daniel Otte (daniel.otte@rub.de)
   6
   7     This program is free software: you can redistribute it and/or modify
   8     it under the terms of the GNU General Public License as published by
   9     the Free Software Foundation, either version 3 of the License, or
  10     (at your option) any later version.
  11
  12     This program is distributed in the hope that it will be useful,
  13     but WITHOUT ANY WARRANTY; without even the implied warranty of
  14     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15     GNU General Public License for more details.
  16
  17     You should have received a copy of the GNU General Public License
  18     along with this program.  If not, see <http://www.gnu.org/licenses/>.
  19 */
  20
  21 #include <stdint.h>
  22 #include <stdlib.h>
  23 #include <string.h>
  24 #include "memxor.h"
  25 #include "mgf1.h"
  26 #include "bigint.h"
  27 #include "rsa_basic.h"
  28 #include "rsa_oaep.h"
  29
  30 #include "random_dummy.h"
  31
  32 #include "hfal/hfal_sha1.h"
  33
  34 mgf1_parameter_t mgf1_default_parameter = {
  35                 &sha1_desc
  36 };
  37
  38 rsa_oaep_parameter_t rsa_oaep_default_parameter = {
  39                 mgf1,
  40                 &sha1_desc,
  41                 &mgf1_default_parameter
  42 };
  43
  44 rsa_label_t rsa_oaep_default_label = {
  45                 0, NULL
  46 };
  47
  48 uint8_t rsa_encrypt_oaep(void* dest, uint16_t* out_length,
  49                               const void* src, uint16_t length_B,
  50                               rsa_publickey_t* key, const rsa_oaep_parameter_t *p,
  51                               const rsa_label_t* label, const void* seed){
  52
  53         if(!p){
  54                 p = &rsa_oaep_default_parameter;
  55         }
  56         if(!label){
  57                 label = &rsa_oaep_default_label;
  58         }
  59         uint16_t hv_len = (hfal_hash_getHashsize(p->hf)+7)/8;
  60         if(length_B > bigint_length_B(key->modulus) - 2*hv_len - 2){
  61                 /* message too long */
  62                 return 1;
  63         }
  64         uint16_t buffer_len = bigint_length_B(key->modulus);
  65         uint8_t* buffer = (uint8_t*)dest;
  66         uint8_t off;
  67         /* the following needs some explanation:
  68          * off is the offset which is used for compensating the effect of
  69          * changeendian() when it operates on multi-byte words.
  70          * */
  71         off = (sizeof(bigint_word_t) -(bigint_get_first_set_bit(key->modulus)/8+1)%(sizeof(bigint_word_t)*8))
  72                         % (sizeof(bigint_word_t));
  73         buffer += off;
  74     buffer_len -= off;
  75         uint8_t* seed_buffer = buffer + 1;
  76         uint16_t db_len = buffer_len - hv_len - 1;
  77         uint8_t* db = seed_buffer + hv_len;
  78         uint16_t maskbuffer_len = db_len>hv_len?db_len:hv_len;
  79         uint8_t maskbuffer[maskbuffer_len];
  80         bigint_t x;
  81
  82         memset(buffer, 0, seed_buffer - buffer);
  83         memset(db + hv_len, 0, db_len - hv_len - length_B -1);
  84         hfal_hash_mem(p->hf, db, label->label, label->length_b);
  85         db[db_len - length_B - 1] = 0x01;
  86         memcpy(db+db_len - length_B, src, length_B);
  87         if(seed){
  88                 memcpy(seed_buffer, seed, hv_len);
  89         }else{
  90                 /* generate random seed */
  91                 if(!prng_get_byte){
  92                         return 2; /* ERROR: no random generator specified */
  93                 }
  94                 uint16_t i;
  95                 for(i=0; i<hv_len; ++i){
  96                         seed_buffer[i] = prng_get_byte();
  97                 }
  98         }
  99
 100         p->mgf(maskbuffer, seed_buffer, hv_len, db_len, p->mgf_parameter);
 101         memxor(db, maskbuffer, db_len);
 102         p->mgf(maskbuffer, db, db_len, hv_len, p->mgf_parameter);
 103         memxor(seed_buffer, maskbuffer, hv_len);
 104
 105         x.wordv = dest;
 106         x.length_B = key->modulus->length_B;
 107         bigint_adjust(&x);
 108
 109         rsa_os2ip(&x, NULL, bigint_length_B(key->modulus));
 110         rsa_enc(&x, key);
 111         rsa_i2osp(NULL, &x, out_length);
 112         return 0;
 113 }
 114
 115 uint8_t rsa_decrypt_oaep(void* dest, uint16_t* out_length,
 116                               const void* src, uint16_t length_B,
 117                               rsa_privatekey_t* key, const rsa_oaep_parameter_t *p,
 118                               const rsa_label_t* label, void* seed){
 119
 120         if(!label){
 121                 label = &rsa_oaep_default_label;
 122         }
 123         if(!p){
 124                 p = &rsa_oaep_default_parameter;
 125         }
 126         uint8_t *buffer =  dest;
 127         uint16_t x_len, data_len;
 128         bigint_t x;
 129         uint16_t hv_len = hfal_hash_getHashsize(p->hf)/8;
 130         uint8_t label_hv[hv_len];
 131         uint16_t msg_len = (bigint_get_first_set_bit(key->modulus)+7)/8;
 132         uint16_t db_len = msg_len - 1 - hv_len;
 133         uint8_t maskbuffer[db_len>hv_len?db_len:hv_len];
 134
 135         uint8_t *seed_buffer = buffer + 1;
 136         uint8_t *db_buffer = seed_buffer + hv_len;
 137
 138         x_len = bigint_length_B(key->modulus);
 139         memset(dest, 0, x_len - length_B);
 140         buffer = (uint8_t*)dest + x_len - length_B;
 141         memcpy(buffer, src, length_B);
 142
 143         x.wordv = dest;
 144         x.length_B = key->modulus->length_B;
 145         bigint_adjust(&x);
 146
 147         rsa_os2ip(&x, NULL, bigint_length_B(key->modulus));
 148         rsa_dec(&x, key);
 149         rsa_i2osp(NULL, &x, &data_len);
 150 /*
 151         if(data_len != x_len){
 152                 memmove(buffer + x_len - data_len, buffer, data_len);
 153                 memset(buffer, 0, x_len - data_len);
 154         }
 155 */
 156         if(data_len > msg_len){
 157                 return 7;
 158         }
 159
 160         memmove(buffer + msg_len - data_len, buffer, data_len);
 161
 162         hfal_hash_mem(p->hf, label_hv, label->label, label->length_b);
 163 /*
 164         if(buffer[0] != 0){
 165                 return 1;
 166         }
 167 */
 168         p->mgf(maskbuffer, db_buffer, db_len, hv_len, p->mgf_parameter);
 169         memxor(seed_buffer, maskbuffer, hv_len);
 170         p->mgf(maskbuffer, seed_buffer, hv_len, db_len, p->mgf_parameter);
 171         memxor(db_buffer, maskbuffer, db_len);
 172
 173         if(memcmp(label_hv, db_buffer, hv_len)){
 174                 return 2;
 175         }
 176
 177         uint16_t ps_len=0;
 178         while(db_buffer[hv_len + ps_len++] == 0)
 179                 ;
 180
 181         --ps_len;
 182         if(db_buffer[hv_len + ps_len] != 1){
 183                 return 3;
 184         }
 185
 186         if(seed){
 187                 memcpy(seed, seed_buffer, hv_len);
 188         }
 189
 190         msg_len = db_len - hv_len - 1 - ps_len;
 191         memmove(dest, db_buffer + hv_len + ps_len + 1, msg_len);
 192
 193         *out_length = msg_len;
 194
 195         return 0;
 196 }
 197
 198