util_krb.c

   1 /*
   2  * Copyright (c) 2010, JANET(UK)
   3  * All rights reserved.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  *
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, this list of conditions and the following disclaimer.
  11  *
  12  * 2. Redistributions in binary form must reproduce the above copyright
  13  *    notice, this list of conditions and the following disclaimer in the
  14  *    documentation and/or other materials provided with the distribution.
  15  *
  16  * 3. Neither the name of JANET(UK) nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
  21  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
  22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
  23  * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE
  24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
  25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
  26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
  28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
  29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
  30  * SUCH DAMAGE.
  31  */
  32
  33 #include "gssapiP_eap.h"
  34
  35 static GSSEAP_THREAD_ONCE krbContextKeyOnce = GSSEAP_ONCE_INITIALIZER;
  36 static GSSEAP_THREAD_KEY krbContextKey;
  37
  38 static void
  39 destroyKrbContext(void *arg)
  40 {
  41     krb5_context context = (krb5_context)arg;
  42
  43     if (context != NULL)
  44         krb5_free_context(context);
  45 }
  46
  47 static void
  48 createKrbContextKey(void)
  49 {
  50     GSSEAP_KEY_CREATE(&krbContextKey, destroyKrbContext);
  51 }
  52
  53 OM_uint32
  54 gssEapKerberosInit(OM_uint32 *minor, krb5_context *context)
  55 {
  56     *minor = 0;
  57
  58     GSSEAP_ONCE(&krbContextKeyOnce, createKrbContextKey);
  59
  60     *context = GSSEAP_GETSPECIFIC(krbContextKey);
  61     if (*context == NULL) {
  62         *minor = krb5_init_context(context);
  63         if (*minor == 0) {
  64             if (GSSEAP_SETSPECIFIC(krbContextKey, *context) != 0) {
  65                 *minor = errno;
  66                 krb5_free_context(*context);
  67                 *context = NULL;
  68             }
  69         }
  70     }
  71
  72     return *minor == 0 ? GSS_S_COMPLETE : GSS_S_FAILURE;
  73 }
  74
  75 /*
  76  * Derive a key for RFC 4121 use by using the following
  77  * derivation function:
  78  *
  79  *    random-to-key(prf(random-to-key([e]msk), "rfc4121-gss-eap"))
  80  *
  81  * where random-to-key and prf are defined in RFC 3961.
  82  */
  83 OM_uint32
  84 gssEapDeriveRfc3961Key(OM_uint32 *minor,
  85                        const unsigned char *inputKey,
  86                        size_t inputKeyLength,
  87                        krb5_enctype encryptionType,
  88                        krb5_keyblock *pKey)
  89 {
  90     krb5_context krbContext;
  91     krb5_data data, ns, t, prfOut;
  92     krb5_keyblock kd;
  93     krb5_error_code code;
  94     size_t randomLength, keyLength, prfLength;
  95     unsigned char constant[4 + sizeof("rfc4121-gss-eap") - 1], *p;
  96     ssize_t i, remain;
  97
  98     memset(pKey, 0, sizeof(*pKey));
  99
 100     GSSEAP_KRB_INIT(&krbContext);
 101
 102     KRB_KEY_INIT(&kd);
 103     KRB_KEY_TYPE(&kd) = encryptionType;
 104
 105     t.data = NULL;
 106     t.length = 0;
 107
 108     code = krb5_c_keylengths(krbContext, encryptionType,
 109                              &randomLength, &keyLength);
 110     if (code != 0)
 111         goto cleanup;
 112
 113     data.length = MIN(inputKeyLength, randomLength);
 114     data.data = (char *)inputKey;
 115
 116     KRB_KEY_DATA(&kd) = GSSEAP_MALLOC(keyLength);
 117     if (KRB_KEY_DATA(&kd) == NULL) {
 118         code = ENOMEM;
 119         goto cleanup;
 120     }
 121     KRB_KEY_LENGTH(&kd) = keyLength;
 122
 123     /* Convert MSK into a Kerberos key */
 124     code = krb5_c_random_to_key(krbContext, encryptionType, &data, &kd);
 125     if (code != 0)
 126         goto cleanup;
 127
 128     memset(&constant[0], 0, 4);
 129     memcpy(&constant[4], "rfc4121-gss-eap", sizeof("rfc4121-gss-eap") - 1);
 130
 131     ns.length = sizeof(constant);
 132     ns.data = (char *)constant;
 133
 134     /* Plug derivation constant and key into PRF */
 135     code = krb5_c_prf_length(krbContext, encryptionType, &prfLength);
 136     if (code != 0)
 137         goto cleanup;
 138
 139     t.length = prfLength;
 140     t.data = GSSEAP_MALLOC(t.length);
 141     if (t.data == NULL) {
 142         code = ENOMEM;
 143         goto cleanup;
 144     }
 145
 146     prfOut.length = randomLength;
 147     prfOut.data = GSSEAP_MALLOC(prfOut.length);
 148     if (prfOut.data == NULL) {
 149         code = ENOMEM;
 150         goto cleanup;
 151     }
 152
 153     for (i = 0, p = (unsigned char *)prfOut.data, remain = randomLength;
 154          remain > 0;
 155          p += t.length, remain -= t.length, i++)
 156     {
 157         store_uint32_be(i, ns.data);
 158
 159         code = krb5_c_prf(krbContext, &kd, &ns, &t);
 160         if (code != 0)
 161             goto cleanup;
 162
 163         memcpy(p, t.data, MIN(t.length, remain));
 164      }
 165
 166     /* Finally, convert PRF output into a new key which we will return */
 167     code = krb5_c_random_to_key(krbContext, encryptionType, &prfOut, &kd);
 168     if (code != 0)
 169         goto cleanup;
 170
 171     *pKey = kd;
 172     KRB_KEY_DATA(&kd) = NULL;
 173
 174 cleanup:
 175     if (KRB_KEY_DATA(&kd) != NULL) {
 176         memset(KRB_KEY_DATA(&kd), 0, KRB_KEY_LENGTH(&kd));
 177         GSSEAP_FREE(KRB_KEY_DATA(&kd));
 178     }
 179     if (t.data != NULL) {
 180         memset(t.data, 0, t.length);
 181         GSSEAP_FREE(t.data);
 182     }
 183     if (prfOut.data != NULL) {
 184         memset(prfOut.data, 0, prfOut.length);
 185         GSSEAP_FREE(prfOut.data);
 186     }
 187     *minor = code;
 188     return (code == 0) ? GSS_S_COMPLETE : GSS_S_FAILURE;
 189 }
 190
 191 #ifdef HAVE_KRB5INT_C_MANDATORY_CKSUMTYPE
 192 extern krb5_error_code
 193 krb5int_c_mandatory_cksumtype(krb5_context, krb5_enctype, krb5_cksumtype *);
 194 #endif
 195
 196 OM_uint32
 197 rfc3961ChecksumTypeForKey(OM_uint32 *minor,
 198                           krb5_keyblock *key,
 199                           krb5_cksumtype *cksumtype)
 200 {
 201     krb5_context krbContext;
 202 #ifndef HAVE_KRB5INT_C_MANDATORY_CKSUMTYPE
 203     krb5_data data;
 204     krb5_checksum cksum;
 205 #endif
 206
 207     GSSEAP_KRB_INIT(&krbContext);
 208
 209 #ifdef HAVE_KRB5INT_C_MANDATORY_CKSUMTYPE
 210     *minor = krb5int_c_mandatory_cksumtype(krbContext, KRB_KEY_TYPE(key),
 211                                            cksumtype);
 212     if (*minor != 0)
 213         return GSS_S_FAILURE;
 214 #else
 215     data.length = 0;
 216     data.data = NULL;
 217
 218     memset(&cksum, 0, sizeof(cksum));
 219
 220     /*
 221      * This is a complete hack but it's the only way to work with
 222      * MIT Kerberos pre-1.9 without using private API, as it does
 223      * not support passing in zero as the checksum type.
 224      */
 225     *minor = krb5_c_make_checksum(krbContext, 0, key, 0, &data, &cksum);
 226     if (*minor != 0)
 227         return GSS_S_FAILURE;
 228
 229     *cksumtype = cksum.checksum_type;
 230
 231     krb5_free_checksum_contents(krbContext, &cksum);
 232 #endif /* HAVE_KRB5INT_C_MANDATORY_CKSUMTYPE */
 233
 234     return GSS_S_COMPLETE;
 235 }