source: trunk/libtransmission/crypto.c @ 11717

Last change on this file since 11717 was 11717, checked in by jordan, 11 years ago

(trunk libT) minor code tweak to crypto.c's tr_sha1() function

  • Property svn:keywords set to Date Rev Author Id
File size: 9.9 KB
Line 
1/*
2 * This file Copyright (C) Mnemosyne LLC
3 *
4 * This file is licensed by the GPL version 2. Works owned by the
5 * Transmission project are granted a special exemption to clause 2(b)
6 * so that the bulk of its code can remain under the MIT license.
7 * This exemption does not extend to derived works not owned by
8 * the Transmission project.
9 *
10 * $Id: crypto.c 11717 2011-01-19 21:50:51Z jordan $
11 */
12
13#include <assert.h>
14#include <inttypes.h> /* uint8_t */
15#include <limits.h> /* for INT_MAX */
16#include <stdarg.h>
17#include <stdlib.h> /* for abs() */
18#include <string.h> /* memcpy */
19
20#include <openssl/bn.h>
21#include <openssl/dh.h>
22#include <openssl/err.h>
23#include <openssl/rc4.h>
24#include <openssl/sha.h>
25#include <openssl/rand.h>
26
27#include "transmission.h"
28#include "crypto.h"
29#include "utils.h"
30
31#define MY_NAME "tr_crypto"
32
33/**
34***
35**/
36
37void
38tr_sha1( uint8_t * setme, const void * content1, int content1_len, ... )
39{
40    va_list vl;
41    SHA_CTX sha;
42    const void * content;
43
44    SHA1_Init( &sha );
45    SHA1_Update( &sha, content1, content1_len );
46
47    va_start( vl, content1_len );
48    while(( content = va_arg( vl, const void* )))
49        SHA1_Update( &sha, content, va_arg( vl, int ) );
50    va_end( vl );
51
52    SHA1_Final( setme, &sha );
53}
54
55/**
56***
57**/
58
59#define KEY_LEN 96
60
61#define PRIME_LEN 96
62
63#define DH_PRIVKEY_LEN_MIN 16
64#define DH_PRIVKEY_LEN 20
65
66static const uint8_t dh_P[PRIME_LEN] =
67{
68    0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xC9, 0x0F, 0xDA, 0xA2,
69    0x21, 0x68, 0xC2, 0x34, 0xC4, 0xC6, 0x62, 0x8B, 0x80, 0xDC, 0x1C, 0xD1,
70    0x29, 0x02, 0x4E, 0x08, 0x8A, 0x67, 0xCC, 0x74, 0x02, 0x0B, 0xBE, 0xA6,
71    0x3B, 0x13, 0x9B, 0x22, 0x51, 0x4A, 0x08, 0x79, 0x8E, 0x34, 0x04, 0xDD,
72    0xEF, 0x95, 0x19, 0xB3, 0xCD, 0x3A, 0x43, 0x1B, 0x30, 0x2B, 0x0A, 0x6D,
73    0xF2, 0x5F, 0x14, 0x37, 0x4F, 0xE1, 0x35, 0x6D, 0x6D, 0x51, 0xC2, 0x45,
74    0xE4, 0x85, 0xB5, 0x76, 0x62, 0x5E, 0x7E, 0xC6, 0xF4, 0x4C, 0x42, 0xE9,
75    0xA6, 0x3A, 0x36, 0x21, 0x00, 0x00, 0x00, 0x00, 0x00, 0x09, 0x05, 0x63,
76};
77
78static const uint8_t dh_G[] = { 2 };
79
80/** @brief Holds state information for encrypted peer communications */
81struct tr_crypto
82{
83    RC4_KEY         dec_key;
84    RC4_KEY         enc_key;
85    uint8_t         torrentHash[SHA_DIGEST_LENGTH];
86    tr_bool         isIncoming;
87    tr_bool         torrentHashIsSet;
88    tr_bool         mySecretIsSet;
89    uint8_t         myPublicKey[KEY_LEN];
90    uint8_t         mySecret[KEY_LEN];
91    DH *            dh;
92};
93
94/**
95***
96**/
97
98#define logErrorFromSSL( ... ) \
99    do { \
100        if( tr_msgLoggingIsActive( TR_MSG_ERR ) ) { \
101            char buf[512]; \
102            ERR_error_string_n( ERR_get_error( ), buf, sizeof( buf ) ); \
103            tr_msg( __FILE__, __LINE__, TR_MSG_ERR, MY_NAME, "%s", buf ); \
104        } \
105    } while( 0 )
106
107static void
108ensureKeyExists( tr_crypto * crypto)
109{
110    if( crypto->dh == NULL )
111    {
112        int len, offset;
113        DH * dh = DH_new( );
114
115        dh->p = BN_bin2bn( dh_P, sizeof( dh_P ), NULL );
116        if( dh->p == NULL )
117            logErrorFromSSL( );
118
119        dh->g = BN_bin2bn( dh_G, sizeof( dh_G ), NULL );
120        if( dh->g == NULL )
121            logErrorFromSSL( );
122
123        /* private DH value: strong random BN of DH_PRIVKEY_LEN*8 bits */
124        dh->priv_key = BN_new( );
125        do {
126            if( BN_rand( dh->priv_key, DH_PRIVKEY_LEN * 8, -1, 0 ) != 1 )
127                logErrorFromSSL( );
128        } while ( BN_num_bits( dh->priv_key ) < DH_PRIVKEY_LEN_MIN * 8 );
129
130        if( !DH_generate_key( dh ) )
131            logErrorFromSSL( );
132
133        /* DH can generate key sizes that are smaller than the size of
134           P with exponentially decreasing probability, in which case
135           the msb's of myPublicKey need to be zeroed appropriately. */
136        len = BN_num_bytes( dh->pub_key );
137        offset = KEY_LEN - len;
138        assert( len <= KEY_LEN );
139        memset( crypto->myPublicKey, 0, offset );
140        BN_bn2bin( dh->pub_key, crypto->myPublicKey + offset );
141
142        crypto->dh = dh;
143    }
144}
145
146tr_crypto *
147tr_cryptoNew( const uint8_t * torrentHash,
148              int             isIncoming )
149{
150    tr_crypto * crypto;
151
152    crypto = tr_new0( tr_crypto, 1 );
153    crypto->isIncoming = isIncoming ? 1 : 0;
154    tr_cryptoSetTorrentHash( crypto, torrentHash );
155    crypto->dh = NULL;
156
157    return crypto;
158}
159
160void
161tr_cryptoFree( tr_crypto * crypto )
162{
163    if( crypto->dh != NULL )
164        DH_free( crypto->dh );
165    tr_free( crypto );
166}
167
168/**
169***
170**/
171
172const uint8_t*
173tr_cryptoComputeSecret( tr_crypto *     crypto,
174                        const uint8_t * peerPublicKey )
175{
176    int      len;
177    uint8_t  secret[KEY_LEN];
178    BIGNUM * bn = BN_bin2bn( peerPublicKey, KEY_LEN, NULL );
179    DH *     dh;
180
181    ensureKeyExists( crypto );
182    dh = crypto->dh;
183
184    assert( DH_size( dh ) == KEY_LEN );
185
186    len = DH_compute_key( secret, bn, dh );
187    if( len == -1 )
188        logErrorFromSSL( );
189    else {
190        int offset;
191        assert( len <= KEY_LEN );
192        offset = KEY_LEN - len;
193        memset( crypto->mySecret, 0, offset );
194        memcpy( crypto->mySecret + offset, secret, len );
195        crypto->mySecretIsSet = 1;
196    }
197
198    BN_free( bn );
199    return crypto->mySecret;
200}
201
202const uint8_t*
203tr_cryptoGetMyPublicKey( const tr_crypto * crypto,
204                         int *             setme_len )
205{
206    ensureKeyExists( (tr_crypto *) crypto );
207    *setme_len = KEY_LEN;
208    return crypto->myPublicKey;
209}
210
211/**
212***
213**/
214
215static void
216initRC4( tr_crypto *  crypto,
217         RC4_KEY *    setme,
218         const char * key )
219{
220    SHA_CTX sha;
221    uint8_t buf[SHA_DIGEST_LENGTH];
222
223    assert( crypto->torrentHashIsSet );
224    assert( crypto->mySecretIsSet );
225
226    if( SHA1_Init( &sha )
227        && SHA1_Update( &sha, key, 4 )
228        && SHA1_Update( &sha, crypto->mySecret, KEY_LEN )
229        && SHA1_Update( &sha, crypto->torrentHash, SHA_DIGEST_LENGTH )
230        && SHA1_Final( buf, &sha ) )
231    {
232        RC4_set_key( setme, SHA_DIGEST_LENGTH, buf );
233    }
234    else
235    {
236        logErrorFromSSL( );
237    }
238}
239
240void
241tr_cryptoDecryptInit( tr_crypto * crypto )
242{
243    unsigned char discard[1024];
244    const char *  txt = crypto->isIncoming ? "keyA" : "keyB";
245
246    initRC4( crypto, &crypto->dec_key, txt );
247    RC4( &crypto->dec_key, sizeof( discard ), discard, discard );
248}
249
250void
251tr_cryptoDecrypt( tr_crypto *  crypto,
252                  size_t       buf_len,
253                  const void * buf_in,
254                  void *       buf_out )
255{
256    RC4( &crypto->dec_key, buf_len,
257         (const unsigned char*)buf_in,
258         (unsigned char*)buf_out );
259}
260
261void
262tr_cryptoEncryptInit( tr_crypto * crypto )
263{
264    unsigned char discard[1024];
265    const char *  txt = crypto->isIncoming ? "keyB" : "keyA";
266
267    initRC4( crypto, &crypto->enc_key, txt );
268    RC4( &crypto->enc_key, sizeof( discard ), discard, discard );
269}
270
271void
272tr_cryptoEncrypt( tr_crypto *  crypto,
273                  size_t       buf_len,
274                  const void * buf_in,
275                  void *       buf_out )
276{
277    RC4( &crypto->enc_key, buf_len,
278         (const unsigned char*)buf_in,
279         (unsigned char*)buf_out );
280}
281
282/**
283***
284**/
285
286void
287tr_cryptoSetTorrentHash( tr_crypto *     crypto,
288                         const uint8_t * hash )
289{
290    crypto->torrentHashIsSet = hash ? 1 : 0;
291
292    if( hash )
293        memcpy( crypto->torrentHash, hash, SHA_DIGEST_LENGTH );
294    else
295        memset( crypto->torrentHash, 0, SHA_DIGEST_LENGTH );
296}
297
298const uint8_t*
299tr_cryptoGetTorrentHash( const tr_crypto * crypto )
300{
301    assert( crypto );
302    assert( crypto->torrentHashIsSet );
303
304    return crypto->torrentHash;
305}
306
307int
308tr_cryptoHasTorrentHash( const tr_crypto * crypto )
309{
310    assert( crypto );
311
312    return crypto->torrentHashIsSet ? 1 : 0;
313}
314
315int
316tr_cryptoRandInt( int upperBound )
317{
318    int noise;
319    int val;
320
321    assert( upperBound > 0 );
322
323    if( RAND_pseudo_bytes ( (unsigned char *) &noise, sizeof noise ) >= 0 )
324    {
325        val = abs( noise ) % upperBound;
326    }
327    else /* fall back to a weaker implementation... */
328    {
329        val = tr_cryptoWeakRandInt( upperBound );
330    }
331
332    return val;
333}
334
335int
336tr_cryptoWeakRandInt( int upperBound )
337{
338    static tr_bool init = FALSE;
339
340    assert( upperBound > 0 );
341
342    if( !init )
343    {
344        srand( tr_time_msec( ) );
345        init = TRUE;
346    }
347
348    return rand( ) % upperBound;
349}
350
351void
352tr_cryptoRandBuf( void * buf, size_t len )
353{
354    if( RAND_pseudo_bytes ( (unsigned char*)buf, len ) != 1 )
355        logErrorFromSSL( );
356}
357
358/***
359****
360***/
361
362char*
363tr_ssha1( const void * plaintext )
364{
365    enum { saltval_len = 8,
366           salter_len  = 64 };
367    static const char * salter = "0123456789"
368                                 "abcdefghijklmnopqrstuvwxyz"
369                                 "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
370                                 "./";
371
372    size_t i;
373    unsigned char salt[saltval_len];
374    uint8_t sha[SHA_DIGEST_LENGTH];
375    char buf[2*SHA_DIGEST_LENGTH + saltval_len + 2];
376
377    tr_cryptoRandBuf( salt, saltval_len );
378    for( i=0; i<saltval_len; ++i )
379        salt[i] = salter[ salt[i] % salter_len ];
380
381    tr_sha1( sha, plaintext, strlen( plaintext ), salt, saltval_len, NULL );
382    tr_sha1_to_hex( &buf[1], sha );
383    memcpy( &buf[1+2*SHA_DIGEST_LENGTH], &salt, saltval_len );
384    buf[1+2*SHA_DIGEST_LENGTH + saltval_len] = '\0';
385    buf[0] = '{'; /* signal that this is a hash. this makes saving/restoring
386                     easier */
387
388    return tr_strdup( &buf );
389}
390
391tr_bool
392tr_ssha1_matches( const char * source, const char * pass )
393{
394    char * salt;
395    size_t saltlen;
396    char * hashed;
397    uint8_t buf[SHA_DIGEST_LENGTH];
398    tr_bool result;
399
400    /* extract the salt */
401    saltlen = strlen( source ) - 2*SHA_DIGEST_LENGTH-1;
402    salt = tr_malloc( saltlen );
403    memcpy( salt, source + 2*SHA_DIGEST_LENGTH+1, saltlen );
404
405    /* hash pass + salt */
406    hashed = tr_malloc( 2*SHA_DIGEST_LENGTH + saltlen + 2 );
407    tr_sha1( buf, pass, strlen( pass ), salt, saltlen, NULL );
408    tr_sha1_to_hex( &hashed[1], buf );
409    memcpy( hashed + 1+2*SHA_DIGEST_LENGTH, salt, saltlen );
410    hashed[1+2*SHA_DIGEST_LENGTH + saltlen] = '\0';
411    hashed[0] = '{';
412
413    result = strcmp( source, hashed ) == 0 ? TRUE : FALSE;
414
415    tr_free( hashed );
416    tr_free( salt );
417
418    return result;
419}
Note: See TracBrowser for help on using the repository browser.