s4:heimdal: import lorikeet-heimdal-201003262338 (commit f4e0dc17709829235f057e0e100d...
[sfrench/samba-autobuild/.git] / source4 / heimdal / lib / krb5 / crypto.c
1 /*
2  * Copyright (c) 1997 - 2008 Kungliga Tekniska Högskolan
3  * (Royal Institute of Technology, Stockholm, Sweden).
4  * All rights reserved.
5  *
6  * Redistribution and use in source and binary forms, with or without
7  * modification, are permitted provided that the following conditions
8  * are met:
9  *
10  * 1. Redistributions of source code must retain the above copyright
11  *    notice, this list of conditions and the following disclaimer.
12  *
13  * 2. Redistributions in binary form must reproduce the above copyright
14  *    notice, this list of conditions and the following disclaimer in the
15  *    documentation and/or other materials provided with the distribution.
16  *
17  * 3. Neither the name of the Institute nor the names of its contributors
18  *    may be used to endorse or promote products derived from this software
19  *    without specific prior written permission.
20  *
21  * THIS SOFTWARE IS PROVIDED BY THE INSTITUTE AND CONTRIBUTORS ``AS IS'' AND
22  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
23  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
24  * ARE DISCLAIMED.  IN NO EVENT SHALL THE INSTITUTE OR CONTRIBUTORS BE LIABLE
25  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
26  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
27  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
28  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
29  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
30  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
31  * SUCH DAMAGE.
32  */
33
34 #define KRB5_DEPRECATED
35
36 #include "krb5_locl.h"
37 #include <pkinit_asn1.h>
38
39 #ifndef HEIMDAL_SMALLER
40 #define DES3_OLD_ENCTYPE 1
41 #endif
42
43 struct key_data {
44     krb5_keyblock *key;
45     krb5_data *schedule;
46 };
47
48 struct key_usage {
49     unsigned usage;
50     struct key_data key;
51 };
52
53 struct krb5_crypto_data {
54     struct encryption_type *et;
55     struct key_data key;
56     int num_key_usage;
57     struct key_usage *key_usage;
58 };
59
60 #define CRYPTO_ETYPE(C) ((C)->et->type)
61
62 /* bits for `flags' below */
63 #define F_KEYED          1      /* checksum is keyed */
64 #define F_CPROOF         2      /* checksum is collision proof */
65 #define F_DERIVED        4      /* uses derived keys */
66 #define F_VARIANT        8      /* uses `variant' keys (6.4.3) */
67 #define F_PSEUDO        16      /* not a real protocol type */
68 #define F_SPECIAL       32      /* backwards */
69 #define F_DISABLED      64      /* enctype/checksum disabled */
70 #define F_WEAK         128      /* enctype is considered weak */
71
72 struct salt_type {
73     krb5_salttype type;
74     const char *name;
75     krb5_error_code (*string_to_key)(krb5_context, krb5_enctype, krb5_data,
76                                      krb5_salt, krb5_data, krb5_keyblock*);
77 };
78
79 struct key_type {
80     krb5_keytype type; /* XXX */
81     const char *name;
82     size_t bits;
83     size_t size;
84     size_t schedule_size;
85     void (*random_key)(krb5_context, krb5_keyblock*);
86     void (*schedule)(krb5_context, struct key_type *, struct key_data *);
87     struct salt_type *string_to_key;
88     void (*random_to_key)(krb5_context, krb5_keyblock*, const void*, size_t);
89     void (*cleanup)(krb5_context, struct key_data *);
90     const EVP_CIPHER *(*evp)(void);
91 };
92
93 struct checksum_type {
94     krb5_cksumtype type;
95     const char *name;
96     size_t blocksize;
97     size_t checksumsize;
98     unsigned flags;
99     krb5_enctype (*checksum)(krb5_context context,
100                              struct key_data *key,
101                              const void *buf, size_t len,
102                              unsigned usage,
103                              Checksum *csum);
104     krb5_error_code (*verify)(krb5_context context,
105                               struct key_data *key,
106                               const void *buf, size_t len,
107                               unsigned usage,
108                               Checksum *csum);
109 };
110
111 struct encryption_type {
112     krb5_enctype type;
113     const char *name;
114     size_t blocksize;
115     size_t padsize;
116     size_t confoundersize;
117     struct key_type *keytype;
118     struct checksum_type *checksum;
119     struct checksum_type *keyed_checksum;
120     unsigned flags;
121     krb5_error_code (*encrypt)(krb5_context context,
122                                struct key_data *key,
123                                void *data, size_t len,
124                                krb5_boolean encryptp,
125                                int usage,
126                                void *ivec);
127     size_t prf_length;
128     krb5_error_code (*prf)(krb5_context,
129                            krb5_crypto, const krb5_data *, krb5_data *);
130 };
131
132 #define ENCRYPTION_USAGE(U) (((U) << 8) | 0xAA)
133 #define INTEGRITY_USAGE(U) (((U) << 8) | 0x55)
134 #define CHECKSUM_USAGE(U) (((U) << 8) | 0x99)
135
136 static struct checksum_type *_find_checksum(krb5_cksumtype type);
137 static struct encryption_type *_find_enctype(krb5_enctype type);
138 static krb5_error_code _get_derived_key(krb5_context, krb5_crypto,
139                                         unsigned, struct key_data**);
140 static struct key_data *_new_derived_key(krb5_crypto crypto, unsigned usage);
141 static krb5_error_code derive_key(krb5_context context,
142                                   struct encryption_type *et,
143                                   struct key_data *key,
144                                   const void *constant,
145                                   size_t len);
146 static krb5_error_code hmac(krb5_context context,
147                             struct checksum_type *cm,
148                             const void *data,
149                             size_t len,
150                             unsigned usage,
151                             struct key_data *keyblock,
152                             Checksum *result);
153 static void free_key_data(krb5_context,
154                           struct key_data *,
155                           struct encryption_type *);
156 static void free_key_schedule(krb5_context,
157                               struct key_data *,
158                               struct encryption_type *);
159 static krb5_error_code usage2arcfour (krb5_context, unsigned *);
160 static void xor (DES_cblock *, const unsigned char *);
161
162 /************************************************************
163  *                                                          *
164  ************************************************************/
165
166 struct evp_schedule {
167     EVP_CIPHER_CTX ectx;
168     EVP_CIPHER_CTX dctx;
169 };
170
171
172 static HEIMDAL_MUTEX crypto_mutex = HEIMDAL_MUTEX_INITIALIZER;
173
174 #ifdef HEIM_WEAK_CRYPTO
175 static void
176 krb5_DES_random_key(krb5_context context,
177                     krb5_keyblock *key)
178 {
179     DES_cblock *k = key->keyvalue.data;
180     do {
181         krb5_generate_random_block(k, sizeof(DES_cblock));
182         DES_set_odd_parity(k);
183     } while(DES_is_weak_key(k));
184 }
185
186 static void
187 krb5_DES_schedule_old(krb5_context context,
188                       struct key_type *kt,
189                       struct key_data *key)
190 {
191     DES_set_key_unchecked(key->key->keyvalue.data, key->schedule->data);
192 }
193
194 #ifdef ENABLE_AFS_STRING_TO_KEY
195
196 /* This defines the Andrew string_to_key function.  It accepts a password
197  * string as input and converts it via a one-way encryption algorithm to a DES
198  * encryption key.  It is compatible with the original Andrew authentication
199  * service password database.
200  */
201
202 /*
203  * Short passwords, i.e 8 characters or less.
204  */
205 static void
206 krb5_DES_AFS3_CMU_string_to_key (krb5_data pw,
207                                  krb5_data cell,
208                                  DES_cblock *key)
209 {
210     char  password[8+1];        /* crypt is limited to 8 chars anyway */
211     int   i;
212
213     for(i = 0; i < 8; i++) {
214         char c = ((i < pw.length) ? ((char*)pw.data)[i] : 0) ^
215             ((i < cell.length) ?
216              tolower(((unsigned char*)cell.data)[i]) : 0);
217         password[i] = c ? c : 'X';
218     }
219     password[8] = '\0';
220
221     memcpy(key, crypt(password, "p1") + 2, sizeof(DES_cblock));
222
223     /* parity is inserted into the LSB so left shift each byte up one
224        bit. This allows ascii characters with a zero MSB to retain as
225        much significance as possible. */
226     for (i = 0; i < sizeof(DES_cblock); i++)
227         ((unsigned char*)key)[i] <<= 1;
228     DES_set_odd_parity (key);
229 }
230
231 /*
232  * Long passwords, i.e 9 characters or more.
233  */
234 static void
235 krb5_DES_AFS3_Transarc_string_to_key (krb5_data pw,
236                                       krb5_data cell,
237                                       DES_cblock *key)
238 {
239     DES_key_schedule schedule;
240     DES_cblock temp_key;
241     DES_cblock ivec;
242     char password[512];
243     size_t passlen;
244
245     memcpy(password, pw.data, min(pw.length, sizeof(password)));
246     if(pw.length < sizeof(password)) {
247         int len = min(cell.length, sizeof(password) - pw.length);
248         int i;
249
250         memcpy(password + pw.length, cell.data, len);
251         for (i = pw.length; i < pw.length + len; ++i)
252             password[i] = tolower((unsigned char)password[i]);
253     }
254     passlen = min(sizeof(password), pw.length + cell.length);
255     memcpy(&ivec, "kerberos", 8);
256     memcpy(&temp_key, "kerberos", 8);
257     DES_set_odd_parity (&temp_key);
258     DES_set_key_unchecked (&temp_key, &schedule);
259     DES_cbc_cksum ((void*)password, &ivec, passlen, &schedule, &ivec);
260
261     memcpy(&temp_key, &ivec, 8);
262     DES_set_odd_parity (&temp_key);
263     DES_set_key_unchecked (&temp_key, &schedule);
264     DES_cbc_cksum ((void*)password, key, passlen, &schedule, &ivec);
265     memset(&schedule, 0, sizeof(schedule));
266     memset(&temp_key, 0, sizeof(temp_key));
267     memset(&ivec, 0, sizeof(ivec));
268     memset(password, 0, sizeof(password));
269
270     DES_set_odd_parity (key);
271 }
272
273 static krb5_error_code
274 DES_AFS3_string_to_key(krb5_context context,
275                        krb5_enctype enctype,
276                        krb5_data password,
277                        krb5_salt salt,
278                        krb5_data opaque,
279                        krb5_keyblock *key)
280 {
281     DES_cblock tmp;
282     if(password.length > 8)
283         krb5_DES_AFS3_Transarc_string_to_key(password, salt.saltvalue, &tmp);
284     else
285         krb5_DES_AFS3_CMU_string_to_key(password, salt.saltvalue, &tmp);
286     key->keytype = enctype;
287     krb5_data_copy(&key->keyvalue, tmp, sizeof(tmp));
288     memset(&key, 0, sizeof(key));
289     return 0;
290 }
291 #endif /* ENABLE_AFS_STRING_TO_KEY */
292
293 static void
294 DES_string_to_key_int(unsigned char *data, size_t length, DES_cblock *key)
295 {
296     DES_key_schedule schedule;
297     int i;
298     int reverse = 0;
299     unsigned char *p;
300
301     unsigned char swap[] = { 0x0, 0x8, 0x4, 0xc, 0x2, 0xa, 0x6, 0xe,
302                              0x1, 0x9, 0x5, 0xd, 0x3, 0xb, 0x7, 0xf };
303     memset(key, 0, 8);
304
305     p = (unsigned char*)key;
306     for (i = 0; i < length; i++) {
307         unsigned char tmp = data[i];
308         if (!reverse)
309             *p++ ^= (tmp << 1);
310         else
311             *--p ^= (swap[tmp & 0xf] << 4) | swap[(tmp & 0xf0) >> 4];
312         if((i % 8) == 7)
313             reverse = !reverse;
314     }
315     DES_set_odd_parity(key);
316     if(DES_is_weak_key(key))
317         (*key)[7] ^= 0xF0;
318     DES_set_key_unchecked(key, &schedule);
319     DES_cbc_cksum((void*)data, key, length, &schedule, key);
320     memset(&schedule, 0, sizeof(schedule));
321     DES_set_odd_parity(key);
322     if(DES_is_weak_key(key))
323         (*key)[7] ^= 0xF0;
324 }
325
326 static krb5_error_code
327 krb5_DES_string_to_key(krb5_context context,
328                        krb5_enctype enctype,
329                        krb5_data password,
330                        krb5_salt salt,
331                        krb5_data opaque,
332                        krb5_keyblock *key)
333 {
334     unsigned char *s;
335     size_t len;
336     DES_cblock tmp;
337
338 #ifdef ENABLE_AFS_STRING_TO_KEY
339     if (opaque.length == 1) {
340         unsigned long v;
341         _krb5_get_int(opaque.data, &v, 1);
342         if (v == 1)
343             return DES_AFS3_string_to_key(context, enctype, password,
344                                           salt, opaque, key);
345     }
346 #endif
347
348     len = password.length + salt.saltvalue.length;
349     s = malloc(len);
350     if(len > 0 && s == NULL) {
351         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
352         return ENOMEM;
353     }
354     memcpy(s, password.data, password.length);
355     memcpy(s + password.length, salt.saltvalue.data, salt.saltvalue.length);
356     DES_string_to_key_int(s, len, &tmp);
357     key->keytype = enctype;
358     krb5_data_copy(&key->keyvalue, tmp, sizeof(tmp));
359     memset(&tmp, 0, sizeof(tmp));
360     memset(s, 0, len);
361     free(s);
362     return 0;
363 }
364
365 static void
366 krb5_DES_random_to_key(krb5_context context,
367                        krb5_keyblock *key,
368                        const void *data,
369                        size_t size)
370 {
371     DES_cblock *k = key->keyvalue.data;
372     memcpy(k, data, key->keyvalue.length);
373     DES_set_odd_parity(k);
374     if(DES_is_weak_key(k))
375         xor(k, (const unsigned char*)"\0\0\0\0\0\0\0\xf0");
376 }
377 #endif
378
379 /*
380  *
381  */
382
383 static void
384 DES3_random_key(krb5_context context,
385                 krb5_keyblock *key)
386 {
387     DES_cblock *k = key->keyvalue.data;
388     do {
389         krb5_generate_random_block(k, 3 * sizeof(DES_cblock));
390         DES_set_odd_parity(&k[0]);
391         DES_set_odd_parity(&k[1]);
392         DES_set_odd_parity(&k[2]);
393     } while(DES_is_weak_key(&k[0]) ||
394             DES_is_weak_key(&k[1]) ||
395             DES_is_weak_key(&k[2]));
396 }
397
398 /*
399  * A = A xor B. A & B are 8 bytes.
400  */
401
402 static void
403 xor (DES_cblock *key, const unsigned char *b)
404 {
405     unsigned char *a = (unsigned char*)key;
406     a[0] ^= b[0];
407     a[1] ^= b[1];
408     a[2] ^= b[2];
409     a[3] ^= b[3];
410     a[4] ^= b[4];
411     a[5] ^= b[5];
412     a[6] ^= b[6];
413     a[7] ^= b[7];
414 }
415
416 #ifdef DES3_OLD_ENCTYPE
417 static krb5_error_code
418 DES3_string_to_key(krb5_context context,
419                    krb5_enctype enctype,
420                    krb5_data password,
421                    krb5_salt salt,
422                    krb5_data opaque,
423                    krb5_keyblock *key)
424 {
425     char *str;
426     size_t len;
427     unsigned char tmp[24];
428     DES_cblock keys[3];
429     krb5_error_code ret;
430
431     len = password.length + salt.saltvalue.length;
432     str = malloc(len);
433     if(len != 0 && str == NULL) {
434         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
435         return ENOMEM;
436     }
437     memcpy(str, password.data, password.length);
438     memcpy(str + password.length, salt.saltvalue.data, salt.saltvalue.length);
439     {
440         DES_cblock ivec;
441         DES_key_schedule s[3];
442         int i;
443         
444         ret = _krb5_n_fold(str, len, tmp, 24);
445         if (ret) {
446             memset(str, 0, len);
447             free(str);
448             krb5_set_error_message(context, ret, N_("malloc: out of memory", ""));
449             return ret;
450         }
451         
452         for(i = 0; i < 3; i++){
453             memcpy(keys + i, tmp + i * 8, sizeof(keys[i]));
454             DES_set_odd_parity(keys + i);
455             if(DES_is_weak_key(keys + i))
456                 xor(keys + i, (const unsigned char*)"\0\0\0\0\0\0\0\xf0");
457             DES_set_key_unchecked(keys + i, &s[i]);
458         }
459         memset(&ivec, 0, sizeof(ivec));
460         DES_ede3_cbc_encrypt(tmp,
461                              tmp, sizeof(tmp),
462                              &s[0], &s[1], &s[2], &ivec, DES_ENCRYPT);
463         memset(s, 0, sizeof(s));
464         memset(&ivec, 0, sizeof(ivec));
465         for(i = 0; i < 3; i++){
466             memcpy(keys + i, tmp + i * 8, sizeof(keys[i]));
467             DES_set_odd_parity(keys + i);
468             if(DES_is_weak_key(keys + i))
469                 xor(keys + i, (const unsigned char*)"\0\0\0\0\0\0\0\xf0");
470         }
471         memset(tmp, 0, sizeof(tmp));
472     }
473     key->keytype = enctype;
474     krb5_data_copy(&key->keyvalue, keys, sizeof(keys));
475     memset(keys, 0, sizeof(keys));
476     memset(str, 0, len);
477     free(str);
478     return 0;
479 }
480 #endif
481
482 static krb5_error_code
483 DES3_string_to_key_derived(krb5_context context,
484                            krb5_enctype enctype,
485                            krb5_data password,
486                            krb5_salt salt,
487                            krb5_data opaque,
488                            krb5_keyblock *key)
489 {
490     krb5_error_code ret;
491     size_t len = password.length + salt.saltvalue.length;
492     char *s;
493
494     s = malloc(len);
495     if(len != 0 && s == NULL) {
496         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
497         return ENOMEM;
498     }
499     memcpy(s, password.data, password.length);
500     memcpy(s + password.length, salt.saltvalue.data, salt.saltvalue.length);
501     ret = krb5_string_to_key_derived(context,
502                                      s,
503                                      len,
504                                      enctype,
505                                      key);
506     memset(s, 0, len);
507     free(s);
508     return ret;
509 }
510
511 static void
512 DES3_random_to_key(krb5_context context,
513                    krb5_keyblock *key,
514                    const void *data,
515                    size_t size)
516 {
517     unsigned char *x = key->keyvalue.data;
518     const u_char *q = data;
519     DES_cblock *k;
520     int i, j;
521
522     memset(x, 0, sizeof(x));
523     for (i = 0; i < 3; ++i) {
524         unsigned char foo;
525         for (j = 0; j < 7; ++j) {
526             unsigned char b = q[7 * i + j];
527
528             x[8 * i + j] = b;
529         }
530         foo = 0;
531         for (j = 6; j >= 0; --j) {
532             foo |= q[7 * i + j] & 1;
533             foo <<= 1;
534         }
535         x[8 * i + 7] = foo;
536     }
537     k = key->keyvalue.data;
538     for (i = 0; i < 3; i++) {
539         DES_set_odd_parity(&k[i]);
540         if(DES_is_weak_key(&k[i]))
541             xor(&k[i], (const unsigned char*)"\0\0\0\0\0\0\0\xf0");
542     }
543 }
544
545 /*
546  * ARCFOUR
547  */
548
549 static krb5_error_code
550 ARCFOUR_string_to_key(krb5_context context,
551                       krb5_enctype enctype,
552                       krb5_data password,
553                       krb5_salt salt,
554                       krb5_data opaque,
555                       krb5_keyblock *key)
556 {
557     krb5_error_code ret;
558     uint16_t *s = NULL;
559     size_t len, i;
560     EVP_MD_CTX *m;
561
562     m = EVP_MD_CTX_create();
563     if (m == NULL) {
564         ret = ENOMEM;
565         krb5_set_error_message(context, ret, N_("malloc: out of memory", ""));
566         goto out;
567     }
568
569     EVP_DigestInit_ex(m, EVP_md4(), NULL);
570
571     ret = wind_utf8ucs2_length(password.data, &len);
572     if (ret) {
573         krb5_set_error_message (context, ret,
574                                 N_("Password not an UCS2 string", ""));
575         goto out;
576     }
577         
578     s = malloc (len * sizeof(s[0]));
579     if (len != 0 && s == NULL) {
580         krb5_set_error_message (context, ENOMEM,
581                                 N_("malloc: out of memory", ""));
582         ret = ENOMEM;
583         goto out;
584     }
585
586     ret = wind_utf8ucs2(password.data, s, &len);
587     if (ret) {
588         krb5_set_error_message (context, ret,
589                                 N_("Password not an UCS2 string", ""));
590         goto out;
591     }
592
593     /* LE encoding */
594     for (i = 0; i < len; i++) {
595         unsigned char p;
596         p = (s[i] & 0xff);
597         EVP_DigestUpdate (m, &p, 1);
598         p = (s[i] >> 8) & 0xff;
599         EVP_DigestUpdate (m, &p, 1);
600     }
601
602     key->keytype = enctype;
603     ret = krb5_data_alloc (&key->keyvalue, 16);
604     if (ret) {
605         krb5_set_error_message (context, ENOMEM, N_("malloc: out of memory", ""));
606         goto out;
607     }
608     EVP_DigestFinal_ex (m, key->keyvalue.data, NULL);
609
610  out:
611     EVP_MD_CTX_destroy(m);
612     if (s)
613         memset (s, 0, len);
614     free (s);
615     return ret;
616 }
617
618 /*
619  * AES
620  */
621
622 int _krb5_AES_string_to_default_iterator = 4096;
623
624 static krb5_error_code
625 AES_string_to_key(krb5_context context,
626                   krb5_enctype enctype,
627                   krb5_data password,
628                   krb5_salt salt,
629                   krb5_data opaque,
630                   krb5_keyblock *key)
631 {
632     krb5_error_code ret;
633     uint32_t iter;
634     struct encryption_type *et;
635     struct key_data kd;
636
637     if (opaque.length == 0)
638         iter = _krb5_AES_string_to_default_iterator;
639     else if (opaque.length == 4) {
640         unsigned long v;
641         _krb5_get_int(opaque.data, &v, 4);
642         iter = ((uint32_t)v);
643     } else
644         return KRB5_PROG_KEYTYPE_NOSUPP; /* XXX */
645         
646     et = _find_enctype(enctype);
647     if (et == NULL)
648         return KRB5_PROG_KEYTYPE_NOSUPP;
649
650     kd.schedule = NULL;
651     ALLOC(kd.key, 1);
652     if(kd.key == NULL) {
653         krb5_set_error_message (context, ENOMEM, N_("malloc: out of memory", ""));
654         return ENOMEM;
655     }
656     kd.key->keytype = enctype;
657     ret = krb5_data_alloc(&kd.key->keyvalue, et->keytype->size);
658     if (ret) {
659         krb5_set_error_message (context, ret, N_("malloc: out of memory", ""));
660         return ret;
661     }
662
663     ret = PKCS5_PBKDF2_HMAC_SHA1(password.data, password.length,
664                                  salt.saltvalue.data, salt.saltvalue.length,
665                                  iter,
666                                  et->keytype->size, kd.key->keyvalue.data);
667     if (ret != 1) {
668         free_key_data(context, &kd, et);
669         krb5_set_error_message(context, KRB5_PROG_KEYTYPE_NOSUPP,
670                                "Error calculating s2k");
671         return KRB5_PROG_KEYTYPE_NOSUPP;
672     }
673
674     ret = derive_key(context, et, &kd, "kerberos", strlen("kerberos"));
675     if (ret == 0)
676         ret = krb5_copy_keyblock_contents(context, kd.key, key);
677     free_key_data(context, &kd, et);
678
679     return ret;
680 }
681
682 static void
683 evp_schedule(krb5_context context, struct key_type *kt, struct key_data *kd)
684 {
685     struct evp_schedule *key = kd->schedule->data;
686     const EVP_CIPHER *c = (*kt->evp)();
687
688     EVP_CIPHER_CTX_init(&key->ectx);
689     EVP_CIPHER_CTX_init(&key->dctx);
690
691     EVP_CipherInit_ex(&key->ectx, c, NULL, kd->key->keyvalue.data, NULL, 1);
692     EVP_CipherInit_ex(&key->dctx, c, NULL, kd->key->keyvalue.data, NULL, 0);
693 }
694
695 static void
696 evp_cleanup(krb5_context context, struct key_data *kd)
697 {
698     struct evp_schedule *key = kd->schedule->data;
699     EVP_CIPHER_CTX_cleanup(&key->ectx);
700     EVP_CIPHER_CTX_cleanup(&key->dctx);
701 }
702
703 /*
704  *
705  */
706
707 #ifdef HEIM_WEAK_CRYPTO
708 static struct salt_type des_salt[] = {
709     {
710         KRB5_PW_SALT,
711         "pw-salt",
712         krb5_DES_string_to_key
713     },
714 #ifdef ENABLE_AFS_STRING_TO_KEY
715     {
716         KRB5_AFS3_SALT,
717         "afs3-salt",
718         DES_AFS3_string_to_key
719     },
720 #endif
721     { 0 }
722 };
723 #endif
724
725 #ifdef DES3_OLD_ENCTYPE
726 static struct salt_type des3_salt[] = {
727     {
728         KRB5_PW_SALT,
729         "pw-salt",
730         DES3_string_to_key
731     },
732     { 0 }
733 };
734 #endif
735
736 static struct salt_type des3_salt_derived[] = {
737     {
738         KRB5_PW_SALT,
739         "pw-salt",
740         DES3_string_to_key_derived
741     },
742     { 0 }
743 };
744
745 static struct salt_type AES_salt[] = {
746     {
747         KRB5_PW_SALT,
748         "pw-salt",
749         AES_string_to_key
750     },
751     { 0 }
752 };
753
754 static struct salt_type arcfour_salt[] = {
755     {
756         KRB5_PW_SALT,
757         "pw-salt",
758         ARCFOUR_string_to_key
759     },
760     { 0 }
761 };
762
763 /*
764  *
765  */
766
767 static struct key_type keytype_null = {
768     KEYTYPE_NULL,
769     "null",
770     0,
771     0,
772     0,
773     NULL,
774     NULL,
775     NULL
776 };
777
778 #ifdef HEIM_WEAK_CRYPTO
779 static struct key_type keytype_des_old = {
780     KEYTYPE_DES,
781     "des-old",
782     56,
783     8,
784     sizeof(DES_key_schedule),
785     krb5_DES_random_key,
786     krb5_DES_schedule_old,
787     des_salt,
788     krb5_DES_random_to_key
789 };
790
791 static struct key_type keytype_des = {
792     KEYTYPE_DES,
793     "des",
794     56,
795     8,
796     sizeof(struct evp_schedule),
797     krb5_DES_random_key,
798     evp_schedule,
799     des_salt,
800     krb5_DES_random_to_key,
801     evp_cleanup,
802     EVP_des_cbc
803 };
804 #endif /* HEIM_WEAK_CRYPTO */
805
806 #ifdef DES3_OLD_ENCTYPE
807 static struct key_type keytype_des3 = {
808     KEYTYPE_DES3,
809     "des3",
810     168,
811     24,
812     sizeof(struct evp_schedule),
813     DES3_random_key,
814     evp_schedule,
815     des3_salt,
816     DES3_random_to_key,
817     evp_cleanup,
818     EVP_des_ede3_cbc
819 };
820 #endif
821
822 static struct key_type keytype_des3_derived = {
823     KEYTYPE_DES3,
824     "des3",
825     168,
826     24,
827     sizeof(struct evp_schedule),
828     DES3_random_key,
829     evp_schedule,
830     des3_salt_derived,
831     DES3_random_to_key,
832     evp_cleanup,
833     EVP_des_ede3_cbc
834 };
835
836 static struct key_type keytype_aes128 = {
837     KEYTYPE_AES128,
838     "aes-128",
839     128,
840     16,
841     sizeof(struct evp_schedule),
842     NULL,
843     evp_schedule,
844     AES_salt,
845     NULL,
846     evp_cleanup,
847     EVP_aes_128_cbc
848 };
849
850 static struct key_type keytype_aes256 = {
851     KEYTYPE_AES256,
852     "aes-256",
853     256,
854     32,
855     sizeof(struct evp_schedule),
856     NULL,
857     evp_schedule,
858     AES_salt,
859     NULL,
860     evp_cleanup,
861     EVP_aes_256_cbc
862 };
863
864 static struct key_type keytype_arcfour = {
865     KEYTYPE_ARCFOUR,
866     "arcfour",
867     128,
868     16,
869     sizeof(struct evp_schedule),
870     NULL,
871     evp_schedule,
872     arcfour_salt,
873     NULL,
874     evp_cleanup,
875     EVP_rc4
876 };
877
878 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
879 krb5_salttype_to_string (krb5_context context,
880                          krb5_enctype etype,
881                          krb5_salttype stype,
882                          char **string)
883 {
884     struct encryption_type *e;
885     struct salt_type *st;
886
887     e = _find_enctype (etype);
888     if (e == NULL) {
889         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
890                                "encryption type %d not supported",
891                                etype);
892         return KRB5_PROG_ETYPE_NOSUPP;
893     }
894     for (st = e->keytype->string_to_key; st && st->type; st++) {
895         if (st->type == stype) {
896             *string = strdup (st->name);
897             if (*string == NULL) {
898                 krb5_set_error_message (context, ENOMEM,
899                                         N_("malloc: out of memory", ""));
900                 return ENOMEM;
901             }
902             return 0;
903         }
904     }
905     krb5_set_error_message (context, HEIM_ERR_SALTTYPE_NOSUPP,
906                             "salttype %d not supported", stype);
907     return HEIM_ERR_SALTTYPE_NOSUPP;
908 }
909
910 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
911 krb5_string_to_salttype (krb5_context context,
912                          krb5_enctype etype,
913                          const char *string,
914                          krb5_salttype *salttype)
915 {
916     struct encryption_type *e;
917     struct salt_type *st;
918
919     e = _find_enctype (etype);
920     if (e == NULL) {
921         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
922                                N_("encryption type %d not supported", ""),
923                                etype);
924         return KRB5_PROG_ETYPE_NOSUPP;
925     }
926     for (st = e->keytype->string_to_key; st && st->type; st++) {
927         if (strcasecmp (st->name, string) == 0) {
928             *salttype = st->type;
929             return 0;
930         }
931     }
932     krb5_set_error_message(context, HEIM_ERR_SALTTYPE_NOSUPP,
933                            N_("salttype %s not supported", ""), string);
934     return HEIM_ERR_SALTTYPE_NOSUPP;
935 }
936
937 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
938 krb5_get_pw_salt(krb5_context context,
939                  krb5_const_principal principal,
940                  krb5_salt *salt)
941 {
942     size_t len;
943     int i;
944     krb5_error_code ret;
945     char *p;
946
947     salt->salttype = KRB5_PW_SALT;
948     len = strlen(principal->realm);
949     for (i = 0; i < principal->name.name_string.len; ++i)
950         len += strlen(principal->name.name_string.val[i]);
951     ret = krb5_data_alloc (&salt->saltvalue, len);
952     if (ret)
953         return ret;
954     p = salt->saltvalue.data;
955     memcpy (p, principal->realm, strlen(principal->realm));
956     p += strlen(principal->realm);
957     for (i = 0; i < principal->name.name_string.len; ++i) {
958         memcpy (p,
959                 principal->name.name_string.val[i],
960                 strlen(principal->name.name_string.val[i]));
961         p += strlen(principal->name.name_string.val[i]);
962     }
963     return 0;
964 }
965
966 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
967 krb5_free_salt(krb5_context context,
968                krb5_salt salt)
969 {
970     krb5_data_free(&salt.saltvalue);
971     return 0;
972 }
973
974 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
975 krb5_string_to_key_data (krb5_context context,
976                          krb5_enctype enctype,
977                          krb5_data password,
978                          krb5_principal principal,
979                          krb5_keyblock *key)
980 {
981     krb5_error_code ret;
982     krb5_salt salt;
983
984     ret = krb5_get_pw_salt(context, principal, &salt);
985     if(ret)
986         return ret;
987     ret = krb5_string_to_key_data_salt(context, enctype, password, salt, key);
988     krb5_free_salt(context, salt);
989     return ret;
990 }
991
992 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
993 krb5_string_to_key (krb5_context context,
994                     krb5_enctype enctype,
995                     const char *password,
996                     krb5_principal principal,
997                     krb5_keyblock *key)
998 {
999     krb5_data pw;
1000     pw.data = rk_UNCONST(password);
1001     pw.length = strlen(password);
1002     return krb5_string_to_key_data(context, enctype, pw, principal, key);
1003 }
1004
1005 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1006 krb5_string_to_key_data_salt (krb5_context context,
1007                               krb5_enctype enctype,
1008                               krb5_data password,
1009                               krb5_salt salt,
1010                               krb5_keyblock *key)
1011 {
1012     krb5_data opaque;
1013     krb5_data_zero(&opaque);
1014     return krb5_string_to_key_data_salt_opaque(context, enctype, password,
1015                                                salt, opaque, key);
1016 }
1017
1018 /*
1019  * Do a string -> key for encryption type `enctype' operation on
1020  * `password' (with salt `salt' and the enctype specific data string
1021  * `opaque'), returning the resulting key in `key'
1022  */
1023
1024 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1025 krb5_string_to_key_data_salt_opaque (krb5_context context,
1026                                      krb5_enctype enctype,
1027                                      krb5_data password,
1028                                      krb5_salt salt,
1029                                      krb5_data opaque,
1030                                      krb5_keyblock *key)
1031 {
1032     struct encryption_type *et =_find_enctype(enctype);
1033     struct salt_type *st;
1034     if(et == NULL) {
1035         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
1036                                N_("encryption type %d not supported", ""),
1037                                enctype);
1038         return KRB5_PROG_ETYPE_NOSUPP;
1039     }
1040     for(st = et->keytype->string_to_key; st && st->type; st++)
1041         if(st->type == salt.salttype)
1042             return (*st->string_to_key)(context, enctype, password,
1043                                         salt, opaque, key);
1044     krb5_set_error_message(context, HEIM_ERR_SALTTYPE_NOSUPP,
1045                            N_("salt type %d not supported", ""),
1046                            salt.salttype);
1047     return HEIM_ERR_SALTTYPE_NOSUPP;
1048 }
1049
1050 /*
1051  * Do a string -> key for encryption type `enctype' operation on the
1052  * string `password' (with salt `salt'), returning the resulting key
1053  * in `key'
1054  */
1055
1056 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1057 krb5_string_to_key_salt (krb5_context context,
1058                          krb5_enctype enctype,
1059                          const char *password,
1060                          krb5_salt salt,
1061                          krb5_keyblock *key)
1062 {
1063     krb5_data pw;
1064     pw.data = rk_UNCONST(password);
1065     pw.length = strlen(password);
1066     return krb5_string_to_key_data_salt(context, enctype, pw, salt, key);
1067 }
1068
1069 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1070 krb5_string_to_key_salt_opaque (krb5_context context,
1071                                 krb5_enctype enctype,
1072                                 const char *password,
1073                                 krb5_salt salt,
1074                                 krb5_data opaque,
1075                                 krb5_keyblock *key)
1076 {
1077     krb5_data pw;
1078     pw.data = rk_UNCONST(password);
1079     pw.length = strlen(password);
1080     return krb5_string_to_key_data_salt_opaque(context, enctype,
1081                                                pw, salt, opaque, key);
1082 }
1083
1084 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1085 krb5_enctype_keysize(krb5_context context,
1086                      krb5_enctype type,
1087                      size_t *keysize)
1088 {
1089     struct encryption_type *et = _find_enctype(type);
1090     if(et == NULL) {
1091         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
1092                                N_("encryption type %d not supported", ""),
1093                                type);
1094         return KRB5_PROG_ETYPE_NOSUPP;
1095     }
1096     *keysize = et->keytype->size;
1097     return 0;
1098 }
1099
1100 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1101 krb5_enctype_keybits(krb5_context context,
1102                      krb5_enctype type,
1103                      size_t *keybits)
1104 {
1105     struct encryption_type *et = _find_enctype(type);
1106     if(et == NULL) {
1107         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
1108                                "encryption type %d not supported",
1109                                type);
1110         return KRB5_PROG_ETYPE_NOSUPP;
1111     }
1112     *keybits = et->keytype->bits;
1113     return 0;
1114 }
1115
1116 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1117 krb5_generate_random_keyblock(krb5_context context,
1118                               krb5_enctype type,
1119                               krb5_keyblock *key)
1120 {
1121     krb5_error_code ret;
1122     struct encryption_type *et = _find_enctype(type);
1123     if(et == NULL) {
1124         krb5_set_error_message(context, KRB5_PROG_ETYPE_NOSUPP,
1125                                N_("encryption type %d not supported", ""),
1126                                type);
1127         return KRB5_PROG_ETYPE_NOSUPP;
1128     }
1129     ret = krb5_data_alloc(&key->keyvalue, et->keytype->size);
1130     if(ret)
1131         return ret;
1132     key->keytype = type;
1133     if(et->keytype->random_key)
1134         (*et->keytype->random_key)(context, key);
1135     else
1136         krb5_generate_random_block(key->keyvalue.data,
1137                                    key->keyvalue.length);
1138     return 0;
1139 }
1140
1141 static krb5_error_code
1142 _key_schedule(krb5_context context,
1143               struct key_data *key)
1144 {
1145     krb5_error_code ret;
1146     struct encryption_type *et = _find_enctype(key->key->keytype);
1147     struct key_type *kt;
1148
1149     if (et == NULL) {
1150         krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
1151                                 N_("encryption type %d not supported", ""),
1152                                 key->key->keytype);
1153         return KRB5_PROG_ETYPE_NOSUPP;
1154     }
1155
1156     kt = et->keytype;
1157
1158     if(kt->schedule == NULL)
1159         return 0;
1160     if (key->schedule != NULL)
1161         return 0;
1162     ALLOC(key->schedule, 1);
1163     if(key->schedule == NULL) {
1164         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
1165         return ENOMEM;
1166     }
1167     ret = krb5_data_alloc(key->schedule, kt->schedule_size);
1168     if(ret) {
1169         free(key->schedule);
1170         key->schedule = NULL;
1171         return ret;
1172     }
1173     (*kt->schedule)(context, kt, key);
1174     return 0;
1175 }
1176
1177 /************************************************************
1178  *                                                          *
1179  ************************************************************/
1180
1181 static krb5_error_code
1182 NONE_checksum(krb5_context context,
1183               struct key_data *key,
1184               const void *data,
1185               size_t len,
1186               unsigned usage,
1187               Checksum *C)
1188 {
1189     return 0;
1190 }
1191
1192 #if defined(DES3_OLD_ENCTYPE) || defined(HEIM_WEAK_CRYPTO)
1193
1194 static krb5_error_code
1195 des_checksum(krb5_context context,
1196              const EVP_MD *evp_md,
1197              struct key_data *key,
1198              const void *data,
1199              size_t len,
1200              Checksum *cksum)
1201 {
1202     struct evp_schedule *ctx = key->schedule->data;
1203     EVP_MD_CTX *m;
1204     DES_cblock ivec;
1205     unsigned char *p = cksum->checksum.data;
1206
1207     krb5_generate_random_block(p, 8);
1208
1209     m = EVP_MD_CTX_create();
1210     if (m == NULL) {
1211         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
1212         return ENOMEM;
1213     }
1214
1215     EVP_DigestInit_ex(m, evp_md, NULL);
1216     EVP_DigestUpdate(m, p, 8);
1217     EVP_DigestUpdate(m, data, len);
1218     EVP_DigestFinal_ex (m, p + 8, NULL);
1219     EVP_MD_CTX_destroy(m);
1220     memset (&ivec, 0, sizeof(ivec));
1221     EVP_CipherInit_ex(&ctx->ectx, NULL, NULL, NULL, (void *)&ivec, -1);
1222     EVP_Cipher(&ctx->ectx, p, p, 24);
1223
1224     return 0;
1225 }
1226
1227 static krb5_error_code
1228 des_verify(krb5_context context,
1229            const EVP_MD *evp_md,
1230            struct key_data *key,
1231            const void *data,
1232            size_t len,
1233            Checksum *C)
1234 {
1235     struct evp_schedule *ctx = key->schedule->data;
1236     EVP_MD_CTX *m;
1237     unsigned char tmp[24];
1238     unsigned char res[16];
1239     DES_cblock ivec;
1240     krb5_error_code ret = 0;
1241
1242     m = EVP_MD_CTX_create();
1243     if (m == NULL) {
1244         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
1245         return ENOMEM;
1246     }
1247
1248     memset(&ivec, 0, sizeof(ivec));
1249     EVP_CipherInit_ex(&ctx->dctx, NULL, NULL, NULL, (void *)&ivec, -1);
1250     EVP_Cipher(&ctx->dctx, tmp, C->checksum.data, 24);
1251
1252     EVP_DigestInit_ex(m, evp_md, NULL);
1253     EVP_DigestUpdate(m, tmp, 8); /* confounder */
1254     EVP_DigestUpdate(m, data, len);
1255     EVP_DigestFinal_ex (m, res, NULL);
1256     EVP_MD_CTX_destroy(m);
1257     if(ct_memcmp(res, tmp + 8, sizeof(res)) != 0) {
1258         krb5_clear_error_message (context);
1259         ret = KRB5KRB_AP_ERR_BAD_INTEGRITY;
1260     }
1261     memset(tmp, 0, sizeof(tmp));
1262     memset(res, 0, sizeof(res));
1263     return ret;
1264 }
1265
1266 #endif
1267
1268 #ifdef HEIM_WEAK_CRYPTO
1269
1270 static krb5_error_code
1271 CRC32_checksum(krb5_context context,
1272                struct key_data *key,
1273                const void *data,
1274                size_t len,
1275                unsigned usage,
1276                Checksum *C)
1277 {
1278     uint32_t crc;
1279     unsigned char *r = C->checksum.data;
1280     _krb5_crc_init_table ();
1281     crc = _krb5_crc_update (data, len, 0);
1282     r[0] = crc & 0xff;
1283     r[1] = (crc >> 8)  & 0xff;
1284     r[2] = (crc >> 16) & 0xff;
1285     r[3] = (crc >> 24) & 0xff;
1286     return 0;
1287 }
1288
1289 static krb5_error_code
1290 RSA_MD4_checksum(krb5_context context,
1291                  struct key_data *key,
1292                  const void *data,
1293                  size_t len,
1294                  unsigned usage,
1295                  Checksum *C)
1296 {
1297     if (EVP_Digest(data, len, C->checksum.data, NULL, EVP_md4(), NULL) != 1)
1298         krb5_abortx(context, "md4 checksum failed");
1299     return 0;
1300 }
1301
1302 static krb5_error_code
1303 RSA_MD4_DES_checksum(krb5_context context,
1304                      struct key_data *key,
1305                      const void *data,
1306                      size_t len,
1307                      unsigned usage,
1308                      Checksum *cksum)
1309 {
1310     return des_checksum(context, EVP_md4(), key, data, len, cksum);
1311 }
1312
1313 static krb5_error_code
1314 RSA_MD4_DES_verify(krb5_context context,
1315                    struct key_data *key,
1316                    const void *data,
1317                    size_t len,
1318                    unsigned usage,
1319                    Checksum *C)
1320 {
1321     return des_verify(context, EVP_md5(), key, data, len, C);
1322 }
1323
1324 static krb5_error_code
1325 RSA_MD5_DES_checksum(krb5_context context,
1326                      struct key_data *key,
1327                      const void *data,
1328                      size_t len,
1329                      unsigned usage,
1330                      Checksum *C)
1331 {
1332     return des_checksum(context, EVP_md5(), key, data, len, C);
1333 }
1334
1335 static krb5_error_code
1336 RSA_MD5_DES_verify(krb5_context context,
1337                    struct key_data *key,
1338                    const void *data,
1339                    size_t len,
1340                    unsigned usage,
1341                    Checksum *C)
1342 {
1343     return des_verify(context, EVP_md5(), key, data, len, C);
1344 }
1345
1346 #endif /* HEIM_WEAK_CRYPTO */
1347
1348 #ifdef DES3_OLD_ENCTYPE
1349 static krb5_error_code
1350 RSA_MD5_DES3_checksum(krb5_context context,
1351                       struct key_data *key,
1352                       const void *data,
1353                       size_t len,
1354                       unsigned usage,
1355                       Checksum *C)
1356 {
1357     return des_checksum(context, EVP_md5(), key, data, len, C);
1358 }
1359
1360 static krb5_error_code
1361 RSA_MD5_DES3_verify(krb5_context context,
1362                     struct key_data *key,
1363                     const void *data,
1364                     size_t len,
1365                     unsigned usage,
1366                     Checksum *C)
1367 {
1368     return des_verify(context, EVP_md5(), key, data, len, C);
1369 }
1370 #endif
1371
1372 static krb5_error_code
1373 SHA1_checksum(krb5_context context,
1374               struct key_data *key,
1375               const void *data,
1376               size_t len,
1377               unsigned usage,
1378               Checksum *C)
1379 {
1380     if (EVP_Digest(data, len, C->checksum.data, NULL, EVP_sha1(), NULL) != 1)
1381         krb5_abortx(context, "sha1 checksum failed");
1382     return 0;
1383 }
1384
1385 /* HMAC according to RFC2104 */
1386 static krb5_error_code
1387 hmac(krb5_context context,
1388      struct checksum_type *cm,
1389      const void *data,
1390      size_t len,
1391      unsigned usage,
1392      struct key_data *keyblock,
1393      Checksum *result)
1394 {
1395     unsigned char *ipad, *opad;
1396     unsigned char *key;
1397     size_t key_len;
1398     int i;
1399
1400     ipad = malloc(cm->blocksize + len);
1401     if (ipad == NULL)
1402         return ENOMEM;
1403     opad = malloc(cm->blocksize + cm->checksumsize);
1404     if (opad == NULL) {
1405         free(ipad);
1406         return ENOMEM;
1407     }
1408     memset(ipad, 0x36, cm->blocksize);
1409     memset(opad, 0x5c, cm->blocksize);
1410
1411     if(keyblock->key->keyvalue.length > cm->blocksize){
1412         (*cm->checksum)(context,
1413                         keyblock,
1414                         keyblock->key->keyvalue.data,
1415                         keyblock->key->keyvalue.length,
1416                         usage,
1417                         result);
1418         key = result->checksum.data;
1419         key_len = result->checksum.length;
1420     } else {
1421         key = keyblock->key->keyvalue.data;
1422         key_len = keyblock->key->keyvalue.length;
1423     }
1424     for(i = 0; i < key_len; i++){
1425         ipad[i] ^= key[i];
1426         opad[i] ^= key[i];
1427     }
1428     memcpy(ipad + cm->blocksize, data, len);
1429     (*cm->checksum)(context, keyblock, ipad, cm->blocksize + len,
1430                     usage, result);
1431     memcpy(opad + cm->blocksize, result->checksum.data,
1432            result->checksum.length);
1433     (*cm->checksum)(context, keyblock, opad,
1434                     cm->blocksize + cm->checksumsize, usage, result);
1435     memset(ipad, 0, cm->blocksize + len);
1436     free(ipad);
1437     memset(opad, 0, cm->blocksize + cm->checksumsize);
1438     free(opad);
1439
1440     return 0;
1441 }
1442
1443 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1444 krb5_hmac(krb5_context context,
1445           krb5_cksumtype cktype,
1446           const void *data,
1447           size_t len,
1448           unsigned usage,
1449           krb5_keyblock *key,
1450           Checksum *result)
1451 {
1452     struct checksum_type *c = _find_checksum(cktype);
1453     struct key_data kd;
1454     krb5_error_code ret;
1455
1456     if (c == NULL) {
1457         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1458                                 N_("checksum type %d not supported", ""),
1459                                 cktype);
1460         return KRB5_PROG_SUMTYPE_NOSUPP;
1461     }
1462
1463     kd.key = key;
1464     kd.schedule = NULL;
1465
1466     ret = hmac(context, c, data, len, usage, &kd, result);
1467
1468     if (kd.schedule)
1469         krb5_free_data(context, kd.schedule);
1470
1471     return ret;
1472 }
1473
1474 static krb5_error_code
1475 SP_HMAC_SHA1_checksum(krb5_context context,
1476                       struct key_data *key,
1477                       const void *data,
1478                       size_t len,
1479                       unsigned usage,
1480                       Checksum *result)
1481 {
1482     struct checksum_type *c = _find_checksum(CKSUMTYPE_SHA1);
1483     Checksum res;
1484     char sha1_data[20];
1485     krb5_error_code ret;
1486
1487     res.checksum.data = sha1_data;
1488     res.checksum.length = sizeof(sha1_data);
1489
1490     ret = hmac(context, c, data, len, usage, key, &res);
1491     if (ret)
1492         krb5_abortx(context, "hmac failed");
1493     memcpy(result->checksum.data, res.checksum.data, result->checksum.length);
1494     return 0;
1495 }
1496
1497 /*
1498  * checksum according to section 5. of draft-brezak-win2k-krb-rc4-hmac-03.txt
1499  */
1500
1501 static krb5_error_code
1502 HMAC_MD5_checksum(krb5_context context,
1503                   struct key_data *key,
1504                   const void *data,
1505                   size_t len,
1506                   unsigned usage,
1507                   Checksum *result)
1508 {
1509     EVP_MD_CTX *m;
1510     struct checksum_type *c = _find_checksum (CKSUMTYPE_RSA_MD5);
1511     const char signature[] = "signaturekey";
1512     Checksum ksign_c;
1513     struct key_data ksign;
1514     krb5_keyblock kb;
1515     unsigned char t[4];
1516     unsigned char tmp[16];
1517     unsigned char ksign_c_data[16];
1518     krb5_error_code ret;
1519
1520     m = EVP_MD_CTX_create();
1521     if (m == NULL) {
1522         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
1523         return ENOMEM;
1524     }
1525     ksign_c.checksum.length = sizeof(ksign_c_data);
1526     ksign_c.checksum.data   = ksign_c_data;
1527     ret = hmac(context, c, signature, sizeof(signature), 0, key, &ksign_c);
1528     if (ret) {
1529         EVP_MD_CTX_destroy(m);
1530         return ret;
1531     }
1532     ksign.key = &kb;
1533     kb.keyvalue = ksign_c.checksum;
1534     EVP_DigestInit_ex(m, EVP_md5(), NULL);
1535     t[0] = (usage >>  0) & 0xFF;
1536     t[1] = (usage >>  8) & 0xFF;
1537     t[2] = (usage >> 16) & 0xFF;
1538     t[3] = (usage >> 24) & 0xFF;
1539     EVP_DigestUpdate(m, t, 4);
1540     EVP_DigestUpdate(m, data, len);
1541     EVP_DigestFinal_ex (m, tmp, NULL);
1542     EVP_MD_CTX_destroy(m);
1543
1544     ret = hmac(context, c, tmp, sizeof(tmp), 0, &ksign, result);
1545     if (ret)
1546         return ret;
1547     return 0;
1548 }
1549
1550 static struct checksum_type checksum_none = {
1551     CKSUMTYPE_NONE,
1552     "none",
1553     1,
1554     0,
1555     0,
1556     NONE_checksum,
1557     NULL
1558 };
1559 #ifdef HEIM_WEAK_CRYPTO
1560 static struct checksum_type checksum_crc32 = {
1561     CKSUMTYPE_CRC32,
1562     "crc32",
1563     1,
1564     4,
1565     0,
1566     CRC32_checksum,
1567     NULL
1568 };
1569 static struct checksum_type checksum_rsa_md4 = {
1570     CKSUMTYPE_RSA_MD4,
1571     "rsa-md4",
1572     64,
1573     16,
1574     F_CPROOF,
1575     RSA_MD4_checksum,
1576     NULL
1577 };
1578 static struct checksum_type checksum_rsa_md4_des = {
1579     CKSUMTYPE_RSA_MD4_DES,
1580     "rsa-md4-des",
1581     64,
1582     24,
1583     F_KEYED | F_CPROOF | F_VARIANT,
1584     RSA_MD4_DES_checksum,
1585     RSA_MD4_DES_verify
1586 };
1587 static struct checksum_type checksum_rsa_md5_des = {
1588     CKSUMTYPE_RSA_MD5_DES,
1589     "rsa-md5-des",
1590     64,
1591     24,
1592     F_KEYED | F_CPROOF | F_VARIANT,
1593     RSA_MD5_DES_checksum,
1594     RSA_MD5_DES_verify
1595 };
1596 #endif /* HEIM_WEAK_CRYPTO */
1597
1598 static krb5_error_code
1599 RSA_MD5_checksum(krb5_context context,
1600                  struct key_data *key,
1601                  const void *data,
1602                  size_t len,
1603                  unsigned usage,
1604                  Checksum *C)
1605 {
1606     if (EVP_Digest(data, len, C->checksum.data, NULL, EVP_md5(), NULL) != 1)
1607         krb5_abortx(context, "md5 checksum failed");
1608     return 0;
1609 }
1610
1611 static struct checksum_type checksum_rsa_md5 = {
1612     CKSUMTYPE_RSA_MD5,
1613     "rsa-md5",
1614     64,
1615     16,
1616     F_CPROOF,
1617     RSA_MD5_checksum,
1618     NULL
1619 };
1620
1621 #ifdef DES3_OLD_ENCTYPE
1622 static struct checksum_type checksum_rsa_md5_des3 = {
1623     CKSUMTYPE_RSA_MD5_DES3,
1624     "rsa-md5-des3",
1625     64,
1626     24,
1627     F_KEYED | F_CPROOF | F_VARIANT,
1628     RSA_MD5_DES3_checksum,
1629     RSA_MD5_DES3_verify
1630 };
1631 #endif
1632 static struct checksum_type checksum_sha1 = {
1633     CKSUMTYPE_SHA1,
1634     "sha1",
1635     64,
1636     20,
1637     F_CPROOF,
1638     SHA1_checksum,
1639     NULL
1640 };
1641 static struct checksum_type checksum_hmac_sha1_des3 = {
1642     CKSUMTYPE_HMAC_SHA1_DES3,
1643     "hmac-sha1-des3",
1644     64,
1645     20,
1646     F_KEYED | F_CPROOF | F_DERIVED,
1647     SP_HMAC_SHA1_checksum,
1648     NULL
1649 };
1650
1651 static struct checksum_type checksum_hmac_sha1_aes128 = {
1652     CKSUMTYPE_HMAC_SHA1_96_AES_128,
1653     "hmac-sha1-96-aes128",
1654     64,
1655     12,
1656     F_KEYED | F_CPROOF | F_DERIVED,
1657     SP_HMAC_SHA1_checksum,
1658     NULL
1659 };
1660
1661 static struct checksum_type checksum_hmac_sha1_aes256 = {
1662     CKSUMTYPE_HMAC_SHA1_96_AES_256,
1663     "hmac-sha1-96-aes256",
1664     64,
1665     12,
1666     F_KEYED | F_CPROOF | F_DERIVED,
1667     SP_HMAC_SHA1_checksum,
1668     NULL
1669 };
1670
1671 static struct checksum_type checksum_hmac_md5 = {
1672     CKSUMTYPE_HMAC_MD5,
1673     "hmac-md5",
1674     64,
1675     16,
1676     F_KEYED | F_CPROOF,
1677     HMAC_MD5_checksum,
1678     NULL
1679 };
1680
1681 static struct checksum_type *checksum_types[] = {
1682     &checksum_none,
1683 #ifdef HEIM_WEAK_CRYPTO
1684     &checksum_crc32,
1685     &checksum_rsa_md4,
1686     &checksum_rsa_md4_des,
1687     &checksum_rsa_md5_des,
1688 #endif
1689 #ifdef DES3_OLD_ENCTYPE
1690     &checksum_rsa_md5_des3,
1691 #endif
1692     &checksum_rsa_md5,
1693     &checksum_sha1,
1694     &checksum_hmac_sha1_des3,
1695     &checksum_hmac_sha1_aes128,
1696     &checksum_hmac_sha1_aes256,
1697     &checksum_hmac_md5
1698 };
1699
1700 static int num_checksums = sizeof(checksum_types) / sizeof(checksum_types[0]);
1701
1702 static struct checksum_type *
1703 _find_checksum(krb5_cksumtype type)
1704 {
1705     int i;
1706     for(i = 0; i < num_checksums; i++)
1707         if(checksum_types[i]->type == type)
1708             return checksum_types[i];
1709     return NULL;
1710 }
1711
1712 static krb5_error_code
1713 get_checksum_key(krb5_context context,
1714                  krb5_crypto crypto,
1715                  unsigned usage,  /* not krb5_key_usage */
1716                  struct checksum_type *ct,
1717                  struct key_data **key)
1718 {
1719     krb5_error_code ret = 0;
1720
1721     if(ct->flags & F_DERIVED)
1722         ret = _get_derived_key(context, crypto, usage, key);
1723     else if(ct->flags & F_VARIANT) {
1724         int i;
1725
1726         *key = _new_derived_key(crypto, 0xff/* KRB5_KU_RFC1510_VARIANT */);
1727         if(*key == NULL) {
1728             krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
1729             return ENOMEM;
1730         }
1731         ret = krb5_copy_keyblock(context, crypto->key.key, &(*key)->key);
1732         if(ret)
1733             return ret;
1734         for(i = 0; i < (*key)->key->keyvalue.length; i++)
1735             ((unsigned char*)(*key)->key->keyvalue.data)[i] ^= 0xF0;
1736     } else {
1737         *key = &crypto->key;
1738     }
1739     if(ret == 0)
1740         ret = _key_schedule(context, *key);
1741     return ret;
1742 }
1743
1744 static krb5_error_code
1745 create_checksum (krb5_context context,
1746                  struct checksum_type *ct,
1747                  krb5_crypto crypto,
1748                  unsigned usage,
1749                  void *data,
1750                  size_t len,
1751                  Checksum *result)
1752 {
1753     krb5_error_code ret;
1754     struct key_data *dkey;
1755     int keyed_checksum;
1756
1757     if (ct->flags & F_DISABLED) {
1758         krb5_clear_error_message (context);
1759         return KRB5_PROG_SUMTYPE_NOSUPP;
1760     }
1761     keyed_checksum = (ct->flags & F_KEYED) != 0;
1762     if(keyed_checksum && crypto == NULL) {
1763         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1764                                 N_("Checksum type %s is keyed but no "
1765                                    "crypto context (key) was passed in", ""),
1766                                 ct->name);
1767         return KRB5_PROG_SUMTYPE_NOSUPP; /* XXX */
1768     }
1769     if(keyed_checksum) {
1770         ret = get_checksum_key(context, crypto, usage, ct, &dkey);
1771         if (ret)
1772             return ret;
1773     } else
1774         dkey = NULL;
1775     result->cksumtype = ct->type;
1776     ret = krb5_data_alloc(&result->checksum, ct->checksumsize);
1777     if (ret)
1778         return (ret);
1779     return (*ct->checksum)(context, dkey, data, len, usage, result);
1780 }
1781
1782 static int
1783 arcfour_checksum_p(struct checksum_type *ct, krb5_crypto crypto)
1784 {
1785     return (ct->type == CKSUMTYPE_HMAC_MD5) &&
1786         (crypto->key.key->keytype == KEYTYPE_ARCFOUR);
1787 }
1788
1789 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1790 krb5_create_checksum(krb5_context context,
1791                      krb5_crypto crypto,
1792                      krb5_key_usage usage,
1793                      int type,
1794                      void *data,
1795                      size_t len,
1796                      Checksum *result)
1797 {
1798     struct checksum_type *ct = NULL;
1799     unsigned keyusage;
1800
1801     /* type 0 -> pick from crypto */
1802     if (type) {
1803         ct = _find_checksum(type);
1804     } else if (crypto) {
1805         ct = crypto->et->keyed_checksum;
1806         if (ct == NULL)
1807             ct = crypto->et->checksum;
1808     }
1809
1810     if(ct == NULL) {
1811         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1812                                 N_("checksum type %d not supported", ""),
1813                                 type);
1814         return KRB5_PROG_SUMTYPE_NOSUPP;
1815     }
1816
1817     if (arcfour_checksum_p(ct, crypto)) {
1818         keyusage = usage;
1819         usage2arcfour(context, &keyusage);
1820     } else
1821         keyusage = CHECKSUM_USAGE(usage);
1822
1823     return create_checksum(context, ct, crypto, keyusage,
1824                            data, len, result);
1825 }
1826
1827 static krb5_error_code
1828 verify_checksum(krb5_context context,
1829                 krb5_crypto crypto,
1830                 unsigned usage, /* not krb5_key_usage */
1831                 void *data,
1832                 size_t len,
1833                 Checksum *cksum)
1834 {
1835     krb5_error_code ret;
1836     struct key_data *dkey;
1837     int keyed_checksum;
1838     Checksum c;
1839     struct checksum_type *ct;
1840
1841     ct = _find_checksum(cksum->cksumtype);
1842     if (ct == NULL || (ct->flags & F_DISABLED)) {
1843         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1844                                 N_("checksum type %d not supported", ""),
1845                                 cksum->cksumtype);
1846         return KRB5_PROG_SUMTYPE_NOSUPP;
1847     }
1848     if(ct->checksumsize != cksum->checksum.length) {
1849         krb5_clear_error_message (context);
1850         return KRB5KRB_AP_ERR_BAD_INTEGRITY; /* XXX */
1851     }
1852     keyed_checksum = (ct->flags & F_KEYED) != 0;
1853     if(keyed_checksum) {
1854         struct checksum_type *kct;
1855         if (crypto == NULL) {
1856             krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1857                                     N_("Checksum type %s is keyed but no "
1858                                        "crypto context (key) was passed in", ""),
1859                                     ct->name);
1860             return KRB5_PROG_SUMTYPE_NOSUPP; /* XXX */
1861         }
1862         kct = crypto->et->keyed_checksum;
1863         if (kct != NULL && kct->type != ct->type) {
1864             krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1865                                     N_("Checksum type %s is keyed, but "
1866                                        "the key type %s passed didnt have that checksum "
1867                                        "type as the keyed type", ""),
1868                                     ct->name, crypto->et->name);
1869             return KRB5_PROG_SUMTYPE_NOSUPP; /* XXX */
1870         }
1871
1872         ret = get_checksum_key(context, crypto, usage, ct, &dkey);
1873         if (ret)
1874             return ret;
1875     } else
1876         dkey = NULL;
1877     if(ct->verify)
1878         return (*ct->verify)(context, dkey, data, len, usage, cksum);
1879
1880     ret = krb5_data_alloc (&c.checksum, ct->checksumsize);
1881     if (ret)
1882         return ret;
1883
1884     ret = (*ct->checksum)(context, dkey, data, len, usage, &c);
1885     if (ret) {
1886         krb5_data_free(&c.checksum);
1887         return ret;
1888     }
1889
1890     if(c.checksum.length != cksum->checksum.length ||
1891        ct_memcmp(c.checksum.data, cksum->checksum.data, c.checksum.length)) {
1892         krb5_clear_error_message (context);
1893         ret = KRB5KRB_AP_ERR_BAD_INTEGRITY;
1894     } else {
1895         ret = 0;
1896     }
1897     krb5_data_free (&c.checksum);
1898     return ret;
1899 }
1900
1901 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1902 krb5_verify_checksum(krb5_context context,
1903                      krb5_crypto crypto,
1904                      krb5_key_usage usage,
1905                      void *data,
1906                      size_t len,
1907                      Checksum *cksum)
1908 {
1909     struct checksum_type *ct;
1910     unsigned keyusage;
1911
1912     ct = _find_checksum(cksum->cksumtype);
1913     if(ct == NULL) {
1914         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1915                                 N_("checksum type %d not supported", ""),
1916                                 cksum->cksumtype);
1917         return KRB5_PROG_SUMTYPE_NOSUPP;
1918     }
1919
1920     if (arcfour_checksum_p(ct, crypto)) {
1921         keyusage = usage;
1922         usage2arcfour(context, &keyusage);
1923     } else
1924         keyusage = CHECKSUM_USAGE(usage);
1925
1926     return verify_checksum(context, crypto, keyusage,
1927                            data, len, cksum);
1928 }
1929
1930 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1931 krb5_crypto_get_checksum_type(krb5_context context,
1932                               krb5_crypto crypto,
1933                               krb5_cksumtype *type)
1934 {
1935     struct checksum_type *ct = NULL;
1936
1937     if (crypto != NULL) {
1938         ct = crypto->et->keyed_checksum;
1939         if (ct == NULL)
1940             ct = crypto->et->checksum;
1941     }
1942
1943     if (ct == NULL) {
1944         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1945                                 N_("checksum type not found", ""));
1946         return KRB5_PROG_SUMTYPE_NOSUPP;
1947     }
1948
1949     *type = ct->type;
1950
1951     return 0;
1952 }
1953
1954
1955 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
1956 krb5_checksumsize(krb5_context context,
1957                   krb5_cksumtype type,
1958                   size_t *size)
1959 {
1960     struct checksum_type *ct = _find_checksum(type);
1961     if(ct == NULL) {
1962         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1963                                 N_("checksum type %d not supported", ""),
1964                                 type);
1965         return KRB5_PROG_SUMTYPE_NOSUPP;
1966     }
1967     *size = ct->checksumsize;
1968     return 0;
1969 }
1970
1971 KRB5_LIB_FUNCTION krb5_boolean KRB5_LIB_CALL
1972 krb5_checksum_is_keyed(krb5_context context,
1973                        krb5_cksumtype type)
1974 {
1975     struct checksum_type *ct = _find_checksum(type);
1976     if(ct == NULL) {
1977         if (context)
1978             krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1979                                     N_("checksum type %d not supported", ""),
1980                                     type);
1981         return KRB5_PROG_SUMTYPE_NOSUPP;
1982     }
1983     return ct->flags & F_KEYED;
1984 }
1985
1986 KRB5_LIB_FUNCTION krb5_boolean KRB5_LIB_CALL
1987 krb5_checksum_is_collision_proof(krb5_context context,
1988                                  krb5_cksumtype type)
1989 {
1990     struct checksum_type *ct = _find_checksum(type);
1991     if(ct == NULL) {
1992         if (context)
1993             krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
1994                                     N_("checksum type %d not supported", ""),
1995                                     type);
1996         return KRB5_PROG_SUMTYPE_NOSUPP;
1997     }
1998     return ct->flags & F_CPROOF;
1999 }
2000
2001 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2002 krb5_checksum_disable(krb5_context context,
2003                       krb5_cksumtype type)
2004 {
2005     struct checksum_type *ct = _find_checksum(type);
2006     if(ct == NULL) {
2007         if (context)
2008             krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
2009                                     N_("checksum type %d not supported", ""),
2010                                     type);
2011         return KRB5_PROG_SUMTYPE_NOSUPP;
2012     }
2013     ct->flags |= F_DISABLED;
2014     return 0;
2015 }
2016
2017 /************************************************************
2018  *                                                          *
2019  ************************************************************/
2020
2021 static krb5_error_code
2022 NULL_encrypt(krb5_context context,
2023              struct key_data *key,
2024              void *data,
2025              size_t len,
2026              krb5_boolean encryptp,
2027              int usage,
2028              void *ivec)
2029 {
2030     return 0;
2031 }
2032
2033 static krb5_error_code
2034 evp_encrypt(krb5_context context,
2035             struct key_data *key,
2036             void *data,
2037             size_t len,
2038             krb5_boolean encryptp,
2039             int usage,
2040             void *ivec)
2041 {
2042     struct evp_schedule *ctx = key->schedule->data;
2043     EVP_CIPHER_CTX *c;
2044     c = encryptp ? &ctx->ectx : &ctx->dctx;
2045     if (ivec == NULL) {
2046         /* alloca ? */
2047         size_t len2 = EVP_CIPHER_CTX_iv_length(c);
2048         void *loiv = malloc(len2);
2049         if (loiv == NULL) {
2050             krb5_clear_error_message(context);
2051             return ENOMEM;
2052         }
2053         memset(loiv, 0, len2);
2054         EVP_CipherInit_ex(c, NULL, NULL, NULL, loiv, -1);
2055         free(loiv);
2056     } else
2057         EVP_CipherInit_ex(c, NULL, NULL, NULL, ivec, -1);
2058     EVP_Cipher(c, data, data, len);
2059     return 0;
2060 }
2061
2062 static const unsigned char zero_ivec[EVP_MAX_BLOCK_LENGTH] = { 0 };
2063
2064 static krb5_error_code
2065 evp_encrypt_cts(krb5_context context,
2066                 struct key_data *key,
2067                 void *data,
2068                 size_t len,
2069                 krb5_boolean encryptp,
2070                 int usage,
2071                 void *ivec)
2072 {
2073     size_t i, blocksize;
2074     struct evp_schedule *ctx = key->schedule->data;
2075     char tmp[EVP_MAX_BLOCK_LENGTH], ivec2[EVP_MAX_BLOCK_LENGTH];
2076     EVP_CIPHER_CTX *c;
2077     unsigned char *p;
2078
2079     c = encryptp ? &ctx->ectx : &ctx->dctx;
2080
2081     blocksize = EVP_CIPHER_CTX_block_size(c);
2082
2083     if (len < blocksize) {
2084         krb5_set_error_message(context, EINVAL,
2085                                "message block too short");
2086         return EINVAL;
2087     } else if (len == blocksize) {
2088         EVP_CipherInit_ex(c, NULL, NULL, NULL, zero_ivec, -1);
2089         EVP_Cipher(c, data, data, len);
2090         return 0;
2091     }
2092
2093     if (ivec)
2094         EVP_CipherInit_ex(c, NULL, NULL, NULL, ivec, -1);
2095     else
2096         EVP_CipherInit_ex(c, NULL, NULL, NULL, zero_ivec, -1);
2097
2098     if (encryptp) {
2099
2100         p = data;
2101         i = ((len - 1) / blocksize) * blocksize;
2102         EVP_Cipher(c, p, p, i);
2103         p += i - blocksize;
2104         len -= i;
2105         memcpy(ivec2, p, blocksize);
2106
2107         for (i = 0; i < len; i++)
2108             tmp[i] = p[i + blocksize] ^ ivec2[i];
2109         for (; i < blocksize; i++)
2110             tmp[i] = 0 ^ ivec2[i];
2111         
2112         EVP_CipherInit_ex(c, NULL, NULL, NULL, zero_ivec, -1);
2113         EVP_Cipher(c, p, tmp, blocksize);
2114         
2115         memcpy(p + blocksize, ivec2, len);
2116         if (ivec)
2117             memcpy(ivec, p, blocksize);
2118     } else { 
2119         char tmp2[EVP_MAX_BLOCK_LENGTH], tmp3[EVP_MAX_BLOCK_LENGTH];
2120
2121         p = data;
2122         if (len > blocksize * 2) {
2123             /* remove last two blocks and round up, decrypt this with cbc, then do cts dance */
2124             i = ((((len - blocksize * 2) + blocksize - 1) / blocksize) * blocksize);
2125             memcpy(ivec2, p + i - blocksize, blocksize);
2126             EVP_Cipher(c, p, p, i);
2127             p += i;
2128             len -= i + blocksize;
2129         } else {
2130             if (ivec)
2131                 memcpy(ivec2, ivec, blocksize);
2132             else
2133                 memcpy(ivec2, zero_ivec, blocksize);
2134             len -= blocksize;
2135         }
2136
2137         memcpy(tmp, p, blocksize);
2138         EVP_CipherInit_ex(c, NULL, NULL, NULL, zero_ivec, -1);
2139         EVP_Cipher(c, tmp2, p, blocksize);
2140
2141         memcpy(tmp3, p + blocksize, len);
2142         memcpy(tmp3 + len, tmp2 + len, blocksize - len); /* xor 0 */
2143
2144         for (i = 0; i < len; i++)
2145             p[i + blocksize] = tmp2[i] ^ tmp3[i];
2146
2147         EVP_CipherInit_ex(c, NULL, NULL, NULL, zero_ivec, -1);
2148         EVP_Cipher(c, p, tmp3, blocksize);
2149
2150         for (i = 0; i < blocksize; i++)
2151             p[i] ^= ivec2[i];
2152         if (ivec)
2153             memcpy(ivec, tmp, blocksize);
2154     }
2155     return 0;
2156 }
2157
2158 #ifdef HEIM_WEAK_CRYPTO
2159 static krb5_error_code
2160 evp_des_encrypt_null_ivec(krb5_context context,
2161                           struct key_data *key,
2162                           void *data,
2163                           size_t len,
2164                           krb5_boolean encryptp,
2165                           int usage,
2166                           void *ignore_ivec)
2167 {
2168     struct evp_schedule *ctx = key->schedule->data;
2169     EVP_CIPHER_CTX *c;
2170     DES_cblock ivec;
2171     memset(&ivec, 0, sizeof(ivec));
2172     c = encryptp ? &ctx->ectx : &ctx->dctx;
2173     EVP_CipherInit_ex(c, NULL, NULL, NULL, (void *)&ivec, -1);
2174     EVP_Cipher(c, data, data, len);
2175     return 0;
2176 }
2177
2178 static krb5_error_code
2179 evp_des_encrypt_key_ivec(krb5_context context,
2180                          struct key_data *key,
2181                          void *data,
2182                          size_t len,
2183                          krb5_boolean encryptp,
2184                          int usage,
2185                          void *ignore_ivec)
2186 {
2187     struct evp_schedule *ctx = key->schedule->data;
2188     EVP_CIPHER_CTX *c;
2189     DES_cblock ivec;
2190     memcpy(&ivec, key->key->keyvalue.data, sizeof(ivec));
2191     c = encryptp ? &ctx->ectx : &ctx->dctx;
2192     EVP_CipherInit_ex(c, NULL, NULL, NULL, (void *)&ivec, -1);
2193     EVP_Cipher(c, data, data, len);
2194     return 0;
2195 }
2196
2197 static krb5_error_code
2198 DES_CFB64_encrypt_null_ivec(krb5_context context,
2199                             struct key_data *key,
2200                             void *data,
2201                             size_t len,
2202                             krb5_boolean encryptp,
2203                             int usage,
2204                             void *ignore_ivec)
2205 {
2206     DES_cblock ivec;
2207     int num = 0;
2208     DES_key_schedule *s = key->schedule->data;
2209     memset(&ivec, 0, sizeof(ivec));
2210
2211     DES_cfb64_encrypt(data, data, len, s, &ivec, &num, encryptp);
2212     return 0;
2213 }
2214
2215 static krb5_error_code
2216 DES_PCBC_encrypt_key_ivec(krb5_context context,
2217                           struct key_data *key,
2218                           void *data,
2219                           size_t len,
2220                           krb5_boolean encryptp,
2221                           int usage,
2222                           void *ignore_ivec)
2223 {
2224     DES_cblock ivec;
2225     DES_key_schedule *s = key->schedule->data;
2226     memcpy(&ivec, key->key->keyvalue.data, sizeof(ivec));
2227
2228     DES_pcbc_encrypt(data, data, len, s, &ivec, encryptp);
2229     return 0;
2230 }
2231 #endif
2232
2233 /*
2234  * section 6 of draft-brezak-win2k-krb-rc4-hmac-03
2235  *
2236  * warning: not for small children
2237  */
2238
2239 static krb5_error_code
2240 ARCFOUR_subencrypt(krb5_context context,
2241                    struct key_data *key,
2242                    void *data,
2243                    size_t len,
2244                    unsigned usage,
2245                    void *ivec)
2246 {
2247     EVP_CIPHER_CTX ctx;
2248     struct checksum_type *c = _find_checksum (CKSUMTYPE_RSA_MD5);
2249     Checksum k1_c, k2_c, k3_c, cksum;
2250     struct key_data ke;
2251     krb5_keyblock kb;
2252     unsigned char t[4];
2253     unsigned char *cdata = data;
2254     unsigned char k1_c_data[16], k2_c_data[16], k3_c_data[16];
2255     krb5_error_code ret;
2256
2257     t[0] = (usage >>  0) & 0xFF;
2258     t[1] = (usage >>  8) & 0xFF;
2259     t[2] = (usage >> 16) & 0xFF;
2260     t[3] = (usage >> 24) & 0xFF;
2261
2262     k1_c.checksum.length = sizeof(k1_c_data);
2263     k1_c.checksum.data   = k1_c_data;
2264
2265     ret = hmac(NULL, c, t, sizeof(t), 0, key, &k1_c);
2266     if (ret)
2267         krb5_abortx(context, "hmac failed");
2268
2269     memcpy (k2_c_data, k1_c_data, sizeof(k1_c_data));
2270
2271     k2_c.checksum.length = sizeof(k2_c_data);
2272     k2_c.checksum.data   = k2_c_data;
2273
2274     ke.key = &kb;
2275     kb.keyvalue = k2_c.checksum;
2276
2277     cksum.checksum.length = 16;
2278     cksum.checksum.data   = data;
2279
2280     ret = hmac(NULL, c, cdata + 16, len - 16, 0, &ke, &cksum);
2281     if (ret)
2282         krb5_abortx(context, "hmac failed");
2283
2284     ke.key = &kb;
2285     kb.keyvalue = k1_c.checksum;
2286
2287     k3_c.checksum.length = sizeof(k3_c_data);
2288     k3_c.checksum.data   = k3_c_data;
2289
2290     ret = hmac(NULL, c, data, 16, 0, &ke, &k3_c);
2291     if (ret)
2292         krb5_abortx(context, "hmac failed");
2293
2294     EVP_CIPHER_CTX_init(&ctx);
2295
2296     EVP_CipherInit_ex(&ctx, EVP_rc4(), NULL, k3_c.checksum.data, NULL, 1);
2297     EVP_Cipher(&ctx, cdata + 16, cdata + 16, len - 16);
2298     EVP_CIPHER_CTX_cleanup(&ctx);
2299
2300     memset (k1_c_data, 0, sizeof(k1_c_data));
2301     memset (k2_c_data, 0, sizeof(k2_c_data));
2302     memset (k3_c_data, 0, sizeof(k3_c_data));
2303     return 0;
2304 }
2305
2306 static krb5_error_code
2307 ARCFOUR_subdecrypt(krb5_context context,
2308                    struct key_data *key,
2309                    void *data,
2310                    size_t len,
2311                    unsigned usage,
2312                    void *ivec)
2313 {
2314     EVP_CIPHER_CTX ctx;
2315     struct checksum_type *c = _find_checksum (CKSUMTYPE_RSA_MD5);
2316     Checksum k1_c, k2_c, k3_c, cksum;
2317     struct key_data ke;
2318     krb5_keyblock kb;
2319     unsigned char t[4];
2320     unsigned char *cdata = data;
2321     unsigned char k1_c_data[16], k2_c_data[16], k3_c_data[16];
2322     unsigned char cksum_data[16];
2323     krb5_error_code ret;
2324
2325     t[0] = (usage >>  0) & 0xFF;
2326     t[1] = (usage >>  8) & 0xFF;
2327     t[2] = (usage >> 16) & 0xFF;
2328     t[3] = (usage >> 24) & 0xFF;
2329
2330     k1_c.checksum.length = sizeof(k1_c_data);
2331     k1_c.checksum.data   = k1_c_data;
2332
2333     ret = hmac(NULL, c, t, sizeof(t), 0, key, &k1_c);
2334     if (ret)
2335         krb5_abortx(context, "hmac failed");
2336
2337     memcpy (k2_c_data, k1_c_data, sizeof(k1_c_data));
2338
2339     k2_c.checksum.length = sizeof(k2_c_data);
2340     k2_c.checksum.data   = k2_c_data;
2341
2342     ke.key = &kb;
2343     kb.keyvalue = k1_c.checksum;
2344
2345     k3_c.checksum.length = sizeof(k3_c_data);
2346     k3_c.checksum.data   = k3_c_data;
2347
2348     ret = hmac(NULL, c, cdata, 16, 0, &ke, &k3_c);
2349     if (ret)
2350         krb5_abortx(context, "hmac failed");
2351
2352     EVP_CIPHER_CTX_init(&ctx);
2353     EVP_CipherInit_ex(&ctx, EVP_rc4(), NULL, k3_c.checksum.data, NULL, 0);
2354     EVP_Cipher(&ctx, cdata + 16, cdata + 16, len - 16);
2355     EVP_CIPHER_CTX_cleanup(&ctx);
2356
2357     ke.key = &kb;
2358     kb.keyvalue = k2_c.checksum;
2359
2360     cksum.checksum.length = 16;
2361     cksum.checksum.data   = cksum_data;
2362
2363     ret = hmac(NULL, c, cdata + 16, len - 16, 0, &ke, &cksum);
2364     if (ret)
2365         krb5_abortx(context, "hmac failed");
2366
2367     memset (k1_c_data, 0, sizeof(k1_c_data));
2368     memset (k2_c_data, 0, sizeof(k2_c_data));
2369     memset (k3_c_data, 0, sizeof(k3_c_data));
2370
2371     if (ct_memcmp (cksum.checksum.data, data, 16) != 0) {
2372         krb5_clear_error_message (context);
2373         return KRB5KRB_AP_ERR_BAD_INTEGRITY;
2374     } else {
2375         return 0;
2376     }
2377 }
2378
2379 /*
2380  * convert the usage numbers used in
2381  * draft-ietf-cat-kerb-key-derivation-00.txt to the ones in
2382  * draft-brezak-win2k-krb-rc4-hmac-04.txt
2383  */
2384
2385 static krb5_error_code
2386 usage2arcfour (krb5_context context, unsigned *usage)
2387 {
2388     switch (*usage) {
2389     case KRB5_KU_AS_REP_ENC_PART : /* 3 */
2390         *usage = 8;
2391         return 0;
2392     case KRB5_KU_USAGE_SEAL :  /* 22 */
2393         *usage = 13;
2394         return 0;
2395     case KRB5_KU_USAGE_SIGN : /* 23 */
2396         *usage = 15;
2397         return 0;
2398     case KRB5_KU_USAGE_SEQ: /* 24 */
2399         *usage = 0;
2400         return 0;
2401     default :
2402         return 0;
2403     }
2404 }
2405
2406 static krb5_error_code
2407 ARCFOUR_encrypt(krb5_context context,
2408                 struct key_data *key,
2409                 void *data,
2410                 size_t len,
2411                 krb5_boolean encryptp,
2412                 int usage,
2413                 void *ivec)
2414 {
2415     krb5_error_code ret;
2416     unsigned keyusage = usage;
2417
2418     if((ret = usage2arcfour (context, &keyusage)) != 0)
2419         return ret;
2420
2421     if (encryptp)
2422         return ARCFOUR_subencrypt (context, key, data, len, keyusage, ivec);
2423     else
2424         return ARCFOUR_subdecrypt (context, key, data, len, keyusage, ivec);
2425 }
2426
2427
2428 /*
2429  *
2430  */
2431
2432 static krb5_error_code
2433 AES_PRF(krb5_context context,
2434         krb5_crypto crypto,
2435         const krb5_data *in,
2436         krb5_data *out)
2437 {
2438     struct checksum_type *ct = crypto->et->checksum;
2439     krb5_error_code ret;
2440     Checksum result;
2441     krb5_keyblock *derived;
2442
2443     result.cksumtype = ct->type;
2444     ret = krb5_data_alloc(&result.checksum, ct->checksumsize);
2445     if (ret) {
2446         krb5_set_error_message(context, ret, N_("malloc: out memory", ""));
2447         return ret;
2448     }
2449
2450     ret = (*ct->checksum)(context, NULL, in->data, in->length, 0, &result);
2451     if (ret) {
2452         krb5_data_free(&result.checksum);
2453         return ret;
2454     }
2455
2456     if (result.checksum.length < crypto->et->blocksize)
2457         krb5_abortx(context, "internal prf error");
2458
2459     derived = NULL;
2460     ret = krb5_derive_key(context, crypto->key.key,
2461                           crypto->et->type, "prf", 3, &derived);
2462     if (ret)
2463         krb5_abortx(context, "krb5_derive_key");
2464
2465     ret = krb5_data_alloc(out, crypto->et->blocksize);
2466     if (ret)
2467         krb5_abortx(context, "malloc failed");
2468
2469     {
2470         const EVP_CIPHER *c = (*crypto->et->keytype->evp)();
2471         EVP_CIPHER_CTX ctx;
2472
2473         EVP_CIPHER_CTX_init(&ctx); /* ivec all zero */
2474         EVP_CipherInit_ex(&ctx, c, NULL, derived->keyvalue.data, NULL, 1);
2475         EVP_Cipher(&ctx, out->data, result.checksum.data,
2476                    crypto->et->blocksize);
2477         EVP_CIPHER_CTX_cleanup(&ctx);
2478     }
2479
2480     krb5_data_free(&result.checksum);
2481     krb5_free_keyblock(context, derived);
2482
2483     return ret;
2484 }
2485
2486 /*
2487  * these should currently be in reverse preference order.
2488  * (only relevant for !F_PSEUDO) */
2489
2490 static struct encryption_type enctype_null = {
2491     ETYPE_NULL,
2492     "null",
2493     1,
2494     1,
2495     0,
2496     &keytype_null,
2497     &checksum_none,
2498     NULL,
2499     F_DISABLED,
2500     NULL_encrypt,
2501     0,
2502     NULL
2503 };
2504 static struct encryption_type enctype_arcfour_hmac_md5 = {
2505     ETYPE_ARCFOUR_HMAC_MD5,
2506     "arcfour-hmac-md5",
2507     1,
2508     1,
2509     8,
2510     &keytype_arcfour,
2511     &checksum_hmac_md5,
2512     NULL,
2513     F_SPECIAL,
2514     ARCFOUR_encrypt,
2515     0,
2516     NULL
2517 };
2518 #ifdef DES3_OLD_ENCTYPE
2519 static struct encryption_type enctype_des3_cbc_md5 = {
2520     ETYPE_DES3_CBC_MD5,
2521     "des3-cbc-md5",
2522     8,
2523     8,
2524     8,
2525     &keytype_des3,
2526     &checksum_rsa_md5,
2527     &checksum_rsa_md5_des3,
2528     0,
2529     evp_encrypt,
2530     0,
2531     NULL
2532 };
2533 #endif
2534 static struct encryption_type enctype_des3_cbc_sha1 = {
2535     ETYPE_DES3_CBC_SHA1,
2536     "des3-cbc-sha1",
2537     8,
2538     8,
2539     8,
2540     &keytype_des3_derived,
2541     &checksum_sha1,
2542     &checksum_hmac_sha1_des3,
2543     F_DERIVED,
2544     evp_encrypt,
2545     0,
2546     NULL
2547 };
2548 #ifdef DES3_OLD_ENCTYPE
2549 static struct encryption_type enctype_old_des3_cbc_sha1 = {
2550     ETYPE_OLD_DES3_CBC_SHA1,
2551     "old-des3-cbc-sha1",
2552     8,
2553     8,
2554     8,
2555     &keytype_des3,
2556     &checksum_sha1,
2557     &checksum_hmac_sha1_des3,
2558     0,
2559     evp_encrypt,
2560     0,
2561     NULL
2562 };
2563 #endif
2564 static struct encryption_type enctype_aes128_cts_hmac_sha1 = {
2565     ETYPE_AES128_CTS_HMAC_SHA1_96,
2566     "aes128-cts-hmac-sha1-96",
2567     16,
2568     1,
2569     16,
2570     &keytype_aes128,
2571     &checksum_sha1,
2572     &checksum_hmac_sha1_aes128,
2573     F_DERIVED,
2574     evp_encrypt_cts,
2575     16,
2576     AES_PRF
2577 };
2578 static struct encryption_type enctype_aes256_cts_hmac_sha1 = {
2579     ETYPE_AES256_CTS_HMAC_SHA1_96,
2580     "aes256-cts-hmac-sha1-96",
2581     16,
2582     1,
2583     16,
2584     &keytype_aes256,
2585     &checksum_sha1,
2586     &checksum_hmac_sha1_aes256,
2587     F_DERIVED,
2588     evp_encrypt_cts,
2589     16,
2590     AES_PRF
2591 };
2592 static struct encryption_type enctype_des3_cbc_none = {
2593     ETYPE_DES3_CBC_NONE,
2594     "des3-cbc-none",
2595     8,
2596     8,
2597     0,
2598     &keytype_des3_derived,
2599     &checksum_none,
2600     NULL,
2601     F_PSEUDO,
2602     evp_encrypt,
2603     0,
2604     NULL
2605 };
2606 #ifdef HEIM_WEAK_CRYPTO
2607 static struct encryption_type enctype_des_cbc_crc = {
2608     ETYPE_DES_CBC_CRC,
2609     "des-cbc-crc",
2610     8,
2611     8,
2612     8,
2613     &keytype_des,
2614     &checksum_crc32,
2615     NULL,
2616     F_DISABLED|F_WEAK,
2617     evp_des_encrypt_key_ivec,
2618     0,
2619     NULL
2620 };
2621 static struct encryption_type enctype_des_cbc_md4 = {
2622     ETYPE_DES_CBC_MD4,
2623     "des-cbc-md4",
2624     8,
2625     8,
2626     8,
2627     &keytype_des,
2628     &checksum_rsa_md4,
2629     &checksum_rsa_md4_des,
2630     F_DISABLED|F_WEAK,
2631     evp_des_encrypt_null_ivec,
2632     0,
2633     NULL
2634 };
2635 static struct encryption_type enctype_des_cbc_md5 = {
2636     ETYPE_DES_CBC_MD5,
2637     "des-cbc-md5",
2638     8,
2639     8,
2640     8,
2641     &keytype_des,
2642     &checksum_rsa_md5,
2643     &checksum_rsa_md5_des,
2644     F_DISABLED|F_WEAK,
2645     evp_des_encrypt_null_ivec,
2646     0,
2647     NULL
2648 };
2649 static struct encryption_type enctype_des_cbc_none = {
2650     ETYPE_DES_CBC_NONE,
2651     "des-cbc-none",
2652     8,
2653     8,
2654     0,
2655     &keytype_des,
2656     &checksum_none,
2657     NULL,
2658     F_PSEUDO|F_DISABLED|F_WEAK,
2659     evp_des_encrypt_null_ivec,
2660     0,
2661     NULL
2662 };
2663 static struct encryption_type enctype_des_cfb64_none = {
2664     ETYPE_DES_CFB64_NONE,
2665     "des-cfb64-none",
2666     1,
2667     1,
2668     0,
2669     &keytype_des_old,
2670     &checksum_none,
2671     NULL,
2672     F_PSEUDO|F_DISABLED|F_WEAK,
2673     DES_CFB64_encrypt_null_ivec,
2674     0,
2675     NULL
2676 };
2677 static struct encryption_type enctype_des_pcbc_none = {
2678     ETYPE_DES_PCBC_NONE,
2679     "des-pcbc-none",
2680     8,
2681     8,
2682     0,
2683     &keytype_des_old,
2684     &checksum_none,
2685     NULL,
2686     F_PSEUDO|F_DISABLED|F_WEAK,
2687     DES_PCBC_encrypt_key_ivec,
2688     0,
2689     NULL
2690 };
2691 #endif /* HEIM_WEAK_CRYPTO */
2692
2693 static struct encryption_type *etypes[] = {
2694     &enctype_aes256_cts_hmac_sha1,
2695     &enctype_aes128_cts_hmac_sha1,
2696     &enctype_des3_cbc_sha1,
2697     &enctype_des3_cbc_none, /* used by the gss-api mech */
2698     &enctype_arcfour_hmac_md5,
2699 #ifdef DES3_OLD_ENCTYPE
2700     &enctype_des3_cbc_md5,
2701     &enctype_old_des3_cbc_sha1,
2702 #endif
2703 #ifdef HEIM_WEAK_CRYPTO
2704     &enctype_des_cbc_crc,
2705     &enctype_des_cbc_md4,
2706     &enctype_des_cbc_md5,
2707     &enctype_des_cbc_none,
2708     &enctype_des_cfb64_none,
2709     &enctype_des_pcbc_none,
2710 #endif
2711     &enctype_null
2712 };
2713
2714 static unsigned num_etypes = sizeof(etypes) / sizeof(etypes[0]);
2715
2716
2717 static struct encryption_type *
2718 _find_enctype(krb5_enctype type)
2719 {
2720     int i;
2721     for(i = 0; i < num_etypes; i++)
2722         if(etypes[i]->type == type)
2723             return etypes[i];
2724     return NULL;
2725 }
2726
2727
2728 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2729 krb5_enctype_to_string(krb5_context context,
2730                        krb5_enctype etype,
2731                        char **string)
2732 {
2733     struct encryption_type *e;
2734     e = _find_enctype(etype);
2735     if(e == NULL) {
2736         krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
2737                                 N_("encryption type %d not supported", ""),
2738                                 etype);
2739         *string = NULL;
2740         return KRB5_PROG_ETYPE_NOSUPP;
2741     }
2742     *string = strdup(e->name);
2743     if(*string == NULL) {
2744         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
2745         return ENOMEM;
2746     }
2747     return 0;
2748 }
2749
2750 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2751 krb5_string_to_enctype(krb5_context context,
2752                        const char *string,
2753                        krb5_enctype *etype)
2754 {
2755     int i;
2756     for(i = 0; i < num_etypes; i++)
2757         if(strcasecmp(etypes[i]->name, string) == 0){
2758             *etype = etypes[i]->type;
2759             return 0;
2760         }
2761     krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
2762                             N_("encryption type %s not supported", ""),
2763                             string);
2764     return KRB5_PROG_ETYPE_NOSUPP;
2765 }
2766
2767 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2768 krb5_enctype_to_keytype(krb5_context context,
2769                         krb5_enctype etype,
2770                         krb5_keytype *keytype)
2771 {
2772     struct encryption_type *e = _find_enctype(etype);
2773     if(e == NULL) {
2774         krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
2775                                 N_("encryption type %d not supported", ""),
2776                                 etype);
2777         return KRB5_PROG_ETYPE_NOSUPP;
2778     }
2779     *keytype = e->keytype->type; /* XXX */
2780     return 0;
2781 }
2782
2783 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2784 krb5_enctype_valid(krb5_context context,
2785                    krb5_enctype etype)
2786 {
2787     struct encryption_type *e = _find_enctype(etype);
2788     if(e == NULL) {
2789         krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
2790                                 N_("encryption type %d not supported", ""),
2791                                 etype);
2792         return KRB5_PROG_ETYPE_NOSUPP;
2793     }
2794     if (e->flags & F_DISABLED) {
2795         krb5_set_error_message (context, KRB5_PROG_ETYPE_NOSUPP,
2796                                 N_("encryption type %s is disabled", ""),
2797                                 e->name);
2798         return KRB5_PROG_ETYPE_NOSUPP;
2799     }
2800     return 0;
2801 }
2802
2803 /**
2804  * Return the coresponding encryption type for a checksum type.
2805  *
2806  * @param context Kerberos context
2807  * @param ctype The checksum type to get the result enctype for
2808  * @param etype The returned encryption, when the matching etype is
2809  * not found, etype is set to ETYPE_NULL.
2810  *
2811  * @return Return an error code for an failure or 0 on success.
2812  * @ingroup krb5_crypto
2813  */
2814
2815
2816 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2817 krb5_cksumtype_to_enctype(krb5_context context,
2818                           krb5_cksumtype ctype,
2819                           krb5_enctype *etype)
2820 {
2821     int i;
2822
2823     *etype = ETYPE_NULL;
2824
2825     for(i = 0; i < num_etypes; i++) {
2826         if(etypes[i]->keyed_checksum &&
2827            etypes[i]->keyed_checksum->type == ctype)
2828             {
2829                 *etype = etypes[i]->type;
2830                 return 0;
2831             }
2832     }
2833
2834     krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
2835                             N_("checksum type %d not supported", ""),
2836                             (int)ctype);
2837     return KRB5_PROG_SUMTYPE_NOSUPP;
2838 }
2839
2840
2841 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
2842 krb5_cksumtype_valid(krb5_context context,
2843                      krb5_cksumtype ctype)
2844 {
2845     struct checksum_type *c = _find_checksum(ctype);
2846     if (c == NULL) {
2847         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
2848                                 N_("checksum type %d not supported", ""),
2849                                 ctype);
2850         return KRB5_PROG_SUMTYPE_NOSUPP;
2851     }
2852     if (c->flags & F_DISABLED) {
2853         krb5_set_error_message (context, KRB5_PROG_SUMTYPE_NOSUPP,
2854                                 N_("checksum type %s is disabled", ""),
2855                                 c->name);
2856         return KRB5_PROG_SUMTYPE_NOSUPP;
2857     }
2858     return 0;
2859 }
2860
2861
2862 static krb5_boolean
2863 derived_crypto(krb5_context context,
2864                krb5_crypto crypto)
2865 {
2866     return (crypto->et->flags & F_DERIVED) != 0;
2867 }
2868
2869 static krb5_boolean
2870 special_crypto(krb5_context context,
2871                krb5_crypto crypto)
2872 {
2873     return (crypto->et->flags & F_SPECIAL) != 0;
2874 }
2875
2876 #define CHECKSUMSIZE(C) ((C)->checksumsize)
2877 #define CHECKSUMTYPE(C) ((C)->type)
2878
2879 static krb5_error_code
2880 encrypt_internal_derived(krb5_context context,
2881                          krb5_crypto crypto,
2882                          unsigned usage,
2883                          const void *data,
2884                          size_t len,
2885                          krb5_data *result,
2886                          void *ivec)
2887 {
2888     size_t sz, block_sz, checksum_sz, total_sz;
2889     Checksum cksum;
2890     unsigned char *p, *q;
2891     krb5_error_code ret;
2892     struct key_data *dkey;
2893     const struct encryption_type *et = crypto->et;
2894
2895     checksum_sz = CHECKSUMSIZE(et->keyed_checksum);
2896
2897     sz = et->confoundersize + len;
2898     block_sz = (sz + et->padsize - 1) &~ (et->padsize - 1); /* pad */
2899     total_sz = block_sz + checksum_sz;
2900     p = calloc(1, total_sz);
2901     if(p == NULL) {
2902         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
2903         return ENOMEM;
2904     }
2905
2906     q = p;
2907     krb5_generate_random_block(q, et->confoundersize); /* XXX */
2908     q += et->confoundersize;
2909     memcpy(q, data, len);
2910
2911     ret = create_checksum(context,
2912                           et->keyed_checksum,
2913                           crypto,
2914                           INTEGRITY_USAGE(usage),
2915                           p,
2916                           block_sz,
2917                           &cksum);
2918     if(ret == 0 && cksum.checksum.length != checksum_sz) {
2919         free_Checksum (&cksum);
2920         krb5_clear_error_message (context);
2921         ret = KRB5_CRYPTO_INTERNAL;
2922     }
2923     if(ret)
2924         goto fail;
2925     memcpy(p + block_sz, cksum.checksum.data, cksum.checksum.length);
2926     free_Checksum (&cksum);
2927     ret = _get_derived_key(context, crypto, ENCRYPTION_USAGE(usage), &dkey);
2928     if(ret)
2929         goto fail;
2930     ret = _key_schedule(context, dkey);
2931     if(ret)
2932         goto fail;
2933     ret = (*et->encrypt)(context, dkey, p, block_sz, 1, usage, ivec);
2934     if (ret)
2935         goto fail;
2936     result->data = p;
2937     result->length = total_sz;
2938     return 0;
2939  fail:
2940     memset(p, 0, total_sz);
2941     free(p);
2942     return ret;
2943 }
2944
2945
2946 static krb5_error_code
2947 encrypt_internal(krb5_context context,
2948                  krb5_crypto crypto,
2949                  const void *data,
2950                  size_t len,
2951                  krb5_data *result,
2952                  void *ivec)
2953 {
2954     size_t sz, block_sz, checksum_sz;
2955     Checksum cksum;
2956     unsigned char *p, *q;
2957     krb5_error_code ret;
2958     const struct encryption_type *et = crypto->et;
2959
2960     checksum_sz = CHECKSUMSIZE(et->checksum);
2961
2962     sz = et->confoundersize + checksum_sz + len;
2963     block_sz = (sz + et->padsize - 1) &~ (et->padsize - 1); /* pad */
2964     p = calloc(1, block_sz);
2965     if(p == NULL) {
2966         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
2967         return ENOMEM;
2968     }
2969
2970     q = p;
2971     krb5_generate_random_block(q, et->confoundersize); /* XXX */
2972     q += et->confoundersize;
2973     memset(q, 0, checksum_sz);
2974     q += checksum_sz;
2975     memcpy(q, data, len);
2976
2977     ret = create_checksum(context,
2978                           et->checksum,
2979                           crypto,
2980                           0,
2981                           p,
2982                           block_sz,
2983                           &cksum);
2984     if(ret == 0 && cksum.checksum.length != checksum_sz) {
2985         krb5_clear_error_message (context);
2986         free_Checksum(&cksum);
2987         ret = KRB5_CRYPTO_INTERNAL;
2988     }
2989     if(ret)
2990         goto fail;
2991     memcpy(p + et->confoundersize, cksum.checksum.data, cksum.checksum.length);
2992     free_Checksum(&cksum);
2993     ret = _key_schedule(context, &crypto->key);
2994     if(ret)
2995         goto fail;
2996     ret = (*et->encrypt)(context, &crypto->key, p, block_sz, 1, 0, ivec);
2997     if (ret) {
2998         memset(p, 0, block_sz);
2999         free(p);
3000         return ret;
3001     }
3002     result->data = p;
3003     result->length = block_sz;
3004     return 0;
3005  fail:
3006     memset(p, 0, block_sz);
3007     free(p);
3008     return ret;
3009 }
3010
3011 static krb5_error_code
3012 encrypt_internal_special(krb5_context context,
3013                          krb5_crypto crypto,
3014                          int usage,
3015                          const void *data,
3016                          size_t len,
3017                          krb5_data *result,
3018                          void *ivec)
3019 {
3020     struct encryption_type *et = crypto->et;
3021     size_t cksum_sz = CHECKSUMSIZE(et->checksum);
3022     size_t sz = len + cksum_sz + et->confoundersize;
3023     char *tmp, *p;
3024     krb5_error_code ret;
3025
3026     tmp = malloc (sz);
3027     if (tmp == NULL) {
3028         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3029         return ENOMEM;
3030     }
3031     p = tmp;
3032     memset (p, 0, cksum_sz);
3033     p += cksum_sz;
3034     krb5_generate_random_block(p, et->confoundersize);
3035     p += et->confoundersize;
3036     memcpy (p, data, len);
3037     ret = (*et->encrypt)(context, &crypto->key, tmp, sz, TRUE, usage, ivec);
3038     if (ret) {
3039         memset(tmp, 0, sz);
3040         free(tmp);
3041         return ret;
3042     }
3043     result->data   = tmp;
3044     result->length = sz;
3045     return 0;
3046 }
3047
3048 static krb5_error_code
3049 decrypt_internal_derived(krb5_context context,
3050                          krb5_crypto crypto,
3051                          unsigned usage,
3052                          void *data,
3053                          size_t len,
3054                          krb5_data *result,
3055                          void *ivec)
3056 {
3057     size_t checksum_sz;
3058     Checksum cksum;
3059     unsigned char *p;
3060     krb5_error_code ret;
3061     struct key_data *dkey;
3062     struct encryption_type *et = crypto->et;
3063     unsigned long l;
3064
3065     checksum_sz = CHECKSUMSIZE(et->keyed_checksum);
3066     if (len < checksum_sz + et->confoundersize) {
3067         krb5_set_error_message(context, KRB5_BAD_MSIZE,
3068                                N_("Encrypted data shorter then "
3069                                   "checksum + confunder", ""));
3070         return KRB5_BAD_MSIZE;
3071     }
3072
3073     if (((len - checksum_sz) % et->padsize) != 0) {
3074         krb5_clear_error_message(context);
3075         return KRB5_BAD_MSIZE;
3076     }
3077
3078     p = malloc(len);
3079     if(len != 0 && p == NULL) {
3080         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3081         return ENOMEM;
3082     }
3083     memcpy(p, data, len);
3084
3085     len -= checksum_sz;
3086
3087     ret = _get_derived_key(context, crypto, ENCRYPTION_USAGE(usage), &dkey);
3088     if(ret) {
3089         free(p);
3090         return ret;
3091     }
3092     ret = _key_schedule(context, dkey);
3093     if(ret) {
3094         free(p);
3095         return ret;
3096     }
3097     ret = (*et->encrypt)(context, dkey, p, len, 0, usage, ivec);
3098     if (ret) {
3099         free(p);
3100         return ret;
3101     }
3102
3103     cksum.checksum.data   = p + len;
3104     cksum.checksum.length = checksum_sz;
3105     cksum.cksumtype       = CHECKSUMTYPE(et->keyed_checksum);
3106
3107     ret = verify_checksum(context,
3108                           crypto,
3109                           INTEGRITY_USAGE(usage),
3110                           p,
3111                           len,
3112                           &cksum);
3113     if(ret) {
3114         free(p);
3115         return ret;
3116     }
3117     l = len - et->confoundersize;
3118     memmove(p, p + et->confoundersize, l);
3119     result->data = realloc(p, l);
3120     if(result->data == NULL && l != 0) {
3121         free(p);
3122         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3123         return ENOMEM;
3124     }
3125     result->length = l;
3126     return 0;
3127 }
3128
3129 static krb5_error_code
3130 decrypt_internal(krb5_context context,
3131                  krb5_crypto crypto,
3132                  void *data,
3133                  size_t len,
3134                  krb5_data *result,
3135                  void *ivec)
3136 {
3137     krb5_error_code ret;
3138     unsigned char *p;
3139     Checksum cksum;
3140     size_t checksum_sz, l;
3141     struct encryption_type *et = crypto->et;
3142
3143     if ((len % et->padsize) != 0) {
3144         krb5_clear_error_message(context);
3145         return KRB5_BAD_MSIZE;
3146     }
3147     checksum_sz = CHECKSUMSIZE(et->checksum);
3148     if (len < checksum_sz + et->confoundersize) {
3149         krb5_set_error_message(context, KRB5_BAD_MSIZE,
3150                                N_("Encrypted data shorter then "
3151                                   "checksum + confunder", ""));
3152         return KRB5_BAD_MSIZE;
3153     }
3154
3155     p = malloc(len);
3156     if(len != 0 && p == NULL) {
3157         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3158         return ENOMEM;
3159     }
3160     memcpy(p, data, len);
3161
3162     ret = _key_schedule(context, &crypto->key);
3163     if(ret) {
3164         free(p);
3165         return ret;
3166     }
3167     ret = (*et->encrypt)(context, &crypto->key, p, len, 0, 0, ivec);
3168     if (ret) {
3169         free(p);
3170         return ret;
3171     }
3172     ret = krb5_data_copy(&cksum.checksum, p + et->confoundersize, checksum_sz);
3173     if(ret) {
3174         free(p);
3175         return ret;
3176     }
3177     memset(p + et->confoundersize, 0, checksum_sz);
3178     cksum.cksumtype = CHECKSUMTYPE(et->checksum);
3179     ret = verify_checksum(context, NULL, 0, p, len, &cksum);
3180     free_Checksum(&cksum);
3181     if(ret) {
3182         free(p);
3183         return ret;
3184     }
3185     l = len - et->confoundersize - checksum_sz;
3186     memmove(p, p + et->confoundersize + checksum_sz, l);
3187     result->data = realloc(p, l);
3188     if(result->data == NULL && l != 0) {
3189         free(p);
3190         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3191         return ENOMEM;
3192     }
3193     result->length = l;
3194     return 0;
3195 }
3196
3197 static krb5_error_code
3198 decrypt_internal_special(krb5_context context,
3199                          krb5_crypto crypto,
3200                          int usage,
3201                          void *data,
3202                          size_t len,
3203                          krb5_data *result,
3204                          void *ivec)
3205 {
3206     struct encryption_type *et = crypto->et;
3207     size_t cksum_sz = CHECKSUMSIZE(et->checksum);
3208     size_t sz = len - cksum_sz - et->confoundersize;
3209     unsigned char *p;
3210     krb5_error_code ret;
3211
3212     if ((len % et->padsize) != 0) {
3213         krb5_clear_error_message(context);
3214         return KRB5_BAD_MSIZE;
3215     }
3216     if (len < cksum_sz + et->confoundersize) {
3217         krb5_set_error_message(context, KRB5_BAD_MSIZE,
3218                                N_("Encrypted data shorter then "
3219                                   "checksum + confunder", ""));
3220         return KRB5_BAD_MSIZE;
3221     }
3222
3223     p = malloc (len);
3224     if (p == NULL) {
3225         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3226         return ENOMEM;
3227     }
3228     memcpy(p, data, len);
3229
3230     ret = (*et->encrypt)(context, &crypto->key, p, len, FALSE, usage, ivec);
3231     if (ret) {
3232         free(p);
3233         return ret;
3234     }
3235
3236     memmove (p, p + cksum_sz + et->confoundersize, sz);
3237     result->data = realloc(p, sz);
3238     if(result->data == NULL && sz != 0) {
3239         free(p);
3240         krb5_set_error_message(context, ENOMEM, N_("malloc: out of memory", ""));
3241         return ENOMEM;
3242     }
3243     result->length = sz;
3244     return 0;
3245 }
3246
3247 static krb5_crypto_iov *
3248 find_iv(krb5_crypto_iov *data, int num_data, int type)
3249 {
3250     int i;
3251     for (i = 0; i < num_data; i++)
3252         if (data[i].flags == type)
3253             return &data[i];
3254     return NULL;
3255 }
3256
3257 /**
3258  * Inline encrypt a kerberos message
3259  *
3260  * @param context Kerberos context
3261  * @param crypto Kerberos crypto context
3262  * @param usage Key usage for this buffer
3263  * @param data array of buffers to process
3264  * @param num_data length of array
3265  * @param ivec initial cbc/cts vector
3266  *
3267  * @return Return an error code or 0.
3268  * @ingroup krb5_crypto
3269  *
3270  * Kerberos encrypted data look like this:
3271  *
3272  * 1. KRB5_CRYPTO_TYPE_HEADER
3273  * 2. array [1,...] KRB5_CRYPTO_TYPE_DATA and array [0,...]
3274  *    KRB5_CRYPTO_TYPE_SIGN_ONLY in any order, however the receiver
3275  *    have to aware of the order. KRB5_CRYPTO_TYPE_SIGN_ONLY is
3276  *    commonly used headers and trailers.
3277  * 3. KRB5_CRYPTO_TYPE_PADDING, at least on padsize long if padsize > 1
3278  * 4. KRB5_CRYPTO_TYPE_TRAILER
3279  */
3280
3281 KRB5_LIB_FUNCTION krb5_error_code KRB5_LIB_CALL
3282 krb5_encrypt_iov_ivec(krb5_context context,
3283                       krb5_crypto crypto,
3284                       unsigned usage,
3285                       krb5_crypto_iov *data,
3286                       int num_data,
3287                       void *ivec)
3288 {
3289     size_t headersz, trailersz, len;
3290     int i;
3291     size_t sz, block_sz, pad_sz;
3292     Checksum cksum;
3293     unsigned char *p, *q;
3294     krb5_error_code ret;
3295     struct key_data *dkey;
3296     const struct encryption_type *et = crypto->et;
3297     krb5_crypto_iov *tiv, *piv, *hiv;
3298