20ea684906c71719f3fbacb893f7cef27611b67c
[oweals/openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt);
65 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
66                                                       PACKET *cipher_suites,
67                                                       STACK_OF(SSL_CIPHER)
68                                                       **skp, int sslv2format,
69                                                       int *al);
70
71 /*
72  * ossl_statem_server13_read_transition() encapsulates the logic for the allowed
73  * handshake state transitions when a TLSv1.3 server is reading messages from
74  * the client. The message type that the client has sent is provided in |mt|.
75  * The current state is in |s->statem.hand_state|.
76  *
77  * Return values are 1 for success (transition allowed) and  0 on error
78  * (transition not allowed)
79  */
80 static int ossl_statem_server13_read_transition(SSL *s, int mt)
81 {
82     OSSL_STATEM *st = &s->statem;
83
84     /*
85      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
86      * we will update this to look more like real TLSv1.3
87      */
88
89     /*
90      * Note: There is no case for TLS_ST_BEFORE because at that stage we have
91      * not negotiated TLSv1.3 yet, so that case is handled by
92      * ossl_statem_server_read_transition()
93      */
94     switch (st->hand_state) {
95     default:
96         break;
97
98     case TLS_ST_SW_FINISHED:
99         if (s->s3->tmp.cert_request) {
100             if (mt == SSL3_MT_CERTIFICATE) {
101                 st->hand_state = TLS_ST_SR_CERT;
102                 return 1;
103             }
104         } else {
105             if (mt == SSL3_MT_FINISHED) {
106                 st->hand_state = TLS_ST_SR_FINISHED;
107                 return 1;
108             }
109         }
110         break;
111
112     case TLS_ST_SR_CERT:
113         if (s->session->peer == NULL) {
114             if (mt == SSL3_MT_FINISHED) {
115                 st->hand_state = TLS_ST_SR_FINISHED;
116                 return 1;
117             }
118         } else {
119             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
120                 st->hand_state = TLS_ST_SR_CERT_VRFY;
121                 return 1;
122             }
123         }
124         break;
125
126     case TLS_ST_SR_CERT_VRFY:
127         if (mt == SSL3_MT_FINISHED) {
128             st->hand_state = TLS_ST_SR_FINISHED;
129             return 1;
130         }
131         break;
132     }
133
134     /* No valid transition found */
135     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
136     SSLerr(SSL_F_OSSL_STATEM_SERVER13_READ_TRANSITION,
137            SSL_R_UNEXPECTED_MESSAGE);
138     return 0;
139 }
140
141 /*
142  * ossl_statem_server_read_transition() encapsulates the logic for the allowed
143  * handshake state transitions when the server is reading messages from the
144  * client. The message type that the client has sent is provided in |mt|. The
145  * current state is in |s->statem.hand_state|.
146  *
147  * Return values are 1 for success (transition allowed) and  0 on error
148  * (transition not allowed)
149  */
150 int ossl_statem_server_read_transition(SSL *s, int mt)
151 {
152     OSSL_STATEM *st = &s->statem;
153
154     if (SSL_IS_TLS13(s)) {
155         if (!ossl_statem_server13_read_transition(s, mt))
156             goto err;
157         return 1;
158     }
159
160     switch (st->hand_state) {
161     default:
162         break;
163
164     case TLS_ST_BEFORE:
165     case TLS_ST_OK:
166     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
167         if (mt == SSL3_MT_CLIENT_HELLO) {
168             st->hand_state = TLS_ST_SR_CLNT_HELLO;
169             return 1;
170         }
171         break;
172
173     case TLS_ST_SW_SRVR_DONE:
174         /*
175          * If we get a CKE message after a ServerDone then either
176          * 1) We didn't request a Certificate
177          * OR
178          * 2) If we did request one then
179          *      a) We allow no Certificate to be returned
180          *      AND
181          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
182          *         list if we requested a certificate)
183          */
184         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
185             if (s->s3->tmp.cert_request) {
186                 if (s->version == SSL3_VERSION) {
187                     if ((s->verify_mode & SSL_VERIFY_PEER)
188                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
189                         /*
190                          * This isn't an unexpected message as such - we're just
191                          * not going to accept it because we require a client
192                          * cert.
193                          */
194                         ssl3_send_alert(s, SSL3_AL_FATAL,
195                                         SSL3_AD_HANDSHAKE_FAILURE);
196                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
197                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
198                         return 0;
199                     }
200                     st->hand_state = TLS_ST_SR_KEY_EXCH;
201                     return 1;
202                 }
203             } else {
204                 st->hand_state = TLS_ST_SR_KEY_EXCH;
205                 return 1;
206             }
207         } else if (s->s3->tmp.cert_request) {
208             if (mt == SSL3_MT_CERTIFICATE) {
209                 st->hand_state = TLS_ST_SR_CERT;
210                 return 1;
211             }
212         }
213         break;
214
215     case TLS_ST_SR_CERT:
216         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
217             st->hand_state = TLS_ST_SR_KEY_EXCH;
218             return 1;
219         }
220         break;
221
222     case TLS_ST_SR_KEY_EXCH:
223         /*
224          * We should only process a CertificateVerify message if we have
225          * received a Certificate from the client. If so then |s->session->peer|
226          * will be non NULL. In some instances a CertificateVerify message is
227          * not required even if the peer has sent a Certificate (e.g. such as in
228          * the case of static DH). In that case |st->no_cert_verify| should be
229          * set.
230          */
231         if (s->session->peer == NULL || st->no_cert_verify) {
232             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
233                 /*
234                  * For the ECDH ciphersuites when the client sends its ECDH
235                  * pub key in a certificate, the CertificateVerify message is
236                  * not sent. Also for GOST ciphersuites when the client uses
237                  * its key from the certificate for key exchange.
238                  */
239                 st->hand_state = TLS_ST_SR_CHANGE;
240                 return 1;
241             }
242         } else {
243             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
244                 st->hand_state = TLS_ST_SR_CERT_VRFY;
245                 return 1;
246             }
247         }
248         break;
249
250     case TLS_ST_SR_CERT_VRFY:
251         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
252             st->hand_state = TLS_ST_SR_CHANGE;
253             return 1;
254         }
255         break;
256
257     case TLS_ST_SR_CHANGE:
258 #ifndef OPENSSL_NO_NEXTPROTONEG
259         if (s->s3->npn_seen) {
260             if (mt == SSL3_MT_NEXT_PROTO) {
261                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
262                 return 1;
263             }
264         } else {
265 #endif
266             if (mt == SSL3_MT_FINISHED) {
267                 st->hand_state = TLS_ST_SR_FINISHED;
268                 return 1;
269             }
270 #ifndef OPENSSL_NO_NEXTPROTONEG
271         }
272 #endif
273         break;
274
275 #ifndef OPENSSL_NO_NEXTPROTONEG
276     case TLS_ST_SR_NEXT_PROTO:
277         if (mt == SSL3_MT_FINISHED) {
278             st->hand_state = TLS_ST_SR_FINISHED;
279             return 1;
280         }
281         break;
282 #endif
283
284     case TLS_ST_SW_FINISHED:
285         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
286             st->hand_state = TLS_ST_SR_CHANGE;
287             return 1;
288         }
289         break;
290     }
291
292  err:
293     /* No valid transition found */
294     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
295     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
296     return 0;
297 }
298
299 /*
300  * Should we send a ServerKeyExchange message?
301  *
302  * Valid return values are:
303  *   1: Yes
304  *   0: No
305  */
306 static int send_server_key_exchange(SSL *s)
307 {
308     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
309
310     /*
311      * only send a ServerKeyExchange if DH or fortezza but we have a
312      * sign only certificate PSK: may send PSK identity hints For
313      * ECC ciphersuites, we send a serverKeyExchange message only if
314      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
315      * the server certificate contains the server's public key for
316      * key exchange.
317      */
318     if (alg_k & (SSL_kDHE | SSL_kECDHE)
319         /*
320          * PSK: send ServerKeyExchange if PSK identity hint if
321          * provided
322          */
323 #ifndef OPENSSL_NO_PSK
324         /* Only send SKE if we have identity hint for plain PSK */
325         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
326             && s->cert->psk_identity_hint)
327         /* For other PSK always send SKE */
328         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
329 #endif
330 #ifndef OPENSSL_NO_SRP
331         /* SRP: send ServerKeyExchange */
332         || (alg_k & SSL_kSRP)
333 #endif
334         ) {
335         return 1;
336     }
337
338     return 0;
339 }
340
341 /*
342  * Should we send a CertificateRequest message?
343  *
344  * Valid return values are:
345  *   1: Yes
346  *   0: No
347  */
348 static int send_certificate_request(SSL *s)
349 {
350     if (
351            /* don't request cert unless asked for it: */
352            s->verify_mode & SSL_VERIFY_PEER
353            /*
354             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
355             * during re-negotiation:
356             */
357            && (s->s3->tmp.finish_md_len == 0 ||
358                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
359            /*
360             * never request cert in anonymous ciphersuites (see
361             * section "Certificate request" in SSL 3 drafts and in
362             * RFC 2246):
363             */
364            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
365                /*
366                 * ... except when the application insists on
367                 * verification (against the specs, but statem_clnt.c accepts
368                 * this for SSL 3)
369                 */
370                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
371            /* don't request certificate for SRP auth */
372            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
373            /*
374             * With normal PSK Certificates and Certificate Requests
375             * are omitted
376             */
377            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
378         return 1;
379     }
380
381     return 0;
382 }
383
384 /*
385  * ossl_statem_server13_write_transition() works out what handshake state to
386  * move to next when a TLSv1.3 server is writing messages to be sent to the
387  * client.
388  */
389 static WRITE_TRAN ossl_statem_server13_write_transition(SSL *s)
390 {
391     OSSL_STATEM *st = &s->statem;
392
393     /*
394      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
395      * we will update this to look more like real TLSv1.3
396      */
397
398     /*
399      * No case for TLS_ST_BEFORE, because at that stage we have not negotiated
400      * TLSv1.3 yet, so that is handled by ossl_statem_server_write_transition()
401      */
402
403     switch (st->hand_state) {
404     default:
405         /* Shouldn't happen */
406         return WRITE_TRAN_ERROR;
407
408     case TLS_ST_SR_CLNT_HELLO:
409         st->hand_state = TLS_ST_SW_SRVR_HELLO;
410         return WRITE_TRAN_CONTINUE;
411
412     case TLS_ST_SW_SRVR_HELLO:
413         st->hand_state = TLS_ST_SW_ENCRYPTED_EXTENSIONS;
414         return WRITE_TRAN_CONTINUE;
415
416     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
417         if (s->hit)
418             st->hand_state = TLS_ST_SW_FINISHED;
419         else if (send_certificate_request(s))
420             st->hand_state = TLS_ST_SW_CERT_REQ;
421         else
422             st->hand_state = TLS_ST_SW_CERT;
423
424         return WRITE_TRAN_CONTINUE;
425
426     case TLS_ST_SW_CERT_REQ:
427         st->hand_state = TLS_ST_SW_CERT;
428         return WRITE_TRAN_CONTINUE;
429
430     case TLS_ST_SW_CERT:
431         st->hand_state = TLS_ST_SW_CERT_VRFY;
432         return WRITE_TRAN_CONTINUE;
433
434     case TLS_ST_SW_CERT_VRFY:
435         st->hand_state = TLS_ST_SW_FINISHED;
436         return WRITE_TRAN_CONTINUE;
437
438     case TLS_ST_SW_FINISHED:
439         return WRITE_TRAN_FINISHED;
440
441     case TLS_ST_SR_FINISHED:
442         /*
443          * Technically we have finished the handshake at this point, but we're
444          * going to remain "in_init" for now and write out the session ticket
445          * immediately.
446          * TODO(TLS1.3): Perhaps we need to be able to control this behaviour
447          * and give the application the opportunity to delay sending the
448          * session ticket?
449          */
450         st->hand_state = TLS_ST_SW_SESSION_TICKET;
451         return WRITE_TRAN_CONTINUE;
452
453     case TLS_ST_SW_SESSION_TICKET:
454         st->hand_state = TLS_ST_OK;
455         ossl_statem_set_in_init(s, 0);
456         return WRITE_TRAN_CONTINUE;
457     }
458 }
459
460 /*
461  * ossl_statem_server_write_transition() works out what handshake state to move
462  * to next when the server is writing messages to be sent to the client.
463  */
464 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
465 {
466     OSSL_STATEM *st = &s->statem;
467
468     /*
469      * Note that before the ClientHello we don't know what version we are going
470      * to negotiate yet, so we don't take this branch until later
471      */
472
473     if (SSL_IS_TLS13(s))
474         return ossl_statem_server13_write_transition(s);
475
476     switch (st->hand_state) {
477     default:
478         /* Shouldn't happen */
479         return WRITE_TRAN_ERROR;
480
481     case TLS_ST_OK:
482         if (st->request_state == TLS_ST_SW_HELLO_REQ) {
483             /* We must be trying to renegotiate */
484             st->hand_state = TLS_ST_SW_HELLO_REQ;
485             st->request_state = TLS_ST_BEFORE;
486             return WRITE_TRAN_CONTINUE;
487         }
488         /* Must be an incoming ClientHello */
489         if (!tls_setup_handshake(s)) {
490             ossl_statem_set_error(s);
491             return WRITE_TRAN_ERROR;
492         }
493         /* Fall through */
494
495     case TLS_ST_BEFORE:
496         /* Just go straight to trying to read from the client */
497         return WRITE_TRAN_FINISHED;
498
499     case TLS_ST_SW_HELLO_REQ:
500         st->hand_state = TLS_ST_OK;
501         ossl_statem_set_in_init(s, 0);
502         return WRITE_TRAN_CONTINUE;
503
504     case TLS_ST_SR_CLNT_HELLO:
505         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
506             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
507             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
508         else
509             st->hand_state = TLS_ST_SW_SRVR_HELLO;
510         return WRITE_TRAN_CONTINUE;
511
512     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
513         return WRITE_TRAN_FINISHED;
514
515     case TLS_ST_SW_SRVR_HELLO:
516         if (s->hit) {
517             if (s->ext.ticket_expected)
518                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
519             else
520                 st->hand_state = TLS_ST_SW_CHANGE;
521         } else {
522             /* Check if it is anon DH or anon ECDH, */
523             /* normal PSK or SRP */
524             if (!(s->s3->tmp.new_cipher->algorithm_auth &
525                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
526                 st->hand_state = TLS_ST_SW_CERT;
527             } else if (send_server_key_exchange(s)) {
528                 st->hand_state = TLS_ST_SW_KEY_EXCH;
529             } else if (send_certificate_request(s)) {
530                 st->hand_state = TLS_ST_SW_CERT_REQ;
531             } else {
532                 st->hand_state = TLS_ST_SW_SRVR_DONE;
533             }
534         }
535         return WRITE_TRAN_CONTINUE;
536
537     case TLS_ST_SW_CERT:
538         if (s->ext.status_expected) {
539             st->hand_state = TLS_ST_SW_CERT_STATUS;
540             return WRITE_TRAN_CONTINUE;
541         }
542         /* Fall through */
543
544     case TLS_ST_SW_CERT_STATUS:
545         if (send_server_key_exchange(s)) {
546             st->hand_state = TLS_ST_SW_KEY_EXCH;
547             return WRITE_TRAN_CONTINUE;
548         }
549         /* Fall through */
550
551     case TLS_ST_SW_KEY_EXCH:
552         if (send_certificate_request(s)) {
553             st->hand_state = TLS_ST_SW_CERT_REQ;
554             return WRITE_TRAN_CONTINUE;
555         }
556         /* Fall through */
557
558     case TLS_ST_SW_CERT_REQ:
559         st->hand_state = TLS_ST_SW_SRVR_DONE;
560         return WRITE_TRAN_CONTINUE;
561
562     case TLS_ST_SW_SRVR_DONE:
563         return WRITE_TRAN_FINISHED;
564
565     case TLS_ST_SR_FINISHED:
566         if (s->hit) {
567             st->hand_state = TLS_ST_OK;
568             ossl_statem_set_in_init(s, 0);
569             return WRITE_TRAN_CONTINUE;
570         } else if (s->ext.ticket_expected) {
571             st->hand_state = TLS_ST_SW_SESSION_TICKET;
572         } else {
573             st->hand_state = TLS_ST_SW_CHANGE;
574         }
575         return WRITE_TRAN_CONTINUE;
576
577     case TLS_ST_SW_SESSION_TICKET:
578         st->hand_state = TLS_ST_SW_CHANGE;
579         return WRITE_TRAN_CONTINUE;
580
581     case TLS_ST_SW_CHANGE:
582         st->hand_state = TLS_ST_SW_FINISHED;
583         return WRITE_TRAN_CONTINUE;
584
585     case TLS_ST_SW_FINISHED:
586         if (s->hit) {
587             return WRITE_TRAN_FINISHED;
588         }
589         st->hand_state = TLS_ST_OK;
590         ossl_statem_set_in_init(s, 0);
591         return WRITE_TRAN_CONTINUE;
592     }
593 }
594
595 /*
596  * Perform any pre work that needs to be done prior to sending a message from
597  * the server to the client.
598  */
599 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
600 {
601     OSSL_STATEM *st = &s->statem;
602
603     switch (st->hand_state) {
604     default:
605         /* No pre work to be done */
606         break;
607
608     case TLS_ST_SW_HELLO_REQ:
609         s->shutdown = 0;
610         if (SSL_IS_DTLS(s))
611             dtls1_clear_sent_buffer(s);
612         break;
613
614     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
615         s->shutdown = 0;
616         if (SSL_IS_DTLS(s)) {
617             dtls1_clear_sent_buffer(s);
618             /* We don't buffer this message so don't use the timer */
619             st->use_timer = 0;
620         }
621         break;
622
623     case TLS_ST_SW_SRVR_HELLO:
624         if (SSL_IS_DTLS(s)) {
625             /*
626              * Messages we write from now on should be bufferred and
627              * retransmitted if necessary, so we need to use the timer now
628              */
629             st->use_timer = 1;
630         }
631         break;
632
633     case TLS_ST_SW_SRVR_DONE:
634 #ifndef OPENSSL_NO_SCTP
635         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
636             return dtls_wait_for_dry(s);
637 #endif
638         return WORK_FINISHED_CONTINUE;
639
640     case TLS_ST_SW_SESSION_TICKET:
641         if (SSL_IS_TLS13(s)) {
642             /*
643              * Actually this is the end of the handshake, but we're going
644              * straight into writing the session ticket out. So we finish off
645              * the handshake, but keep the various buffers active.
646              */
647             return tls_finish_handshake(s, wst, 0);
648         } if (SSL_IS_DTLS(s)) {
649             /*
650              * We're into the last flight. We don't retransmit the last flight
651              * unless we need to, so we don't use the timer
652              */
653             st->use_timer = 0;
654         }
655         break;
656
657     case TLS_ST_SW_CHANGE:
658         s->session->cipher = s->s3->tmp.new_cipher;
659         if (!s->method->ssl3_enc->setup_key_block(s)) {
660             ossl_statem_set_error(s);
661             return WORK_ERROR;
662         }
663         if (SSL_IS_DTLS(s)) {
664             /*
665              * We're into the last flight. We don't retransmit the last flight
666              * unless we need to, so we don't use the timer. This might have
667              * already been set to 0 if we sent a NewSessionTicket message,
668              * but we'll set it again here in case we didn't.
669              */
670             st->use_timer = 0;
671         }
672         return WORK_FINISHED_CONTINUE;
673
674     case TLS_ST_OK:
675         return tls_finish_handshake(s, wst, 1);
676     }
677
678     return WORK_FINISHED_CONTINUE;
679 }
680
681 /*
682  * Perform any work that needs to be done after sending a message from the
683  * server to the client.
684  */
685 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
686 {
687     OSSL_STATEM *st = &s->statem;
688
689     s->init_num = 0;
690
691     switch (st->hand_state) {
692     default:
693         /* No post work to be done */
694         break;
695
696     case TLS_ST_SW_HELLO_REQ:
697         if (statem_flush(s) != 1)
698             return WORK_MORE_A;
699         if (!ssl3_init_finished_mac(s)) {
700             ossl_statem_set_error(s);
701             return WORK_ERROR;
702         }
703         break;
704
705     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
706         if (statem_flush(s) != 1)
707             return WORK_MORE_A;
708         /* HelloVerifyRequest resets Finished MAC */
709         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
710             ossl_statem_set_error(s);
711             return WORK_ERROR;
712         }
713         /*
714          * The next message should be another ClientHello which we need to
715          * treat like it was the first packet
716          */
717         s->first_packet = 1;
718         break;
719
720     case TLS_ST_SW_SRVR_HELLO:
721 #ifndef OPENSSL_NO_SCTP
722         if (SSL_IS_DTLS(s) && s->hit) {
723             unsigned char sctpauthkey[64];
724             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
725
726             /*
727              * Add new shared key for SCTP-Auth, will be ignored if no
728              * SCTP used.
729              */
730             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
731                    sizeof(DTLS1_SCTP_AUTH_LABEL));
732
733             if (SSL_export_keying_material(s, sctpauthkey,
734                                            sizeof(sctpauthkey), labelbuffer,
735                                            sizeof(labelbuffer), NULL, 0,
736                                            0) <= 0) {
737                 ossl_statem_set_error(s);
738                 return WORK_ERROR;
739             }
740
741             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
742                      sizeof(sctpauthkey), sctpauthkey);
743         }
744 #endif
745         /*
746          * TODO(TLS1.3): This actually causes a problem. We don't yet know
747          * whether the next record we are going to receive is an unencrypted
748          * alert, or an encrypted handshake message. We're going to need
749          * something clever in the record layer for this.
750          */
751         if (SSL_IS_TLS13(s)) {
752             if (!s->method->ssl3_enc->setup_key_block(s)
753                 || !s->method->ssl3_enc->change_cipher_state(s,
754                         SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_SERVER_WRITE)
755                 || !s->method->ssl3_enc->change_cipher_state(s,
756                         SSL3_CC_HANDSHAKE |SSL3_CHANGE_CIPHER_SERVER_READ))
757             return WORK_ERROR;
758         }
759         break;
760
761     case TLS_ST_SW_CHANGE:
762 #ifndef OPENSSL_NO_SCTP
763         if (SSL_IS_DTLS(s) && !s->hit) {
764             /*
765              * Change to new shared key of SCTP-Auth, will be ignored if
766              * no SCTP used.
767              */
768             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
769                      0, NULL);
770         }
771 #endif
772         if (!s->method->ssl3_enc->change_cipher_state(s,
773                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
774         {
775             ossl_statem_set_error(s);
776             return WORK_ERROR;
777         }
778
779         if (SSL_IS_DTLS(s))
780             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
781         break;
782
783     case TLS_ST_SW_SRVR_DONE:
784         if (statem_flush(s) != 1)
785             return WORK_MORE_A;
786         break;
787
788     case TLS_ST_SW_FINISHED:
789         if (statem_flush(s) != 1)
790             return WORK_MORE_A;
791 #ifndef OPENSSL_NO_SCTP
792         if (SSL_IS_DTLS(s) && s->hit) {
793             /*
794              * Change to new shared key of SCTP-Auth, will be ignored if
795              * no SCTP used.
796              */
797             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
798                      0, NULL);
799         }
800 #endif
801         if (SSL_IS_TLS13(s)) {
802             if (!s->method->ssl3_enc->generate_master_secret(s,
803                         s->master_secret, s->handshake_secret, 0,
804                         &s->session->master_key_length)
805                 || !s->method->ssl3_enc->change_cipher_state(s,
806                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_SERVER_WRITE))
807             return WORK_ERROR;
808         }
809         break;
810
811     case TLS_ST_SW_SESSION_TICKET:
812         if (SSL_IS_TLS13(s) && statem_flush(s) != 1)
813             return WORK_MORE_A;
814         break;
815     }
816
817     return WORK_FINISHED_CONTINUE;
818 }
819
820 /*
821  * Get the message construction function and message type for sending from the
822  * server
823  *
824  * Valid return values are:
825  *   1: Success
826  *   0: Error
827  */
828 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
829                                          confunc_f *confunc, int *mt)
830 {
831     OSSL_STATEM *st = &s->statem;
832
833     switch (st->hand_state) {
834     default:
835         /* Shouldn't happen */
836         return 0;
837
838     case TLS_ST_SW_CHANGE:
839         if (SSL_IS_DTLS(s))
840             *confunc = dtls_construct_change_cipher_spec;
841         else
842             *confunc = tls_construct_change_cipher_spec;
843         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
844         break;
845
846     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
847         *confunc = dtls_construct_hello_verify_request;
848         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
849         break;
850
851     case TLS_ST_SW_HELLO_REQ:
852         /* No construction function needed */
853         *confunc = NULL;
854         *mt = SSL3_MT_HELLO_REQUEST;
855         break;
856
857     case TLS_ST_SW_SRVR_HELLO:
858         *confunc = tls_construct_server_hello;
859         *mt = SSL3_MT_SERVER_HELLO;
860         break;
861
862     case TLS_ST_SW_CERT:
863         *confunc = tls_construct_server_certificate;
864         *mt = SSL3_MT_CERTIFICATE;
865         break;
866
867     case TLS_ST_SW_CERT_VRFY:
868         *confunc = tls_construct_cert_verify;
869         *mt = SSL3_MT_CERTIFICATE_VERIFY;
870         break;
871
872
873     case TLS_ST_SW_KEY_EXCH:
874         *confunc = tls_construct_server_key_exchange;
875         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
876         break;
877
878     case TLS_ST_SW_CERT_REQ:
879         *confunc = tls_construct_certificate_request;
880         *mt = SSL3_MT_CERTIFICATE_REQUEST;
881         break;
882
883     case TLS_ST_SW_SRVR_DONE:
884         *confunc = tls_construct_server_done;
885         *mt = SSL3_MT_SERVER_DONE;
886         break;
887
888     case TLS_ST_SW_SESSION_TICKET:
889         *confunc = tls_construct_new_session_ticket;
890         *mt = SSL3_MT_NEWSESSION_TICKET;
891         break;
892
893     case TLS_ST_SW_CERT_STATUS:
894         *confunc = tls_construct_cert_status;
895         *mt = SSL3_MT_CERTIFICATE_STATUS;
896         break;
897
898     case TLS_ST_SW_FINISHED:
899         *confunc = tls_construct_finished;
900         *mt = SSL3_MT_FINISHED;
901         break;
902
903     case TLS_ST_SW_ENCRYPTED_EXTENSIONS:
904         *confunc = tls_construct_encrypted_extensions;
905         *mt = SSL3_MT_ENCRYPTED_EXTENSIONS;
906         break;
907     }
908
909     return 1;
910 }
911
912 /*
913  * Maximum size (excluding the Handshake header) of a ClientHello message,
914  * calculated as follows:
915  *
916  *  2 + # client_version
917  *  32 + # only valid length for random
918  *  1 + # length of session_id
919  *  32 + # maximum size for session_id
920  *  2 + # length of cipher suites
921  *  2^16-2 + # maximum length of cipher suites array
922  *  1 + # length of compression_methods
923  *  2^8-1 + # maximum length of compression methods
924  *  2 + # length of extensions
925  *  2^16-1 # maximum length of extensions
926  */
927 #define CLIENT_HELLO_MAX_LENGTH         131396
928
929 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
930 #define NEXT_PROTO_MAX_LENGTH           514
931
932 /*
933  * Returns the maximum allowed length for the current message that we are
934  * reading. Excludes the message header.
935  */
936 size_t ossl_statem_server_max_message_size(SSL *s)
937 {
938     OSSL_STATEM *st = &s->statem;
939
940     switch (st->hand_state) {
941     default:
942         /* Shouldn't happen */
943         return 0;
944
945     case TLS_ST_SR_CLNT_HELLO:
946         return CLIENT_HELLO_MAX_LENGTH;
947
948     case TLS_ST_SR_CERT:
949         return s->max_cert_list;
950
951     case TLS_ST_SR_KEY_EXCH:
952         return CLIENT_KEY_EXCH_MAX_LENGTH;
953
954     case TLS_ST_SR_CERT_VRFY:
955         return SSL3_RT_MAX_PLAIN_LENGTH;
956
957 #ifndef OPENSSL_NO_NEXTPROTONEG
958     case TLS_ST_SR_NEXT_PROTO:
959         return NEXT_PROTO_MAX_LENGTH;
960 #endif
961
962     case TLS_ST_SR_CHANGE:
963         return CCS_MAX_LENGTH;
964
965     case TLS_ST_SR_FINISHED:
966         return FINISHED_MAX_LENGTH;
967     }
968 }
969
970 /*
971  * Process a message that the server has received from the client.
972  */
973 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
974 {
975     OSSL_STATEM *st = &s->statem;
976
977     switch (st->hand_state) {
978     default:
979         /* Shouldn't happen */
980         return MSG_PROCESS_ERROR;
981
982     case TLS_ST_SR_CLNT_HELLO:
983         return tls_process_client_hello(s, pkt);
984
985     case TLS_ST_SR_CERT:
986         return tls_process_client_certificate(s, pkt);
987
988     case TLS_ST_SR_KEY_EXCH:
989         return tls_process_client_key_exchange(s, pkt);
990
991     case TLS_ST_SR_CERT_VRFY:
992         return tls_process_cert_verify(s, pkt);
993
994 #ifndef OPENSSL_NO_NEXTPROTONEG
995     case TLS_ST_SR_NEXT_PROTO:
996         return tls_process_next_proto(s, pkt);
997 #endif
998
999     case TLS_ST_SR_CHANGE:
1000         return tls_process_change_cipher_spec(s, pkt);
1001
1002     case TLS_ST_SR_FINISHED:
1003         return tls_process_finished(s, pkt);
1004     }
1005 }
1006
1007 /*
1008  * Perform any further processing required following the receipt of a message
1009  * from the client
1010  */
1011 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
1012 {
1013     OSSL_STATEM *st = &s->statem;
1014
1015     switch (st->hand_state) {
1016     default:
1017         /* Shouldn't happen */
1018         return WORK_ERROR;
1019
1020     case TLS_ST_SR_CLNT_HELLO:
1021         return tls_post_process_client_hello(s, wst);
1022
1023     case TLS_ST_SR_KEY_EXCH:
1024         return tls_post_process_client_key_exchange(s, wst);
1025
1026     case TLS_ST_SR_CERT_VRFY:
1027 #ifndef OPENSSL_NO_SCTP
1028         if (                    /* Is this SCTP? */
1029                BIO_dgram_is_sctp(SSL_get_wbio(s))
1030                /* Are we renegotiating? */
1031                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
1032             s->s3->in_read_app_data = 2;
1033             s->rwstate = SSL_READING;
1034             BIO_clear_retry_flags(SSL_get_rbio(s));
1035             BIO_set_retry_read(SSL_get_rbio(s));
1036             ossl_statem_set_sctp_read_sock(s, 1);
1037             return WORK_MORE_A;
1038         } else {
1039             ossl_statem_set_sctp_read_sock(s, 0);
1040         }
1041 #endif
1042         return WORK_FINISHED_CONTINUE;
1043     }
1044     return WORK_FINISHED_CONTINUE;
1045 }
1046
1047 #ifndef OPENSSL_NO_SRP
1048 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
1049 {
1050     int ret = SSL_ERROR_NONE;
1051
1052     *al = SSL_AD_UNRECOGNIZED_NAME;
1053
1054     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
1055         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
1056         if (s->srp_ctx.login == NULL) {
1057             /*
1058              * RFC 5054 says SHOULD reject, we do so if There is no srp
1059              * login name
1060              */
1061             ret = SSL3_AL_FATAL;
1062             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
1063         } else {
1064             ret = SSL_srp_server_param_with_username(s, al);
1065         }
1066     }
1067     return ret;
1068 }
1069 #endif
1070
1071 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
1072                                   size_t cookie_len)
1073 {
1074     /* Always use DTLS 1.0 version: see RFC 6347 */
1075     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
1076             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
1077         return 0;
1078
1079     return 1;
1080 }
1081
1082 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
1083 {
1084     unsigned int cookie_leni;
1085     if (s->ctx->app_gen_cookie_cb == NULL ||
1086         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
1087                                   &cookie_leni) == 0 ||
1088         cookie_leni > 255) {
1089         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
1090                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
1091         return 0;
1092     }
1093     s->d1->cookie_len = cookie_leni;
1094
1095     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
1096                                               s->d1->cookie_len)) {
1097         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
1098         return 0;
1099     }
1100
1101     return 1;
1102 }
1103
1104 #ifndef OPENSSL_NO_EC
1105 /*-
1106  * ssl_check_for_safari attempts to fingerprint Safari using OS X
1107  * SecureTransport using the TLS extension block in |hello|.
1108  * Safari, since 10.6, sends exactly these extensions, in this order:
1109  *   SNI,
1110  *   elliptic_curves
1111  *   ec_point_formats
1112  *
1113  * We wish to fingerprint Safari because they broke ECDHE-ECDSA support in 10.8,
1114  * but they advertise support. So enabling ECDHE-ECDSA ciphers breaks them.
1115  * Sadly we cannot differentiate 10.6, 10.7 and 10.8.4 (which work), from
1116  * 10.8..10.8.3 (which don't work).
1117  */
1118 static void ssl_check_for_safari(SSL *s, const CLIENTHELLO_MSG *hello)
1119 {
1120     static const unsigned char kSafariExtensionsBlock[] = {
1121         0x00, 0x0a,             /* elliptic_curves extension */
1122         0x00, 0x08,             /* 8 bytes */
1123         0x00, 0x06,             /* 6 bytes of curve ids */
1124         0x00, 0x17,             /* P-256 */
1125         0x00, 0x18,             /* P-384 */
1126         0x00, 0x19,             /* P-521 */
1127
1128         0x00, 0x0b,             /* ec_point_formats */
1129         0x00, 0x02,             /* 2 bytes */
1130         0x01,                   /* 1 point format */
1131         0x00,                   /* uncompressed */
1132         /* The following is only present in TLS 1.2 */
1133         0x00, 0x0d,             /* signature_algorithms */
1134         0x00, 0x0c,             /* 12 bytes */
1135         0x00, 0x0a,             /* 10 bytes */
1136         0x05, 0x01,             /* SHA-384/RSA */
1137         0x04, 0x01,             /* SHA-256/RSA */
1138         0x02, 0x01,             /* SHA-1/RSA */
1139         0x04, 0x03,             /* SHA-256/ECDSA */
1140         0x02, 0x03,             /* SHA-1/ECDSA */
1141     };
1142     /* Length of the common prefix (first two extensions). */
1143     static const size_t kSafariCommonExtensionsLength = 18;
1144     unsigned int type;
1145     PACKET sni, tmppkt;
1146     size_t ext_len;
1147
1148     tmppkt = hello->extensions;
1149
1150     if (!PACKET_forward(&tmppkt, 2)
1151         || !PACKET_get_net_2(&tmppkt, &type)
1152         || !PACKET_get_length_prefixed_2(&tmppkt, &sni)) {
1153         return;
1154     }
1155
1156     if (type != TLSEXT_TYPE_server_name)
1157         return;
1158
1159     ext_len = TLS1_get_client_version(s) >= TLS1_2_VERSION ?
1160         sizeof(kSafariExtensionsBlock) : kSafariCommonExtensionsLength;
1161
1162     s->s3->is_probably_safari = PACKET_equal(&tmppkt, kSafariExtensionsBlock,
1163                                              ext_len);
1164 }
1165 #endif                          /* !OPENSSL_NO_EC */
1166
1167 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
1168 {
1169     int i, al = SSL_AD_INTERNAL_ERROR;
1170     unsigned int j;
1171     size_t loop;
1172     unsigned long id;
1173     const SSL_CIPHER *c;
1174 #ifndef OPENSSL_NO_COMP
1175     SSL_COMP *comp = NULL;
1176 #endif
1177     STACK_OF(SSL_CIPHER) *ciphers = NULL;
1178     int protverr;
1179     /* |cookie| will only be initialized for DTLS. */
1180     PACKET session_id, compression, extensions, cookie;
1181     static const unsigned char null_compression = 0;
1182     CLIENTHELLO_MSG clienthello;
1183
1184     /* Check if this is actually an unexpected renegotiation ClientHello */
1185     if (s->renegotiate == 0 && !SSL_IS_FIRST_HANDSHAKE(s)) {
1186         s->renegotiate = 1;
1187         s->new_session = 1;
1188     }
1189
1190     /* This is a real handshake so make sure we clean it up at the end */
1191     s->statem.cleanuphand = 1;
1192
1193     /*
1194      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
1195      */
1196     memset(&clienthello, 0, sizeof(clienthello));
1197     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
1198     PACKET_null_init(&cookie);
1199
1200     if (clienthello.isv2) {
1201         unsigned int mt;
1202
1203         /*-
1204          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
1205          * header is sent directly on the wire, not wrapped as a TLS
1206          * record. Our record layer just processes the message length and passes
1207          * the rest right through. Its format is:
1208          * Byte  Content
1209          * 0-1   msg_length - decoded by the record layer
1210          * 2     msg_type - s->init_msg points here
1211          * 3-4   version
1212          * 5-6   cipher_spec_length
1213          * 7-8   session_id_length
1214          * 9-10  challenge_length
1215          * ...   ...
1216          */
1217
1218         if (!PACKET_get_1(pkt, &mt)
1219             || mt != SSL2_MT_CLIENT_HELLO) {
1220             /*
1221              * Should never happen. We should have tested this in the record
1222              * layer in order to have determined that this is a SSLv2 record
1223              * in the first place
1224              */
1225             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1226             goto err;
1227         }
1228     }
1229
1230     if (!PACKET_get_net_2(pkt, &clienthello.legacy_version)) {
1231         al = SSL_AD_DECODE_ERROR;
1232         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
1233         goto err;
1234     }
1235
1236     /* Parse the message and load client random. */
1237     if (clienthello.isv2) {
1238         /*
1239          * Handle an SSLv2 backwards compatible ClientHello
1240          * Note, this is only for SSLv3+ using the backward compatible format.
1241          * Real SSLv2 is not supported, and is rejected below.
1242          */
1243         unsigned int ciphersuite_len, session_id_len, challenge_len;
1244         PACKET challenge;
1245
1246         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
1247             || !PACKET_get_net_2(pkt, &session_id_len)
1248             || !PACKET_get_net_2(pkt, &challenge_len)) {
1249             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1250                    SSL_R_RECORD_LENGTH_MISMATCH);
1251             al = SSL_AD_DECODE_ERROR;
1252             goto f_err;
1253         }
1254
1255         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1256             al = SSL_AD_DECODE_ERROR;
1257             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1258             goto f_err;
1259         }
1260
1261         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
1262                                    ciphersuite_len)
1263             || !PACKET_copy_bytes(pkt, clienthello.session_id, session_id_len)
1264             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1265             /* No extensions. */
1266             || PACKET_remaining(pkt) != 0) {
1267             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1268                    SSL_R_RECORD_LENGTH_MISMATCH);
1269             al = SSL_AD_DECODE_ERROR;
1270             goto f_err;
1271         }
1272         clienthello.session_id_len = session_id_len;
1273
1274         /* Load the client random and compression list. We use SSL3_RANDOM_SIZE
1275          * here rather than sizeof(clienthello.random) because that is the limit
1276          * for SSLv3 and it is fixed. It won't change even if
1277          * sizeof(clienthello.random) does.
1278          */
1279         challenge_len = challenge_len > SSL3_RANDOM_SIZE
1280                         ? SSL3_RANDOM_SIZE : challenge_len;
1281         memset(clienthello.random, 0, SSL3_RANDOM_SIZE);
1282         if (!PACKET_copy_bytes(&challenge,
1283                                clienthello.random + SSL3_RANDOM_SIZE -
1284                                challenge_len, challenge_len)
1285             /* Advertise only null compression. */
1286             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1287             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1288             al = SSL_AD_INTERNAL_ERROR;
1289             goto f_err;
1290         }
1291
1292         PACKET_null_init(&clienthello.extensions);
1293     } else {
1294         /* Regular ClientHello. */
1295         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1296             || !PACKET_get_length_prefixed_1(pkt, &session_id)
1297             || !PACKET_copy_all(&session_id, clienthello.session_id,
1298                     SSL_MAX_SSL_SESSION_ID_LENGTH,
1299                     &clienthello.session_id_len)) {
1300             al = SSL_AD_DECODE_ERROR;
1301             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1302             goto f_err;
1303         }
1304
1305         if (SSL_IS_DTLS(s)) {
1306             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1307                 al = SSL_AD_DECODE_ERROR;
1308                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1309                 goto f_err;
1310             }
1311             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1312                                  DTLS1_COOKIE_LENGTH,
1313                                  &clienthello.dtls_cookie_len)) {
1314                 al = SSL_AD_DECODE_ERROR;
1315                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1316                 goto f_err;
1317             }
1318             /*
1319              * If we require cookies and this ClientHello doesn't contain one,
1320              * just return since we do not want to allocate any memory yet.
1321              * So check cookie length...
1322              */
1323             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1324                 if (clienthello.dtls_cookie_len == 0)
1325                     return 1;
1326             }
1327         }
1328
1329         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1330             al = SSL_AD_DECODE_ERROR;
1331             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1332             goto f_err;
1333         }
1334
1335         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1336             al = SSL_AD_DECODE_ERROR;
1337             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1338             goto f_err;
1339         }
1340
1341         /* Could be empty. */
1342         if (PACKET_remaining(pkt) == 0) {
1343             PACKET_null_init(&clienthello.extensions);
1344         } else {
1345             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1346                 al = SSL_AD_DECODE_ERROR;
1347                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1348                 goto f_err;
1349             }
1350         }
1351     }
1352
1353     if (!PACKET_copy_all(&compression, clienthello.compressions,
1354                          MAX_COMPRESSIONS_SIZE,
1355                          &clienthello.compressions_len)) {
1356         al = SSL_AD_DECODE_ERROR;
1357         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1358         goto f_err;
1359     }
1360
1361     /* Preserve the raw extensions PACKET for later use */
1362     extensions = clienthello.extensions;
1363     if (!tls_collect_extensions(s, &extensions, EXT_CLIENT_HELLO,
1364                                 &clienthello.pre_proc_exts, &al)) {
1365         /* SSLerr already been called */
1366         goto f_err;
1367     }
1368
1369     /* Finished parsing the ClientHello, now we can start processing it */
1370
1371     /* Set up the client_random */
1372     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1373
1374     /* Choose the version */
1375
1376     if (clienthello.isv2) {
1377         if (clienthello.legacy_version == SSL2_VERSION
1378                 || (clienthello.legacy_version & 0xff00)
1379                    != (SSL3_VERSION_MAJOR << 8)) {
1380             /*
1381              * This is real SSLv2 or something complete unknown. We don't
1382              * support it.
1383              */
1384             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1385             goto err;
1386         }
1387         /* SSLv3/TLS */
1388         s->client_version = clienthello.legacy_version;
1389     }
1390     /*
1391      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1392      * versions are potentially compatible. Version negotiation comes later.
1393      */
1394     if (!SSL_IS_DTLS(s)) {
1395         protverr = ssl_choose_server_version(s, &clienthello);
1396     } else if (s->method->version != DTLS_ANY_VERSION &&
1397                DTLS_VERSION_LT((int)clienthello.legacy_version, s->version)) {
1398         protverr = SSL_R_VERSION_TOO_LOW;
1399     } else {
1400         protverr = 0;
1401     }
1402
1403     if (protverr) {
1404         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1405         if ((!s->enc_write_ctx && !s->write_hash)) {
1406             /* like ssl3_get_record, send alert using remote version number */
1407             s->version = s->client_version = clienthello.legacy_version;
1408         }
1409         al = SSL_AD_PROTOCOL_VERSION;
1410         goto f_err;
1411     }
1412
1413     if (SSL_IS_DTLS(s)) {
1414         /* Empty cookie was already handled above by returning early. */
1415         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1416             if (s->ctx->app_verify_cookie_cb != NULL) {
1417                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1418                         clienthello.dtls_cookie_len) == 0) {
1419                     al = SSL_AD_HANDSHAKE_FAILURE;
1420                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1421                            SSL_R_COOKIE_MISMATCH);
1422                     goto f_err;
1423                     /* else cookie verification succeeded */
1424                 }
1425                 /* default verification */
1426             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1427                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1428                               s->d1->cookie_len) != 0) {
1429                 al = SSL_AD_HANDSHAKE_FAILURE;
1430                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1431                 goto f_err;
1432             }
1433             s->d1->cookie_verified = 1;
1434         }
1435         if (s->method->version == DTLS_ANY_VERSION) {
1436             protverr = ssl_choose_server_version(s, &clienthello);
1437             if (protverr != 0) {
1438                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1439                 s->version = s->client_version;
1440                 al = SSL_AD_PROTOCOL_VERSION;
1441                 goto f_err;
1442             }
1443         }
1444     }
1445
1446     s->hit = 0;
1447
1448     /* We need to do this before getting the session */
1449     if (!tls_parse_extension(s, TLSEXT_IDX_extended_master_secret,
1450                              EXT_CLIENT_HELLO,
1451                              clienthello.pre_proc_exts, NULL, 0, &al)) {
1452         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1453         goto f_err;
1454     }
1455
1456     /*
1457      * We don't allow resumption in a backwards compatible ClientHello.
1458      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1459      *
1460      * Versions before 0.9.7 always allow clients to resume sessions in
1461      * renegotiation. 0.9.7 and later allow this by default, but optionally
1462      * ignore resumption requests with flag
1463      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1464      * than a change to default behavior so that applications relying on
1465      * this for security won't even compile against older library versions).
1466      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1467      * request renegotiation but not a new session (s->new_session remains
1468      * unset): for servers, this essentially just means that the
1469      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1470      * ignored.
1471      */
1472     if (clienthello.isv2 ||
1473         (s->new_session &&
1474          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1475         if (!ssl_get_new_session(s, 1))
1476             goto err;
1477     } else {
1478         i = ssl_get_prev_session(s, &clienthello, &al);
1479         if (i == 1) {
1480             /* previous session */
1481             s->hit = 1;
1482         } else if (i == -1) {
1483             goto f_err;
1484         } else {
1485             /* i == 0 */
1486             if (!ssl_get_new_session(s, 1))
1487                 goto err;
1488         }
1489     }
1490
1491     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1492                                  clienthello.isv2, &al) == NULL) {
1493         goto f_err;
1494     }
1495
1496     /* If it is a hit, check that the cipher is in the list */
1497     if (s->hit) {
1498         j = 0;
1499         id = s->session->cipher->id;
1500
1501 #ifdef CIPHER_DEBUG
1502         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1503 #endif
1504         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1505             c = sk_SSL_CIPHER_value(ciphers, i);
1506 #ifdef CIPHER_DEBUG
1507             fprintf(stderr, "client [%2d of %2d]:%s\n",
1508                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1509 #endif
1510             if (c->id == id) {
1511                 j = 1;
1512                 break;
1513             }
1514         }
1515         if (j == 0) {
1516             /*
1517              * we need to have the cipher in the cipher list if we are asked
1518              * to reuse it
1519              */
1520             al = SSL_AD_ILLEGAL_PARAMETER;
1521             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1522                    SSL_R_REQUIRED_CIPHER_MISSING);
1523             goto f_err;
1524         }
1525     }
1526
1527     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1528         if (clienthello.compressions[loop] == 0)
1529             break;
1530     }
1531
1532     if (loop >= clienthello.compressions_len) {
1533         /* no compress */
1534         al = SSL_AD_DECODE_ERROR;
1535         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1536         goto f_err;
1537     }
1538
1539 #ifndef OPENSSL_NO_EC
1540     if (s->options & SSL_OP_SAFARI_ECDHE_ECDSA_BUG)
1541         ssl_check_for_safari(s, &clienthello);
1542 #endif                          /* !OPENSSL_NO_EC */
1543
1544     /* TLS extensions */
1545     if (!tls_parse_all_extensions(s, EXT_CLIENT_HELLO,
1546                                   clienthello.pre_proc_exts, NULL, 0, &al)) {
1547         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1548         goto f_err;
1549     }
1550
1551     /*
1552      * Check if we want to use external pre-shared secret for this handshake
1553      * for not reused session only. We need to generate server_random before
1554      * calling tls_session_secret_cb in order to allow SessionTicket
1555      * processing to use it in key derivation.
1556      */
1557     {
1558         unsigned char *pos;
1559         pos = s->s3->server_random;
1560         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1561             goto f_err;
1562         }
1563     }
1564
1565     if (!s->hit && s->version >= TLS1_VERSION && s->ext.session_secret_cb) {
1566         const SSL_CIPHER *pref_cipher = NULL;
1567         /*
1568          * s->session->master_key_length is a size_t, but this is an int for
1569          * backwards compat reasons
1570          */
1571         int master_key_length;
1572
1573         master_key_length = sizeof(s->session->master_key);
1574         if (s->ext.session_secret_cb(s, s->session->master_key,
1575                                      &master_key_length, ciphers,
1576                                      &pref_cipher,
1577                                      s->ext.session_secret_cb_arg)
1578                 && master_key_length > 0) {
1579             s->session->master_key_length = master_key_length;
1580             s->hit = 1;
1581             s->session->ciphers = ciphers;
1582             s->session->verify_result = X509_V_OK;
1583
1584             ciphers = NULL;
1585
1586             /* check if some cipher was preferred by call back */
1587             if (pref_cipher == NULL)
1588                 pref_cipher = ssl3_choose_cipher(s, s->session->ciphers,
1589                                                  SSL_get_ciphers(s));
1590             if (pref_cipher == NULL) {
1591                 al = SSL_AD_HANDSHAKE_FAILURE;
1592                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1593                 goto f_err;
1594             }
1595
1596             s->session->cipher = pref_cipher;
1597             sk_SSL_CIPHER_free(s->cipher_list);
1598             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1599             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1600             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1601         }
1602     }
1603
1604     /*
1605      * Worst case, we will use the NULL compression, but if we have other
1606      * options, we will now look for them.  We have complen-1 compression
1607      * algorithms from the client, starting at q.
1608      */
1609     s->s3->tmp.new_compression = NULL;
1610 #ifndef OPENSSL_NO_COMP
1611     /* This only happens if we have a cache hit */
1612     if (s->session->compress_meth != 0) {
1613         int m, comp_id = s->session->compress_meth;
1614         unsigned int k;
1615         /* Perform sanity checks on resumed compression algorithm */
1616         /* Can't disable compression */
1617         if (!ssl_allow_compression(s)) {
1618             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1619                    SSL_R_INCONSISTENT_COMPRESSION);
1620             goto f_err;
1621         }
1622         /* Look for resumed compression method */
1623         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1624             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1625             if (comp_id == comp->id) {
1626                 s->s3->tmp.new_compression = comp;
1627                 break;
1628             }
1629         }
1630         if (s->s3->tmp.new_compression == NULL) {
1631             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1632                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1633             goto f_err;
1634         }
1635         /* Look for resumed method in compression list */
1636         for (k = 0; k < clienthello.compressions_len; k++) {
1637             if (clienthello.compressions[k] == comp_id)
1638                 break;
1639         }
1640         if (k >= clienthello.compressions_len) {
1641             al = SSL_AD_ILLEGAL_PARAMETER;
1642             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1643                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1644             goto f_err;
1645         }
1646     } else if (s->hit)
1647         comp = NULL;
1648     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1649         /* See if we have a match */
1650         int m, nn, v, done = 0;
1651         unsigned int o;
1652
1653         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1654         for (m = 0; m < nn; m++) {
1655             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1656             v = comp->id;
1657             for (o = 0; o < clienthello.compressions_len; o++) {
1658                 if (v == clienthello.compressions[o]) {
1659                     done = 1;
1660                     break;
1661                 }
1662             }
1663             if (done)
1664                 break;
1665         }
1666         if (done)
1667             s->s3->tmp.new_compression = comp;
1668         else
1669             comp = NULL;
1670     }
1671 #else
1672     /*
1673      * If compression is disabled we'd better not try to resume a session
1674      * using compression.
1675      */
1676     if (s->session->compress_meth != 0) {
1677         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1678         goto f_err;
1679     }
1680 #endif
1681
1682     /*
1683      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1684      */
1685
1686     if (!s->hit) {
1687 #ifdef OPENSSL_NO_COMP
1688         s->session->compress_meth = 0;
1689 #else
1690         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1691 #endif
1692         sk_SSL_CIPHER_free(s->session->ciphers);
1693         s->session->ciphers = ciphers;
1694         if (ciphers == NULL) {
1695             al = SSL_AD_INTERNAL_ERROR;
1696             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1697             goto f_err;
1698         }
1699         ciphers = NULL;
1700         if (!tls1_set_server_sigalgs(s)) {
1701             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1702             goto err;
1703         }
1704     }
1705
1706     sk_SSL_CIPHER_free(ciphers);
1707     OPENSSL_free(clienthello.pre_proc_exts);
1708     return MSG_PROCESS_CONTINUE_PROCESSING;
1709  f_err:
1710     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1711  err:
1712     ossl_statem_set_error(s);
1713
1714     sk_SSL_CIPHER_free(ciphers);
1715     OPENSSL_free(clienthello.pre_proc_exts);
1716
1717     return MSG_PROCESS_ERROR;
1718 }
1719
1720 /*
1721  * Call the status request callback if needed. Upon success, returns 1.
1722  * Upon failure, returns 0 and sets |*al| to the appropriate fatal alert.
1723  */
1724 static int tls_handle_status_request(SSL *s, int *al)
1725 {
1726     s->ext.status_expected = 0;
1727
1728     /*
1729      * If status request then ask callback what to do. Note: this must be
1730      * called after servername callbacks in case the certificate has changed,
1731      * and must be called after the cipher has been chosen because this may
1732      * influence which certificate is sent
1733      */
1734     if (s->ext.status_type != TLSEXT_STATUSTYPE_nothing && s->ctx != NULL
1735             && s->ctx->ext.status_cb != NULL) {
1736         int ret;
1737         CERT_PKEY *certpkey = ssl_get_server_send_pkey(s);
1738
1739         /* If no certificate can't return certificate status */
1740         if (certpkey != NULL) {
1741             /*
1742              * Set current certificate to one we will use so SSL_get_certificate
1743              * et al can pick it up.
1744              */
1745             s->cert->key = certpkey;
1746             ret = s->ctx->ext.status_cb(s, s->ctx->ext.status_arg);
1747             switch (ret) {
1748                 /* We don't want to send a status request response */
1749             case SSL_TLSEXT_ERR_NOACK:
1750                 s->ext.status_expected = 0;
1751                 break;
1752                 /* status request response should be sent */
1753             case SSL_TLSEXT_ERR_OK:
1754                 if (s->ext.ocsp.resp)
1755                     s->ext.status_expected = 1;
1756                 break;
1757                 /* something bad happened */
1758             case SSL_TLSEXT_ERR_ALERT_FATAL:
1759             default:
1760                 *al = SSL_AD_INTERNAL_ERROR;
1761                 return 0;
1762             }
1763         }
1764     }
1765
1766     return 1;
1767 }
1768
1769 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1770 {
1771     int al = SSL_AD_HANDSHAKE_FAILURE;
1772     const SSL_CIPHER *cipher;
1773
1774     if (wst == WORK_MORE_A) {
1775         if (!s->hit) {
1776             /* Let cert callback update server certificates if required */
1777             if (s->cert->cert_cb) {
1778                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1779                 if (rv == 0) {
1780                     al = SSL_AD_INTERNAL_ERROR;
1781                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1782                            SSL_R_CERT_CB_ERROR);
1783                     goto f_err;
1784                 }
1785                 if (rv < 0) {
1786                     s->rwstate = SSL_X509_LOOKUP;
1787                     return WORK_MORE_A;
1788                 }
1789                 s->rwstate = SSL_NOTHING;
1790             }
1791             cipher =
1792                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1793
1794             if (cipher == NULL) {
1795                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1796                        SSL_R_NO_SHARED_CIPHER);
1797                 goto f_err;
1798             }
1799             s->s3->tmp.new_cipher = cipher;
1800             if (!tls_choose_sigalg(s)) {
1801                 al = SSL_AD_HANDSHAKE_FAILURE;
1802                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1803                        SSL_R_NO_SUITABLE_SIGNATURE_ALGORITHM);
1804                 goto f_err;
1805             }
1806             /* check whether we should disable session resumption */
1807             if (s->not_resumable_session_cb != NULL)
1808                 s->session->not_resumable =
1809                     s->not_resumable_session_cb(s, ((cipher->algorithm_mkey
1810                                                     & (SSL_kDHE | SSL_kECDHE))
1811                                                    != 0));
1812             if (s->session->not_resumable)
1813                 /* do not send a session ticket */
1814                 s->ext.ticket_expected = 0;
1815         } else {
1816             /* Session-id reuse */
1817             s->s3->tmp.new_cipher = s->session->cipher;
1818         }
1819
1820         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1821             if (!ssl3_digest_cached_records(s, 0)) {
1822                 al = SSL_AD_INTERNAL_ERROR;
1823                 goto f_err;
1824             }
1825         }
1826
1827         /*-
1828          * we now have the following setup.
1829          * client_random
1830          * cipher_list          - our preferred list of ciphers
1831          * ciphers              - the clients preferred list of ciphers
1832          * compression          - basically ignored right now
1833          * ssl version is set   - sslv3
1834          * s->session           - The ssl session has been setup.
1835          * s->hit               - session reuse flag
1836          * s->s3->tmp.new_cipher- the new cipher to use.
1837          */
1838
1839         /*
1840          * Call status_request callback if needed. Has to be done after the
1841          * certificate callbacks etc above.
1842          */
1843         if (!tls_handle_status_request(s, &al)) {
1844             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1845                    SSL_R_CLIENTHELLO_TLSEXT);
1846             goto f_err;
1847         }
1848
1849         wst = WORK_MORE_B;
1850     }
1851 #ifndef OPENSSL_NO_SRP
1852     if (wst == WORK_MORE_B) {
1853         int ret;
1854         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1855             /*
1856              * callback indicates further work to be done
1857              */
1858             s->rwstate = SSL_X509_LOOKUP;
1859             return WORK_MORE_B;
1860         }
1861         if (ret != SSL_ERROR_NONE) {
1862             /*
1863              * This is not really an error but the only means to for
1864              * a client to detect whether srp is supported.
1865              */
1866             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1867                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1868                        SSL_R_CLIENTHELLO_TLSEXT);
1869             else
1870                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1871                        SSL_R_PSK_IDENTITY_NOT_FOUND);
1872             goto f_err;
1873         }
1874     }
1875 #endif
1876
1877     return WORK_FINISHED_STOP;
1878  f_err:
1879     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1880     ossl_statem_set_error(s);
1881     return WORK_ERROR;
1882 }
1883
1884 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1885 {
1886     int compm, al = SSL_AD_INTERNAL_ERROR;
1887     size_t sl, len;
1888     int version;
1889
1890     /* TODO(TLS1.3): Remove the DRAFT conditional before release */
1891     version = SSL_IS_TLS13(s) ? TLS1_3_VERSION_DRAFT : s->version;
1892     if (!WPACKET_put_bytes_u16(pkt, version)
1893                /*
1894                 * Random stuff. Filling of the server_random takes place in
1895                 * tls_process_client_hello()
1896                 */
1897             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1898         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1899         goto err;
1900     }
1901
1902     /*-
1903      * There are several cases for the session ID to send
1904      * back in the server hello:
1905      * - For session reuse from the session cache,
1906      *   we send back the old session ID.
1907      * - If stateless session reuse (using a session ticket)
1908      *   is successful, we send back the client's "session ID"
1909      *   (which doesn't actually identify the session).
1910      * - If it is a new session, we send back the new
1911      *   session ID.
1912      * - However, if we want the new session to be single-use,
1913      *   we send back a 0-length session ID.
1914      * s->hit is non-zero in either case of session reuse,
1915      * so the following won't overwrite an ID that we're supposed
1916      * to send back.
1917      */
1918     if (s->session->not_resumable ||
1919         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1920          && !s->hit))
1921         s->session->session_id_length = 0;
1922
1923     sl = s->session->session_id_length;
1924     if (sl > sizeof(s->session->session_id)) {
1925         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1926         goto err;
1927     }
1928
1929     /* set up the compression method */
1930 #ifdef OPENSSL_NO_COMP
1931     compm = 0;
1932 #else
1933     if (s->s3->tmp.new_compression == NULL)
1934         compm = 0;
1935     else
1936         compm = s->s3->tmp.new_compression->id;
1937 #endif
1938
1939     if ((!SSL_IS_TLS13(s)
1940                 && !WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl))
1941             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1942             || (!SSL_IS_TLS13(s)
1943                 && !WPACKET_put_bytes_u8(pkt, compm))
1944             || !tls_construct_extensions(s, pkt,
1945                                          SSL_IS_TLS13(s)
1946                                             ? EXT_TLS1_3_SERVER_HELLO
1947                                             : EXT_TLS1_2_SERVER_HELLO,
1948                                          NULL, 0, &al)) {
1949         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1950         goto err;
1951     }
1952
1953     return 1;
1954  err:
1955     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1956     return 0;
1957 }
1958
1959 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1960 {
1961     if (!s->s3->tmp.cert_request) {
1962         if (!ssl3_digest_cached_records(s, 0)) {
1963             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1964             return 0;
1965         }
1966     }
1967     return 1;
1968 }
1969
1970 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1971 {
1972 #ifndef OPENSSL_NO_DH
1973     EVP_PKEY *pkdh = NULL;
1974 #endif
1975 #ifndef OPENSSL_NO_EC
1976     unsigned char *encodedPoint = NULL;
1977     size_t encodedlen = 0;
1978     int curve_id = 0;
1979 #endif
1980     EVP_PKEY *pkey;
1981     const EVP_MD *md = NULL;
1982     int al = SSL_AD_INTERNAL_ERROR, i;
1983     unsigned long type;
1984     const BIGNUM *r[4];
1985     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1986     EVP_PKEY_CTX *pctx = NULL;
1987     size_t paramlen, paramoffset;
1988
1989     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
1990         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1991         goto f_err;
1992     }
1993
1994     if (md_ctx == NULL) {
1995         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1996         goto f_err;
1997     }
1998
1999     type = s->s3->tmp.new_cipher->algorithm_mkey;
2000
2001     r[0] = r[1] = r[2] = r[3] = NULL;
2002 #ifndef OPENSSL_NO_PSK
2003     /* Plain PSK or RSAPSK nothing to do */
2004     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
2005     } else
2006 #endif                          /* !OPENSSL_NO_PSK */
2007 #ifndef OPENSSL_NO_DH
2008     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
2009         CERT *cert = s->cert;
2010
2011         EVP_PKEY *pkdhp = NULL;
2012         DH *dh;
2013
2014         if (s->cert->dh_tmp_auto) {
2015             DH *dhp = ssl_get_auto_dh(s);
2016             pkdh = EVP_PKEY_new();
2017             if (pkdh == NULL || dhp == NULL) {
2018                 DH_free(dhp);
2019                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2020                        ERR_R_INTERNAL_ERROR);
2021                 goto f_err;
2022             }
2023             EVP_PKEY_assign_DH(pkdh, dhp);
2024             pkdhp = pkdh;
2025         } else {
2026             pkdhp = cert->dh_tmp;
2027         }
2028         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
2029             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
2030             pkdh = ssl_dh_to_pkey(dhp);
2031             if (pkdh == NULL) {
2032                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2033                        ERR_R_INTERNAL_ERROR);
2034                 goto f_err;
2035             }
2036             pkdhp = pkdh;
2037         }
2038         if (pkdhp == NULL) {
2039             al = SSL_AD_HANDSHAKE_FAILURE;
2040             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2041                    SSL_R_MISSING_TMP_DH_KEY);
2042             goto f_err;
2043         }
2044         if (!ssl_security(s, SSL_SECOP_TMP_DH,
2045                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
2046             al = SSL_AD_HANDSHAKE_FAILURE;
2047             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2048                    SSL_R_DH_KEY_TOO_SMALL);
2049             goto f_err;
2050         }
2051         if (s->s3->tmp.pkey != NULL) {
2052             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2053                    ERR_R_INTERNAL_ERROR);
2054             goto err;
2055         }
2056
2057         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
2058
2059         if (s->s3->tmp.pkey == NULL) {
2060             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2061             goto err;
2062         }
2063
2064         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
2065
2066         EVP_PKEY_free(pkdh);
2067         pkdh = NULL;
2068
2069         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
2070         DH_get0_key(dh, &r[2], NULL);
2071     } else
2072 #endif
2073 #ifndef OPENSSL_NO_EC
2074     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2075         int nid;
2076
2077         if (s->s3->tmp.pkey != NULL) {
2078             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2079                    ERR_R_INTERNAL_ERROR);
2080             goto err;
2081         }
2082
2083         /* Get NID of appropriate shared curve */
2084         nid = tls1_shared_group(s, -2);
2085         curve_id = tls1_ec_nid2curve_id(nid);
2086         if (curve_id == 0) {
2087             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2088                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
2089             goto err;
2090         }
2091         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
2092         /* Generate a new key for this curve */
2093         if (s->s3->tmp.pkey == NULL) {
2094             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
2095             goto f_err;
2096         }
2097
2098         /* Encode the public key. */
2099         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
2100                                                     &encodedPoint);
2101         if (encodedlen == 0) {
2102             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
2103             goto err;
2104         }
2105
2106         /*
2107          * We'll generate the serverKeyExchange message explicitly so we
2108          * can set these to NULLs
2109          */
2110         r[0] = NULL;
2111         r[1] = NULL;
2112         r[2] = NULL;
2113         r[3] = NULL;
2114     } else
2115 #endif                          /* !OPENSSL_NO_EC */
2116 #ifndef OPENSSL_NO_SRP
2117     if (type & SSL_kSRP) {
2118         if ((s->srp_ctx.N == NULL) ||
2119             (s->srp_ctx.g == NULL) ||
2120             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
2121             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2122                    SSL_R_MISSING_SRP_PARAM);
2123             goto err;
2124         }
2125         r[0] = s->srp_ctx.N;
2126         r[1] = s->srp_ctx.g;
2127         r[2] = s->srp_ctx.s;
2128         r[3] = s->srp_ctx.B;
2129     } else
2130 #endif
2131     {
2132         al = SSL_AD_HANDSHAKE_FAILURE;
2133         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2134                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
2135         goto f_err;
2136     }
2137
2138     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
2139         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
2140         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
2141             == NULL) {
2142             al = SSL_AD_DECODE_ERROR;
2143             goto f_err;
2144         }
2145     } else {
2146         pkey = NULL;
2147     }
2148
2149 #ifndef OPENSSL_NO_PSK
2150     if (type & SSL_PSK) {
2151         size_t len = (s->cert->psk_identity_hint == NULL)
2152                         ? 0 : strlen(s->cert->psk_identity_hint);
2153
2154         /*
2155          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
2156          * checked this when we set the identity hint - but just in case
2157          */
2158         if (len > PSK_MAX_IDENTITY_LEN
2159                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
2160                                            len)) {
2161             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2162                    ERR_R_INTERNAL_ERROR);
2163             goto f_err;
2164         }
2165     }
2166 #endif
2167
2168     for (i = 0; i < 4 && r[i] != NULL; i++) {
2169         unsigned char *binval;
2170         int res;
2171
2172 #ifndef OPENSSL_NO_SRP
2173         if ((i == 2) && (type & SSL_kSRP)) {
2174             res = WPACKET_start_sub_packet_u8(pkt);
2175         } else
2176 #endif
2177             res = WPACKET_start_sub_packet_u16(pkt);
2178
2179         if (!res) {
2180             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2181                    ERR_R_INTERNAL_ERROR);
2182             goto f_err;
2183         }
2184
2185 #ifndef OPENSSL_NO_DH
2186         /*-
2187          * for interoperability with some versions of the Microsoft TLS
2188          * stack, we need to zero pad the DHE pub key to the same length
2189          * as the prime
2190          */
2191         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
2192             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
2193
2194             if (len > 0) {
2195                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
2196                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2197                            ERR_R_INTERNAL_ERROR);
2198                     goto f_err;
2199                 }
2200                 memset(binval, 0, len);
2201             }
2202         }
2203 #endif
2204         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
2205                 || !WPACKET_close(pkt)) {
2206             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2207                    ERR_R_INTERNAL_ERROR);
2208             goto f_err;
2209         }
2210
2211         BN_bn2bin(r[i], binval);
2212     }
2213
2214 #ifndef OPENSSL_NO_EC
2215     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2216         /*
2217          * We only support named (not generic) curves. In this situation, the
2218          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
2219          * [1 byte length of encoded point], followed by the actual encoded
2220          * point itself
2221          */
2222         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
2223                 || !WPACKET_put_bytes_u8(pkt, 0)
2224                 || !WPACKET_put_bytes_u8(pkt, curve_id)
2225                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
2226             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2227                    ERR_R_INTERNAL_ERROR);
2228             goto f_err;
2229         }
2230         OPENSSL_free(encodedPoint);
2231         encodedPoint = NULL;
2232     }
2233 #endif
2234
2235     /* not anonymous */
2236     if (pkey != NULL) {
2237         /*
2238          * n is the length of the params, they start at &(d[4]) and p
2239          * points to the space at the end.
2240          */
2241         if (md) {
2242             unsigned char *sigbytes1, *sigbytes2;
2243             size_t siglen;
2244             int ispss = 0;
2245
2246             /* Get length of the parameters we have written above */
2247             if (!WPACKET_get_length(pkt, &paramlen)) {
2248                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2249                        ERR_R_INTERNAL_ERROR);
2250                 goto f_err;
2251             }
2252             /* send signature algorithm */
2253             if (SSL_USE_SIGALGS(s)) {
2254                 if (!tls12_get_sigandhash(s, pkt, pkey, md, &ispss)) {
2255                     /* Should never happen */
2256                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2257                            ERR_R_INTERNAL_ERROR);
2258                     goto f_err;
2259                 }
2260             }
2261 #ifdef SSL_DEBUG
2262             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
2263 #endif
2264             /*
2265              * Create the signature. We don't know the actual length of the sig
2266              * until after we've created it, so we reserve enough bytes for it
2267              * up front, and then properly allocate them in the WPACKET
2268              * afterwards.
2269              */
2270             siglen = EVP_PKEY_size(pkey);
2271             if (!WPACKET_sub_reserve_bytes_u16(pkt, siglen, &sigbytes1)
2272                     || EVP_DigestSignInit(md_ctx, &pctx, md, NULL, pkey) <= 0) {
2273                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2274                        ERR_R_INTERNAL_ERROR);
2275                 goto f_err;
2276             }
2277             if (ispss) {
2278                 if (EVP_PKEY_CTX_set_rsa_padding(pctx,
2279                                                  RSA_PKCS1_PSS_PADDING) <= 0
2280                     || EVP_PKEY_CTX_set_rsa_pss_saltlen(pctx, RSA_PSS_SALTLEN_DIGEST) <= 0) {
2281                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2282                            ERR_R_EVP_LIB);
2283                     goto f_err;
2284                 }
2285             }
2286             if (EVP_DigestSignUpdate(md_ctx, &(s->s3->client_random[0]),
2287                                      SSL3_RANDOM_SIZE) <= 0
2288                     || EVP_DigestSignUpdate(md_ctx, &(s->s3->server_random[0]),
2289                                             SSL3_RANDOM_SIZE) <= 0
2290                     || EVP_DigestSignUpdate(md_ctx,
2291                                             s->init_buf->data + paramoffset,
2292                                             paramlen) <= 0
2293                     || EVP_DigestSignFinal(md_ctx, sigbytes1, &siglen) <= 0
2294                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
2295                     || sigbytes1 != sigbytes2) {
2296                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2297                        ERR_R_INTERNAL_ERROR);
2298                 goto f_err;
2299             }
2300         } else {
2301             /* Is this error check actually needed? */
2302             al = SSL_AD_HANDSHAKE_FAILURE;
2303             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2304                    SSL_R_UNKNOWN_PKEY_TYPE);
2305             goto f_err;
2306         }
2307     }
2308
2309     EVP_MD_CTX_free(md_ctx);
2310     return 1;
2311  f_err:
2312     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2313  err:
2314 #ifndef OPENSSL_NO_DH
2315     EVP_PKEY_free(pkdh);
2316 #endif
2317 #ifndef OPENSSL_NO_EC
2318     OPENSSL_free(encodedPoint);
2319 #endif
2320     EVP_MD_CTX_free(md_ctx);
2321     return 0;
2322 }
2323
2324 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
2325 {
2326     int i;
2327     STACK_OF(X509_NAME) *sk = NULL;
2328
2329     /* get the list of acceptable cert types */
2330     if (!WPACKET_start_sub_packet_u8(pkt)
2331             || !ssl3_get_req_cert_type(s, pkt)
2332             || !WPACKET_close(pkt)) {
2333         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2334         goto err;
2335     }
2336
2337     if (SSL_USE_SIGALGS(s)) {
2338         const uint16_t *psigs;
2339         size_t nl = tls12_get_psigalgs(s, 1, &psigs);
2340
2341         if (!WPACKET_start_sub_packet_u16(pkt)
2342                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
2343                 || !WPACKET_close(pkt)) {
2344             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2345                    ERR_R_INTERNAL_ERROR);
2346             goto err;
2347         }
2348     }
2349
2350     /* Start sub-packet for client CA list */
2351     if (!WPACKET_start_sub_packet_u16(pkt)) {
2352         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2353         goto err;
2354     }
2355
2356     sk = SSL_get_client_CA_list(s);
2357     if (sk != NULL) {
2358         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2359             unsigned char *namebytes;
2360             X509_NAME *name = sk_X509_NAME_value(sk, i);
2361             int namelen;
2362
2363             if (name == NULL
2364                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
2365                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
2366                                                        &namebytes)
2367                     || i2d_X509_NAME(name, &namebytes) != namelen) {
2368                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2369                        ERR_R_INTERNAL_ERROR);
2370                 goto err;
2371             }
2372         }
2373     }
2374     /* else no CA names */
2375
2376     if (!WPACKET_close(pkt)) {
2377         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2378         goto err;
2379     }
2380
2381     s->s3->tmp.cert_request = 1;
2382
2383     return 1;
2384  err:
2385     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2386     return 0;
2387 }
2388
2389 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2390 {
2391 #ifndef OPENSSL_NO_PSK
2392     unsigned char psk[PSK_MAX_PSK_LEN];
2393     size_t psklen;
2394     PACKET psk_identity;
2395
2396     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2397         *al = SSL_AD_DECODE_ERROR;
2398         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2399         return 0;
2400     }
2401     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2402         *al = SSL_AD_DECODE_ERROR;
2403         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2404         return 0;
2405     }
2406     if (s->psk_server_callback == NULL) {
2407         *al = SSL_AD_INTERNAL_ERROR;
2408         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2409         return 0;
2410     }
2411
2412     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2413         *al = SSL_AD_INTERNAL_ERROR;
2414         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2415         return 0;
2416     }
2417
2418     psklen = s->psk_server_callback(s, s->session->psk_identity,
2419                                     psk, sizeof(psk));
2420
2421     if (psklen > PSK_MAX_PSK_LEN) {
2422         *al = SSL_AD_INTERNAL_ERROR;
2423         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2424         return 0;
2425     } else if (psklen == 0) {
2426         /*
2427          * PSK related to the given identity not found
2428          */
2429         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2430         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2431                SSL_R_PSK_IDENTITY_NOT_FOUND);
2432         return 0;
2433     }
2434
2435     OPENSSL_free(s->s3->tmp.psk);
2436     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2437     OPENSSL_cleanse(psk, psklen);
2438
2439     if (s->s3->tmp.psk == NULL) {
2440         *al = SSL_AD_INTERNAL_ERROR;
2441         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2442         return 0;
2443     }
2444
2445     s->s3->tmp.psklen = psklen;
2446
2447     return 1;
2448 #else
2449     /* Should never happen */
2450     *al = SSL_AD_INTERNAL_ERROR;
2451     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2452     return 0;
2453 #endif
2454 }
2455
2456 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2457 {
2458 #ifndef OPENSSL_NO_RSA
2459     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2460     int decrypt_len;
2461     unsigned char decrypt_good, version_good;
2462     size_t j, padding_len;
2463     PACKET enc_premaster;
2464     RSA *rsa = NULL;
2465     unsigned char *rsa_decrypt = NULL;
2466     int ret = 0;
2467
2468     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2469     if (rsa == NULL) {
2470         *al = SSL_AD_HANDSHAKE_FAILURE;
2471         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2472         return 0;
2473     }
2474
2475     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2476     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2477         enc_premaster = *pkt;
2478     } else {
2479         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2480             || PACKET_remaining(pkt) != 0) {
2481             *al = SSL_AD_DECODE_ERROR;
2482             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2483             return 0;
2484         }
2485     }
2486
2487     /*
2488      * We want to be sure that the plaintext buffer size makes it safe to
2489      * iterate over the entire size of a premaster secret
2490      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2491      * their ciphertext cannot accommodate a premaster secret anyway.
2492      */
2493     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2494         *al = SSL_AD_INTERNAL_ERROR;
2495         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2496         return 0;
2497     }
2498
2499     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2500     if (rsa_decrypt == NULL) {
2501         *al = SSL_AD_INTERNAL_ERROR;
2502         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2503         return 0;
2504     }
2505
2506     /*
2507      * We must not leak whether a decryption failure occurs because of
2508      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2509      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2510      * generates a random premaster secret for the case that the decrypt
2511      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2512      */
2513
2514     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2515         goto err;
2516
2517     /*
2518      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2519      * the timing-sensitive code below.
2520      */
2521      /* TODO(size_t): Convert this function */
2522     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2523                                            PACKET_data(&enc_premaster),
2524                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2525     if (decrypt_len < 0)
2526         goto err;
2527
2528     /* Check the padding. See RFC 3447, section 7.2.2. */
2529
2530     /*
2531      * The smallest padded premaster is 11 bytes of overhead. Small keys
2532      * are publicly invalid, so this may return immediately. This ensures
2533      * PS is at least 8 bytes.
2534      */
2535     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2536         *al = SSL_AD_DECRYPT_ERROR;
2537         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2538         goto err;
2539     }
2540
2541     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2542     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2543         constant_time_eq_int_8(rsa_decrypt[1], 2);
2544     for (j = 2; j < padding_len - 1; j++) {
2545         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2546     }
2547     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2548
2549     /*
2550      * If the version in the decrypted pre-master secret is correct then
2551      * version_good will be 0xff, otherwise it'll be zero. The
2552      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2553      * (http://eprint.iacr.org/2003/052/) exploits the version number
2554      * check as a "bad version oracle". Thus version checks are done in
2555      * constant time and are treated like any other decryption error.
2556      */
2557     version_good =
2558         constant_time_eq_8(rsa_decrypt[padding_len],
2559                            (unsigned)(s->client_version >> 8));
2560     version_good &=
2561         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2562                            (unsigned)(s->client_version & 0xff));
2563
2564     /*
2565      * The premaster secret must contain the same version number as the
2566      * ClientHello to detect version rollback attacks (strangely, the
2567      * protocol does not offer such protection for DH ciphersuites).
2568      * However, buggy clients exist that send the negotiated protocol
2569      * version instead if the server does not support the requested
2570      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2571      * clients.
2572      */
2573     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2574         unsigned char workaround_good;
2575         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2576                                              (unsigned)(s->version >> 8));
2577         workaround_good &=
2578             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2579                                (unsigned)(s->version & 0xff));
2580         version_good |= workaround_good;
2581     }
2582
2583     /*
2584      * Both decryption and version must be good for decrypt_good to
2585      * remain non-zero (0xff).
2586      */
2587     decrypt_good &= version_good;
2588
2589     /*
2590      * Now copy rand_premaster_secret over from p using
2591      * decrypt_good_mask. If decryption failed, then p does not
2592      * contain valid plaintext, however, a check above guarantees
2593      * it is still sufficiently large to read from.
2594      */
2595     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2596         rsa_decrypt[padding_len + j] =
2597             constant_time_select_8(decrypt_good,
2598                                    rsa_decrypt[padding_len + j],
2599                                    rand_premaster_secret[j]);
2600     }
2601
2602     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2603                                     sizeof(rand_premaster_secret), 0)) {
2604         *al = SSL_AD_INTERNAL_ERROR;
2605         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2606         goto err;
2607     }
2608
2609     ret = 1;
2610  err:
2611     OPENSSL_free(rsa_decrypt);
2612     return ret;
2613 #else
2614     /* Should never happen */
2615     *al = SSL_AD_INTERNAL_ERROR;
2616     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2617     return 0;
2618 #endif
2619 }
2620
2621 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2622 {
2623 #ifndef OPENSSL_NO_DH
2624     EVP_PKEY *skey = NULL;
2625     DH *cdh;
2626     unsigned int i;
2627     BIGNUM *pub_key;
2628     const unsigned char *data;
2629     EVP_PKEY *ckey = NULL;
2630     int ret = 0;
2631
2632     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2633         *al = SSL_AD_HANDSHAKE_FAILURE;
2634         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2635                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2636         goto err;
2637     }
2638     skey = s->s3->tmp.pkey;
2639     if (skey == NULL) {
2640         *al = SSL_AD_HANDSHAKE_FAILURE;
2641         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2642         goto err;
2643     }
2644
2645     if (PACKET_remaining(pkt) == 0L) {
2646         *al = SSL_AD_HANDSHAKE_FAILURE;
2647         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2648         goto err;
2649     }
2650     if (!PACKET_get_bytes(pkt, &data, i)) {
2651         /* We already checked we have enough data */
2652         *al = SSL_AD_INTERNAL_ERROR;
2653         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2654         goto err;
2655     }
2656     ckey = EVP_PKEY_new();
2657     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2658         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2659         goto err;
2660     }
2661     cdh = EVP_PKEY_get0_DH(ckey);
2662     pub_key = BN_bin2bn(data, i, NULL);
2663
2664     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2665         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2666         if (pub_key != NULL)
2667             BN_free(pub_key);
2668         goto err;
2669     }
2670
2671     if (ssl_derive(s, skey, ckey, 1) == 0) {
2672         *al = SSL_AD_INTERNAL_ERROR;
2673         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2674         goto err;
2675     }
2676
2677     ret = 1;
2678     EVP_PKEY_free(s->s3->tmp.pkey);
2679     s->s3->tmp.pkey = NULL;
2680  err:
2681     EVP_PKEY_free(ckey);
2682     return ret;
2683 #else
2684     /* Should never happen */
2685     *al = SSL_AD_INTERNAL_ERROR;
2686     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2687     return 0;
2688 #endif
2689 }
2690
2691 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2692 {
2693 #ifndef OPENSSL_NO_EC
2694     EVP_PKEY *skey = s->s3->tmp.pkey;
2695     EVP_PKEY *ckey = NULL;
2696     int ret = 0;
2697
2698     if (PACKET_remaining(pkt) == 0L) {
2699         /* We don't support ECDH client auth */
2700         *al = SSL_AD_HANDSHAKE_FAILURE;
2701         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2702         goto err;
2703     } else {
2704         unsigned int i;
2705         const unsigned char *data;
2706
2707         /*
2708          * Get client's public key from encoded point in the
2709          * ClientKeyExchange message.
2710          */
2711
2712         /* Get encoded point length */
2713         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2714             || PACKET_remaining(pkt) != 0) {
2715             *al = SSL_AD_DECODE_ERROR;
2716             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2717             goto err;
2718         }
2719         ckey = EVP_PKEY_new();
2720         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2721             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2722             goto err;
2723         }
2724         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2725             *al = SSL_AD_HANDSHAKE_FAILURE;
2726             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2727             goto err;
2728         }
2729     }
2730
2731     if (ssl_derive(s, skey, ckey, 1) == 0) {
2732         *al = SSL_AD_INTERNAL_ERROR;
2733         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2734         goto err;
2735     }
2736
2737     ret = 1;
2738     EVP_PKEY_free(s->s3->tmp.pkey);
2739     s->s3->tmp.pkey = NULL;
2740  err:
2741     EVP_PKEY_free(ckey);
2742
2743     return ret;
2744 #else
2745     /* Should never happen */
2746     *al = SSL_AD_INTERNAL_ERROR;
2747     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2748     return 0;
2749 #endif
2750 }
2751
2752 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2753 {
2754 #ifndef OPENSSL_NO_SRP
2755     unsigned int i;
2756     const unsigned char *data;
2757
2758     if (!PACKET_get_net_2(pkt, &i)
2759         || !PACKET_get_bytes(pkt, &data, i)) {
2760         *al = SSL_AD_DECODE_ERROR;
2761         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2762         return 0;
2763     }
2764     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2765         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2766         return 0;
2767     }
2768     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2769         *al = SSL_AD_ILLEGAL_PARAMETER;
2770         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2771         return 0;
2772     }
2773     OPENSSL_free(s->session->srp_username);
2774     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2775     if (s->session->srp_username == NULL) {
2776         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2777         return 0;
2778     }
2779
2780     if (!srp_generate_server_master_secret(s)) {
2781         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2782         return 0;
2783     }
2784
2785     return 1;
2786 #else
2787     /* Should never happen */
2788     *al = SSL_AD_INTERNAL_ERROR;
2789     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2790     return 0;
2791 #endif
2792 }
2793
2794 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2795 {
2796 #ifndef OPENSSL_NO_GOST
2797     EVP_PKEY_CTX *pkey_ctx;
2798     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2799     unsigned char premaster_secret[32];
2800     const unsigned char *start;
2801     size_t outlen = 32, inlen;
2802     unsigned long alg_a;
2803     int Ttag, Tclass;
2804     long Tlen;
2805     size_t sess_key_len;
2806     const unsigned char *data;
2807     int ret = 0;
2808
2809     /* Get our certificate private key */
2810     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2811     if (alg_a & SSL_aGOST12) {
2812         /*
2813          * New GOST ciphersuites have SSL_aGOST01 bit too
2814          */
2815         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2816         if (pk == NULL) {
2817             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2818         }
2819         if (pk == NULL) {
2820             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2821         }
2822     } else if (alg_a & SSL_aGOST01) {
2823         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2824     }
2825
2826     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2827     if (pkey_ctx == NULL) {
2828         *al = SSL_AD_INTERNAL_ERROR;
2829         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2830         return 0;
2831     }
2832     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2833         *al = SSL_AD_INTERNAL_ERROR;
2834         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2835         return 0;
2836     }
2837     /*
2838      * If client certificate is present and is of the same type, maybe
2839      * use it for key exchange.  Don't mind errors from
2840      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2841      * client certificate for authorization only.
2842      */
2843     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2844     if (client_pub_pkey) {
2845         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2846             ERR_clear_error();
2847     }
2848     /* Decrypt session key */
2849     sess_key_len = PACKET_remaining(pkt);
2850     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2851         *al = SSL_AD_INTERNAL_ERROR;
2852         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2853         goto err;
2854     }
2855     /* TODO(size_t): Convert this function */
2856     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2857                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2858         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2859         *al = SSL_AD_DECODE_ERROR;
2860         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2861         goto err;
2862     }
2863     start = data;
2864     inlen = Tlen;
2865     if (EVP_PKEY_decrypt
2866         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2867         *al = SSL_AD_DECODE_ERROR;
2868         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2869         goto err;
2870     }
2871     /* Generate master secret */
2872     if (!ssl_generate_master_secret(s, premaster_secret,
2873                                     sizeof(premaster_secret), 0)) {
2874         *al = SSL_AD_INTERNAL_ERROR;
2875         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2876         goto err;
2877     }
2878     /* Check if pubkey from client certificate was used */
2879     if (EVP_PKEY_CTX_ctrl
2880         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2881         s->statem.no_cert_verify = 1;
2882
2883     ret = 1;
2884  err:
2885     EVP_PKEY_CTX_free(pkey_ctx);
2886     return ret;
2887 #else
2888     /* Should never happen */
2889     *al = SSL_AD_INTERNAL_ERROR;
2890     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2891     return 0;
2892 #endif
2893 }
2894
2895 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2896 {
2897     int al = -1;
2898     unsigned long alg_k;
2899
2900     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2901
2902     /* For PSK parse and retrieve identity, obtain PSK key */
2903     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2904         goto err;
2905
2906     if (alg_k & SSL_kPSK) {
2907         /* Identity extracted earlier: should be nothing left */
2908         if (PACKET_remaining(pkt) != 0) {
2909             al = SSL_AD_HANDSHAKE_FAILURE;
2910             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2911                    SSL_R_LENGTH_MISMATCH);
2912             goto err;
2913         }
2914         /* PSK handled by ssl_generate_master_secret */
2915         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2916             al = SSL_AD_INTERNAL_ERROR;
2917             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2918             goto err;
2919         }
2920     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2921         if (!tls_process_cke_rsa(s, pkt, &al))
2922             goto err;
2923     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2924         if (!tls_process_cke_dhe(s, pkt, &al))
2925             goto err;
2926     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2927         if (!tls_process_cke_ecdhe(s, pkt, &al))
2928             goto err;
2929     } else if (alg_k & SSL_kSRP) {
2930         if (!tls_process_cke_srp(s, pkt, &al))
2931             goto err;
2932     } else if (alg_k & SSL_kGOST) {
2933         if (!tls_process_cke_gost(s, pkt, &al))
2934             goto err;
2935     } else {
2936         al = SSL_AD_HANDSHAKE_FAILURE;
2937         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2938                SSL_R_UNKNOWN_CIPHER_TYPE);
2939         goto err;
2940     }
2941
2942     return MSG_PROCESS_CONTINUE_PROCESSING;
2943  err:
2944     if (al != -1)
2945         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2946 #ifndef OPENSSL_NO_PSK
2947     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2948     s->s3->tmp.psk = NULL;
2949 #endif
2950     ossl_statem_set_error(s);
2951     return MSG_PROCESS_ERROR;
2952 }
2953
2954 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2955 {
2956 #ifndef OPENSSL_NO_SCTP
2957     if (wst == WORK_MORE_A) {
2958         if (SSL_IS_DTLS(s)) {
2959             unsigned char sctpauthkey[64];
2960             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2961             /*
2962              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2963              * used.
2964              */
2965             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2966                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2967
2968             if (SSL_export_keying_material(s, sctpauthkey,
2969                                            sizeof(sctpauthkey), labelbuffer,
2970                                            sizeof(labelbuffer), NULL, 0,
2971                                            0) <= 0) {
2972                 ossl_statem_set_error(s);
2973                 return WORK_ERROR;
2974             }
2975
2976             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2977                      sizeof(sctpauthkey), sctpauthkey);
2978         }
2979         wst = WORK_MORE_B;
2980     }
2981
2982     if ((wst == WORK_MORE_B)
2983         /* Is this SCTP? */
2984         && BIO_dgram_is_sctp(SSL_get_wbio(s))
2985         /* Are we renegotiating? */
2986         && s->renegotiate
2987         /* Are we going to skip the CertificateVerify? */
2988         && (s->session->peer == NULL || s->statem.no_cert_verify)
2989         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2990         s->s3->in_read_app_data = 2;
2991         s->rwstate = SSL_READING;
2992         BIO_clear_retry_flags(SSL_get_rbio(s));
2993         BIO_set_retry_read(SSL_get_rbio(s));
2994         ossl_statem_set_sctp_read_sock(s, 1);
2995         return WORK_MORE_B;
2996     } else {
2997         ossl_statem_set_sctp_read_sock(s, 0);
2998     }
2999 #endif
3000
3001     if (s->statem.no_cert_verify || !s->session->peer) {
3002         /*
3003          * No certificate verify or no peer certificate so we no longer need
3004          * the handshake_buffer
3005          */
3006         if (!ssl3_digest_cached_records(s, 0)) {
3007             ossl_statem_set_error(s);
3008             return WORK_ERROR;
3009         }
3010         return WORK_FINISHED_CONTINUE;
3011     } else {
3012         if (!s->s3->handshake_buffer) {
3013             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
3014                    ERR_R_INTERNAL_ERROR);
3015             ossl_statem_set_error(s);
3016             return WORK_ERROR;
3017         }
3018         /*
3019          * For sigalgs freeze the handshake buffer. If we support
3020          * extms we've done this already so this is a no-op
3021          */
3022         if (!ssl3_digest_cached_records(s, 1)) {
3023             ossl_statem_set_error(s);
3024             return WORK_ERROR;
3025         }
3026     }
3027
3028     return WORK_FINISHED_CONTINUE;
3029 }
3030
3031 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
3032 {
3033     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
3034     X509 *x = NULL;
3035     unsigned long l, llen;
3036     const unsigned char *certstart, *certbytes;
3037     STACK_OF(X509) *sk = NULL;
3038     PACKET spkt, context;
3039     size_t chainidx;
3040
3041     if ((sk = sk_X509_new_null()) == NULL) {
3042         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3043         goto f_err;
3044     }
3045
3046     /* TODO(TLS1.3): For now we ignore the context. We need to verify this */
3047     if ((SSL_IS_TLS13(s) && !PACKET_get_length_prefixed_1(pkt, &context))
3048             || !PACKET_get_net_3(pkt, &llen)
3049             || !PACKET_get_sub_packet(pkt, &spkt, llen)
3050             || PACKET_remaining(pkt) != 0) {
3051         al = SSL_AD_DECODE_ERROR;
3052         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
3053         goto f_err;
3054     }
3055
3056     for (chainidx = 0; PACKET_remaining(&spkt) > 0; chainidx++) {
3057         if (!PACKET_get_net_3(&spkt, &l)
3058             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
3059             al = SSL_AD_DECODE_ERROR;
3060             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3061                    SSL_R_CERT_LENGTH_MISMATCH);
3062             goto f_err;
3063         }
3064
3065         certstart = certbytes;
3066         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
3067         if (x == NULL) {
3068             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
3069             goto f_err;
3070         }
3071         if (certbytes != (certstart + l)) {
3072             al = SSL_AD_DECODE_ERROR;
3073             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3074                    SSL_R_CERT_LENGTH_MISMATCH);
3075             goto f_err;
3076         }
3077
3078         if (SSL_IS_TLS13(s)) {
3079             RAW_EXTENSION *rawexts = NULL;
3080             PACKET extensions;
3081
3082             if (!PACKET_get_length_prefixed_2(&spkt, &extensions)) {
3083                 al = SSL_AD_DECODE_ERROR;
3084                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_BAD_LENGTH);
3085                 goto f_err;
3086             }
3087             if (!tls_collect_extensions(s, &extensions, EXT_TLS1_3_CERTIFICATE,
3088                                         &rawexts, &al)
3089                     || !tls_parse_all_extensions(s, EXT_TLS1_3_CERTIFICATE,
3090                                                  rawexts, x, chainidx, &al)) {
3091                 OPENSSL_free(rawexts);
3092                 goto f_err;
3093             }
3094             OPENSSL_free(rawexts);
3095         }
3096
3097         if (!sk_X509_push(sk, x)) {
3098             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3099             goto f_err;
3100         }
3101         x = NULL;
3102     }
3103
3104     if (sk_X509_num(sk) <= 0) {
3105         /* TLS does not mind 0 certs returned */
3106         if (s->version == SSL3_VERSION) {
3107             al = SSL_AD_HANDSHAKE_FAILURE;
3108             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3109                    SSL_R_NO_CERTIFICATES_RETURNED);
3110             goto f_err;
3111         }
3112         /* Fail for TLS only if we required a certificate */
3113         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
3114                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
3115             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3116                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
3117             al = SSL_AD_HANDSHAKE_FAILURE;
3118             goto f_err;
3119         }
3120         /* No client certificate so digest cached records */
3121         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
3122             goto f_err;
3123         }
3124     } else {
3125         EVP_PKEY *pkey;
3126         i = ssl_verify_cert_chain(s, sk);
3127         if (i <= 0) {
3128             al = ssl_verify_alarm_type(s->verify_result);
3129             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3130                    SSL_R_CERTIFICATE_VERIFY_FAILED);
3131             goto f_err;
3132         }
3133         if (i > 1) {
3134             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
3135             al = SSL_AD_HANDSHAKE_FAILURE;
3136             goto f_err;
3137         }
3138         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
3139         if (pkey == NULL) {
3140             al = SSL3_AD_HANDSHAKE_FAILURE;
3141             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3142                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
3143             goto f_err;
3144         }
3145     }
3146
3147     X509_free(s->session->peer);
3148     s->session->peer = sk_X509_shift(sk);
3149     s->session->verify_result = s->verify_result;
3150
3151     sk_X509_pop_free(s->session->peer_chain, X509_free);
3152     s->session->peer_chain = sk;
3153
3154     /*
3155      * Freeze the handshake buffer. For <TLS1.3 we do this after the CKE
3156      * message
3157      */
3158     if (SSL_IS_TLS13(s) && !ssl3_digest_cached_records(s, 1)) {
3159         al = SSL_AD_INTERNAL_ERROR;
3160         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3161         goto f_err;
3162     }
3163
3164     /*
3165      * Inconsistency alert: cert_chain does *not* include the peer's own
3166      * certificate, while we do include it in statem_clnt.c
3167      */
3168     sk = NULL;
3169
3170     /* Save the current hash state for when we receive the CertificateVerify */
3171     if (SSL_IS_TLS13(s)
3172             && !ssl_handshake_hash(s, s->cert_verify_hash,
3173                                    sizeof(s->cert_verify_hash),
3174                                    &s->cert_verify_hash_len)) {
3175         al = SSL_AD_INTERNAL_ERROR;
3176         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3177         goto f_err;
3178     }
3179
3180     ret = MSG_PROCESS_CONTINUE_READING;
3181     goto done;
3182
3183  f_err:
3184     ssl3_send_alert(s, SSL3_AL_FATAL, al);
3185     ossl_statem_set_error(s);
3186  done:
3187     X509_free(x);
3188     sk_X509_pop_free(sk, X509_free);
3189     return ret;
3190 }
3191
3192 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
3193 {
3194     CERT_PKEY *cpk;
3195     int al = SSL_AD_INTERNAL_ERROR;
3196
3197     cpk = ssl_get_server_send_pkey(s);
3198     if (cpk == NULL) {
3199         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3200         return 0;
3201     }
3202
3203     /*
3204      * In TLSv1.3 the certificate chain is always preceded by a 0 length context
3205      * for the server Certificate message
3206      */
3207     if ((SSL_IS_TLS13(s) && !WPACKET_put_bytes_u8(pkt, 0))
3208             || !ssl3_output_cert_chain(s, pkt, cpk, &al)) {
3209         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3210         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3211         return 0;
3212     }
3213
3214     return 1;
3215 }
3216
3217 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
3218 {
3219     unsigned char *senc = NULL;
3220     EVP_CIPHER_CTX *ctx = NULL;
3221     HMAC_CTX *hctx = NULL;
3222     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
3223     const unsigned char *const_p;
3224     int len, slen_full, slen, lenfinal;
3225     SSL_SESSION *sess;
3226     unsigned int hlen;
3227     SSL_CTX *tctx = s->session_ctx;
3228     unsigned char iv[EVP_MAX_IV_LENGTH];
3229     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
3230     int iv_len, al = SSL_AD_INTERNAL_ERROR;
3231     size_t macoffset, macendoffset;
3232     union {
3233         unsigned char age_add_c[sizeof(uint32_t)];
3234         uint32_t age_add;
3235     } age_add_u;
3236
3237     if (SSL_IS_TLS13(s)) {
3238         if (RAND_bytes(age_add_u.age_add_c, sizeof(age_add_u)) <= 0)
3239             goto err;
3240         s->session->ext.tick_age_add = age_add_u.age_add;
3241     }
3242
3243     /* get session encoding length */
3244     slen_full = i2d_SSL_SESSION(s->session, NULL);
3245     /*
3246      * Some length values are 16 bits, so forget it if session is too
3247      * long
3248      */
3249     if (slen_full == 0 || slen_full > 0xFF00) {
3250         ossl_statem_set_error(s);
3251         return 0;
3252     }
3253     senc = OPENSSL_malloc(slen_full);
3254     if (senc == NULL) {
3255         ossl_statem_set_error(s);
3256         return 0;
3257     }
3258
3259     ctx = EVP_CIPHER_CTX_new();
3260     hctx = HMAC_CTX_new();
3261     if (ctx == NULL || hctx == NULL) {
3262         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
3263         goto err;
3264     }
3265
3266     p = senc;
3267     if (!i2d_SSL_SESSION(s->session, &p))
3268         goto err;
3269
3270     /*
3271      * create a fresh copy (not shared with other threads) to clean up
3272      */
3273     const_p = senc;
3274     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3275     if (sess == NULL)
3276         goto err;
3277     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3278
3279     slen = i2d_SSL_SESSION(sess, NULL);
3280     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3281         SSL_SESSION_free(sess);
3282         goto err;
3283     }
3284     p = senc;
3285     if (!i2d_SSL_SESSION(sess, &p)) {
3286         SSL_SESSION_free(sess);
3287         goto err;
3288     }
3289     SSL_SESSION_free(sess);
3290
3291     /*
3292      * Initialize HMAC and cipher contexts. If callback present it does
3293      * all the work otherwise use generated values from parent ctx.
3294      */
3295     if (tctx->ext.ticket_key_cb) {
3296         /* if 0 is returned, write an empty ticket */
3297         int ret = tctx->ext.ticket_key_cb(s, key_name, iv, ctx,
3298                                              hctx, 1);
3299
3300         if (ret == 0) {
3301
3302             /* Put timeout and length */
3303             if (!WPACKET_put_bytes_u32(pkt, 0)
3304                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3305                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3306                        ERR_R_INTERNAL_ERROR);
3307                 goto err;
3308             }
3309             OPENSSL_free(senc);
3310             EVP_CIPHER_CTX_free(ctx);
3311             HMAC_CTX_free(hctx);
3312             return 1;
3313         }
3314         if (ret < 0)
3315             goto err;
3316         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3317     } else {
3318         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3319
3320         iv_len = EVP_CIPHER_iv_length(cipher);
3321         if (RAND_bytes(iv, iv_len) <= 0)
3322             goto err;
3323         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3324                                 tctx->ext.tick_aes_key, iv))
3325             goto err;
3326         if (!HMAC_Init_ex(hctx, tctx->ext.tick_hmac_key,
3327                           sizeof(tctx->ext.tick_hmac_key),
3328                           EVP_sha256(), NULL))
3329             goto err;
3330         memcpy(key_name, tctx->ext.tick_key_name,
3331                sizeof(tctx->ext.tick_key_name));
3332     }
3333
3334     /*
3335      * Ticket lifetime hint (advisory only): We leave this unspecified
3336      * for resumed session (for simplicity), and guess that tickets for
3337      * new sessions will live as long as their sessions.
3338      */
3339     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3340             || (SSL_IS_TLS13(s)
3341                 && !WPACKET_put_bytes_u32(pkt, age_add_u.age_add))
3342                /* Now the actual ticket data */
3343             || !WPACKET_start_sub_packet_u16(pkt)
3344             || !WPACKET_get_total_written(pkt, &macoffset)
3345                /* Output key name */
3346             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3347                /* output IV */
3348             || !WPACKET_memcpy(pkt, iv, iv_len)
3349             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3350                                       &encdata1)
3351                /* Encrypt session data */
3352             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3353             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3354             || encdata1 != encdata2
3355             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3356             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3357             || encdata1 + len != encdata2
3358             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3359             || !WPACKET_get_total_written(pkt, &macendoffset)
3360             || !HMAC_Update(hctx,
3361                             (unsigned char *)s->init_buf->data + macoffset,
3362                             macendoffset - macoffset)
3363             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3364             || !HMAC_Final(hctx, macdata1, &hlen)
3365             || hlen > EVP_MAX_MD_SIZE
3366             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3367             || macdata1 != macdata2
3368             || !WPACKET_close(pkt)
3369             || (SSL_IS_TLS13(s)
3370                 && !tls_construct_extensions(s, pkt,
3371                                              EXT_TLS1_3_NEW_SESSION_TICKET,
3372                                              NULL, 0, &al))) {
3373         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3374         goto err;
3375     }
3376     EVP_CIPHER_CTX_free(ctx);
3377     HMAC_CTX_free(hctx);
3378     OPENSSL_free(senc);
3379
3380     return 1;
3381  err:
3382     OPENSSL_free(senc);
3383     EVP_CIPHER_CTX_free(ctx);
3384     HMAC_CTX_free(hctx);
3385     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3386     return 0;
3387 }
3388
3389 /*
3390  * In TLSv1.3 this is called from the extensions code, otherwise it is used to
3391  * create a separate message. Returns 1 on success or 0 on failure.
3392  */
3393 int tls_construct_cert_status_body(SSL *s, WPACKET *pkt)
3394 {
3395     if (!WPACKET_put_bytes_u8(pkt, s->ext.status_type)
3396             || !WPACKET_sub_memcpy_u24(pkt, s->ext.ocsp.resp,
3397                                        s->ext.ocsp.resp_len)) {
3398         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS_BODY, ERR_R_INTERNAL_ERROR);
3399         return 0;
3400     }
3401
3402     return 1;
3403 }
3404
3405 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3406 {
3407     if (!tls_construct_cert_status_body(s, pkt)) {
3408         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3409         return 0;
3410     }
3411
3412     return 1;
3413 }
3414
3415 #ifndef OPENSSL_NO_NEXTPROTONEG
3416 /*
3417  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3418  * It sets the next_proto member in s if found
3419  */
3420 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3421 {
3422     PACKET next_proto, padding;
3423     size_t next_proto_len;
3424
3425     /*-
3426      * The payload looks like:
3427      *   uint8 proto_len;
3428      *   uint8 proto[proto_len];
3429      *   uint8 padding_len;
3430      *   uint8 padding[padding_len];
3431      */
3432     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3433         || !PACKET_get_length_prefixed_1(pkt, &padding)
3434         || PACKET_remaining(pkt) > 0) {
3435         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3436         goto err;
3437     }
3438
3439     if (!PACKET_memdup(&next_proto, &s->ext.npn, &next_proto_len)) {
3440         s->ext.npn_len = 0;
3441         goto err;
3442     }
3443
3444     s->ext.npn_len = (unsigned char)next_proto_len;
3445
3446     return MSG_PROCESS_CONTINUE_READING;
3447  err:
3448     ossl_statem_set_error(s);
3449     return MSG_PROCESS_ERROR;
3450 }
3451 #endif
3452
3453 static int tls_construct_encrypted_extensions(SSL *s, WPACKET *pkt)
3454 {
3455     int al;
3456
3457     if (!tls_construct_extensions(s, pkt, EXT_TLS1_3_ENCRYPTED_EXTENSIONS,
3458                                   NULL, 0, &al)) {
3459         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3460         SSLerr(SSL_F_TLS_CONSTRUCT_ENCRYPTED_EXTENSIONS, ERR_R_INTERNAL_ERROR);
3461         ssl3_send_alert(s, SSL3_AL_FATAL, al);
3462         return 0;
3463     }
3464
3465     return 1;
3466 }
3467
3468 #define SSLV2_CIPHER_LEN    3
3469
3470 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3471                                                PACKET *cipher_suites,
3472                                                STACK_OF(SSL_CIPHER) **skp,
3473                                                int sslv2format, int *al)
3474 {
3475     const SSL_CIPHER *c;
3476     STACK_OF(SSL_CIPHER) *sk;
3477     int n;
3478     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3479     unsigned char cipher[SSLV2_CIPHER_LEN];
3480
3481     s->s3->send_connection_binding = 0;
3482
3483     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3484
3485     if (PACKET_remaining(cipher_suites) == 0) {
3486         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3487         *al = SSL_AD_ILLEGAL_PARAMETER;
3488         return NULL;
3489     }
3490
3491     if (PACKET_remaining(cipher_suites) % n != 0) {
3492         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3493                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3494         *al = SSL_AD_DECODE_ERROR;
3495         return NULL;
3496     }
3497
3498     sk = sk_SSL_CIPHER_new_null();
3499     if (sk == NULL) {
3500         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3501         *al = SSL_AD_INTERNAL_ERROR;
3502         return NULL;
3503     }
3504
3505     if (sslv2format) {
3506         size_t numciphers = PACKET_remaining(cipher_suites) / n;
3507         PACKET sslv2ciphers = *cipher_suites;
3508         unsigned int leadbyte;
3509         unsigned char *raw;
3510
3511         /*
3512          * We store the raw ciphers list in SSLv3+ format so we need to do some
3513          * preprocessing to convert the list first. If there are any SSLv2 only
3514          * ciphersuites with a non-zero leading byte then we are going to
3515          * slightly over allocate because we won't store those. But that isn't a
3516          * problem.
3517          */
3518         raw = OPENSSL_malloc(numciphers * TLS_CIPHER_LEN);
3519         s->s3->tmp.ciphers_raw = raw;
3520         if (raw == NULL) {
3521             *al = SSL_AD_INTERNAL_ERROR;
3522             goto err;
3523         }
3524         for (s->s3->tmp.ciphers_rawlen = 0;
3525              PACKET_remaining(&sslv2ciphers) > 0;
3526              raw += TLS_CIPHER_LEN) {
3527             if (!PACKET_get_1(&sslv2ciphers, &leadbyte)
3528                     || (leadbyte == 0
3529                         && !PACKET_copy_bytes(&sslv2ciphers, raw,
3530                                               TLS_CIPHER_LEN))
3531                     || (leadbyte != 0
3532                         && !PACKET_forward(&sslv2ciphers, TLS_CIPHER_LEN))) {
3533                 *al = SSL_AD_INTERNAL_ERROR;
3534                 OPENSSL_free(s->s3->tmp.ciphers_raw);
3535                 s->s3->tmp.ciphers_raw = NULL;
3536                 s->s3->tmp.ciphers_rawlen = 0;
3537                 goto err;
3538             }
3539             if (leadbyte == 0)
3540                 s->s3->tmp.ciphers_rawlen += TLS_CIPHER_LEN;
3541         }
3542     } else if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3543                            &s->s3->tmp.ciphers_rawlen)) {
3544         *al = SSL_AD_INTERNAL_ERROR;
3545         goto err;
3546     }
3547
3548     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3549         /*
3550          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3551          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3552          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3553          */
3554         if (sslv2format && cipher[0] != '\0')
3555             continue;
3556
3557         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3558         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3559             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3560             /* SCSV fatal if renegotiating */
3561             if (s->renegotiate) {
3562                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3563                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3564                 *al = SSL_AD_HANDSHAKE_FAILURE;
3565                 goto err;
3566             }
3567             s->s3->send_connection_binding = 1;
3568             continue;
3569         }
3570
3571         /* Check for TLS_FALLBACK_SCSV */
3572         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3573             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3574             /*
3575              * The SCSV indicates that the client previously tried a higher
3576              * version. Fail if the current version is an unexpected
3577              * downgrade.
3578              */
3579             if (!ssl_check_version_downgrade(s)) {
3580                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3581                        SSL_R_INAPPROPRIATE_FALLBACK);
3582                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3583                 goto err;
3584             }
3585             continue;
3586         }
3587
3588         /* For SSLv2-compat, ignore leading 0-byte. */
3589         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3590         if (c != NULL) {
3591             if (!sk_SSL_CIPHER_push(sk, c)) {
3592                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3593                 *al = SSL_AD_INTERNAL_ERROR;
3594                 goto err;
3595             }
3596         }
3597     }
3598     if (PACKET_remaining(cipher_suites) > 0) {
3599         *al = SSL_AD_INTERNAL_ERROR;
3600         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3601         goto err;
3602     }
3603
3604     *skp = sk;
3605     return sk;
3606  err:
3607     sk_SSL_CIPHER_free(sk);
3608     return NULL;
3609 }