Add a test for backwards compatibility with the legacy protocol.
[tinc] / src / nolegacy / prf.c
1 /*
2     prf.c -- Pseudo-Random Function for key material generation
3     Copyright (C) 2011-2013 Guus Sliepen <guus@tinc-vpn.org>
4
5     This program is free software; you can redistribute it and/or modify
6     it under the terms of the GNU General Public License as published by
7     the Free Software Foundation; either version 2 of the License, or
8     (at your option) any later version.
9
10     This program is distributed in the hope that it will be useful,
11     but WITHOUT ANY WARRANTY; without even the implied warranty of
12     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
13     GNU General Public License for more details.
14
15     You should have received a copy of the GNU General Public License along
16     with this program; if not, write to the Free Software Foundation, Inc.,
17     51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.
18 */
19
20 #include "../system.h"
21
22 #include "../prf.h"
23 #include "../ed25519/sha512.h"
24
25 static void memxor(char *buf, char c, size_t len) {
26         for(size_t i = 0; i < len; i++) {
27                 buf[i] ^= c;
28         }
29 }
30
31 static const size_t mdlen = 64;
32 static const size_t blklen = 128;
33
34 static bool hmac_sha512(const char *key, size_t keylen, const char *msg, size_t msglen, char *out) {
35         char tmp[blklen + mdlen];
36         sha512_context md;
37
38         if(keylen <= blklen) {
39                 memcpy(tmp, key, keylen);
40                 memset(tmp + keylen, 0, blklen - keylen);
41         } else {
42                 if(sha512(key, keylen, tmp) != 0) {
43                         return false;
44                 }
45
46                 memset(tmp + mdlen, 0, blklen - mdlen);
47         }
48
49         if(sha512_init(&md) != 0) {
50                 return false;
51         }
52
53         // ipad
54         memxor(tmp, 0x36, blklen);
55
56         if(sha512_update(&md, tmp, blklen) != 0) {
57                 return false;
58         }
59
60         // message
61         if(sha512_update(&md, msg, msglen) != 0) {
62                 return false;
63         }
64
65         if(sha512_final(&md, tmp + blklen) != 0) {
66                 return false;
67         }
68
69         // opad
70         memxor(tmp, 0x36 ^ 0x5c, blklen);
71
72         if(sha512(tmp, sizeof(tmp), out) != 0) {
73                 return false;
74         }
75
76         return true;
77 }
78
79
80 /* Generate key material from a master secret and a seed, based on RFC 4346 section 5.
81    We use SHA512 instead of MD5 and SHA1.
82  */
83
84 bool prf(const char *secret, size_t secretlen, char *seed, size_t seedlen, char *out, size_t outlen) {
85         /* Data is what the "inner" HMAC function processes.
86            It consists of the previous HMAC result plus the seed.
87          */
88
89         char data[mdlen + seedlen];
90         memset(data, 0, mdlen);
91         memcpy(data + mdlen, seed, seedlen);
92
93         char hash[mdlen];
94
95         while(outlen > 0) {
96                 /* Inner HMAC */
97                 if(!hmac_sha512(secret, secretlen, data, sizeof(data), data)) {
98                         return false;
99                 }
100
101                 /* Outer HMAC */
102                 if(outlen >= mdlen) {
103                         if(!hmac_sha512(secret, secretlen, data, sizeof(data), out)) {
104                                 return false;
105                         }
106
107                         out += mdlen;
108                         outlen -= mdlen;
109                 } else {
110                         if(!hmac_sha512(secret, secretlen, data, sizeof(data), hash)) {
111                                 return false;
112                         }
113
114                         memcpy(out, hash, outlen);
115                         out += outlen;
116                         outlen = 0;
117                 }
118         }
119
120         return true;
121 }