tinc-vpn.org Git - tinc/blob - src/chacha-poly1305/chacha-poly1305.c

   1 #include "../system.h"
   2
   3 #include "../cipher.h"
   4 #include "../xalloc.h"
   5
   6 #include "chacha.h"
   7 #include "chacha-poly1305.h"
   8 #include "poly1305.h"
   9
  10 struct chacha_poly1305_ctx {
  11         struct chacha_ctx main_ctx, header_ctx;
  12 };
  13
  14 chacha_poly1305_ctx_t *chacha_poly1305_init(void) {
  15         chacha_poly1305_ctx_t *ctx = xzalloc(sizeof(*ctx));
  16         return ctx;
  17 }
  18
  19 void chacha_poly1305_exit(chacha_poly1305_ctx_t *ctx) {
  20         free(ctx);
  21 }
  22
  23 bool chacha_poly1305_set_key(chacha_poly1305_ctx_t *ctx, const void *vkey) {
  24         const uint8_t *key = vkey;
  25         chacha_keysetup(&ctx->main_ctx, key, 256);
  26         chacha_keysetup(&ctx->header_ctx, key + 32, 256);
  27         return true;
  28 }
  29
  30 static void put_u64(void *vp, uint64_t v) {
  31         uint8_t *p = (uint8_t *) vp;
  32
  33         p[0] = (uint8_t)(v >> 56) & 0xff;
  34         p[1] = (uint8_t)(v >> 48) & 0xff;
  35         p[2] = (uint8_t)(v >> 40) & 0xff;
  36         p[3] = (uint8_t)(v >> 32) & 0xff;
  37         p[4] = (uint8_t)(v >> 24) & 0xff;
  38         p[5] = (uint8_t)(v >> 16) & 0xff;
  39         p[6] = (uint8_t)(v >> 8) & 0xff;
  40         p[7] = (uint8_t) v & 0xff;
  41 }
  42
  43 bool chacha_poly1305_encrypt(chacha_poly1305_ctx_t *ctx, uint64_t seqnr, const void *indata, size_t inlen, void *voutdata, size_t *outlen) {
  44         uint8_t seqbuf[8];
  45         const uint8_t one[8] = { 1, 0, 0, 0, 0, 0, 0, 0 };      /* NB little-endian */
  46         uint8_t poly_key[POLY1305_KEYLEN];
  47         uint8_t *outdata = voutdata;
  48
  49         /*
  50          * Run ChaCha20 once to generate the Poly1305 key. The IV is the
  51          * packet sequence number.
  52          */
  53         memset(poly_key, 0, sizeof(poly_key));
  54         put_u64(seqbuf, seqnr);
  55         chacha_ivsetup(&ctx->main_ctx, seqbuf, NULL);
  56         chacha_encrypt_bytes(&ctx->main_ctx, poly_key, poly_key, sizeof(poly_key));
  57
  58         /* Set Chacha's block counter to 1 */
  59         chacha_ivsetup(&ctx->main_ctx, seqbuf, one);
  60
  61         chacha_encrypt_bytes(&ctx->main_ctx, indata, outdata, inlen);
  62         poly1305_auth(outdata + inlen, outdata, inlen, poly_key);
  63
  64         if(outlen) {
  65                 *outlen = inlen + POLY1305_TAGLEN;
  66         }
  67
  68         return true;
  69 }
  70
  71 bool chacha_poly1305_decrypt(chacha_poly1305_ctx_t *ctx, uint64_t seqnr, const void *vindata, size_t inlen, void *outdata, size_t *outlen) {
  72         uint8_t seqbuf[8];
  73         const uint8_t one[8] = { 1, 0, 0, 0, 0, 0, 0, 0 };      /* NB little-endian */
  74         uint8_t expected_tag[POLY1305_TAGLEN], poly_key[POLY1305_KEYLEN];
  75         const uint8_t *indata = vindata;
  76
  77         /*
  78          * Run ChaCha20 once to generate the Poly1305 key. The IV is the
  79          * packet sequence number.
  80          */
  81         memset(poly_key, 0, sizeof(poly_key));
  82         put_u64(seqbuf, seqnr);
  83         chacha_ivsetup(&ctx->main_ctx, seqbuf, NULL);
  84         chacha_encrypt_bytes(&ctx->main_ctx, poly_key, poly_key, sizeof(poly_key));
  85
  86         /* Set Chacha's block counter to 1 */
  87         chacha_ivsetup(&ctx->main_ctx, seqbuf, one);
  88
  89         /* Check tag before anything else */
  90         inlen -= POLY1305_TAGLEN;
  91         const uint8_t *tag = indata + inlen;
  92
  93         poly1305_auth(expected_tag, indata, inlen, poly_key);
  94
  95         if(memcmp(expected_tag, tag, POLY1305_TAGLEN)) {
  96                 return false;
  97         }
  98
  99         chacha_encrypt_bytes(&ctx->main_ctx, indata, outdata, inlen);
 100
 101         if(outlen) {
 102                 *outlen = inlen;
 103         }
 104
 105         return true;
 106 }