legacy-libs/grpc-cloned/deps/grpc/third_party/boringssl/crypto/fipsmodule/aes/key_wrap.c

   1 /* ====================================================================
   2  * Copyright (c) 2001-2011 The OpenSSL Project.  All rights reserved.
   3  *
   4  * Redistribution and use in source and binary forms, with or without
   5  * modification, are permitted provided that the following conditions
   6  * are met:
   7  *
   8  * 1. Redistributions of source code must retain the above copyright
   9  *    notice, this list of conditions and the following disclaimer.
  10  *
  11  * 2. Redistributions in binary form must reproduce the above copyright
  12  *    notice, this list of conditions and the following disclaimer in
  13  *    the documentation and/or other materials provided with the
  14  *    distribution.
  15  *
  16  * 3. All advertising materials mentioning features or use of this
  17  *    software must display the following acknowledgment:
  18  *    "This product includes software developed by the OpenSSL Project
  19  *    for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
  20  *
  21  * 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to
  22  *    endorse or promote products derived from this software without
  23  *    prior written permission. For written permission, please contact
  24  *    openssl-core@openssl.org.
  25  *
  26  * 5. Products derived from this software may not be called "OpenSSL"
  27  *    nor may "OpenSSL" appear in their names without prior written
  28  *    permission of the OpenSSL Project.
  29  *
  30  * 6. Redistributions of any form whatsoever must retain the following
  31  *    acknowledgment:
  32  *    "This product includes software developed by the OpenSSL Project
  33  *    for use in the OpenSSL Toolkit (http://www.openssl.org/)"
  34  *
  35  * THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
  36  * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  37  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
  38  * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
  39  * ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
  40  * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  41  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
  42  * LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  43  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  44  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  45  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  46  * OF THE POSSIBILITY OF SUCH DAMAGE.
  47  * ==================================================================== */
  48
  49 #include <openssl/aes.h>
  50
  51 #include <limits.h>
  52 #include <string.h>
  53
  54 #include <openssl/mem.h>
  55
  56 #include "../../internal.h"
  57
  58
  59 // kDefaultIV is the default IV value given in RFC 3394, 2.2.3.1.
  60 static const uint8_t kDefaultIV[] = {
  61     0xa6, 0xa6, 0xa6, 0xa6, 0xa6, 0xa6, 0xa6, 0xa6,
  62 };
  63
  64 static const unsigned kBound = 6;
  65
  66 int AES_wrap_key(const AES_KEY *key, const uint8_t *iv, uint8_t *out,
  67                  const uint8_t *in, size_t in_len) {
  68   // See RFC 3394, section 2.2.1.
  69
  70   if (in_len > INT_MAX - 8 || in_len < 8 || in_len % 8 != 0) {
  71     return -1;
  72   }
  73
  74   if (iv == NULL) {
  75     iv = kDefaultIV;
  76   }
  77
  78   OPENSSL_memmove(out + 8, in, in_len);
  79   uint8_t A[AES_BLOCK_SIZE];
  80   OPENSSL_memcpy(A, iv, 8);
  81
  82   size_t n = in_len / 8;
  83
  84   for (unsigned j = 0; j < kBound; j++) {
  85     for (size_t i = 1; i <= n; i++) {
  86       OPENSSL_memcpy(A + 8, out + 8 * i, 8);
  87       AES_encrypt(A, A, key);
  88
  89       uint32_t t = (uint32_t)(n * j + i);
  90       A[7] ^= t & 0xff;
  91       A[6] ^= (t >> 8) & 0xff;
  92       A[5] ^= (t >> 16) & 0xff;
  93       A[4] ^= (t >> 24) & 0xff;
  94       OPENSSL_memcpy(out + 8 * i, A + 8, 8);
  95     }
  96   }
  97
  98   OPENSSL_memcpy(out, A, 8);
  99   return (int)in_len + 8;
 100 }
 101
 102 int AES_unwrap_key(const AES_KEY *key, const uint8_t *iv, uint8_t *out,
 103                    const uint8_t *in, size_t in_len) {
 104   // See RFC 3394, section 2.2.2.
 105
 106   if (in_len > INT_MAX || in_len < 16 || in_len % 8 != 0) {
 107     return -1;
 108   }
 109
 110   if (iv == NULL) {
 111     iv = kDefaultIV;
 112   }
 113
 114   uint8_t A[AES_BLOCK_SIZE];
 115   OPENSSL_memcpy(A, in, 8);
 116   OPENSSL_memmove(out, in + 8, in_len - 8);
 117
 118   size_t n = (in_len / 8) - 1;
 119
 120   for (unsigned j = kBound - 1; j < kBound; j--) {
 121     for (size_t i = n; i > 0; i--) {
 122       uint32_t t = (uint32_t)(n * j + i);
 123       A[7] ^= t & 0xff;
 124       A[6] ^= (t >> 8) & 0xff;
 125       A[5] ^= (t >> 16) & 0xff;
 126       A[4] ^= (t >> 24) & 0xff;
 127       OPENSSL_memcpy(A + 8, out + 8 * (i - 1), 8);
 128       AES_decrypt(A, A, key);
 129       OPENSSL_memcpy(out + 8 * (i - 1), A + 8, 8);
 130     }
 131   }
 132
 133   if (CRYPTO_memcmp(A, iv, 8) != 0) {
 134     return -1;
 135   }
 136
 137   return (int)in_len - 8;
 138 }