crypto/rand/rand_lib.c

   1 /*
   2  * Copyright 1995-2019 The OpenSSL Project Authors. All Rights Reserved.
   3  *
   4  * Licensed under the OpenSSL license (the "License").  You may not use
   5  * this file except in compliance with the License.  You can obtain a copy
   6  * in the file LICENSE in the source distribution or at
   7  * https://www.openssl.org/source/license.html
   8  */
   9
  10 #include <stdio.h>
  11 #include <time.h>
  12 #include "internal/cryptlib.h"
  13 #include <openssl/opensslconf.h>
  14 #include "internal/rand_int.h"
  15 #include <openssl/engine.h>
  16 #include "internal/thread_once.h"
  17 #include "rand_lcl.h"
  18 #include "e_os.h"
  19
  20 #ifndef OPENSSL_NO_ENGINE
  21 /* non-NULL if default_RAND_meth is ENGINE-provided */
  22 static ENGINE *funct_ref;
  23 static CRYPTO_RWLOCK *rand_engine_lock;
  24 #endif
  25 static CRYPTO_RWLOCK *rand_meth_lock;
  26 static const RAND_METHOD *default_RAND_meth;
  27 static CRYPTO_ONCE rand_init = CRYPTO_ONCE_STATIC_INIT;
  28
  29 int rand_fork_count;
  30
  31 static CRYPTO_RWLOCK *rand_nonce_lock;
  32 static int rand_nonce_count;
  33
  34 static int rand_inited = 0;
  35
  36 #ifdef OPENSSL_RAND_SEED_RDTSC
  37 /*
  38  * IMPORTANT NOTE:  It is not currently possible to use this code
  39  * because we are not sure about the amount of randomness it provides.
  40  * Some SP900 tests have been run, but there is internal skepticism.
  41  * So for now this code is not used.
  42  */
  43 # error "RDTSC enabled?  Should not be possible!"
  44
  45 /*
  46  * Acquire entropy from high-speed clock
  47  *
  48  * Since we get some randomness from the low-order bits of the
  49  * high-speed clock, it can help.
  50  *
  51  * Returns the total entropy count, if it exceeds the requested
  52  * entropy count. Otherwise, returns an entropy count of 0.
  53  */
  54 size_t rand_acquire_entropy_from_tsc(RAND_POOL *pool)
  55 {
  56     unsigned char c;
  57     int i;
  58
  59     if ((OPENSSL_ia32cap_P[0] & (1 << 4)) != 0) {
  60         for (i = 0; i < TSC_READ_COUNT; i++) {
  61             c = (unsigned char)(OPENSSL_rdtsc() & 0xFF);
  62             rand_pool_add(pool, &c, 1, 4);
  63         }
  64     }
  65     return rand_pool_entropy_available(pool);
  66 }
  67 #endif
  68
  69 #ifdef OPENSSL_RAND_SEED_RDCPU
  70 size_t OPENSSL_ia32_rdseed_bytes(unsigned char *buf, size_t len);
  71 size_t OPENSSL_ia32_rdrand_bytes(unsigned char *buf, size_t len);
  72
  73 extern unsigned int OPENSSL_ia32cap_P[];
  74
  75 /*
  76  * Acquire entropy using Intel-specific cpu instructions
  77  *
  78  * Uses the RDSEED instruction if available, otherwise uses
  79  * RDRAND if available.
  80  *
  81  * For the differences between RDSEED and RDRAND, and why RDSEED
  82  * is the preferred choice, see https://goo.gl/oK3KcN
  83  *
  84  * Returns the total entropy count, if it exceeds the requested
  85  * entropy count. Otherwise, returns an entropy count of 0.
  86  */
  87 size_t rand_acquire_entropy_from_cpu(RAND_POOL *pool)
  88 {
  89     size_t bytes_needed;
  90     unsigned char *buffer;
  91
  92     bytes_needed = rand_pool_bytes_needed(pool, 1 /*entropy_factor*/);
  93     if (bytes_needed > 0) {
  94         buffer = rand_pool_add_begin(pool, bytes_needed);
  95
  96         if (buffer != NULL) {
  97             /* Whichever comes first, use RDSEED, RDRAND or nothing */
  98             if ((OPENSSL_ia32cap_P[2] & (1 << 18)) != 0) {
  99                 if (OPENSSL_ia32_rdseed_bytes(buffer, bytes_needed)
 100                     == bytes_needed) {
 101                     rand_pool_add_end(pool, bytes_needed, 8 * bytes_needed);
 102                 }
 103             } else if ((OPENSSL_ia32cap_P[1] & (1 << (62 - 32))) != 0) {
 104                 if (OPENSSL_ia32_rdrand_bytes(buffer, bytes_needed)
 105                     == bytes_needed) {
 106                     rand_pool_add_end(pool, bytes_needed, 8 * bytes_needed);
 107                 }
 108             } else {
 109                 rand_pool_add_end(pool, 0, 0);
 110             }
 111         }
 112     }
 113
 114     return rand_pool_entropy_available(pool);
 115 }
 116 #endif
 117
 118
 119 /*
 120  * Implements the get_entropy() callback (see RAND_DRBG_set_callbacks())
 121  *
 122  * If the DRBG has a parent, then the required amount of entropy input
 123  * is fetched using the parent's RAND_DRBG_generate().
 124  *
 125  * Otherwise, the entropy is polled from the system entropy sources
 126  * using rand_pool_acquire_entropy().
 127  *
 128  * If a random pool has been added to the DRBG using RAND_add(), then
 129  * its entropy will be used up first.
 130  */
 131 size_t rand_drbg_get_entropy(RAND_DRBG *drbg,
 132                              unsigned char **pout,
 133                              int entropy, size_t min_len, size_t max_len,
 134                              int prediction_resistance)
 135 {
 136     size_t ret = 0;
 137     size_t entropy_available = 0;
 138     RAND_POOL *pool;
 139
 140     if (drbg->parent != NULL && drbg->strength > drbg->parent->strength) {
 141         /*
 142          * We currently don't support the algorithm from NIST SP 800-90C
 143          * 10.1.2 to use a weaker DRBG as source
 144          */
 145         RANDerr(RAND_F_RAND_DRBG_GET_ENTROPY, RAND_R_PARENT_STRENGTH_TOO_WEAK);
 146         return 0;
 147     }
 148
 149     if (drbg->seed_pool != NULL) {
 150         pool = drbg->seed_pool;
 151         pool->entropy_requested = entropy;
 152     } else {
 153         pool = rand_pool_new(entropy, drbg->secure, min_len, max_len);
 154         if (pool == NULL)
 155             return 0;
 156     }
 157
 158     if (drbg->parent != NULL) {
 159         size_t bytes_needed = rand_pool_bytes_needed(pool, 1 /*entropy_factor*/);
 160         unsigned char *buffer = rand_pool_add_begin(pool, bytes_needed);
 161
 162         if (buffer != NULL) {
 163             size_t bytes = 0;
 164
 165             /*
 166              * Get random from parent, include our state as additional input.
 167              * Our lock is already held, but we need to lock our parent before
 168              * generating bits from it. (Note: taking the lock will be a no-op
 169              * if locking if drbg->parent->lock == NULL.)
 170              */
 171             rand_drbg_lock(drbg->parent);
 172             if (RAND_DRBG_generate(drbg->parent,
 173                                    buffer, bytes_needed,
 174                                    prediction_resistance,
 175                                    NULL, 0) != 0)
 176                 bytes = bytes_needed;
 177             drbg->reseed_next_counter
 178                 = tsan_load(&drbg->parent->reseed_prop_counter);
 179             rand_drbg_unlock(drbg->parent);
 180
 181             rand_pool_add_end(pool, bytes, 8 * bytes);
 182             entropy_available = rand_pool_entropy_available(pool);
 183         }
 184
 185     } else {
 186         if (prediction_resistance) {
 187             /*
 188              * We don't have any entropy sources that comply with the NIST
 189              * standard to provide prediction resistance (see NIST SP 800-90C,
 190              * Section 5.4).
 191              */
 192             RANDerr(RAND_F_RAND_DRBG_GET_ENTROPY,
 193                     RAND_R_PREDICTION_RESISTANCE_NOT_SUPPORTED);
 194             goto err;
 195         }
 196
 197         /* Get entropy by polling system entropy sources. */
 198         entropy_available = rand_pool_acquire_entropy(pool);
 199     }
 200
 201     if (entropy_available > 0) {
 202         ret   = rand_pool_length(pool);
 203         *pout = rand_pool_detach(pool);
 204     }
 205
 206  err:
 207     if (drbg->seed_pool == NULL)
 208         rand_pool_free(pool);
 209     return ret;
 210 }
 211
 212 /*
 213  * Implements the cleanup_entropy() callback (see RAND_DRBG_set_callbacks())
 214  *
 215  */
 216 void rand_drbg_cleanup_entropy(RAND_DRBG *drbg,
 217                                unsigned char *out, size_t outlen)
 218 {
 219     if (drbg->seed_pool == NULL) {
 220         if (drbg->secure)
 221             OPENSSL_secure_clear_free(out, outlen);
 222         else
 223             OPENSSL_clear_free(out, outlen);
 224     }
 225 }
 226
 227
 228 /*
 229  * Implements the get_nonce() callback (see RAND_DRBG_set_callbacks())
 230  *
 231  */
 232 size_t rand_drbg_get_nonce(RAND_DRBG *drbg,
 233                            unsigned char **pout,
 234                            int entropy, size_t min_len, size_t max_len)
 235 {
 236     size_t ret = 0;
 237     RAND_POOL *pool;
 238
 239     struct {
 240         void * instance;
 241         int count;
 242     } data;
 243
 244     memset(&data, 0, sizeof(data));
 245     pool = rand_pool_new(0, 0, min_len, max_len);
 246     if (pool == NULL)
 247         return 0;
 248
 249     if (rand_pool_add_nonce_data(pool) == 0)
 250         goto err;
 251
 252     data.instance = drbg;
 253     CRYPTO_atomic_add(&rand_nonce_count, 1, &data.count, rand_nonce_lock);
 254
 255     if (rand_pool_add(pool, (unsigned char *)&data, sizeof(data), 0) == 0)
 256         goto err;
 257
 258     ret   = rand_pool_length(pool);
 259     *pout = rand_pool_detach(pool);
 260
 261  err:
 262     rand_pool_free(pool);
 263
 264     return ret;
 265 }
 266
 267 /*
 268  * Implements the cleanup_nonce() callback (see RAND_DRBG_set_callbacks())
 269  *
 270  */
 271 void rand_drbg_cleanup_nonce(RAND_DRBG *drbg,
 272                              unsigned char *out, size_t outlen)
 273 {
 274     OPENSSL_clear_free(out, outlen);
 275 }
 276
 277 /*
 278  * Generate additional data that can be used for the drbg. The data does
 279  * not need to contain entropy, but it's useful if it contains at least
 280  * some bits that are unpredictable.
 281  *
 282  * Returns 0 on failure.
 283  *
 284  * On success it allocates a buffer at |*pout| and returns the length of
 285  * the data. The buffer should get freed using OPENSSL_secure_clear_free().
 286  */
 287 size_t rand_drbg_get_additional_data(RAND_POOL *pool, unsigned char **pout)
 288 {
 289     size_t ret = 0;
 290
 291     if (rand_pool_add_additional_data(pool) == 0)
 292         goto err;
 293
 294     ret = rand_pool_length(pool);
 295     *pout = rand_pool_detach(pool);
 296
 297  err:
 298     return ret;
 299 }
 300
 301 void rand_drbg_cleanup_additional_data(RAND_POOL *pool, unsigned char *out)
 302 {
 303     rand_pool_reattach(pool, out);
 304 }
 305
 306 void rand_fork(void)
 307 {
 308     rand_fork_count++;
 309 }
 310
 311 DEFINE_RUN_ONCE_STATIC(do_rand_init)
 312 {
 313 #ifndef OPENSSL_NO_ENGINE
 314     rand_engine_lock = CRYPTO_THREAD_lock_new();
 315     if (rand_engine_lock == NULL)
 316         return 0;
 317 #endif
 318
 319     rand_meth_lock = CRYPTO_THREAD_lock_new();
 320     if (rand_meth_lock == NULL)
 321         goto err1;
 322
 323     rand_nonce_lock = CRYPTO_THREAD_lock_new();
 324     if (rand_nonce_lock == NULL)
 325         goto err2;
 326
 327     if (!rand_pool_init())
 328         goto err3;
 329
 330     rand_inited = 1;
 331     return 1;
 332
 333 err3:
 334     CRYPTO_THREAD_lock_free(rand_nonce_lock);
 335     rand_nonce_lock = NULL;
 336 err2:
 337     CRYPTO_THREAD_lock_free(rand_meth_lock);
 338     rand_meth_lock = NULL;
 339 err1:
 340 #ifndef OPENSSL_NO_ENGINE
 341     CRYPTO_THREAD_lock_free(rand_engine_lock);
 342     rand_engine_lock = NULL;
 343 #endif
 344     return 0;
 345 }
 346
 347 void rand_cleanup_int(void)
 348 {
 349     const RAND_METHOD *meth = default_RAND_meth;
 350
 351     if (!rand_inited)
 352         return;
 353
 354     if (meth != NULL && meth->cleanup != NULL)
 355         meth->cleanup();
 356     RAND_set_rand_method(NULL);
 357     rand_pool_cleanup();
 358 #ifndef OPENSSL_NO_ENGINE
 359     CRYPTO_THREAD_lock_free(rand_engine_lock);
 360     rand_engine_lock = NULL;
 361 #endif
 362     CRYPTO_THREAD_lock_free(rand_meth_lock);
 363     rand_meth_lock = NULL;
 364     CRYPTO_THREAD_lock_free(rand_nonce_lock);
 365     rand_nonce_lock = NULL;
 366     rand_inited = 0;
 367 }
 368
 369 /*
 370  * RAND_close_seed_files() ensures that any seed file decriptors are
 371  * closed after use.
 372  */
 373 void RAND_keep_random_devices_open(int keep)
 374 {
 375     if (RUN_ONCE(&rand_init, do_rand_init))
 376         rand_pool_keep_random_devices_open(keep);
 377 }
 378
 379 /*
 380  * RAND_poll() reseeds the default RNG using random input
 381  *
 382  * The random input is obtained from polling various entropy
 383  * sources which depend on the operating system and are
 384  * configurable via the --with-rand-seed configure option.
 385  */
 386 int RAND_poll(void)
 387 {
 388     int ret = 0;
 389
 390     RAND_POOL *pool = NULL;
 391
 392     const RAND_METHOD *meth = RAND_get_rand_method();
 393
 394     if (meth == RAND_OpenSSL()) {
 395         /* fill random pool and seed the master DRBG */
 396         RAND_DRBG *drbg = RAND_DRBG_get0_master();
 397
 398         if (drbg == NULL)
 399             return 0;
 400
 401         rand_drbg_lock(drbg);
 402         ret = rand_drbg_restart(drbg, NULL, 0, 0);
 403         rand_drbg_unlock(drbg);
 404
 405         return ret;
 406
 407     } else {
 408         /* fill random pool and seed the current legacy RNG */
 409         pool = rand_pool_new(RAND_DRBG_STRENGTH, 1,
 410                              (RAND_DRBG_STRENGTH + 7) / 8,
 411                              RAND_POOL_MAX_LENGTH);
 412         if (pool == NULL)
 413             return 0;
 414
 415         if (rand_pool_acquire_entropy(pool) == 0)
 416             goto err;
 417
 418         if (meth->add == NULL
 419             || meth->add(rand_pool_buffer(pool),
 420                          rand_pool_length(pool),
 421                          (rand_pool_entropy(pool) / 8.0)) == 0)
 422             goto err;
 423
 424         ret = 1;
 425     }
 426
 427 err:
 428     rand_pool_free(pool);
 429     return ret;
 430 }
 431
 432 /*
 433  * Allocate memory and initialize a new random pool
 434  */
 435
 436 RAND_POOL *rand_pool_new(int entropy_requested, int secure,
 437                          size_t min_len, size_t max_len)
 438 {
 439     RAND_POOL *pool = OPENSSL_zalloc(sizeof(*pool));
 440     size_t min_alloc_size = RAND_POOL_MIN_ALLOCATION(secure);
 441
 442     if (pool == NULL) {
 443         RANDerr(RAND_F_RAND_POOL_NEW, ERR_R_MALLOC_FAILURE);
 444         return NULL;
 445     }
 446
 447     pool->min_len = min_len;
 448     pool->max_len = (max_len > RAND_POOL_MAX_LENGTH) ?
 449         RAND_POOL_MAX_LENGTH : max_len;
 450     pool->alloc_len = min_len < min_alloc_size ? min_alloc_size : min_len;
 451     if (pool->alloc_len > pool->max_len)
 452         pool->alloc_len = pool->max_len;
 453
 454     if (secure)
 455         pool->buffer = OPENSSL_secure_zalloc(pool->alloc_len);
 456     else
 457         pool->buffer = OPENSSL_zalloc(pool->alloc_len);
 458
 459     if (pool->buffer == NULL) {
 460         RANDerr(RAND_F_RAND_POOL_NEW, ERR_R_MALLOC_FAILURE);
 461         goto err;
 462     }
 463
 464     pool->entropy_requested = entropy_requested;
 465     pool->secure = secure;
 466
 467     return pool;
 468
 469 err:
 470     OPENSSL_free(pool);
 471     return NULL;
 472 }
 473
 474 /*
 475  * Attach new random pool to the given buffer
 476  *
 477  * This function is intended to be used only for feeding random data
 478  * provided by RAND_add() and RAND_seed() into the <master> DRBG.
 479  */
 480 RAND_POOL *rand_pool_attach(const unsigned char *buffer, size_t len,
 481                             size_t entropy)
 482 {
 483     RAND_POOL *pool = OPENSSL_zalloc(sizeof(*pool));
 484
 485     if (pool == NULL) {
 486         RANDerr(RAND_F_RAND_POOL_ATTACH, ERR_R_MALLOC_FAILURE);
 487         return NULL;
 488     }
 489
 490     /*
 491      * The const needs to be cast away, but attached buffers will not be
 492      * modified (in contrary to allocated buffers which are zeroed and
 493      * freed in the end).
 494      */
 495     pool->buffer = (unsigned char *) buffer;
 496     pool->len = len;
 497
 498     pool->attached = 1;
 499
 500     pool->min_len = pool->max_len = pool->alloc_len = pool->len;
 501     pool->entropy = entropy;
 502
 503     return pool;
 504 }
 505
 506 /*
 507  * Free |pool|, securely erasing its buffer.
 508  */
 509 void rand_pool_free(RAND_POOL *pool)
 510 {
 511     if (pool == NULL)
 512         return;
 513
 514     /*
 515      * Although it would be advisable from a cryptographical viewpoint,
 516      * we are not allowed to clear attached buffers, since they are passed
 517      * to rand_pool_attach() as `const unsigned char*`.
 518      * (see corresponding comment in rand_pool_attach()).
 519      */
 520     if (!pool->attached) {
 521         if (pool->secure)
 522             OPENSSL_secure_clear_free(pool->buffer, pool->alloc_len);
 523         else
 524             OPENSSL_clear_free(pool->buffer, pool->alloc_len);
 525     }
 526
 527     OPENSSL_free(pool);
 528 }
 529
 530 /*
 531  * Return the |pool|'s buffer to the caller (readonly).
 532  */
 533 const unsigned char *rand_pool_buffer(RAND_POOL *pool)
 534 {
 535     return pool->buffer;
 536 }
 537
 538 /*
 539  * Return the |pool|'s entropy to the caller.
 540  */
 541 size_t rand_pool_entropy(RAND_POOL *pool)
 542 {
 543     return pool->entropy;
 544 }
 545
 546 /*
 547  * Return the |pool|'s buffer length to the caller.
 548  */
 549 size_t rand_pool_length(RAND_POOL *pool)
 550 {
 551     return pool->len;
 552 }
 553
 554 /*
 555  * Detach the |pool| buffer and return it to the caller.
 556  * It's the responsibility of the caller to free the buffer
 557  * using OPENSSL_secure_clear_free() or to re-attach it
 558  * again to the pool using rand_pool_reattach().
 559  */
 560 unsigned char *rand_pool_detach(RAND_POOL *pool)
 561 {
 562     unsigned char *ret = pool->buffer;
 563     pool->buffer = NULL;
 564     pool->entropy = 0;
 565     return ret;
 566 }
 567
 568 /*
 569  * Re-attach the |pool| buffer. It is only allowed to pass
 570  * the |buffer| which was previously detached from the same pool.
 571  */
 572 void rand_pool_reattach(RAND_POOL *pool, unsigned char *buffer)
 573 {
 574     pool->buffer = buffer;
 575     OPENSSL_cleanse(pool->buffer, pool->len);
 576     pool->len = 0;
 577 }
 578
 579 /*
 580  * If |entropy_factor| bits contain 1 bit of entropy, how many bytes does one
 581  * need to obtain at least |bits| bits of entropy?
 582  */
 583 #define ENTROPY_TO_BYTES(bits, entropy_factor) \
 584     (((bits) * (entropy_factor) + 7) / 8)
 585
 586
 587 /*
 588  * Checks whether the |pool|'s entropy is available to the caller.
 589  * This is the case when entropy count and buffer length are high enough.
 590  * Returns
 591  *
 592  *  |entropy|  if the entropy count and buffer size is large enough
 593  *      0      otherwise
 594  */
 595 size_t rand_pool_entropy_available(RAND_POOL *pool)
 596 {
 597     if (pool->entropy < pool->entropy_requested)
 598         return 0;
 599
 600     if (pool->len < pool->min_len)
 601         return 0;
 602
 603     return pool->entropy;
 604 }
 605
 606 /*
 607  * Returns the (remaining) amount of entropy needed to fill
 608  * the random pool.
 609  */
 610
 611 size_t rand_pool_entropy_needed(RAND_POOL *pool)
 612 {
 613     if (pool->entropy < pool->entropy_requested)
 614         return pool->entropy_requested - pool->entropy;
 615
 616     return 0;
 617 }
 618
 619 /*
 620  * Returns the number of bytes needed to fill the pool, assuming
 621  * the input has 1 / |entropy_factor| entropy bits per data bit.
 622  * In case of an error, 0 is returned.
 623  */
 624
 625 size_t rand_pool_bytes_needed(RAND_POOL *pool, unsigned int entropy_factor)
 626 {
 627     size_t bytes_needed;
 628     size_t entropy_needed = rand_pool_entropy_needed(pool);
 629
 630     if (entropy_factor < 1) {
 631         RANDerr(RAND_F_RAND_POOL_BYTES_NEEDED, RAND_R_ARGUMENT_OUT_OF_RANGE);
 632         return 0;
 633     }
 634
 635     bytes_needed = ENTROPY_TO_BYTES(entropy_needed, entropy_factor);
 636
 637     if (bytes_needed > pool->max_len - pool->len) {
 638         /* not enough space left */
 639         RANDerr(RAND_F_RAND_POOL_BYTES_NEEDED, RAND_R_RANDOM_POOL_OVERFLOW);
 640         return 0;
 641     }
 642
 643     if (pool->len < pool->min_len &&
 644         bytes_needed < pool->min_len - pool->len)
 645         /* to meet the min_len requirement */
 646         bytes_needed = pool->min_len - pool->len;
 647
 648     return bytes_needed;
 649 }
 650
 651 /* Returns the remaining number of bytes available */
 652 size_t rand_pool_bytes_remaining(RAND_POOL *pool)
 653 {
 654     return pool->max_len - pool->len;
 655 }
 656
 657 static int rand_pool_grow(RAND_POOL *pool, size_t len)
 658 {
 659     if (len > pool->alloc_len - pool->len) {
 660         unsigned char *p;
 661         const size_t limit = pool->max_len / 2;
 662         size_t newlen = pool->alloc_len;
 663
 664         do
 665             newlen = newlen < limit ? newlen * 2 : pool->max_len;
 666         while (len > newlen - pool->len);
 667
 668         if (pool->secure)
 669             p = OPENSSL_secure_zalloc(newlen);
 670         else
 671             p = OPENSSL_zalloc(newlen);
 672         if (p == NULL) {
 673             RANDerr(RAND_F_RAND_POOL_GROW, ERR_R_MALLOC_FAILURE);
 674             return 0;
 675         }
 676         memcpy(p, pool->buffer, pool->len);
 677         if (pool->secure)
 678             OPENSSL_secure_clear_free(pool->buffer, pool->alloc_len);
 679         else
 680             OPENSSL_clear_free(pool->buffer, pool->alloc_len);
 681         pool->buffer = p;
 682         pool->alloc_len = newlen;
 683     }
 684     return 1;
 685 }
 686
 687 /*
 688  * Add random bytes to the random pool.
 689  *
 690  * It is expected that the |buffer| contains |len| bytes of
 691  * random input which contains at least |entropy| bits of
 692  * randomness.
 693  *
 694  * Returns 1 if the added amount is adequate, otherwise 0
 695  */
 696 int rand_pool_add(RAND_POOL *pool,
 697                   const unsigned char *buffer, size_t len, size_t entropy)
 698 {
 699     if (len > pool->max_len - pool->len) {
 700         RANDerr(RAND_F_RAND_POOL_ADD, RAND_R_ENTROPY_INPUT_TOO_LONG);
 701         return 0;
 702     }
 703
 704     if (pool->buffer == NULL) {
 705         RANDerr(RAND_F_RAND_POOL_ADD, ERR_R_INTERNAL_ERROR);
 706         return 0;
 707     }
 708
 709     if (len > 0) {
 710         if (!rand_pool_grow(pool, len))
 711             return 0;
 712         memcpy(pool->buffer + pool->len, buffer, len);
 713         pool->len += len;
 714         pool->entropy += entropy;
 715     }
 716
 717     return 1;
 718 }
 719
 720 /*
 721  * Start to add random bytes to the random pool in-place.
 722  *
 723  * Reserves the next |len| bytes for adding random bytes in-place
 724  * and returns a pointer to the buffer.
 725  * The caller is allowed to copy up to |len| bytes into the buffer.
 726  * If |len| == 0 this is considered a no-op and a NULL pointer
 727  * is returned without producing an error message.
 728  *
 729  * After updating the buffer, rand_pool_add_end() needs to be called
 730  * to finish the udpate operation (see next comment).
 731  */
 732 unsigned char *rand_pool_add_begin(RAND_POOL *pool, size_t len)
 733 {
 734     if (len == 0)
 735         return NULL;
 736
 737     if (len > pool->max_len - pool->len) {
 738         RANDerr(RAND_F_RAND_POOL_ADD_BEGIN, RAND_R_RANDOM_POOL_OVERFLOW);
 739         return NULL;
 740     }
 741
 742     if (pool->buffer == NULL) {
 743         RANDerr(RAND_F_RAND_POOL_ADD_BEGIN, ERR_R_INTERNAL_ERROR);
 744         return NULL;
 745     }
 746
 747     if (!rand_pool_grow(pool, len))
 748         return NULL;
 749     return pool->buffer + pool->len;
 750 }
 751
 752 /*
 753  * Finish to add random bytes to the random pool in-place.
 754  *
 755  * Finishes an in-place update of the random pool started by
 756  * rand_pool_add_begin() (see previous comment).
 757  * It is expected that |len| bytes of random input have been added
 758  * to the buffer which contain at least |entropy| bits of randomness.
 759  * It is allowed to add less bytes than originally reserved.
 760  */
 761 int rand_pool_add_end(RAND_POOL *pool, size_t len, size_t entropy)
 762 {
 763     if (len > pool->max_len - pool->len) {
 764         RANDerr(RAND_F_RAND_POOL_ADD_END, RAND_R_RANDOM_POOL_OVERFLOW);
 765         return 0;
 766     }
 767
 768     if (len > 0) {
 769         pool->len += len;
 770         pool->entropy += entropy;
 771     }
 772
 773     return 1;
 774 }
 775
 776 int RAND_set_rand_method(const RAND_METHOD *meth)
 777 {
 778     if (!RUN_ONCE(&rand_init, do_rand_init))
 779         return 0;
 780
 781     CRYPTO_THREAD_write_lock(rand_meth_lock);
 782 #ifndef OPENSSL_NO_ENGINE
 783     ENGINE_finish(funct_ref);
 784     funct_ref = NULL;
 785 #endif
 786     default_RAND_meth = meth;
 787     CRYPTO_THREAD_unlock(rand_meth_lock);
 788     return 1;
 789 }
 790
 791 const RAND_METHOD *RAND_get_rand_method(void)
 792 {
 793     const RAND_METHOD *tmp_meth = NULL;
 794
 795     if (!RUN_ONCE(&rand_init, do_rand_init))
 796         return NULL;
 797
 798     CRYPTO_THREAD_write_lock(rand_meth_lock);
 799     if (default_RAND_meth == NULL) {
 800 #ifndef OPENSSL_NO_ENGINE
 801         ENGINE *e;
 802
 803         /* If we have an engine that can do RAND, use it. */
 804         if ((e = ENGINE_get_default_RAND()) != NULL
 805                 && (tmp_meth = ENGINE_get_RAND(e)) != NULL) {
 806             funct_ref = e;
 807             default_RAND_meth = tmp_meth;
 808         } else {
 809             ENGINE_finish(e);
 810             default_RAND_meth = &rand_meth;
 811         }
 812 #else
 813         default_RAND_meth = &rand_meth;
 814 #endif
 815     }
 816     tmp_meth = default_RAND_meth;
 817     CRYPTO_THREAD_unlock(rand_meth_lock);
 818     return tmp_meth;
 819 }
 820
 821 #ifndef OPENSSL_NO_ENGINE
 822 int RAND_set_rand_engine(ENGINE *engine)
 823 {
 824     const RAND_METHOD *tmp_meth = NULL;
 825
 826     if (!RUN_ONCE(&rand_init, do_rand_init))
 827         return 0;
 828
 829     if (engine != NULL) {
 830         if (!ENGINE_init(engine))
 831             return 0;
 832         tmp_meth = ENGINE_get_RAND(engine);
 833         if (tmp_meth == NULL) {
 834             ENGINE_finish(engine);
 835             return 0;
 836         }
 837     }
 838     CRYPTO_THREAD_write_lock(rand_engine_lock);
 839     /* This function releases any prior ENGINE so call it first */
 840     RAND_set_rand_method(tmp_meth);
 841     funct_ref = engine;
 842     CRYPTO_THREAD_unlock(rand_engine_lock);
 843     return 1;
 844 }
 845 #endif
 846
 847 void RAND_seed(const void *buf, int num)
 848 {
 849     const RAND_METHOD *meth = RAND_get_rand_method();
 850
 851     if (meth->seed != NULL)
 852         meth->seed(buf, num);
 853 }
 854
 855 void RAND_add(const void *buf, int num, double randomness)
 856 {
 857     const RAND_METHOD *meth = RAND_get_rand_method();
 858
 859     if (meth->add != NULL)
 860         meth->add(buf, num, randomness);
 861 }
 862
 863 /*
 864  * This function is not part of RAND_METHOD, so if we're not using
 865  * the default method, then just call RAND_bytes().  Otherwise make
 866  * sure we're instantiated and use the private DRBG.
 867  */
 868 int RAND_priv_bytes(unsigned char *buf, int num)
 869 {
 870     const RAND_METHOD *meth = RAND_get_rand_method();
 871     RAND_DRBG *drbg;
 872     int ret;
 873
 874     if (meth != RAND_OpenSSL())
 875         return RAND_bytes(buf, num);
 876
 877     drbg = RAND_DRBG_get0_private();
 878     if (drbg == NULL)
 879         return 0;
 880
 881     ret = RAND_DRBG_bytes(drbg, buf, num);
 882     return ret;
 883 }
 884
 885 int RAND_bytes(unsigned char *buf, int num)
 886 {
 887     const RAND_METHOD *meth = RAND_get_rand_method();
 888
 889     if (meth->bytes != NULL)
 890         return meth->bytes(buf, num);
 891     RANDerr(RAND_F_RAND_BYTES, RAND_R_FUNC_NOT_IMPLEMENTED);
 892     return -1;
 893 }
 894
 895 #if OPENSSL_API_COMPAT < 0x10100000L
 896 int RAND_pseudo_bytes(unsigned char *buf, int num)
 897 {
 898     const RAND_METHOD *meth = RAND_get_rand_method();
 899
 900     if (meth->pseudorand != NULL)
 901         return meth->pseudorand(buf, num);
 902     return -1;
 903 }
 904 #endif
 905
 906 int RAND_status(void)
 907 {
 908     const RAND_METHOD *meth = RAND_get_rand_method();
 909
 910     if (meth->status != NULL)
 911         return meth->status();
 912     return 0;
 913 }