33808ed9f488dc6d1953bea2096c7fdb29f67217
[oweals/openssl.git] / ssl / statem / statem_srvr.c
1 /*
2  * Copyright 1995-2016 The OpenSSL Project Authors. All Rights Reserved.
3  *
4  * Licensed under the OpenSSL license (the "License").  You may not use
5  * this file except in compliance with the License.  You can obtain a copy
6  * in the file LICENSE in the source distribution or at
7  * https://www.openssl.org/source/license.html
8  */
9
10 /* ====================================================================
11  * Copyright 2002 Sun Microsystems, Inc. ALL RIGHTS RESERVED.
12  *
13  * Portions of the attached software ("Contribution") are developed by
14  * SUN MICROSYSTEMS, INC., and are contributed to the OpenSSL project.
15  *
16  * The Contribution is licensed pursuant to the OpenSSL open source
17  * license provided above.
18  *
19  * ECC cipher suite support in OpenSSL originally written by
20  * Vipul Gupta and Sumit Gupta of Sun Microsystems Laboratories.
21  *
22  */
23 /* ====================================================================
24  * Copyright 2005 Nokia. All rights reserved.
25  *
26  * The portions of the attached software ("Contribution") is developed by
27  * Nokia Corporation and is licensed pursuant to the OpenSSL open source
28  * license.
29  *
30  * The Contribution, originally written by Mika Kousa and Pasi Eronen of
31  * Nokia Corporation, consists of the "PSK" (Pre-Shared Key) ciphersuites
32  * support (see RFC 4279) to OpenSSL.
33  *
34  * No patent licenses or other rights except those expressly stated in
35  * the OpenSSL open source license shall be deemed granted or received
36  * expressly, by implication, estoppel, or otherwise.
37  *
38  * No assurances are provided by Nokia that the Contribution does not
39  * infringe the patent or other intellectual property rights of any third
40  * party or that the license provides you with all the necessary rights
41  * to make use of the Contribution.
42  *
43  * THE SOFTWARE IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND. IN
44  * ADDITION TO THE DISCLAIMERS INCLUDED IN THE LICENSE, NOKIA
45  * SPECIFICALLY DISCLAIMS ANY LIABILITY FOR CLAIMS BROUGHT BY YOU OR ANY
46  * OTHER ENTITY BASED ON INFRINGEMENT OF INTELLECTUAL PROPERTY RIGHTS OR
47  * OTHERWISE.
48  */
49
50 #include <stdio.h>
51 #include "../ssl_locl.h"
52 #include "statem_locl.h"
53 #include "internal/constant_time_locl.h"
54 #include <openssl/buffer.h>
55 #include <openssl/rand.h>
56 #include <openssl/objects.h>
57 #include <openssl/evp.h>
58 #include <openssl/hmac.h>
59 #include <openssl/x509.h>
60 #include <openssl/dh.h>
61 #include <openssl/bn.h>
62 #include <openssl/md5.h>
63
64 static STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
65                                                       PACKET *cipher_suites,
66                                                       STACK_OF(SSL_CIPHER)
67                                                       **skp, int sslv2format,
68                                                       int *al);
69
70 /*
71  * ossl_statem_server13_read_transition() encapsulates the logic for the allowed
72  * handshake state transitions when a TLSv1.3 server is reading messages from
73  * the client. The message type that the client has sent is provided in |mt|.
74  * The current state is in |s->statem.hand_state|.
75  *
76  * Return values are 1 for success (transition allowed) and  0 on error
77  * (transition not allowed)
78  */
79 static int ossl_statem_server13_read_transition(SSL *s, int mt)
80 {
81     OSSL_STATEM *st = &s->statem;
82
83     /*
84      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
85      * we will update this to look more like real TLSv1.3
86      */
87
88     /*
89      * Note: There is no case for TLS_ST_BEFORE because at that stage we have
90      * not negotiated TLSv1.3 yet, so that case is handled by
91      * ossl_statem_server_read_transition()
92      */
93     switch (st->hand_state) {
94     default:
95         break;
96
97     case TLS_ST_SW_FINISHED:
98         if (s->s3->tmp.cert_request) {
99             if (mt == SSL3_MT_CERTIFICATE) {
100                 st->hand_state = TLS_ST_SR_CERT;
101                 return 1;
102             }
103         } else {
104             if (mt == SSL3_MT_FINISHED) {
105                 st->hand_state = TLS_ST_SR_FINISHED;
106                 return 1;
107             }
108         }
109         break;
110
111     case TLS_ST_SR_CERT:
112         if (s->session->peer == NULL) {
113             if (mt == SSL3_MT_FINISHED) {
114                 st->hand_state = TLS_ST_SR_FINISHED;
115                 return 1;
116             }
117         } else {
118             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
119                 st->hand_state = TLS_ST_SR_CERT_VRFY;
120                 return 1;
121             }
122         }
123         break;
124
125     case TLS_ST_SR_CERT_VRFY:
126         if (mt == SSL3_MT_FINISHED) {
127             st->hand_state = TLS_ST_SR_FINISHED;
128             return 1;
129         }
130         break;
131     }
132
133     /* No valid transition found */
134     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
135     SSLerr(SSL_F_OSSL_STATEM_SERVER13_READ_TRANSITION,
136            SSL_R_UNEXPECTED_MESSAGE);
137     return 0;
138 }
139
140 /*
141  * ossl_statem_server_read_transition() encapsulates the logic for the allowed
142  * handshake state transitions when the server is reading messages from the
143  * client. The message type that the client has sent is provided in |mt|. The
144  * current state is in |s->statem.hand_state|.
145  *
146  * Return values are 1 for success (transition allowed) and  0 on error
147  * (transition not allowed)
148  */
149 int ossl_statem_server_read_transition(SSL *s, int mt)
150 {
151     OSSL_STATEM *st = &s->statem;
152
153     if (SSL_IS_TLS13(s)) {
154         if (!ossl_statem_server13_read_transition(s, mt))
155             goto err;
156         return 1;
157     }
158
159     switch (st->hand_state) {
160     default:
161         break;
162
163     case TLS_ST_BEFORE:
164     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
165         if (mt == SSL3_MT_CLIENT_HELLO) {
166             st->hand_state = TLS_ST_SR_CLNT_HELLO;
167             return 1;
168         }
169         break;
170
171     case TLS_ST_SW_SRVR_DONE:
172         /*
173          * If we get a CKE message after a ServerDone then either
174          * 1) We didn't request a Certificate
175          * OR
176          * 2) If we did request one then
177          *      a) We allow no Certificate to be returned
178          *      AND
179          *      b) We are running SSL3 (in TLS1.0+ the client must return a 0
180          *         list if we requested a certificate)
181          */
182         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
183             if (s->s3->tmp.cert_request) {
184                 if (s->version == SSL3_VERSION) {
185                     if ((s->verify_mode & SSL_VERIFY_PEER)
186                         && (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
187                         /*
188                          * This isn't an unexpected message as such - we're just
189                          * not going to accept it because we require a client
190                          * cert.
191                          */
192                         ssl3_send_alert(s, SSL3_AL_FATAL,
193                                         SSL3_AD_HANDSHAKE_FAILURE);
194                         SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION,
195                                SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
196                         return 0;
197                     }
198                     st->hand_state = TLS_ST_SR_KEY_EXCH;
199                     return 1;
200                 }
201             } else {
202                 st->hand_state = TLS_ST_SR_KEY_EXCH;
203                 return 1;
204             }
205         } else if (s->s3->tmp.cert_request) {
206             if (mt == SSL3_MT_CERTIFICATE) {
207                 st->hand_state = TLS_ST_SR_CERT;
208                 return 1;
209             }
210         }
211         break;
212
213     case TLS_ST_SR_CERT:
214         if (mt == SSL3_MT_CLIENT_KEY_EXCHANGE) {
215             st->hand_state = TLS_ST_SR_KEY_EXCH;
216             return 1;
217         }
218         break;
219
220     case TLS_ST_SR_KEY_EXCH:
221         /*
222          * We should only process a CertificateVerify message if we have
223          * received a Certificate from the client. If so then |s->session->peer|
224          * will be non NULL. In some instances a CertificateVerify message is
225          * not required even if the peer has sent a Certificate (e.g. such as in
226          * the case of static DH). In that case |st->no_cert_verify| should be
227          * set.
228          */
229         if (s->session->peer == NULL || st->no_cert_verify) {
230             if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
231                 /*
232                  * For the ECDH ciphersuites when the client sends its ECDH
233                  * pub key in a certificate, the CertificateVerify message is
234                  * not sent. Also for GOST ciphersuites when the client uses
235                  * its key from the certificate for key exchange.
236                  */
237                 st->hand_state = TLS_ST_SR_CHANGE;
238                 return 1;
239             }
240         } else {
241             if (mt == SSL3_MT_CERTIFICATE_VERIFY) {
242                 st->hand_state = TLS_ST_SR_CERT_VRFY;
243                 return 1;
244             }
245         }
246         break;
247
248     case TLS_ST_SR_CERT_VRFY:
249         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
250             st->hand_state = TLS_ST_SR_CHANGE;
251             return 1;
252         }
253         break;
254
255     case TLS_ST_SR_CHANGE:
256 #ifndef OPENSSL_NO_NEXTPROTONEG
257         if (s->s3->next_proto_neg_seen) {
258             if (mt == SSL3_MT_NEXT_PROTO) {
259                 st->hand_state = TLS_ST_SR_NEXT_PROTO;
260                 return 1;
261             }
262         } else {
263 #endif
264             if (mt == SSL3_MT_FINISHED) {
265                 st->hand_state = TLS_ST_SR_FINISHED;
266                 return 1;
267             }
268 #ifndef OPENSSL_NO_NEXTPROTONEG
269         }
270 #endif
271         break;
272
273 #ifndef OPENSSL_NO_NEXTPROTONEG
274     case TLS_ST_SR_NEXT_PROTO:
275         if (mt == SSL3_MT_FINISHED) {
276             st->hand_state = TLS_ST_SR_FINISHED;
277             return 1;
278         }
279         break;
280 #endif
281
282     case TLS_ST_SW_FINISHED:
283         if (mt == SSL3_MT_CHANGE_CIPHER_SPEC) {
284             st->hand_state = TLS_ST_SR_CHANGE;
285             return 1;
286         }
287         break;
288     }
289
290  err:
291     /* No valid transition found */
292     ssl3_send_alert(s, SSL3_AL_FATAL, SSL3_AD_UNEXPECTED_MESSAGE);
293     SSLerr(SSL_F_OSSL_STATEM_SERVER_READ_TRANSITION, SSL_R_UNEXPECTED_MESSAGE);
294     return 0;
295 }
296
297 /*
298  * Should we send a ServerKeyExchange message?
299  *
300  * Valid return values are:
301  *   1: Yes
302  *   0: No
303  */
304 static int send_server_key_exchange(SSL *s)
305 {
306     unsigned long alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
307
308     /*
309      * only send a ServerKeyExchange if DH or fortezza but we have a
310      * sign only certificate PSK: may send PSK identity hints For
311      * ECC ciphersuites, we send a serverKeyExchange message only if
312      * the cipher suite is either ECDH-anon or ECDHE. In other cases,
313      * the server certificate contains the server's public key for
314      * key exchange.
315      */
316     if (alg_k & (SSL_kDHE | SSL_kECDHE)
317         /*
318          * PSK: send ServerKeyExchange if PSK identity hint if
319          * provided
320          */
321 #ifndef OPENSSL_NO_PSK
322         /* Only send SKE if we have identity hint for plain PSK */
323         || ((alg_k & (SSL_kPSK | SSL_kRSAPSK))
324             && s->cert->psk_identity_hint)
325         /* For other PSK always send SKE */
326         || (alg_k & (SSL_PSK & (SSL_kDHEPSK | SSL_kECDHEPSK)))
327 #endif
328 #ifndef OPENSSL_NO_SRP
329         /* SRP: send ServerKeyExchange */
330         || (alg_k & SSL_kSRP)
331 #endif
332         ) {
333         return 1;
334     }
335
336     return 0;
337 }
338
339 /*
340  * Should we send a CertificateRequest message?
341  *
342  * Valid return values are:
343  *   1: Yes
344  *   0: No
345  */
346 static int send_certificate_request(SSL *s)
347 {
348     if (
349            /* don't request cert unless asked for it: */
350            s->verify_mode & SSL_VERIFY_PEER
351            /*
352             * if SSL_VERIFY_CLIENT_ONCE is set, don't request cert
353             * during re-negotiation:
354             */
355            && ((s->session->peer == NULL) ||
356                !(s->verify_mode & SSL_VERIFY_CLIENT_ONCE))
357            /*
358             * never request cert in anonymous ciphersuites (see
359             * section "Certificate request" in SSL 3 drafts and in
360             * RFC 2246):
361             */
362            && (!(s->s3->tmp.new_cipher->algorithm_auth & SSL_aNULL)
363                /*
364                 * ... except when the application insists on
365                 * verification (against the specs, but statem_clnt.c accepts
366                 * this for SSL 3)
367                 */
368                || (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT))
369            /* don't request certificate for SRP auth */
370            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aSRP)
371            /*
372             * With normal PSK Certificates and Certificate Requests
373             * are omitted
374             */
375            && !(s->s3->tmp.new_cipher->algorithm_auth & SSL_aPSK)) {
376         return 1;
377     }
378
379     return 0;
380 }
381
382 /*
383  * ossl_statem_server13_write_transition() works out what handshake state to
384  * move to next when a TLSv1.3 server is writing messages to be sent to the
385  * client.
386  */
387 static WRITE_TRAN ossl_statem_server13_write_transition(SSL *s)
388 {
389     OSSL_STATEM *st = &s->statem;
390
391     /*
392      * TODO(TLS1.3): This is still based on the TLSv1.2 state machine. Over time
393      * we will update this to look more like real TLSv1.3
394      */
395
396     /*
397      * No case for TLS_ST_BEFORE, because at that stage we have not negotiated
398      * TLSv1.3 yet, so that is handled by ossl_statem_server_write_transition()
399      */
400
401     switch (st->hand_state) {
402     default:
403         /* Shouldn't happen */
404         return WRITE_TRAN_ERROR;
405
406     case TLS_ST_SR_CLNT_HELLO:
407         st->hand_state = TLS_ST_SW_SRVR_HELLO;
408         return WRITE_TRAN_CONTINUE;
409
410     case TLS_ST_SW_SRVR_HELLO:
411         if (s->hit)
412             st->hand_state = TLS_ST_SW_FINISHED;
413         else if (send_certificate_request(s))
414             st->hand_state = TLS_ST_SW_CERT_REQ;
415         else
416             st->hand_state = TLS_ST_SW_CERT;
417
418         return WRITE_TRAN_CONTINUE;
419
420     case TLS_ST_SW_CERT_REQ:
421         st->hand_state = TLS_ST_SW_CERT;
422         return WRITE_TRAN_CONTINUE;
423
424     case TLS_ST_SW_CERT:
425             st->hand_state = s->tlsext_status_expected ? TLS_ST_SW_CERT_STATUS
426                                                        : TLS_ST_SW_FINISHED;
427         return WRITE_TRAN_CONTINUE;
428
429     case TLS_ST_SW_CERT_STATUS:
430         st->hand_state = TLS_ST_SW_FINISHED;
431         return WRITE_TRAN_CONTINUE;
432
433     case TLS_ST_SW_FINISHED:
434         return WRITE_TRAN_FINISHED;
435
436     case TLS_ST_SR_FINISHED:
437         st->hand_state = TLS_ST_OK;
438         ossl_statem_set_in_init(s, 0);
439         return WRITE_TRAN_CONTINUE;
440     }
441 }
442
443 /*
444  * ossl_statem_server_write_transition() works out what handshake state to move
445  * to next when the server is writing messages to be sent to the client.
446  */
447 WRITE_TRAN ossl_statem_server_write_transition(SSL *s)
448 {
449     OSSL_STATEM *st = &s->statem;
450
451     /*
452      * Note that before the ClientHello we don't know what version we are going
453      * to negotiate yet, so we don't take this branch until later
454      */
455
456     if (SSL_IS_TLS13(s))
457         return ossl_statem_server13_write_transition(s);
458
459     switch (st->hand_state) {
460     default:
461         /* Shouldn't happen */
462         return WRITE_TRAN_ERROR;
463
464     case TLS_ST_BEFORE:
465         /* Just go straight to trying to read from the client */
466         return WRITE_TRAN_FINISHED;
467
468     case TLS_ST_OK:
469         /* We must be trying to renegotiate */
470         st->hand_state = TLS_ST_SW_HELLO_REQ;
471         return WRITE_TRAN_CONTINUE;
472
473     case TLS_ST_SW_HELLO_REQ:
474         st->hand_state = TLS_ST_OK;
475         ossl_statem_set_in_init(s, 0);
476         return WRITE_TRAN_CONTINUE;
477
478     case TLS_ST_SR_CLNT_HELLO:
479         if (SSL_IS_DTLS(s) && !s->d1->cookie_verified
480             && (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE))
481             st->hand_state = DTLS_ST_SW_HELLO_VERIFY_REQUEST;
482         else
483             st->hand_state = TLS_ST_SW_SRVR_HELLO;
484         return WRITE_TRAN_CONTINUE;
485
486     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
487         return WRITE_TRAN_FINISHED;
488
489     case TLS_ST_SW_SRVR_HELLO:
490         if (s->hit) {
491             if (s->tlsext_ticket_expected)
492                 st->hand_state = TLS_ST_SW_SESSION_TICKET;
493             else
494                 st->hand_state = TLS_ST_SW_CHANGE;
495         } else {
496             /* Check if it is anon DH or anon ECDH, */
497             /* normal PSK or SRP */
498             if (!(s->s3->tmp.new_cipher->algorithm_auth &
499                   (SSL_aNULL | SSL_aSRP | SSL_aPSK))) {
500                 st->hand_state = TLS_ST_SW_CERT;
501             } else if (send_server_key_exchange(s)) {
502                 st->hand_state = TLS_ST_SW_KEY_EXCH;
503             } else if (send_certificate_request(s)) {
504                 st->hand_state = TLS_ST_SW_CERT_REQ;
505             } else {
506                 st->hand_state = TLS_ST_SW_SRVR_DONE;
507             }
508         }
509         return WRITE_TRAN_CONTINUE;
510
511     case TLS_ST_SW_CERT:
512         if (s->tlsext_status_expected) {
513             st->hand_state = TLS_ST_SW_CERT_STATUS;
514             return WRITE_TRAN_CONTINUE;
515         }
516         /* Fall through */
517
518     case TLS_ST_SW_CERT_STATUS:
519         if (send_server_key_exchange(s)) {
520             st->hand_state = TLS_ST_SW_KEY_EXCH;
521             return WRITE_TRAN_CONTINUE;
522         }
523         /* Fall through */
524
525     case TLS_ST_SW_KEY_EXCH:
526         if (send_certificate_request(s)) {
527             st->hand_state = TLS_ST_SW_CERT_REQ;
528             return WRITE_TRAN_CONTINUE;
529         }
530         /* Fall through */
531
532     case TLS_ST_SW_CERT_REQ:
533         st->hand_state = TLS_ST_SW_SRVR_DONE;
534         return WRITE_TRAN_CONTINUE;
535
536     case TLS_ST_SW_SRVR_DONE:
537         return WRITE_TRAN_FINISHED;
538
539     case TLS_ST_SR_FINISHED:
540         if (s->hit) {
541             st->hand_state = TLS_ST_OK;
542             ossl_statem_set_in_init(s, 0);
543             return WRITE_TRAN_CONTINUE;
544         } else if (s->tlsext_ticket_expected) {
545             st->hand_state = TLS_ST_SW_SESSION_TICKET;
546         } else {
547             st->hand_state = TLS_ST_SW_CHANGE;
548         }
549         return WRITE_TRAN_CONTINUE;
550
551     case TLS_ST_SW_SESSION_TICKET:
552         st->hand_state = TLS_ST_SW_CHANGE;
553         return WRITE_TRAN_CONTINUE;
554
555     case TLS_ST_SW_CHANGE:
556         st->hand_state = TLS_ST_SW_FINISHED;
557         return WRITE_TRAN_CONTINUE;
558
559     case TLS_ST_SW_FINISHED:
560         if (s->hit) {
561             return WRITE_TRAN_FINISHED;
562         }
563         st->hand_state = TLS_ST_OK;
564         ossl_statem_set_in_init(s, 0);
565         return WRITE_TRAN_CONTINUE;
566     }
567 }
568
569 /*
570  * Perform any pre work that needs to be done prior to sending a message from
571  * the server to the client.
572  */
573 WORK_STATE ossl_statem_server_pre_work(SSL *s, WORK_STATE wst)
574 {
575     OSSL_STATEM *st = &s->statem;
576
577     switch (st->hand_state) {
578     default:
579         /* No pre work to be done */
580         break;
581
582     case TLS_ST_SW_HELLO_REQ:
583         s->shutdown = 0;
584         if (SSL_IS_DTLS(s))
585             dtls1_clear_sent_buffer(s);
586         break;
587
588     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
589         s->shutdown = 0;
590         if (SSL_IS_DTLS(s)) {
591             dtls1_clear_sent_buffer(s);
592             /* We don't buffer this message so don't use the timer */
593             st->use_timer = 0;
594         }
595         break;
596
597     case TLS_ST_SW_SRVR_HELLO:
598         if (SSL_IS_DTLS(s)) {
599             /*
600              * Messages we write from now on should be bufferred and
601              * retransmitted if necessary, so we need to use the timer now
602              */
603             st->use_timer = 1;
604         }
605         break;
606
607     case TLS_ST_SW_SRVR_DONE:
608 #ifndef OPENSSL_NO_SCTP
609         if (SSL_IS_DTLS(s) && BIO_dgram_is_sctp(SSL_get_wbio(s)))
610             return dtls_wait_for_dry(s);
611 #endif
612         return WORK_FINISHED_CONTINUE;
613
614     case TLS_ST_SW_SESSION_TICKET:
615         if (SSL_IS_DTLS(s)) {
616             /*
617              * We're into the last flight. We don't retransmit the last flight
618              * unless we need to, so we don't use the timer
619              */
620             st->use_timer = 0;
621         }
622         break;
623
624     case TLS_ST_SW_CHANGE:
625         s->session->cipher = s->s3->tmp.new_cipher;
626         if (!s->method->ssl3_enc->setup_key_block(s)) {
627             ossl_statem_set_error(s);
628             return WORK_ERROR;
629         }
630         if (SSL_IS_DTLS(s)) {
631             /*
632              * We're into the last flight. We don't retransmit the last flight
633              * unless we need to, so we don't use the timer. This might have
634              * already been set to 0 if we sent a NewSessionTicket message,
635              * but we'll set it again here in case we didn't.
636              */
637             st->use_timer = 0;
638         }
639         return WORK_FINISHED_CONTINUE;
640
641     case TLS_ST_OK:
642         return tls_finish_handshake(s, wst);
643     }
644
645     return WORK_FINISHED_CONTINUE;
646 }
647
648 /*
649  * Perform any work that needs to be done after sending a message from the
650  * server to the client.
651  */
652 WORK_STATE ossl_statem_server_post_work(SSL *s, WORK_STATE wst)
653 {
654     OSSL_STATEM *st = &s->statem;
655
656     s->init_num = 0;
657
658     switch (st->hand_state) {
659     default:
660         /* No post work to be done */
661         break;
662
663     case TLS_ST_SW_HELLO_REQ:
664         if (statem_flush(s) != 1)
665             return WORK_MORE_A;
666         if (!ssl3_init_finished_mac(s)) {
667             ossl_statem_set_error(s);
668             return WORK_ERROR;
669         }
670         break;
671
672     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
673         if (statem_flush(s) != 1)
674             return WORK_MORE_A;
675         /* HelloVerifyRequest resets Finished MAC */
676         if (s->version != DTLS1_BAD_VER && !ssl3_init_finished_mac(s)) {
677             ossl_statem_set_error(s);
678             return WORK_ERROR;
679         }
680         /*
681          * The next message should be another ClientHello which we need to
682          * treat like it was the first packet
683          */
684         s->first_packet = 1;
685         break;
686
687     case TLS_ST_SW_SRVR_HELLO:
688 #ifndef OPENSSL_NO_SCTP
689         if (SSL_IS_DTLS(s) && s->hit) {
690             unsigned char sctpauthkey[64];
691             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
692
693             /*
694              * Add new shared key for SCTP-Auth, will be ignored if no
695              * SCTP used.
696              */
697             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
698                    sizeof(DTLS1_SCTP_AUTH_LABEL));
699
700             if (SSL_export_keying_material(s, sctpauthkey,
701                                            sizeof(sctpauthkey), labelbuffer,
702                                            sizeof(labelbuffer), NULL, 0,
703                                            0) <= 0) {
704                 ossl_statem_set_error(s);
705                 return WORK_ERROR;
706             }
707
708             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
709                      sizeof(sctpauthkey), sctpauthkey);
710         }
711 #endif
712         /*
713          * TODO(TLS1.3): This actually causes a problem. We don't yet know
714          * whether the next record we are going to receive is an unencrypted
715          * alert, or an encrypted handshake message. We're going to need
716          * something clever in the record layer for this.
717          */
718         if (SSL_IS_TLS13(s)) {
719             if (!s->method->ssl3_enc->setup_key_block(s)
720                 || !s->method->ssl3_enc->change_cipher_state(s,
721                         SSL3_CC_HANDSHAKE | SSL3_CHANGE_CIPHER_SERVER_WRITE)
722                 || !s->method->ssl3_enc->change_cipher_state(s,
723                         SSL3_CC_HANDSHAKE |SSL3_CHANGE_CIPHER_SERVER_READ))
724             return WORK_ERROR;
725         }
726         break;
727
728     case TLS_ST_SW_CHANGE:
729 #ifndef OPENSSL_NO_SCTP
730         if (SSL_IS_DTLS(s) && !s->hit) {
731             /*
732              * Change to new shared key of SCTP-Auth, will be ignored if
733              * no SCTP used.
734              */
735             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
736                      0, NULL);
737         }
738 #endif
739         if (!s->method->ssl3_enc->change_cipher_state(s,
740                                                       SSL3_CHANGE_CIPHER_SERVER_WRITE))
741         {
742             ossl_statem_set_error(s);
743             return WORK_ERROR;
744         }
745
746         if (SSL_IS_DTLS(s))
747             dtls1_reset_seq_numbers(s, SSL3_CC_WRITE);
748         break;
749
750     case TLS_ST_SW_SRVR_DONE:
751         if (statem_flush(s) != 1)
752             return WORK_MORE_A;
753         break;
754
755     case TLS_ST_SW_FINISHED:
756         if (statem_flush(s) != 1)
757             return WORK_MORE_A;
758 #ifndef OPENSSL_NO_SCTP
759         if (SSL_IS_DTLS(s) && s->hit) {
760             /*
761              * Change to new shared key of SCTP-Auth, will be ignored if
762              * no SCTP used.
763              */
764             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_NEXT_AUTH_KEY,
765                      0, NULL);
766         }
767 #endif
768         if (SSL_IS_TLS13(s)) {
769             if (!s->method->ssl3_enc->generate_master_secret(s,
770                         s->session->master_key, s->handshake_secret, 0,
771                         &s->session->master_key_length)
772                 || !s->method->ssl3_enc->change_cipher_state(s,
773                         SSL3_CC_APPLICATION | SSL3_CHANGE_CIPHER_SERVER_WRITE))
774             return WORK_ERROR;
775         }
776         break;
777     }
778
779     return WORK_FINISHED_CONTINUE;
780 }
781
782 /*
783  * Get the message construction function and message type for sending from the
784  * server
785  *
786  * Valid return values are:
787  *   1: Success
788  *   0: Error
789  */
790 int ossl_statem_server_construct_message(SSL *s, WPACKET *pkt,
791                                          confunc_f *confunc, int *mt)
792 {
793     OSSL_STATEM *st = &s->statem;
794
795     switch (st->hand_state) {
796     default:
797         /* Shouldn't happen */
798         return 0;
799
800     case TLS_ST_SW_CHANGE:
801         if (SSL_IS_DTLS(s))
802             *confunc = dtls_construct_change_cipher_spec;
803         else
804             *confunc = tls_construct_change_cipher_spec;
805         *mt = SSL3_MT_CHANGE_CIPHER_SPEC;
806         break;
807
808     case DTLS_ST_SW_HELLO_VERIFY_REQUEST:
809         *confunc = dtls_construct_hello_verify_request;
810         *mt = DTLS1_MT_HELLO_VERIFY_REQUEST;
811         break;
812
813     case TLS_ST_SW_HELLO_REQ:
814         /* No construction function needed */
815         *confunc = NULL;
816         *mt = SSL3_MT_HELLO_REQUEST;
817         break;
818
819     case TLS_ST_SW_SRVR_HELLO:
820         *confunc = tls_construct_server_hello;
821         *mt = SSL3_MT_SERVER_HELLO;
822         break;
823
824     case TLS_ST_SW_CERT:
825         *confunc = tls_construct_server_certificate;
826         *mt = SSL3_MT_CERTIFICATE;
827         break;
828
829     case TLS_ST_SW_KEY_EXCH:
830         *confunc = tls_construct_server_key_exchange;
831         *mt = SSL3_MT_SERVER_KEY_EXCHANGE;
832         break;
833
834     case TLS_ST_SW_CERT_REQ:
835         *confunc = tls_construct_certificate_request;
836         *mt = SSL3_MT_CERTIFICATE_REQUEST;
837         break;
838
839     case TLS_ST_SW_SRVR_DONE:
840         *confunc = tls_construct_server_done;
841         *mt = SSL3_MT_SERVER_DONE;
842         break;
843
844     case TLS_ST_SW_SESSION_TICKET:
845         *confunc = tls_construct_new_session_ticket;
846         *mt = SSL3_MT_NEWSESSION_TICKET;
847         break;
848
849     case TLS_ST_SW_CERT_STATUS:
850         *confunc = tls_construct_cert_status;
851         *mt = SSL3_MT_CERTIFICATE_STATUS;
852         break;
853
854     case TLS_ST_SW_FINISHED:
855         *confunc = tls_construct_finished;
856         *mt = SSL3_MT_FINISHED;
857         break;
858     }
859
860     return 1;
861 }
862
863 /*
864  * Maximum size (excluding the Handshake header) of a ClientHello message,
865  * calculated as follows:
866  *
867  *  2 + # client_version
868  *  32 + # only valid length for random
869  *  1 + # length of session_id
870  *  32 + # maximum size for session_id
871  *  2 + # length of cipher suites
872  *  2^16-2 + # maximum length of cipher suites array
873  *  1 + # length of compression_methods
874  *  2^8-1 + # maximum length of compression methods
875  *  2 + # length of extensions
876  *  2^16-1 # maximum length of extensions
877  */
878 #define CLIENT_HELLO_MAX_LENGTH         131396
879
880 #define CLIENT_KEY_EXCH_MAX_LENGTH      2048
881 #define NEXT_PROTO_MAX_LENGTH           514
882
883 /*
884  * Returns the maximum allowed length for the current message that we are
885  * reading. Excludes the message header.
886  */
887 size_t ossl_statem_server_max_message_size(SSL *s)
888 {
889     OSSL_STATEM *st = &s->statem;
890
891     switch (st->hand_state) {
892     default:
893         /* Shouldn't happen */
894         return 0;
895
896     case TLS_ST_SR_CLNT_HELLO:
897         return CLIENT_HELLO_MAX_LENGTH;
898
899     case TLS_ST_SR_CERT:
900         return s->max_cert_list;
901
902     case TLS_ST_SR_KEY_EXCH:
903         return CLIENT_KEY_EXCH_MAX_LENGTH;
904
905     case TLS_ST_SR_CERT_VRFY:
906         return SSL3_RT_MAX_PLAIN_LENGTH;
907
908 #ifndef OPENSSL_NO_NEXTPROTONEG
909     case TLS_ST_SR_NEXT_PROTO:
910         return NEXT_PROTO_MAX_LENGTH;
911 #endif
912
913     case TLS_ST_SR_CHANGE:
914         return CCS_MAX_LENGTH;
915
916     case TLS_ST_SR_FINISHED:
917         return FINISHED_MAX_LENGTH;
918     }
919 }
920
921 /*
922  * Process a message that the server has received from the client.
923  */
924 MSG_PROCESS_RETURN ossl_statem_server_process_message(SSL *s, PACKET *pkt)
925 {
926     OSSL_STATEM *st = &s->statem;
927
928     switch (st->hand_state) {
929     default:
930         /* Shouldn't happen */
931         return MSG_PROCESS_ERROR;
932
933     case TLS_ST_SR_CLNT_HELLO:
934         return tls_process_client_hello(s, pkt);
935
936     case TLS_ST_SR_CERT:
937         return tls_process_client_certificate(s, pkt);
938
939     case TLS_ST_SR_KEY_EXCH:
940         return tls_process_client_key_exchange(s, pkt);
941
942     case TLS_ST_SR_CERT_VRFY:
943         return tls_process_cert_verify(s, pkt);
944
945 #ifndef OPENSSL_NO_NEXTPROTONEG
946     case TLS_ST_SR_NEXT_PROTO:
947         return tls_process_next_proto(s, pkt);
948 #endif
949
950     case TLS_ST_SR_CHANGE:
951         return tls_process_change_cipher_spec(s, pkt);
952
953     case TLS_ST_SR_FINISHED:
954         return tls_process_finished(s, pkt);
955     }
956 }
957
958 /*
959  * Perform any further processing required following the receipt of a message
960  * from the client
961  */
962 WORK_STATE ossl_statem_server_post_process_message(SSL *s, WORK_STATE wst)
963 {
964     OSSL_STATEM *st = &s->statem;
965
966     switch (st->hand_state) {
967     default:
968         /* Shouldn't happen */
969         return WORK_ERROR;
970
971     case TLS_ST_SR_CLNT_HELLO:
972         return tls_post_process_client_hello(s, wst);
973
974     case TLS_ST_SR_KEY_EXCH:
975         return tls_post_process_client_key_exchange(s, wst);
976
977     case TLS_ST_SR_CERT_VRFY:
978 #ifndef OPENSSL_NO_SCTP
979         if (                    /* Is this SCTP? */
980                BIO_dgram_is_sctp(SSL_get_wbio(s))
981                /* Are we renegotiating? */
982                && s->renegotiate && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
983             s->s3->in_read_app_data = 2;
984             s->rwstate = SSL_READING;
985             BIO_clear_retry_flags(SSL_get_rbio(s));
986             BIO_set_retry_read(SSL_get_rbio(s));
987             ossl_statem_set_sctp_read_sock(s, 1);
988             return WORK_MORE_A;
989         } else {
990             ossl_statem_set_sctp_read_sock(s, 0);
991         }
992 #endif
993         return WORK_FINISHED_CONTINUE;
994     }
995     return WORK_FINISHED_CONTINUE;
996 }
997
998 #ifndef OPENSSL_NO_SRP
999 static int ssl_check_srp_ext_ClientHello(SSL *s, int *al)
1000 {
1001     int ret = SSL_ERROR_NONE;
1002
1003     *al = SSL_AD_UNRECOGNIZED_NAME;
1004
1005     if ((s->s3->tmp.new_cipher->algorithm_mkey & SSL_kSRP) &&
1006         (s->srp_ctx.TLS_ext_srp_username_callback != NULL)) {
1007         if (s->srp_ctx.login == NULL) {
1008             /*
1009              * RFC 5054 says SHOULD reject, we do so if There is no srp
1010              * login name
1011              */
1012             ret = SSL3_AL_FATAL;
1013             *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
1014         } else {
1015             ret = SSL_srp_server_param_with_username(s, al);
1016         }
1017     }
1018     return ret;
1019 }
1020 #endif
1021
1022 int dtls_raw_hello_verify_request(WPACKET *pkt, unsigned char *cookie,
1023                                   size_t cookie_len)
1024 {
1025     /* Always use DTLS 1.0 version: see RFC 6347 */
1026     if (!WPACKET_put_bytes_u16(pkt, DTLS1_VERSION)
1027             || !WPACKET_sub_memcpy_u8(pkt, cookie, cookie_len))
1028         return 0;
1029
1030     return 1;
1031 }
1032
1033 int dtls_construct_hello_verify_request(SSL *s, WPACKET *pkt)
1034 {
1035     unsigned int cookie_leni;
1036     if (s->ctx->app_gen_cookie_cb == NULL ||
1037         s->ctx->app_gen_cookie_cb(s, s->d1->cookie,
1038                                   &cookie_leni) == 0 ||
1039         cookie_leni > 255) {
1040         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST,
1041                SSL_R_COOKIE_GEN_CALLBACK_FAILURE);
1042         return 0;
1043     }
1044     s->d1->cookie_len = cookie_leni;
1045
1046     if (!dtls_raw_hello_verify_request(pkt, s->d1->cookie,
1047                                               s->d1->cookie_len)) {
1048         SSLerr(SSL_F_DTLS_CONSTRUCT_HELLO_VERIFY_REQUEST, ERR_R_INTERNAL_ERROR);
1049         return 0;
1050     }
1051
1052     return 1;
1053 }
1054
1055 MSG_PROCESS_RETURN tls_process_client_hello(SSL *s, PACKET *pkt)
1056 {
1057     int i, al = SSL_AD_INTERNAL_ERROR;
1058     unsigned int j;
1059     size_t loop;
1060     unsigned long id;
1061     const SSL_CIPHER *c;
1062 #ifndef OPENSSL_NO_COMP
1063     SSL_COMP *comp = NULL;
1064 #endif
1065     STACK_OF(SSL_CIPHER) *ciphers = NULL;
1066     int protverr;
1067     /* |cookie| will only be initialized for DTLS. */
1068     PACKET session_id, compression, extensions, cookie;
1069     static const unsigned char null_compression = 0;
1070     CLIENTHELLO_MSG clienthello;
1071
1072     /*
1073      * First, parse the raw ClientHello data into the CLIENTHELLO_MSG structure.
1074      */
1075     memset(&clienthello, 0, sizeof(clienthello));
1076     clienthello.isv2 = RECORD_LAYER_is_sslv2_record(&s->rlayer);
1077     PACKET_null_init(&cookie);
1078
1079     if (clienthello.isv2) {
1080         unsigned int mt;
1081
1082         /*-
1083          * An SSLv3/TLSv1 backwards-compatible CLIENT-HELLO in an SSLv2
1084          * header is sent directly on the wire, not wrapped as a TLS
1085          * record. Our record layer just processes the message length and passes
1086          * the rest right through. Its format is:
1087          * Byte  Content
1088          * 0-1   msg_length - decoded by the record layer
1089          * 2     msg_type - s->init_msg points here
1090          * 3-4   version
1091          * 5-6   cipher_spec_length
1092          * 7-8   session_id_length
1093          * 9-10  challenge_length
1094          * ...   ...
1095          */
1096
1097         if (!PACKET_get_1(pkt, &mt)
1098             || mt != SSL2_MT_CLIENT_HELLO) {
1099             /*
1100              * Should never happen. We should have tested this in the record
1101              * layer in order to have determined that this is a SSLv2 record
1102              * in the first place
1103              */
1104             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1105             goto err;
1106         }
1107     }
1108
1109     if (!PACKET_get_net_2(pkt, &clienthello.legacy_version)) {
1110         al = SSL_AD_DECODE_ERROR;
1111         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_TOO_SHORT);
1112         goto err;
1113     }
1114
1115     /* Parse the message and load client random. */
1116     if (clienthello.isv2) {
1117         /*
1118          * Handle an SSLv2 backwards compatible ClientHello
1119          * Note, this is only for SSLv3+ using the backward compatible format.
1120          * Real SSLv2 is not supported, and is rejected below.
1121          */
1122         unsigned int ciphersuite_len, session_id_len, challenge_len;
1123         PACKET challenge;
1124
1125         if (!PACKET_get_net_2(pkt, &ciphersuite_len)
1126             || !PACKET_get_net_2(pkt, &session_id_len)
1127             || !PACKET_get_net_2(pkt, &challenge_len)) {
1128             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1129                    SSL_R_RECORD_LENGTH_MISMATCH);
1130             al = SSL_AD_DECODE_ERROR;
1131             goto f_err;
1132         }
1133
1134         if (session_id_len > SSL_MAX_SSL_SESSION_ID_LENGTH) {
1135             al = SSL_AD_DECODE_ERROR;
1136             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1137             goto f_err;
1138         }
1139
1140         if (!PACKET_get_sub_packet(pkt, &clienthello.ciphersuites,
1141                                    ciphersuite_len)
1142             || !PACKET_copy_bytes(pkt, clienthello.session_id, session_id_len)
1143             || !PACKET_get_sub_packet(pkt, &challenge, challenge_len)
1144             /* No extensions. */
1145             || PACKET_remaining(pkt) != 0) {
1146             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1147                    SSL_R_RECORD_LENGTH_MISMATCH);
1148             al = SSL_AD_DECODE_ERROR;
1149             goto f_err;
1150         }
1151         clienthello.session_id_len = session_id_len;
1152
1153         /* Load the client random and compression list. We use SSL3_RANDOM_SIZE
1154          * here rather than sizeof(clienthello.random) because that is the limit
1155          * for SSLv3 and it is fixed. It won't change even if
1156          * sizeof(clienthello.random) does.
1157          */
1158         challenge_len = challenge_len > SSL3_RANDOM_SIZE
1159                         ? SSL3_RANDOM_SIZE : challenge_len;
1160         memset(clienthello.random, 0, SSL3_RANDOM_SIZE);
1161         if (!PACKET_copy_bytes(&challenge,
1162                                clienthello.random + SSL3_RANDOM_SIZE -
1163                                challenge_len, challenge_len)
1164             /* Advertise only null compression. */
1165             || !PACKET_buf_init(&compression, &null_compression, 1)) {
1166             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1167             al = SSL_AD_INTERNAL_ERROR;
1168             goto f_err;
1169         }
1170
1171         PACKET_null_init(&clienthello.extensions);
1172     } else {
1173         /* Regular ClientHello. */
1174         if (!PACKET_copy_bytes(pkt, clienthello.random, SSL3_RANDOM_SIZE)
1175             || !PACKET_get_length_prefixed_1(pkt, &session_id)
1176             || !PACKET_copy_all(&session_id, clienthello.session_id,
1177                     SSL_MAX_SSL_SESSION_ID_LENGTH,
1178                     &clienthello.session_id_len)) {
1179             al = SSL_AD_DECODE_ERROR;
1180             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1181             goto f_err;
1182         }
1183
1184         if (SSL_IS_DTLS(s)) {
1185             if (!PACKET_get_length_prefixed_1(pkt, &cookie)) {
1186                 al = SSL_AD_DECODE_ERROR;
1187                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1188                 goto f_err;
1189             }
1190             if (!PACKET_copy_all(&cookie, clienthello.dtls_cookie,
1191                                  DTLS1_COOKIE_LENGTH,
1192                                  &clienthello.dtls_cookie_len)) {
1193                 al = SSL_AD_DECODE_ERROR;
1194                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1195                 goto f_err;
1196             }
1197             /*
1198              * If we require cookies and this ClientHello doesn't contain one,
1199              * just return since we do not want to allocate any memory yet.
1200              * So check cookie length...
1201              */
1202             if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1203                 if (clienthello.dtls_cookie_len == 0)
1204                     return 1;
1205             }
1206         }
1207
1208         if (!PACKET_get_length_prefixed_2(pkt, &clienthello.ciphersuites)) {
1209             al = SSL_AD_DECODE_ERROR;
1210             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1211             goto f_err;
1212         }
1213
1214         if (!PACKET_get_length_prefixed_1(pkt, &compression)) {
1215             al = SSL_AD_DECODE_ERROR;
1216             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1217             goto f_err;
1218         }
1219
1220         /* Could be empty. */
1221         if (PACKET_remaining(pkt) == 0) {
1222             PACKET_null_init(&clienthello.extensions);
1223         } else {
1224             if (!PACKET_get_length_prefixed_2(pkt, &clienthello.extensions)) {
1225                 al = SSL_AD_DECODE_ERROR;
1226                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1227                 goto f_err;
1228             }
1229         }
1230     }
1231
1232     if (!PACKET_copy_all(&compression, clienthello.compressions,
1233                          MAX_COMPRESSIONS_SIZE,
1234                          &clienthello.compressions_len)) {
1235         al = SSL_AD_DECODE_ERROR;
1236         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_LENGTH_MISMATCH);
1237         goto f_err;
1238     }
1239
1240     /* Preserve the raw extensions PACKET for later use */
1241     extensions = clienthello.extensions;
1242     if (!tls_collect_extensions(&extensions, &clienthello.pre_proc_exts,
1243                                   &clienthello.num_extensions, &al)) {
1244         /* SSLerr already been called */
1245         goto f_err;
1246     }
1247
1248     /* Finished parsing the ClientHello, now we can start processing it */
1249
1250     /* Set up the client_random */
1251     memcpy(s->s3->client_random, clienthello.random, SSL3_RANDOM_SIZE);
1252
1253     /* Choose the version */
1254
1255     if (clienthello.isv2) {
1256         if (clienthello.legacy_version == SSL2_VERSION
1257                 || (clienthello.legacy_version & 0xff00)
1258                    != (SSL3_VERSION_MAJOR << 8)) {
1259             /*
1260              * This is real SSLv2 or something complete unknown. We don't
1261              * support it.
1262              */
1263             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_UNKNOWN_PROTOCOL);
1264             goto err;
1265         }
1266         /* SSLv3/TLS */
1267         s->client_version = clienthello.legacy_version;
1268     }
1269     /*
1270      * Do SSL/TLS version negotiation if applicable. For DTLS we just check
1271      * versions are potentially compatible. Version negotiation comes later.
1272      */
1273     if (!SSL_IS_DTLS(s)) {
1274         protverr = ssl_choose_server_version(s, &clienthello);
1275     } else if (s->method->version != DTLS_ANY_VERSION &&
1276                DTLS_VERSION_LT((int)clienthello.legacy_version, s->version)) {
1277         protverr = SSL_R_VERSION_TOO_LOW;
1278     } else {
1279         protverr = 0;
1280     }
1281
1282     if (protverr) {
1283         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1284         if ((!s->enc_write_ctx && !s->write_hash)) {
1285             /* like ssl3_get_record, send alert using remote version number */
1286             s->version = s->client_version = clienthello.legacy_version;
1287         }
1288         al = SSL_AD_PROTOCOL_VERSION;
1289         goto f_err;
1290     }
1291
1292     if (SSL_IS_DTLS(s)) {
1293         /* Empty cookie was already handled above by returning early. */
1294         if (SSL_get_options(s) & SSL_OP_COOKIE_EXCHANGE) {
1295             if (s->ctx->app_verify_cookie_cb != NULL) {
1296                 if (s->ctx->app_verify_cookie_cb(s, clienthello.dtls_cookie,
1297                         clienthello.dtls_cookie_len) == 0) {
1298                     al = SSL_AD_HANDSHAKE_FAILURE;
1299                     SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1300                            SSL_R_COOKIE_MISMATCH);
1301                     goto f_err;
1302                     /* else cookie verification succeeded */
1303                 }
1304                 /* default verification */
1305             } else if (s->d1->cookie_len != clienthello.dtls_cookie_len
1306                     || memcmp(clienthello.dtls_cookie, s->d1->cookie,
1307                               s->d1->cookie_len) != 0) {
1308                 al = SSL_AD_HANDSHAKE_FAILURE;
1309                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_COOKIE_MISMATCH);
1310                 goto f_err;
1311             }
1312             s->d1->cookie_verified = 1;
1313         }
1314         if (s->method->version == DTLS_ANY_VERSION) {
1315             protverr = ssl_choose_server_version(s, &clienthello);
1316             if (protverr != 0) {
1317                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, protverr);
1318                 s->version = s->client_version;
1319                 al = SSL_AD_PROTOCOL_VERSION;
1320                 goto f_err;
1321             }
1322         }
1323     }
1324
1325     s->hit = 0;
1326
1327     /* We need to do this before getting the session */
1328     if (!tls_check_client_ems_support(s, &clienthello)) {
1329         /* Only fails if the extension is malformed */
1330         al = SSL_AD_DECODE_ERROR;
1331         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1332         goto f_err;
1333     }
1334
1335     /*
1336      * We don't allow resumption in a backwards compatible ClientHello.
1337      * TODO(openssl-team): in TLS1.1+, session_id MUST be empty.
1338      *
1339      * Versions before 0.9.7 always allow clients to resume sessions in
1340      * renegotiation. 0.9.7 and later allow this by default, but optionally
1341      * ignore resumption requests with flag
1342      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION (it's a new flag rather
1343      * than a change to default behavior so that applications relying on
1344      * this for security won't even compile against older library versions).
1345      * 1.0.1 and later also have a function SSL_renegotiate_abbreviated() to
1346      * request renegotiation but not a new session (s->new_session remains
1347      * unset): for servers, this essentially just means that the
1348      * SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION setting will be
1349      * ignored.
1350      */
1351     if (clienthello.isv2 ||
1352         (s->new_session &&
1353          (s->options & SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION))) {
1354         if (!ssl_get_new_session(s, 1))
1355             goto err;
1356     } else {
1357         i = ssl_get_prev_session(s, &clienthello);
1358         /*
1359          * Only resume if the session's version matches the negotiated
1360          * version.
1361          * RFC 5246 does not provide much useful advice on resumption
1362          * with a different protocol version. It doesn't forbid it but
1363          * the sanity of such behaviour would be questionable.
1364          * In practice, clients do not accept a version mismatch and
1365          * will abort the handshake with an error.
1366          */
1367         if (i == 1 && s->version == s->session->ssl_version) {
1368             /* previous session */
1369             s->hit = 1;
1370         } else if (i == -1) {
1371             goto err;
1372         } else {
1373             /* i == 0 */
1374             if (!ssl_get_new_session(s, 1))
1375                 goto err;
1376         }
1377     }
1378
1379     if (ssl_bytes_to_cipher_list(s, &clienthello.ciphersuites, &ciphers,
1380                                  clienthello.isv2, &al) == NULL) {
1381         goto f_err;
1382     }
1383
1384     /* If it is a hit, check that the cipher is in the list */
1385     if (s->hit) {
1386         j = 0;
1387         id = s->session->cipher->id;
1388
1389 #ifdef CIPHER_DEBUG
1390         fprintf(stderr, "client sent %d ciphers\n", sk_SSL_CIPHER_num(ciphers));
1391 #endif
1392         for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
1393             c = sk_SSL_CIPHER_value(ciphers, i);
1394 #ifdef CIPHER_DEBUG
1395             fprintf(stderr, "client [%2d of %2d]:%s\n",
1396                     i, sk_SSL_CIPHER_num(ciphers), SSL_CIPHER_get_name(c));
1397 #endif
1398             if (c->id == id) {
1399                 j = 1;
1400                 break;
1401             }
1402         }
1403         if (j == 0) {
1404             /*
1405              * we need to have the cipher in the cipher list if we are asked
1406              * to reuse it
1407              */
1408             al = SSL_AD_ILLEGAL_PARAMETER;
1409             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1410                    SSL_R_REQUIRED_CIPHER_MISSING);
1411             goto f_err;
1412         }
1413     }
1414
1415     for (loop = 0; loop < clienthello.compressions_len; loop++) {
1416         if (clienthello.compressions[loop] == 0)
1417             break;
1418     }
1419
1420     if (loop >= clienthello.compressions_len) {
1421         /* no compress */
1422         al = SSL_AD_DECODE_ERROR;
1423         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_COMPRESSION_SPECIFIED);
1424         goto f_err;
1425     }
1426
1427     /* TLS extensions */
1428     if (!ssl_parse_clienthello_tlsext(s, &clienthello)) {
1429         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_PARSE_TLSEXT);
1430         goto err;
1431     }
1432
1433     /* Check we've got a key_share for TLSv1.3 */
1434     if (SSL_IS_TLS13(s) && s->s3->peer_tmp == NULL && !s->hit) {
1435         /* No suitable share */
1436         /* TODO(TLS1.3): Send a HelloRetryRequest */
1437         al = SSL_AD_HANDSHAKE_FAILURE;
1438         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SUITABLE_KEY_SHARE);
1439         goto f_err;
1440     }
1441
1442     /*
1443      * Check if we want to use external pre-shared secret for this handshake
1444      * for not reused session only. We need to generate server_random before
1445      * calling tls_session_secret_cb in order to allow SessionTicket
1446      * processing to use it in key derivation.
1447      */
1448     {
1449         unsigned char *pos;
1450         pos = s->s3->server_random;
1451         if (ssl_fill_hello_random(s, 1, pos, SSL3_RANDOM_SIZE) <= 0) {
1452             goto f_err;
1453         }
1454     }
1455
1456     if (!s->hit && s->version >= TLS1_VERSION && s->tls_session_secret_cb) {
1457         const SSL_CIPHER *pref_cipher = NULL;
1458         /*
1459          * s->session->master_key_length is a size_t, but this is an int for
1460          * backwards compat reasons
1461          */
1462         int master_key_length;
1463
1464         master_key_length = sizeof(s->session->master_key);
1465         if (s->tls_session_secret_cb(s, s->session->master_key,
1466                                      &master_key_length, ciphers,
1467                                      &pref_cipher,
1468                                      s->tls_session_secret_cb_arg)
1469                 && master_key_length > 0) {
1470             s->session->master_key_length = master_key_length;
1471             s->hit = 1;
1472             s->session->ciphers = ciphers;
1473             s->session->verify_result = X509_V_OK;
1474
1475             ciphers = NULL;
1476
1477             /* check if some cipher was preferred by call back */
1478             pref_cipher =
1479                 pref_cipher ? pref_cipher : ssl3_choose_cipher(s,
1480                                                                s->
1481                                                                session->ciphers,
1482                                                                SSL_get_ciphers
1483                                                                (s));
1484             if (pref_cipher == NULL) {
1485                 al = SSL_AD_HANDSHAKE_FAILURE;
1486                 SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_NO_SHARED_CIPHER);
1487                 goto f_err;
1488             }
1489
1490             s->session->cipher = pref_cipher;
1491             sk_SSL_CIPHER_free(s->cipher_list);
1492             s->cipher_list = sk_SSL_CIPHER_dup(s->session->ciphers);
1493             sk_SSL_CIPHER_free(s->cipher_list_by_id);
1494             s->cipher_list_by_id = sk_SSL_CIPHER_dup(s->session->ciphers);
1495         }
1496     }
1497
1498     /*
1499      * Worst case, we will use the NULL compression, but if we have other
1500      * options, we will now look for them.  We have complen-1 compression
1501      * algorithms from the client, starting at q.
1502      */
1503     s->s3->tmp.new_compression = NULL;
1504 #ifndef OPENSSL_NO_COMP
1505     /* This only happens if we have a cache hit */
1506     if (s->session->compress_meth != 0) {
1507         int m, comp_id = s->session->compress_meth;
1508         unsigned int k;
1509         /* Perform sanity checks on resumed compression algorithm */
1510         /* Can't disable compression */
1511         if (!ssl_allow_compression(s)) {
1512             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1513                    SSL_R_INCONSISTENT_COMPRESSION);
1514             goto f_err;
1515         }
1516         /* Look for resumed compression method */
1517         for (m = 0; m < sk_SSL_COMP_num(s->ctx->comp_methods); m++) {
1518             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1519             if (comp_id == comp->id) {
1520                 s->s3->tmp.new_compression = comp;
1521                 break;
1522             }
1523         }
1524         if (s->s3->tmp.new_compression == NULL) {
1525             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1526                    SSL_R_INVALID_COMPRESSION_ALGORITHM);
1527             goto f_err;
1528         }
1529         /* Look for resumed method in compression list */
1530         for (k = 0; k < clienthello.compressions_len; k++) {
1531             if (clienthello.compressions[k] == comp_id)
1532                 break;
1533         }
1534         if (k >= clienthello.compressions_len) {
1535             al = SSL_AD_ILLEGAL_PARAMETER;
1536             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO,
1537                    SSL_R_REQUIRED_COMPRESSION_ALGORITHM_MISSING);
1538             goto f_err;
1539         }
1540     } else if (s->hit)
1541         comp = NULL;
1542     else if (ssl_allow_compression(s) && s->ctx->comp_methods) {
1543         /* See if we have a match */
1544         int m, nn, v, done = 0;
1545         unsigned int o;
1546
1547         nn = sk_SSL_COMP_num(s->ctx->comp_methods);
1548         for (m = 0; m < nn; m++) {
1549             comp = sk_SSL_COMP_value(s->ctx->comp_methods, m);
1550             v = comp->id;
1551             for (o = 0; o < clienthello.compressions_len; o++) {
1552                 if (v == clienthello.compressions[o]) {
1553                     done = 1;
1554                     break;
1555                 }
1556             }
1557             if (done)
1558                 break;
1559         }
1560         if (done)
1561             s->s3->tmp.new_compression = comp;
1562         else
1563             comp = NULL;
1564     }
1565 #else
1566     /*
1567      * If compression is disabled we'd better not try to resume a session
1568      * using compression.
1569      */
1570     if (s->session->compress_meth != 0) {
1571         SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_INCONSISTENT_COMPRESSION);
1572         goto f_err;
1573     }
1574 #endif
1575
1576     /*
1577      * Given s->session->ciphers and SSL_get_ciphers, we must pick a cipher
1578      */
1579
1580     if (!s->hit) {
1581 #ifdef OPENSSL_NO_COMP
1582         s->session->compress_meth = 0;
1583 #else
1584         s->session->compress_meth = (comp == NULL) ? 0 : comp->id;
1585 #endif
1586         sk_SSL_CIPHER_free(s->session->ciphers);
1587         s->session->ciphers = ciphers;
1588         if (ciphers == NULL) {
1589             al = SSL_AD_INTERNAL_ERROR;
1590             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, ERR_R_INTERNAL_ERROR);
1591             goto f_err;
1592         }
1593         ciphers = NULL;
1594         if (!tls1_set_server_sigalgs(s)) {
1595             SSLerr(SSL_F_TLS_PROCESS_CLIENT_HELLO, SSL_R_CLIENTHELLO_TLSEXT);
1596             goto err;
1597         }
1598     }
1599
1600     sk_SSL_CIPHER_free(ciphers);
1601     OPENSSL_free(clienthello.pre_proc_exts);
1602     return MSG_PROCESS_CONTINUE_PROCESSING;
1603  f_err:
1604     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1605  err:
1606     ossl_statem_set_error(s);
1607
1608     sk_SSL_CIPHER_free(ciphers);
1609     OPENSSL_free(clienthello.pre_proc_exts);
1610
1611     return MSG_PROCESS_ERROR;
1612 }
1613
1614 WORK_STATE tls_post_process_client_hello(SSL *s, WORK_STATE wst)
1615 {
1616     int al = SSL_AD_HANDSHAKE_FAILURE;
1617     const SSL_CIPHER *cipher;
1618
1619     if (wst == WORK_MORE_A) {
1620         if (!s->hit) {
1621             /* Let cert callback update server certificates if required */
1622             if (s->cert->cert_cb) {
1623                 int rv = s->cert->cert_cb(s, s->cert->cert_cb_arg);
1624                 if (rv == 0) {
1625                     al = SSL_AD_INTERNAL_ERROR;
1626                     SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1627                            SSL_R_CERT_CB_ERROR);
1628                     goto f_err;
1629                 }
1630                 if (rv < 0) {
1631                     s->rwstate = SSL_X509_LOOKUP;
1632                     return WORK_MORE_A;
1633                 }
1634                 s->rwstate = SSL_NOTHING;
1635             }
1636             cipher =
1637                 ssl3_choose_cipher(s, s->session->ciphers, SSL_get_ciphers(s));
1638
1639             if (cipher == NULL) {
1640                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1641                        SSL_R_NO_SHARED_CIPHER);
1642                 goto f_err;
1643             }
1644             s->s3->tmp.new_cipher = cipher;
1645             /* check whether we should disable session resumption */
1646             if (s->not_resumable_session_cb != NULL)
1647                 s->session->not_resumable = s->not_resumable_session_cb(s,
1648                                                                         ((cipher->algorithm_mkey & (SSL_kDHE | SSL_kECDHE)) != 0));
1649             if (s->session->not_resumable)
1650                 /* do not send a session ticket */
1651                 s->tlsext_ticket_expected = 0;
1652         } else {
1653             /* Session-id reuse */
1654             s->s3->tmp.new_cipher = s->session->cipher;
1655         }
1656
1657         if (!(s->verify_mode & SSL_VERIFY_PEER)) {
1658             if (!ssl3_digest_cached_records(s, 0)) {
1659                 al = SSL_AD_INTERNAL_ERROR;
1660                 goto f_err;
1661             }
1662         }
1663
1664         /*-
1665          * we now have the following setup.
1666          * client_random
1667          * cipher_list          - our preferred list of ciphers
1668          * ciphers              - the clients preferred list of ciphers
1669          * compression          - basically ignored right now
1670          * ssl version is set   - sslv3
1671          * s->session           - The ssl session has been setup.
1672          * s->hit               - session reuse flag
1673          * s->s3->tmp.new_cipher- the new cipher to use.
1674          */
1675
1676         /* Handles TLS extensions that we couldn't check earlier */
1677         if (s->version >= SSL3_VERSION) {
1678             if (!ssl_check_clienthello_tlsext_late(s, &al)) {
1679                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1680                        SSL_R_CLIENTHELLO_TLSEXT);
1681                 goto f_err;
1682             }
1683         }
1684
1685         wst = WORK_MORE_B;
1686     }
1687 #ifndef OPENSSL_NO_SRP
1688     if (wst == WORK_MORE_B) {
1689         int ret;
1690         if ((ret = ssl_check_srp_ext_ClientHello(s, &al)) < 0) {
1691             /*
1692              * callback indicates further work to be done
1693              */
1694             s->rwstate = SSL_X509_LOOKUP;
1695             return WORK_MORE_B;
1696         }
1697         if (ret != SSL_ERROR_NONE) {
1698             /*
1699              * This is not really an error but the only means to for
1700              * a client to detect whether srp is supported.
1701              */
1702             if (al != TLS1_AD_UNKNOWN_PSK_IDENTITY)
1703                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1704                        SSL_R_CLIENTHELLO_TLSEXT);
1705             else
1706                 SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_HELLO,
1707                        SSL_R_PSK_IDENTITY_NOT_FOUND);
1708             goto f_err;
1709         }
1710     }
1711 #endif
1712     s->renegotiate = 2;
1713
1714     return WORK_FINISHED_STOP;
1715  f_err:
1716     ssl3_send_alert(s, SSL3_AL_FATAL, al);
1717     ossl_statem_set_error(s);
1718     return WORK_ERROR;
1719 }
1720
1721 int tls_construct_server_hello(SSL *s, WPACKET *pkt)
1722 {
1723     int compm, al = SSL_AD_INTERNAL_ERROR;
1724     size_t sl, len;
1725     int version;
1726
1727     /* TODO(TLS1.3): Remove the DRAFT conditional before release */
1728     version = SSL_IS_TLS13(s) ? TLS1_3_VERSION_DRAFT : s->version;
1729     if (!WPACKET_put_bytes_u16(pkt, version)
1730                /*
1731                 * Random stuff. Filling of the server_random takes place in
1732                 * tls_process_client_hello()
1733                 */
1734             || !WPACKET_memcpy(pkt, s->s3->server_random, SSL3_RANDOM_SIZE)) {
1735         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1736         goto err;
1737     }
1738
1739     /*-
1740      * There are several cases for the session ID to send
1741      * back in the server hello:
1742      * - For session reuse from the session cache,
1743      *   we send back the old session ID.
1744      * - If stateless session reuse (using a session ticket)
1745      *   is successful, we send back the client's "session ID"
1746      *   (which doesn't actually identify the session).
1747      * - If it is a new session, we send back the new
1748      *   session ID.
1749      * - However, if we want the new session to be single-use,
1750      *   we send back a 0-length session ID.
1751      * s->hit is non-zero in either case of session reuse,
1752      * so the following won't overwrite an ID that we're supposed
1753      * to send back.
1754      */
1755     if (s->session->not_resumable ||
1756         (!(s->ctx->session_cache_mode & SSL_SESS_CACHE_SERVER)
1757          && !s->hit))
1758         s->session->session_id_length = 0;
1759
1760     sl = s->session->session_id_length;
1761     if (sl > sizeof(s->session->session_id)) {
1762         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1763         goto err;
1764     }
1765
1766     /* set up the compression method */
1767 #ifdef OPENSSL_NO_COMP
1768     compm = 0;
1769 #else
1770     if (s->s3->tmp.new_compression == NULL)
1771         compm = 0;
1772     else
1773         compm = s->s3->tmp.new_compression->id;
1774 #endif
1775
1776     if (!WPACKET_sub_memcpy_u8(pkt, s->session->session_id, sl)
1777             || !s->method->put_cipher_by_char(s->s3->tmp.new_cipher, pkt, &len)
1778             || !WPACKET_put_bytes_u8(pkt, compm)
1779             || !ssl_prepare_serverhello_tlsext(s)
1780             || !ssl_add_serverhello_tlsext(s, pkt, &al)) {
1781         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_HELLO, ERR_R_INTERNAL_ERROR);
1782         goto err;
1783     }
1784
1785     return 1;
1786  err:
1787     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1788     return 0;
1789 }
1790
1791 int tls_construct_server_done(SSL *s, WPACKET *pkt)
1792 {
1793     if (!s->s3->tmp.cert_request) {
1794         if (!ssl3_digest_cached_records(s, 0)) {
1795             ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
1796             return 0;
1797         }
1798     }
1799     return 1;
1800 }
1801
1802 int tls_construct_server_key_exchange(SSL *s, WPACKET *pkt)
1803 {
1804 #ifndef OPENSSL_NO_DH
1805     EVP_PKEY *pkdh = NULL;
1806 #endif
1807 #ifndef OPENSSL_NO_EC
1808     unsigned char *encodedPoint = NULL;
1809     size_t encodedlen = 0;
1810     int curve_id = 0;
1811 #endif
1812     EVP_PKEY *pkey;
1813     const EVP_MD *md = NULL;
1814     int al = SSL_AD_INTERNAL_ERROR, i;
1815     unsigned long type;
1816     const BIGNUM *r[4];
1817     EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();
1818     size_t paramlen, paramoffset;
1819
1820     if (!WPACKET_get_total_written(pkt, &paramoffset)) {
1821         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
1822         goto f_err;
1823     }
1824
1825     if (md_ctx == NULL) {
1826         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_MALLOC_FAILURE);
1827         goto f_err;
1828     }
1829
1830     type = s->s3->tmp.new_cipher->algorithm_mkey;
1831
1832     r[0] = r[1] = r[2] = r[3] = NULL;
1833 #ifndef OPENSSL_NO_PSK
1834     /* Plain PSK or RSAPSK nothing to do */
1835     if (type & (SSL_kPSK | SSL_kRSAPSK)) {
1836     } else
1837 #endif                          /* !OPENSSL_NO_PSK */
1838 #ifndef OPENSSL_NO_DH
1839     if (type & (SSL_kDHE | SSL_kDHEPSK)) {
1840         CERT *cert = s->cert;
1841
1842         EVP_PKEY *pkdhp = NULL;
1843         DH *dh;
1844
1845         if (s->cert->dh_tmp_auto) {
1846             DH *dhp = ssl_get_auto_dh(s);
1847             pkdh = EVP_PKEY_new();
1848             if (pkdh == NULL || dhp == NULL) {
1849                 DH_free(dhp);
1850                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1851                        ERR_R_INTERNAL_ERROR);
1852                 goto f_err;
1853             }
1854             EVP_PKEY_assign_DH(pkdh, dhp);
1855             pkdhp = pkdh;
1856         } else {
1857             pkdhp = cert->dh_tmp;
1858         }
1859         if ((pkdhp == NULL) && (s->cert->dh_tmp_cb != NULL)) {
1860             DH *dhp = s->cert->dh_tmp_cb(s, 0, 1024);
1861             pkdh = ssl_dh_to_pkey(dhp);
1862             if (pkdh == NULL) {
1863                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1864                        ERR_R_INTERNAL_ERROR);
1865                 goto f_err;
1866             }
1867             pkdhp = pkdh;
1868         }
1869         if (pkdhp == NULL) {
1870             al = SSL_AD_HANDSHAKE_FAILURE;
1871             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1872                    SSL_R_MISSING_TMP_DH_KEY);
1873             goto f_err;
1874         }
1875         if (!ssl_security(s, SSL_SECOP_TMP_DH,
1876                           EVP_PKEY_security_bits(pkdhp), 0, pkdhp)) {
1877             al = SSL_AD_HANDSHAKE_FAILURE;
1878             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1879                    SSL_R_DH_KEY_TOO_SMALL);
1880             goto f_err;
1881         }
1882         if (s->s3->tmp.pkey != NULL) {
1883             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1884                    ERR_R_INTERNAL_ERROR);
1885             goto err;
1886         }
1887
1888         s->s3->tmp.pkey = ssl_generate_pkey(pkdhp);
1889
1890         if (s->s3->tmp.pkey == NULL) {
1891             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1892             goto err;
1893         }
1894
1895         dh = EVP_PKEY_get0_DH(s->s3->tmp.pkey);
1896
1897         EVP_PKEY_free(pkdh);
1898         pkdh = NULL;
1899
1900         DH_get0_pqg(dh, &r[0], NULL, &r[1]);
1901         DH_get0_key(dh, &r[2], NULL);
1902     } else
1903 #endif
1904 #ifndef OPENSSL_NO_EC
1905     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
1906         int nid;
1907
1908         if (s->s3->tmp.pkey != NULL) {
1909             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1910                    ERR_R_INTERNAL_ERROR);
1911             goto err;
1912         }
1913
1914         /* Get NID of appropriate shared curve */
1915         nid = tls1_shared_group(s, -2);
1916         curve_id = tls1_ec_nid2curve_id(nid);
1917         if (curve_id == 0) {
1918             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1919                    SSL_R_UNSUPPORTED_ELLIPTIC_CURVE);
1920             goto err;
1921         }
1922         s->s3->tmp.pkey = ssl_generate_pkey_curve(curve_id);
1923         /* Generate a new key for this curve */
1924         if (s->s3->tmp.pkey == NULL) {
1925             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EVP_LIB);
1926             goto f_err;
1927         }
1928
1929         /* Encode the public key. */
1930         encodedlen = EVP_PKEY_get1_tls_encodedpoint(s->s3->tmp.pkey,
1931                                                     &encodedPoint);
1932         if (encodedlen == 0) {
1933             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE, ERR_R_EC_LIB);
1934             goto err;
1935         }
1936
1937         /*
1938          * We'll generate the serverKeyExchange message explicitly so we
1939          * can set these to NULLs
1940          */
1941         r[0] = NULL;
1942         r[1] = NULL;
1943         r[2] = NULL;
1944         r[3] = NULL;
1945     } else
1946 #endif                          /* !OPENSSL_NO_EC */
1947 #ifndef OPENSSL_NO_SRP
1948     if (type & SSL_kSRP) {
1949         if ((s->srp_ctx.N == NULL) ||
1950             (s->srp_ctx.g == NULL) ||
1951             (s->srp_ctx.s == NULL) || (s->srp_ctx.B == NULL)) {
1952             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1953                    SSL_R_MISSING_SRP_PARAM);
1954             goto err;
1955         }
1956         r[0] = s->srp_ctx.N;
1957         r[1] = s->srp_ctx.g;
1958         r[2] = s->srp_ctx.s;
1959         r[3] = s->srp_ctx.B;
1960     } else
1961 #endif
1962     {
1963         al = SSL_AD_HANDSHAKE_FAILURE;
1964         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1965                SSL_R_UNKNOWN_KEY_EXCHANGE_TYPE);
1966         goto f_err;
1967     }
1968
1969     if (!(s->s3->tmp.new_cipher->algorithm_auth & (SSL_aNULL | SSL_aSRP))
1970         && !(s->s3->tmp.new_cipher->algorithm_mkey & SSL_PSK)) {
1971         if ((pkey = ssl_get_sign_pkey(s, s->s3->tmp.new_cipher, &md))
1972             == NULL) {
1973             al = SSL_AD_DECODE_ERROR;
1974             goto f_err;
1975         }
1976     } else {
1977         pkey = NULL;
1978     }
1979
1980 #ifndef OPENSSL_NO_PSK
1981     if (type & SSL_PSK) {
1982         size_t len = (s->cert->psk_identity_hint == NULL)
1983                         ? 0 : strlen(s->cert->psk_identity_hint);
1984
1985         /*
1986          * It should not happen that len > PSK_MAX_IDENTITY_LEN - we already
1987          * checked this when we set the identity hint - but just in case
1988          */
1989         if (len > PSK_MAX_IDENTITY_LEN
1990                 || !WPACKET_sub_memcpy_u16(pkt, s->cert->psk_identity_hint,
1991                                            len)) {
1992             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
1993                    ERR_R_INTERNAL_ERROR);
1994             goto f_err;
1995         }
1996     }
1997 #endif
1998
1999     for (i = 0; i < 4 && r[i] != NULL; i++) {
2000         unsigned char *binval;
2001         int res;
2002
2003 #ifndef OPENSSL_NO_SRP
2004         if ((i == 2) && (type & SSL_kSRP)) {
2005             res = WPACKET_start_sub_packet_u8(pkt);
2006         } else
2007 #endif
2008             res = WPACKET_start_sub_packet_u16(pkt);
2009
2010         if (!res) {
2011             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2012                    ERR_R_INTERNAL_ERROR);
2013             goto f_err;
2014         }
2015
2016 #ifndef OPENSSL_NO_DH
2017         /*-
2018          * for interoperability with some versions of the Microsoft TLS
2019          * stack, we need to zero pad the DHE pub key to the same length
2020          * as the prime
2021          */
2022         if ((i == 2) && (type & (SSL_kDHE | SSL_kDHEPSK))) {
2023             size_t len = BN_num_bytes(r[0]) - BN_num_bytes(r[2]);
2024
2025             if (len > 0) {
2026                 if (!WPACKET_allocate_bytes(pkt, len, &binval)) {
2027                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2028                            ERR_R_INTERNAL_ERROR);
2029                     goto f_err;
2030                 }
2031                 memset(binval, 0, len);
2032             }
2033         }
2034 #endif
2035         if (!WPACKET_allocate_bytes(pkt, BN_num_bytes(r[i]), &binval)
2036                 || !WPACKET_close(pkt)) {
2037             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2038                    ERR_R_INTERNAL_ERROR);
2039             goto f_err;
2040         }
2041
2042         BN_bn2bin(r[i], binval);
2043     }
2044
2045 #ifndef OPENSSL_NO_EC
2046     if (type & (SSL_kECDHE | SSL_kECDHEPSK)) {
2047         /*
2048          * We only support named (not generic) curves. In this situation, the
2049          * ServerKeyExchange message has: [1 byte CurveType], [2 byte CurveName]
2050          * [1 byte length of encoded point], followed by the actual encoded
2051          * point itself
2052          */
2053         if (!WPACKET_put_bytes_u8(pkt, NAMED_CURVE_TYPE)
2054                 || !WPACKET_put_bytes_u8(pkt, 0)
2055                 || !WPACKET_put_bytes_u8(pkt, curve_id)
2056                 || !WPACKET_sub_memcpy_u8(pkt, encodedPoint, encodedlen)) {
2057             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2058                    ERR_R_INTERNAL_ERROR);
2059             goto f_err;
2060         }
2061         OPENSSL_free(encodedPoint);
2062         encodedPoint = NULL;
2063     }
2064 #endif
2065
2066     /* not anonymous */
2067     if (pkey != NULL) {
2068         /*
2069          * n is the length of the params, they start at &(d[4]) and p
2070          * points to the space at the end.
2071          */
2072         if (md) {
2073             unsigned char *sigbytes1, *sigbytes2;
2074             unsigned int siglen;
2075
2076             /* Get length of the parameters we have written above */
2077             if (!WPACKET_get_length(pkt, &paramlen)) {
2078                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2079                        ERR_R_INTERNAL_ERROR);
2080                 goto f_err;
2081             }
2082             /* send signature algorithm */
2083             if (SSL_USE_SIGALGS(s)) {
2084                 if (!tls12_get_sigandhash(pkt, pkey, md)) {
2085                     /* Should never happen */
2086                     SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2087                            ERR_R_INTERNAL_ERROR);
2088                     goto f_err;
2089                 }
2090             }
2091 #ifdef SSL_DEBUG
2092             fprintf(stderr, "Using hash %s\n", EVP_MD_name(md));
2093 #endif
2094             /*
2095              * Create the signature. We don't know the actual length of the sig
2096              * until after we've created it, so we reserve enough bytes for it
2097              * up front, and then properly allocate them in the WPACKET
2098              * afterwards.
2099              */
2100             if (!WPACKET_sub_reserve_bytes_u16(pkt, EVP_PKEY_size(pkey),
2101                                                &sigbytes1)
2102                     || EVP_SignInit_ex(md_ctx, md, NULL) <= 0
2103                     || EVP_SignUpdate(md_ctx, &(s->s3->client_random[0]),
2104                                       SSL3_RANDOM_SIZE) <= 0
2105                     || EVP_SignUpdate(md_ctx, &(s->s3->server_random[0]),
2106                                       SSL3_RANDOM_SIZE) <= 0
2107                     || EVP_SignUpdate(md_ctx, s->init_buf->data + paramoffset,
2108                                       paramlen) <= 0
2109                     || EVP_SignFinal(md_ctx, sigbytes1, &siglen, pkey) <= 0
2110                     || !WPACKET_sub_allocate_bytes_u16(pkt, siglen, &sigbytes2)
2111                     || sigbytes1 != sigbytes2) {
2112                 SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2113                        ERR_R_INTERNAL_ERROR);
2114                 goto f_err;
2115             }
2116         } else {
2117             /* Is this error check actually needed? */
2118             al = SSL_AD_HANDSHAKE_FAILURE;
2119             SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_KEY_EXCHANGE,
2120                    SSL_R_UNKNOWN_PKEY_TYPE);
2121             goto f_err;
2122         }
2123     }
2124
2125     EVP_MD_CTX_free(md_ctx);
2126     return 1;
2127  f_err:
2128     ssl3_send_alert(s, SSL3_AL_FATAL, al);
2129  err:
2130 #ifndef OPENSSL_NO_DH
2131     EVP_PKEY_free(pkdh);
2132 #endif
2133 #ifndef OPENSSL_NO_EC
2134     OPENSSL_free(encodedPoint);
2135 #endif
2136     EVP_MD_CTX_free(md_ctx);
2137     return 0;
2138 }
2139
2140 int tls_construct_certificate_request(SSL *s, WPACKET *pkt)
2141 {
2142     int i;
2143     STACK_OF(X509_NAME) *sk = NULL;
2144
2145     /* get the list of acceptable cert types */
2146     if (!WPACKET_start_sub_packet_u8(pkt)
2147             || !ssl3_get_req_cert_type(s, pkt)
2148             || !WPACKET_close(pkt)) {
2149         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2150         goto err;
2151     }
2152
2153     if (SSL_USE_SIGALGS(s)) {
2154         const unsigned char *psigs;
2155         size_t nl = tls12_get_psigalgs(s, &psigs);
2156         if (!WPACKET_start_sub_packet_u16(pkt)
2157                 || !tls12_copy_sigalgs(s, pkt, psigs, nl)
2158                 || !WPACKET_close(pkt)) {
2159             SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2160                    ERR_R_INTERNAL_ERROR);
2161             goto err;
2162         }
2163     }
2164
2165     /* Start sub-packet for client CA list */
2166     if (!WPACKET_start_sub_packet_u16(pkt)) {
2167         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2168         goto err;
2169     }
2170
2171     sk = SSL_get_client_CA_list(s);
2172     if (sk != NULL) {
2173         for (i = 0; i < sk_X509_NAME_num(sk); i++) {
2174             unsigned char *namebytes;
2175             X509_NAME *name = sk_X509_NAME_value(sk, i);
2176             int namelen;
2177
2178             if (name == NULL
2179                     || (namelen = i2d_X509_NAME(name, NULL)) < 0
2180                     || !WPACKET_sub_allocate_bytes_u16(pkt, namelen,
2181                                                        &namebytes)
2182                     || i2d_X509_NAME(name, &namebytes) != namelen) {
2183                 SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST,
2184                        ERR_R_INTERNAL_ERROR);
2185                 goto err;
2186             }
2187         }
2188     }
2189     /* else no CA names */
2190
2191     if (!WPACKET_close(pkt)) {
2192         SSLerr(SSL_F_TLS_CONSTRUCT_CERTIFICATE_REQUEST, ERR_R_INTERNAL_ERROR);
2193         goto err;
2194     }
2195
2196     s->s3->tmp.cert_request = 1;
2197
2198     return 1;
2199  err:
2200     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
2201     return 0;
2202 }
2203
2204 static int tls_process_cke_psk_preamble(SSL *s, PACKET *pkt, int *al)
2205 {
2206 #ifndef OPENSSL_NO_PSK
2207     unsigned char psk[PSK_MAX_PSK_LEN];
2208     size_t psklen;
2209     PACKET psk_identity;
2210
2211     if (!PACKET_get_length_prefixed_2(pkt, &psk_identity)) {
2212         *al = SSL_AD_DECODE_ERROR;
2213         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_LENGTH_MISMATCH);
2214         return 0;
2215     }
2216     if (PACKET_remaining(&psk_identity) > PSK_MAX_IDENTITY_LEN) {
2217         *al = SSL_AD_DECODE_ERROR;
2218         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_DATA_LENGTH_TOO_LONG);
2219         return 0;
2220     }
2221     if (s->psk_server_callback == NULL) {
2222         *al = SSL_AD_INTERNAL_ERROR;
2223         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, SSL_R_PSK_NO_SERVER_CB);
2224         return 0;
2225     }
2226
2227     if (!PACKET_strndup(&psk_identity, &s->session->psk_identity)) {
2228         *al = SSL_AD_INTERNAL_ERROR;
2229         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2230         return 0;
2231     }
2232
2233     psklen = s->psk_server_callback(s, s->session->psk_identity,
2234                                     psk, sizeof(psk));
2235
2236     if (psklen > PSK_MAX_PSK_LEN) {
2237         *al = SSL_AD_INTERNAL_ERROR;
2238         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2239         return 0;
2240     } else if (psklen == 0) {
2241         /*
2242          * PSK related to the given identity not found
2243          */
2244         *al = SSL_AD_UNKNOWN_PSK_IDENTITY;
2245         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE,
2246                SSL_R_PSK_IDENTITY_NOT_FOUND);
2247         return 0;
2248     }
2249
2250     OPENSSL_free(s->s3->tmp.psk);
2251     s->s3->tmp.psk = OPENSSL_memdup(psk, psklen);
2252     OPENSSL_cleanse(psk, psklen);
2253
2254     if (s->s3->tmp.psk == NULL) {
2255         *al = SSL_AD_INTERNAL_ERROR;
2256         SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_MALLOC_FAILURE);
2257         return 0;
2258     }
2259
2260     s->s3->tmp.psklen = psklen;
2261
2262     return 1;
2263 #else
2264     /* Should never happen */
2265     *al = SSL_AD_INTERNAL_ERROR;
2266     SSLerr(SSL_F_TLS_PROCESS_CKE_PSK_PREAMBLE, ERR_R_INTERNAL_ERROR);
2267     return 0;
2268 #endif
2269 }
2270
2271 static int tls_process_cke_rsa(SSL *s, PACKET *pkt, int *al)
2272 {
2273 #ifndef OPENSSL_NO_RSA
2274     unsigned char rand_premaster_secret[SSL_MAX_MASTER_KEY_LENGTH];
2275     int decrypt_len;
2276     unsigned char decrypt_good, version_good;
2277     size_t j, padding_len;
2278     PACKET enc_premaster;
2279     RSA *rsa = NULL;
2280     unsigned char *rsa_decrypt = NULL;
2281     int ret = 0;
2282
2283     rsa = EVP_PKEY_get0_RSA(s->cert->pkeys[SSL_PKEY_RSA_ENC].privatekey);
2284     if (rsa == NULL) {
2285         *al = SSL_AD_HANDSHAKE_FAILURE;
2286         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_MISSING_RSA_CERTIFICATE);
2287         return 0;
2288     }
2289
2290     /* SSLv3 and pre-standard DTLS omit the length bytes. */
2291     if (s->version == SSL3_VERSION || s->version == DTLS1_BAD_VER) {
2292         enc_premaster = *pkt;
2293     } else {
2294         if (!PACKET_get_length_prefixed_2(pkt, &enc_premaster)
2295             || PACKET_remaining(pkt) != 0) {
2296             *al = SSL_AD_DECODE_ERROR;
2297             SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_LENGTH_MISMATCH);
2298             return 0;
2299         }
2300     }
2301
2302     /*
2303      * We want to be sure that the plaintext buffer size makes it safe to
2304      * iterate over the entire size of a premaster secret
2305      * (SSL_MAX_MASTER_KEY_LENGTH). Reject overly short RSA keys because
2306      * their ciphertext cannot accommodate a premaster secret anyway.
2307      */
2308     if (RSA_size(rsa) < SSL_MAX_MASTER_KEY_LENGTH) {
2309         *al = SSL_AD_INTERNAL_ERROR;
2310         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, RSA_R_KEY_SIZE_TOO_SMALL);
2311         return 0;
2312     }
2313
2314     rsa_decrypt = OPENSSL_malloc(RSA_size(rsa));
2315     if (rsa_decrypt == NULL) {
2316         *al = SSL_AD_INTERNAL_ERROR;
2317         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_MALLOC_FAILURE);
2318         return 0;
2319     }
2320
2321     /*
2322      * We must not leak whether a decryption failure occurs because of
2323      * Bleichenbacher's attack on PKCS #1 v1.5 RSA padding (see RFC 2246,
2324      * section 7.4.7.1). The code follows that advice of the TLS RFC and
2325      * generates a random premaster secret for the case that the decrypt
2326      * fails. See https://tools.ietf.org/html/rfc5246#section-7.4.7.1
2327      */
2328
2329     if (RAND_bytes(rand_premaster_secret, sizeof(rand_premaster_secret)) <= 0)
2330         goto err;
2331
2332     /*
2333      * Decrypt with no padding. PKCS#1 padding will be removed as part of
2334      * the timing-sensitive code below.
2335      */
2336      /* TODO(size_t): Convert this function */
2337     decrypt_len = (int)RSA_private_decrypt((int)PACKET_remaining(&enc_premaster),
2338                                            PACKET_data(&enc_premaster),
2339                                            rsa_decrypt, rsa, RSA_NO_PADDING);
2340     if (decrypt_len < 0)
2341         goto err;
2342
2343     /* Check the padding. See RFC 3447, section 7.2.2. */
2344
2345     /*
2346      * The smallest padded premaster is 11 bytes of overhead. Small keys
2347      * are publicly invalid, so this may return immediately. This ensures
2348      * PS is at least 8 bytes.
2349      */
2350     if (decrypt_len < 11 + SSL_MAX_MASTER_KEY_LENGTH) {
2351         *al = SSL_AD_DECRYPT_ERROR;
2352         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, SSL_R_DECRYPTION_FAILED);
2353         goto err;
2354     }
2355
2356     padding_len = decrypt_len - SSL_MAX_MASTER_KEY_LENGTH;
2357     decrypt_good = constant_time_eq_int_8(rsa_decrypt[0], 0) &
2358         constant_time_eq_int_8(rsa_decrypt[1], 2);
2359     for (j = 2; j < padding_len - 1; j++) {
2360         decrypt_good &= ~constant_time_is_zero_8(rsa_decrypt[j]);
2361     }
2362     decrypt_good &= constant_time_is_zero_8(rsa_decrypt[padding_len - 1]);
2363
2364     /*
2365      * If the version in the decrypted pre-master secret is correct then
2366      * version_good will be 0xff, otherwise it'll be zero. The
2367      * Klima-Pokorny-Rosa extension of Bleichenbacher's attack
2368      * (http://eprint.iacr.org/2003/052/) exploits the version number
2369      * check as a "bad version oracle". Thus version checks are done in
2370      * constant time and are treated like any other decryption error.
2371      */
2372     version_good =
2373         constant_time_eq_8(rsa_decrypt[padding_len],
2374                            (unsigned)(s->client_version >> 8));
2375     version_good &=
2376         constant_time_eq_8(rsa_decrypt[padding_len + 1],
2377                            (unsigned)(s->client_version & 0xff));
2378
2379     /*
2380      * The premaster secret must contain the same version number as the
2381      * ClientHello to detect version rollback attacks (strangely, the
2382      * protocol does not offer such protection for DH ciphersuites).
2383      * However, buggy clients exist that send the negotiated protocol
2384      * version instead if the server does not support the requested
2385      * protocol version. If SSL_OP_TLS_ROLLBACK_BUG is set, tolerate such
2386      * clients.
2387      */
2388     if (s->options & SSL_OP_TLS_ROLLBACK_BUG) {
2389         unsigned char workaround_good;
2390         workaround_good = constant_time_eq_8(rsa_decrypt[padding_len],
2391                                              (unsigned)(s->version >> 8));
2392         workaround_good &=
2393             constant_time_eq_8(rsa_decrypt[padding_len + 1],
2394                                (unsigned)(s->version & 0xff));
2395         version_good |= workaround_good;
2396     }
2397
2398     /*
2399      * Both decryption and version must be good for decrypt_good to
2400      * remain non-zero (0xff).
2401      */
2402     decrypt_good &= version_good;
2403
2404     /*
2405      * Now copy rand_premaster_secret over from p using
2406      * decrypt_good_mask. If decryption failed, then p does not
2407      * contain valid plaintext, however, a check above guarantees
2408      * it is still sufficiently large to read from.
2409      */
2410     for (j = 0; j < sizeof(rand_premaster_secret); j++) {
2411         rsa_decrypt[padding_len + j] =
2412             constant_time_select_8(decrypt_good,
2413                                    rsa_decrypt[padding_len + j],
2414                                    rand_premaster_secret[j]);
2415     }
2416
2417     if (!ssl_generate_master_secret(s, rsa_decrypt + padding_len,
2418                                     sizeof(rand_premaster_secret), 0)) {
2419         *al = SSL_AD_INTERNAL_ERROR;
2420         SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2421         goto err;
2422     }
2423
2424     ret = 1;
2425  err:
2426     OPENSSL_free(rsa_decrypt);
2427     return ret;
2428 #else
2429     /* Should never happen */
2430     *al = SSL_AD_INTERNAL_ERROR;
2431     SSLerr(SSL_F_TLS_PROCESS_CKE_RSA, ERR_R_INTERNAL_ERROR);
2432     return 0;
2433 #endif
2434 }
2435
2436 static int tls_process_cke_dhe(SSL *s, PACKET *pkt, int *al)
2437 {
2438 #ifndef OPENSSL_NO_DH
2439     EVP_PKEY *skey = NULL;
2440     DH *cdh;
2441     unsigned int i;
2442     BIGNUM *pub_key;
2443     const unsigned char *data;
2444     EVP_PKEY *ckey = NULL;
2445     int ret = 0;
2446
2447     if (!PACKET_get_net_2(pkt, &i) || PACKET_remaining(pkt) != i) {
2448         *al = SSL_AD_HANDSHAKE_FAILURE;
2449         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE,
2450                SSL_R_DH_PUBLIC_VALUE_LENGTH_IS_WRONG);
2451         goto err;
2452     }
2453     skey = s->s3->tmp.pkey;
2454     if (skey == NULL) {
2455         *al = SSL_AD_HANDSHAKE_FAILURE;
2456         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2457         goto err;
2458     }
2459
2460     if (PACKET_remaining(pkt) == 0L) {
2461         *al = SSL_AD_HANDSHAKE_FAILURE;
2462         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_MISSING_TMP_DH_KEY);
2463         goto err;
2464     }
2465     if (!PACKET_get_bytes(pkt, &data, i)) {
2466         /* We already checked we have enough data */
2467         *al = SSL_AD_INTERNAL_ERROR;
2468         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2469         goto err;
2470     }
2471     ckey = EVP_PKEY_new();
2472     if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) == 0) {
2473         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, SSL_R_BN_LIB);
2474         goto err;
2475     }
2476     cdh = EVP_PKEY_get0_DH(ckey);
2477     pub_key = BN_bin2bn(data, i, NULL);
2478
2479     if (pub_key == NULL || !DH_set0_key(cdh, pub_key, NULL)) {
2480         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2481         if (pub_key != NULL)
2482             BN_free(pub_key);
2483         goto err;
2484     }
2485
2486     if (ssl_derive(s, skey, ckey, 1) == 0) {
2487         *al = SSL_AD_INTERNAL_ERROR;
2488         SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2489         goto err;
2490     }
2491
2492     ret = 1;
2493     EVP_PKEY_free(s->s3->tmp.pkey);
2494     s->s3->tmp.pkey = NULL;
2495  err:
2496     EVP_PKEY_free(ckey);
2497     return ret;
2498 #else
2499     /* Should never happen */
2500     *al = SSL_AD_INTERNAL_ERROR;
2501     SSLerr(SSL_F_TLS_PROCESS_CKE_DHE, ERR_R_INTERNAL_ERROR);
2502     return 0;
2503 #endif
2504 }
2505
2506 static int tls_process_cke_ecdhe(SSL *s, PACKET *pkt, int *al)
2507 {
2508 #ifndef OPENSSL_NO_EC
2509     EVP_PKEY *skey = s->s3->tmp.pkey;
2510     EVP_PKEY *ckey = NULL;
2511     int ret = 0;
2512
2513     if (PACKET_remaining(pkt) == 0L) {
2514         /* We don't support ECDH client auth */
2515         *al = SSL_AD_HANDSHAKE_FAILURE;
2516         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_MISSING_TMP_ECDH_KEY);
2517         goto err;
2518     } else {
2519         unsigned int i;
2520         const unsigned char *data;
2521
2522         /*
2523          * Get client's public key from encoded point in the
2524          * ClientKeyExchange message.
2525          */
2526
2527         /* Get encoded point length */
2528         if (!PACKET_get_1(pkt, &i) || !PACKET_get_bytes(pkt, &data, i)
2529             || PACKET_remaining(pkt) != 0) {
2530             *al = SSL_AD_DECODE_ERROR;
2531             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, SSL_R_LENGTH_MISMATCH);
2532             goto err;
2533         }
2534         ckey = EVP_PKEY_new();
2535         if (ckey == NULL || EVP_PKEY_copy_parameters(ckey, skey) <= 0) {
2536             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EVP_LIB);
2537             goto err;
2538         }
2539         if (EVP_PKEY_set1_tls_encodedpoint(ckey, data, i) == 0) {
2540             *al = SSL_AD_HANDSHAKE_FAILURE;
2541             SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_EC_LIB);
2542             goto err;
2543         }
2544     }
2545
2546     if (ssl_derive(s, skey, ckey, 1) == 0) {
2547         *al = SSL_AD_INTERNAL_ERROR;
2548         SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2549         goto err;
2550     }
2551
2552     ret = 1;
2553     EVP_PKEY_free(s->s3->tmp.pkey);
2554     s->s3->tmp.pkey = NULL;
2555  err:
2556     EVP_PKEY_free(ckey);
2557
2558     return ret;
2559 #else
2560     /* Should never happen */
2561     *al = SSL_AD_INTERNAL_ERROR;
2562     SSLerr(SSL_F_TLS_PROCESS_CKE_ECDHE, ERR_R_INTERNAL_ERROR);
2563     return 0;
2564 #endif
2565 }
2566
2567 static int tls_process_cke_srp(SSL *s, PACKET *pkt, int *al)
2568 {
2569 #ifndef OPENSSL_NO_SRP
2570     unsigned int i;
2571     const unsigned char *data;
2572
2573     if (!PACKET_get_net_2(pkt, &i)
2574         || !PACKET_get_bytes(pkt, &data, i)) {
2575         *al = SSL_AD_DECODE_ERROR;
2576         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_A_LENGTH);
2577         return 0;
2578     }
2579     if ((s->srp_ctx.A = BN_bin2bn(data, i, NULL)) == NULL) {
2580         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_BN_LIB);
2581         return 0;
2582     }
2583     if (BN_ucmp(s->srp_ctx.A, s->srp_ctx.N) >= 0 || BN_is_zero(s->srp_ctx.A)) {
2584         *al = SSL_AD_ILLEGAL_PARAMETER;
2585         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, SSL_R_BAD_SRP_PARAMETERS);
2586         return 0;
2587     }
2588     OPENSSL_free(s->session->srp_username);
2589     s->session->srp_username = OPENSSL_strdup(s->srp_ctx.login);
2590     if (s->session->srp_username == NULL) {
2591         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_MALLOC_FAILURE);
2592         return 0;
2593     }
2594
2595     if (!srp_generate_server_master_secret(s)) {
2596         SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2597         return 0;
2598     }
2599
2600     return 1;
2601 #else
2602     /* Should never happen */
2603     *al = SSL_AD_INTERNAL_ERROR;
2604     SSLerr(SSL_F_TLS_PROCESS_CKE_SRP, ERR_R_INTERNAL_ERROR);
2605     return 0;
2606 #endif
2607 }
2608
2609 static int tls_process_cke_gost(SSL *s, PACKET *pkt, int *al)
2610 {
2611 #ifndef OPENSSL_NO_GOST
2612     EVP_PKEY_CTX *pkey_ctx;
2613     EVP_PKEY *client_pub_pkey = NULL, *pk = NULL;
2614     unsigned char premaster_secret[32];
2615     const unsigned char *start;
2616     size_t outlen = 32, inlen;
2617     unsigned long alg_a;
2618     int Ttag, Tclass;
2619     long Tlen;
2620     size_t sess_key_len;
2621     const unsigned char *data;
2622     int ret = 0;
2623
2624     /* Get our certificate private key */
2625     alg_a = s->s3->tmp.new_cipher->algorithm_auth;
2626     if (alg_a & SSL_aGOST12) {
2627         /*
2628          * New GOST ciphersuites have SSL_aGOST01 bit too
2629          */
2630         pk = s->cert->pkeys[SSL_PKEY_GOST12_512].privatekey;
2631         if (pk == NULL) {
2632             pk = s->cert->pkeys[SSL_PKEY_GOST12_256].privatekey;
2633         }
2634         if (pk == NULL) {
2635             pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2636         }
2637     } else if (alg_a & SSL_aGOST01) {
2638         pk = s->cert->pkeys[SSL_PKEY_GOST01].privatekey;
2639     }
2640
2641     pkey_ctx = EVP_PKEY_CTX_new(pk, NULL);
2642     if (pkey_ctx == NULL) {
2643         *al = SSL_AD_INTERNAL_ERROR;
2644         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_MALLOC_FAILURE);
2645         return 0;
2646     }
2647     if (EVP_PKEY_decrypt_init(pkey_ctx) <= 0) {
2648         *al = SSL_AD_INTERNAL_ERROR;
2649         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2650         return 0;
2651     }
2652     /*
2653      * If client certificate is present and is of the same type, maybe
2654      * use it for key exchange.  Don't mind errors from
2655      * EVP_PKEY_derive_set_peer, because it is completely valid to use a
2656      * client certificate for authorization only.
2657      */
2658     client_pub_pkey = X509_get0_pubkey(s->session->peer);
2659     if (client_pub_pkey) {
2660         if (EVP_PKEY_derive_set_peer(pkey_ctx, client_pub_pkey) <= 0)
2661             ERR_clear_error();
2662     }
2663     /* Decrypt session key */
2664     sess_key_len = PACKET_remaining(pkt);
2665     if (!PACKET_get_bytes(pkt, &data, sess_key_len)) {
2666         *al = SSL_AD_INTERNAL_ERROR;
2667         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2668         goto err;
2669     }
2670     /* TODO(size_t): Convert this function */
2671     if (ASN1_get_object((const unsigned char **)&data, &Tlen, &Ttag,
2672                         &Tclass, (long)sess_key_len) != V_ASN1_CONSTRUCTED
2673         || Ttag != V_ASN1_SEQUENCE || Tclass != V_ASN1_UNIVERSAL) {
2674         *al = SSL_AD_DECODE_ERROR;
2675         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2676         goto err;
2677     }
2678     start = data;
2679     inlen = Tlen;
2680     if (EVP_PKEY_decrypt
2681         (pkey_ctx, premaster_secret, &outlen, start, inlen) <= 0) {
2682         *al = SSL_AD_DECODE_ERROR;
2683         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, SSL_R_DECRYPTION_FAILED);
2684         goto err;
2685     }
2686     /* Generate master secret */
2687     if (!ssl_generate_master_secret(s, premaster_secret,
2688                                     sizeof(premaster_secret), 0)) {
2689         *al = SSL_AD_INTERNAL_ERROR;
2690         SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2691         goto err;
2692     }
2693     /* Check if pubkey from client certificate was used */
2694     if (EVP_PKEY_CTX_ctrl
2695         (pkey_ctx, -1, -1, EVP_PKEY_CTRL_PEER_KEY, 2, NULL) > 0)
2696         s->statem.no_cert_verify = 1;
2697
2698     ret = 1;
2699  err:
2700     EVP_PKEY_CTX_free(pkey_ctx);
2701     return ret;
2702 #else
2703     /* Should never happen */
2704     *al = SSL_AD_INTERNAL_ERROR;
2705     SSLerr(SSL_F_TLS_PROCESS_CKE_GOST, ERR_R_INTERNAL_ERROR);
2706     return 0;
2707 #endif
2708 }
2709
2710 MSG_PROCESS_RETURN tls_process_client_key_exchange(SSL *s, PACKET *pkt)
2711 {
2712     int al = -1;
2713     unsigned long alg_k;
2714
2715     alg_k = s->s3->tmp.new_cipher->algorithm_mkey;
2716
2717     /* For PSK parse and retrieve identity, obtain PSK key */
2718     if ((alg_k & SSL_PSK) && !tls_process_cke_psk_preamble(s, pkt, &al))
2719         goto err;
2720
2721     if (alg_k & SSL_kPSK) {
2722         /* Identity extracted earlier: should be nothing left */
2723         if (PACKET_remaining(pkt) != 0) {
2724             al = SSL_AD_HANDSHAKE_FAILURE;
2725             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2726                    SSL_R_LENGTH_MISMATCH);
2727             goto err;
2728         }
2729         /* PSK handled by ssl_generate_master_secret */
2730         if (!ssl_generate_master_secret(s, NULL, 0, 0)) {
2731             al = SSL_AD_INTERNAL_ERROR;
2732             SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE, ERR_R_INTERNAL_ERROR);
2733             goto err;
2734         }
2735     } else if (alg_k & (SSL_kRSA | SSL_kRSAPSK)) {
2736         if (!tls_process_cke_rsa(s, pkt, &al))
2737             goto err;
2738     } else if (alg_k & (SSL_kDHE | SSL_kDHEPSK)) {
2739         if (!tls_process_cke_dhe(s, pkt, &al))
2740             goto err;
2741     } else if (alg_k & (SSL_kECDHE | SSL_kECDHEPSK)) {
2742         if (!tls_process_cke_ecdhe(s, pkt, &al))
2743             goto err;
2744     } else if (alg_k & SSL_kSRP) {
2745         if (!tls_process_cke_srp(s, pkt, &al))
2746             goto err;
2747     } else if (alg_k & SSL_kGOST) {
2748         if (!tls_process_cke_gost(s, pkt, &al))
2749             goto err;
2750     } else {
2751         al = SSL_AD_HANDSHAKE_FAILURE;
2752         SSLerr(SSL_F_TLS_PROCESS_CLIENT_KEY_EXCHANGE,
2753                SSL_R_UNKNOWN_CIPHER_TYPE);
2754         goto err;
2755     }
2756
2757     return MSG_PROCESS_CONTINUE_PROCESSING;
2758  err:
2759     if (al != -1)
2760         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2761 #ifndef OPENSSL_NO_PSK
2762     OPENSSL_clear_free(s->s3->tmp.psk, s->s3->tmp.psklen);
2763     s->s3->tmp.psk = NULL;
2764 #endif
2765     ossl_statem_set_error(s);
2766     return MSG_PROCESS_ERROR;
2767 }
2768
2769 WORK_STATE tls_post_process_client_key_exchange(SSL *s, WORK_STATE wst)
2770 {
2771 #ifndef OPENSSL_NO_SCTP
2772     if (wst == WORK_MORE_A) {
2773         if (SSL_IS_DTLS(s)) {
2774             unsigned char sctpauthkey[64];
2775             char labelbuffer[sizeof(DTLS1_SCTP_AUTH_LABEL)];
2776             /*
2777              * Add new shared key for SCTP-Auth, will be ignored if no SCTP
2778              * used.
2779              */
2780             memcpy(labelbuffer, DTLS1_SCTP_AUTH_LABEL,
2781                    sizeof(DTLS1_SCTP_AUTH_LABEL));
2782
2783             if (SSL_export_keying_material(s, sctpauthkey,
2784                                            sizeof(sctpauthkey), labelbuffer,
2785                                            sizeof(labelbuffer), NULL, 0,
2786                                            0) <= 0) {
2787                 ossl_statem_set_error(s);
2788                 return WORK_ERROR;;
2789             }
2790
2791             BIO_ctrl(SSL_get_wbio(s), BIO_CTRL_DGRAM_SCTP_ADD_AUTH_KEY,
2792                      sizeof(sctpauthkey), sctpauthkey);
2793         }
2794         wst = WORK_MORE_B;
2795     }
2796
2797     if ((wst == WORK_MORE_B)
2798         /* Is this SCTP? */
2799         && BIO_dgram_is_sctp(SSL_get_wbio(s))
2800         /* Are we renegotiating? */
2801         && s->renegotiate
2802         /* Are we going to skip the CertificateVerify? */
2803         && (s->session->peer == NULL || s->statem.no_cert_verify)
2804         && BIO_dgram_sctp_msg_waiting(SSL_get_rbio(s))) {
2805         s->s3->in_read_app_data = 2;
2806         s->rwstate = SSL_READING;
2807         BIO_clear_retry_flags(SSL_get_rbio(s));
2808         BIO_set_retry_read(SSL_get_rbio(s));
2809         ossl_statem_set_sctp_read_sock(s, 1);
2810         return WORK_MORE_B;
2811     } else {
2812         ossl_statem_set_sctp_read_sock(s, 0);
2813     }
2814 #endif
2815
2816     if (s->statem.no_cert_verify || !s->session->peer) {
2817         /*
2818          * No certificate verify or no peer certificate so we no longer need
2819          * the handshake_buffer
2820          */
2821         if (!ssl3_digest_cached_records(s, 0)) {
2822             ossl_statem_set_error(s);
2823             return WORK_ERROR;
2824         }
2825         return WORK_FINISHED_CONTINUE;
2826     } else {
2827         if (!s->s3->handshake_buffer) {
2828             SSLerr(SSL_F_TLS_POST_PROCESS_CLIENT_KEY_EXCHANGE,
2829                    ERR_R_INTERNAL_ERROR);
2830             ossl_statem_set_error(s);
2831             return WORK_ERROR;
2832         }
2833         /*
2834          * For sigalgs freeze the handshake buffer. If we support
2835          * extms we've done this already so this is a no-op
2836          */
2837         if (!ssl3_digest_cached_records(s, 1)) {
2838             ossl_statem_set_error(s);
2839             return WORK_ERROR;
2840         }
2841     }
2842
2843     return WORK_FINISHED_CONTINUE;
2844 }
2845
2846 MSG_PROCESS_RETURN tls_process_cert_verify(SSL *s, PACKET *pkt)
2847 {
2848     EVP_PKEY *pkey = NULL;
2849     const unsigned char *sig, *data;
2850 #ifndef OPENSSL_NO_GOST
2851     unsigned char *gost_data = NULL;
2852 #endif
2853     int al, ret = MSG_PROCESS_ERROR;
2854     int type = 0, j;
2855     unsigned int len;
2856     X509 *peer;
2857     const EVP_MD *md = NULL;
2858     long hdatalen = 0;
2859     void *hdata;
2860
2861     EVP_MD_CTX *mctx = EVP_MD_CTX_new();
2862
2863     if (mctx == NULL) {
2864         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2865         al = SSL_AD_INTERNAL_ERROR;
2866         goto f_err;
2867     }
2868
2869     peer = s->session->peer;
2870     pkey = X509_get0_pubkey(peer);
2871     type = X509_certificate_type(peer, pkey);
2872
2873     if (!(type & EVP_PKT_SIGN)) {
2874         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY,
2875                SSL_R_SIGNATURE_FOR_NON_SIGNING_CERTIFICATE);
2876         al = SSL_AD_ILLEGAL_PARAMETER;
2877         goto f_err;
2878     }
2879
2880     /* Check for broken implementations of GOST ciphersuites */
2881     /*
2882      * If key is GOST and n is exactly 64, it is bare signature without
2883      * length field (CryptoPro implementations at least till CSP 4.0)
2884      */
2885 #ifndef OPENSSL_NO_GOST
2886     if (PACKET_remaining(pkt) == 64
2887         && EVP_PKEY_id(pkey) == NID_id_GostR3410_2001) {
2888         len = 64;
2889     } else
2890 #endif
2891     {
2892         if (SSL_USE_SIGALGS(s)) {
2893             int rv;
2894
2895             if (!PACKET_get_bytes(pkt, &sig, 2)) {
2896                 al = SSL_AD_DECODE_ERROR;
2897                 goto f_err;
2898             }
2899             rv = tls12_check_peer_sigalg(&md, s, sig, pkey);
2900             if (rv == -1) {
2901                 al = SSL_AD_INTERNAL_ERROR;
2902                 goto f_err;
2903             } else if (rv == 0) {
2904                 al = SSL_AD_DECODE_ERROR;
2905                 goto f_err;
2906             }
2907 #ifdef SSL_DEBUG
2908             fprintf(stderr, "USING TLSv1.2 HASH %s\n", EVP_MD_name(md));
2909 #endif
2910         } else {
2911             /* Use default digest for this key type */
2912             int idx = ssl_cert_type(NULL, pkey);
2913             if (idx >= 0)
2914                 md = s->s3->tmp.md[idx];
2915             if (md == NULL) {
2916                 al = SSL_AD_INTERNAL_ERROR;
2917                 goto f_err;
2918             }
2919         }
2920
2921         if (!PACKET_get_net_2(pkt, &len)) {
2922             SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2923             al = SSL_AD_DECODE_ERROR;
2924             goto f_err;
2925         }
2926     }
2927     j = EVP_PKEY_size(pkey);
2928     if (((int)len > j) || ((int)PACKET_remaining(pkt) > j)
2929         || (PACKET_remaining(pkt) == 0)) {
2930         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_WRONG_SIGNATURE_SIZE);
2931         al = SSL_AD_DECODE_ERROR;
2932         goto f_err;
2933     }
2934     if (!PACKET_get_bytes(pkt, &data, len)) {
2935         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_LENGTH_MISMATCH);
2936         al = SSL_AD_DECODE_ERROR;
2937         goto f_err;
2938     }
2939
2940     hdatalen = BIO_get_mem_data(s->s3->handshake_buffer, &hdata);
2941     if (hdatalen <= 0) {
2942         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_INTERNAL_ERROR);
2943         al = SSL_AD_INTERNAL_ERROR;
2944         goto f_err;
2945     }
2946
2947 #ifdef SSL_DEBUG
2948     fprintf(stderr, "Using client verify alg %s\n", EVP_MD_name(md));
2949 #endif
2950     if (!EVP_VerifyInit_ex(mctx, md, NULL)
2951         || !EVP_VerifyUpdate(mctx, hdata, hdatalen)) {
2952         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2953         al = SSL_AD_INTERNAL_ERROR;
2954         goto f_err;
2955     }
2956 #ifndef OPENSSL_NO_GOST
2957     {
2958         int pktype = EVP_PKEY_id(pkey);
2959         if (pktype == NID_id_GostR3410_2001
2960             || pktype == NID_id_GostR3410_2012_256
2961             || pktype == NID_id_GostR3410_2012_512) {
2962             if ((gost_data = OPENSSL_malloc(len)) == NULL) {
2963                 SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_MALLOC_FAILURE);
2964                 al = SSL_AD_INTERNAL_ERROR;
2965                 goto f_err;
2966             }
2967             BUF_reverse(gost_data, data, len);
2968             data = gost_data;
2969         }
2970     }
2971 #endif
2972
2973     if (s->version == SSL3_VERSION
2974         && !EVP_MD_CTX_ctrl(mctx, EVP_CTRL_SSL3_MASTER_SECRET,
2975                             (int)s->session->master_key_length,
2976                             s->session->master_key)) {
2977         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, ERR_R_EVP_LIB);
2978         al = SSL_AD_INTERNAL_ERROR;
2979         goto f_err;
2980     }
2981
2982     if (EVP_VerifyFinal(mctx, data, len, pkey) <= 0) {
2983         al = SSL_AD_DECRYPT_ERROR;
2984         SSLerr(SSL_F_TLS_PROCESS_CERT_VERIFY, SSL_R_BAD_SIGNATURE);
2985         goto f_err;
2986     }
2987
2988     ret = MSG_PROCESS_CONTINUE_PROCESSING;
2989     if (0) {
2990  f_err:
2991         ssl3_send_alert(s, SSL3_AL_FATAL, al);
2992         ossl_statem_set_error(s);
2993     }
2994     BIO_free(s->s3->handshake_buffer);
2995     s->s3->handshake_buffer = NULL;
2996     EVP_MD_CTX_free(mctx);
2997 #ifndef OPENSSL_NO_GOST
2998     OPENSSL_free(gost_data);
2999 #endif
3000     return ret;
3001 }
3002
3003 MSG_PROCESS_RETURN tls_process_client_certificate(SSL *s, PACKET *pkt)
3004 {
3005     int i, al = SSL_AD_INTERNAL_ERROR, ret = MSG_PROCESS_ERROR;
3006     X509 *x = NULL;
3007     unsigned long l, llen;
3008     const unsigned char *certstart, *certbytes;
3009     STACK_OF(X509) *sk = NULL;
3010     PACKET spkt;
3011
3012     if ((sk = sk_X509_new_null()) == NULL) {
3013         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3014         goto f_err;
3015     }
3016
3017     if (!PACKET_get_net_3(pkt, &llen)
3018         || !PACKET_get_sub_packet(pkt, &spkt, llen)
3019         || PACKET_remaining(pkt) != 0) {
3020         al = SSL_AD_DECODE_ERROR;
3021         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, SSL_R_LENGTH_MISMATCH);
3022         goto f_err;
3023     }
3024
3025     while (PACKET_remaining(&spkt) > 0) {
3026         if (!PACKET_get_net_3(&spkt, &l)
3027             || !PACKET_get_bytes(&spkt, &certbytes, l)) {
3028             al = SSL_AD_DECODE_ERROR;
3029             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3030                    SSL_R_CERT_LENGTH_MISMATCH);
3031             goto f_err;
3032         }
3033
3034         certstart = certbytes;
3035         x = d2i_X509(NULL, (const unsigned char **)&certbytes, l);
3036         if (x == NULL) {
3037             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_ASN1_LIB);
3038             goto f_err;
3039         }
3040         if (certbytes != (certstart + l)) {
3041             al = SSL_AD_DECODE_ERROR;
3042             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3043                    SSL_R_CERT_LENGTH_MISMATCH);
3044             goto f_err;
3045         }
3046         if (!sk_X509_push(sk, x)) {
3047             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_MALLOC_FAILURE);
3048             goto f_err;
3049         }
3050         x = NULL;
3051     }
3052
3053     if (sk_X509_num(sk) <= 0) {
3054         /* TLS does not mind 0 certs returned */
3055         if (s->version == SSL3_VERSION) {
3056             al = SSL_AD_HANDSHAKE_FAILURE;
3057             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3058                    SSL_R_NO_CERTIFICATES_RETURNED);
3059             goto f_err;
3060         }
3061         /* Fail for TLS only if we required a certificate */
3062         else if ((s->verify_mode & SSL_VERIFY_PEER) &&
3063                  (s->verify_mode & SSL_VERIFY_FAIL_IF_NO_PEER_CERT)) {
3064             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3065                    SSL_R_PEER_DID_NOT_RETURN_A_CERTIFICATE);
3066             al = SSL_AD_HANDSHAKE_FAILURE;
3067             goto f_err;
3068         }
3069         /* No client certificate so digest cached records */
3070         if (s->s3->handshake_buffer && !ssl3_digest_cached_records(s, 0)) {
3071             goto f_err;
3072         }
3073     } else {
3074         EVP_PKEY *pkey;
3075         i = ssl_verify_cert_chain(s, sk);
3076         if (i <= 0) {
3077             al = ssl_verify_alarm_type(s->verify_result);
3078             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3079                    SSL_R_CERTIFICATE_VERIFY_FAILED);
3080             goto f_err;
3081         }
3082         if (i > 1) {
3083             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, i);
3084             al = SSL_AD_HANDSHAKE_FAILURE;
3085             goto f_err;
3086         }
3087         pkey = X509_get0_pubkey(sk_X509_value(sk, 0));
3088         if (pkey == NULL) {
3089             al = SSL3_AD_HANDSHAKE_FAILURE;
3090             SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE,
3091                    SSL_R_UNKNOWN_CERTIFICATE_TYPE);
3092             goto f_err;
3093         }
3094     }
3095
3096     X509_free(s->session->peer);
3097     s->session->peer = sk_X509_shift(sk);
3098     s->session->verify_result = s->verify_result;
3099
3100     sk_X509_pop_free(s->session->peer_chain, X509_free);
3101     s->session->peer_chain = sk;
3102
3103     /*
3104      * Freeze the handshake buffer. For <TLS1.3 we do this after the CKE
3105      * message
3106      */
3107     if (SSL_IS_TLS13(s) && !ssl3_digest_cached_records(s, 1)) {
3108         al = SSL_AD_INTERNAL_ERROR;
3109         SSLerr(SSL_F_TLS_PROCESS_CLIENT_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3110         goto f_err;
3111     }
3112
3113     /*
3114      * Inconsistency alert: cert_chain does *not* include the peer's own
3115      * certificate, while we do include it in statem_clnt.c
3116      */
3117     sk = NULL;
3118     ret = MSG_PROCESS_CONTINUE_READING;
3119     goto done;
3120
3121  f_err:
3122     ssl3_send_alert(s, SSL3_AL_FATAL, al);
3123     ossl_statem_set_error(s);
3124  done:
3125     X509_free(x);
3126     sk_X509_pop_free(sk, X509_free);
3127     return ret;
3128 }
3129
3130 int tls_construct_server_certificate(SSL *s, WPACKET *pkt)
3131 {
3132     CERT_PKEY *cpk;
3133
3134     cpk = ssl_get_server_send_pkey(s);
3135     if (cpk == NULL) {
3136         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3137         return 0;
3138     }
3139
3140     if (!ssl3_output_cert_chain(s, pkt, cpk)) {
3141         SSLerr(SSL_F_TLS_CONSTRUCT_SERVER_CERTIFICATE, ERR_R_INTERNAL_ERROR);
3142         return 0;
3143     }
3144
3145     return 1;
3146 }
3147
3148 int tls_construct_new_session_ticket(SSL *s, WPACKET *pkt)
3149 {
3150     unsigned char *senc = NULL;
3151     EVP_CIPHER_CTX *ctx = NULL;
3152     HMAC_CTX *hctx = NULL;
3153     unsigned char *p, *encdata1, *encdata2, *macdata1, *macdata2;
3154     const unsigned char *const_p;
3155     int len, slen_full, slen, lenfinal;
3156     SSL_SESSION *sess;
3157     unsigned int hlen;
3158     SSL_CTX *tctx = s->initial_ctx;
3159     unsigned char iv[EVP_MAX_IV_LENGTH];
3160     unsigned char key_name[TLSEXT_KEYNAME_LENGTH];
3161     int iv_len;
3162     size_t macoffset, macendoffset;
3163
3164     /* get session encoding length */
3165     slen_full = i2d_SSL_SESSION(s->session, NULL);
3166     /*
3167      * Some length values are 16 bits, so forget it if session is too
3168      * long
3169      */
3170     if (slen_full == 0 || slen_full > 0xFF00) {
3171         ossl_statem_set_error(s);
3172         return 0;
3173     }
3174     senc = OPENSSL_malloc(slen_full);
3175     if (senc == NULL) {
3176         ossl_statem_set_error(s);
3177         return 0;
3178     }
3179
3180     ctx = EVP_CIPHER_CTX_new();
3181     hctx = HMAC_CTX_new();
3182     if (ctx == NULL || hctx == NULL) {
3183         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_MALLOC_FAILURE);
3184         goto err;
3185     }
3186
3187     p = senc;
3188     if (!i2d_SSL_SESSION(s->session, &p))
3189         goto err;
3190
3191     /*
3192      * create a fresh copy (not shared with other threads) to clean up
3193      */
3194     const_p = senc;
3195     sess = d2i_SSL_SESSION(NULL, &const_p, slen_full);
3196     if (sess == NULL)
3197         goto err;
3198     sess->session_id_length = 0; /* ID is irrelevant for the ticket */
3199
3200     slen = i2d_SSL_SESSION(sess, NULL);
3201     if (slen == 0 || slen > slen_full) { /* shouldn't ever happen */
3202         SSL_SESSION_free(sess);
3203         goto err;
3204     }
3205     p = senc;
3206     if (!i2d_SSL_SESSION(sess, &p)) {
3207         SSL_SESSION_free(sess);
3208         goto err;
3209     }
3210     SSL_SESSION_free(sess);
3211
3212     /*
3213      * Initialize HMAC and cipher contexts. If callback present it does
3214      * all the work otherwise use generated values from parent ctx.
3215      */
3216     if (tctx->tlsext_ticket_key_cb) {
3217         /* if 0 is returned, write an empty ticket */
3218         int ret = tctx->tlsext_ticket_key_cb(s, key_name, iv, ctx,
3219                                              hctx, 1);
3220
3221         if (ret == 0) {
3222
3223             /* Put timeout and length */
3224             if (!WPACKET_put_bytes_u32(pkt, 0)
3225                     || !WPACKET_put_bytes_u16(pkt, 0)) {
3226                 SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET,
3227                        ERR_R_INTERNAL_ERROR);
3228                 goto err;
3229             }
3230             OPENSSL_free(senc);
3231             EVP_CIPHER_CTX_free(ctx);
3232             HMAC_CTX_free(hctx);
3233             return 1;
3234         }
3235         if (ret < 0)
3236             goto err;
3237         iv_len = EVP_CIPHER_CTX_iv_length(ctx);
3238     } else {
3239         const EVP_CIPHER *cipher = EVP_aes_256_cbc();
3240
3241         iv_len = EVP_CIPHER_iv_length(cipher);
3242         if (RAND_bytes(iv, iv_len) <= 0)
3243             goto err;
3244         if (!EVP_EncryptInit_ex(ctx, cipher, NULL,
3245                                 tctx->tlsext_tick_aes_key, iv))
3246             goto err;
3247         if (!HMAC_Init_ex(hctx, tctx->tlsext_tick_hmac_key,
3248                           sizeof(tctx->tlsext_tick_hmac_key),
3249                           EVP_sha256(), NULL))
3250             goto err;
3251         memcpy(key_name, tctx->tlsext_tick_key_name,
3252                sizeof(tctx->tlsext_tick_key_name));
3253     }
3254
3255     /*
3256      * Ticket lifetime hint (advisory only): We leave this unspecified
3257      * for resumed session (for simplicity), and guess that tickets for
3258      * new sessions will live as long as their sessions.
3259      */
3260     if (!WPACKET_put_bytes_u32(pkt, s->hit ? 0 : s->session->timeout)
3261                /* Now the actual ticket data */
3262             || !WPACKET_start_sub_packet_u16(pkt)
3263             || !WPACKET_get_total_written(pkt, &macoffset)
3264                /* Output key name */
3265             || !WPACKET_memcpy(pkt, key_name, sizeof(key_name))
3266                /* output IV */
3267             || !WPACKET_memcpy(pkt, iv, iv_len)
3268             || !WPACKET_reserve_bytes(pkt, slen + EVP_MAX_BLOCK_LENGTH,
3269                                       &encdata1)
3270                /* Encrypt session data */
3271             || !EVP_EncryptUpdate(ctx, encdata1, &len, senc, slen)
3272             || !WPACKET_allocate_bytes(pkt, len, &encdata2)
3273             || encdata1 != encdata2
3274             || !EVP_EncryptFinal(ctx, encdata1 + len, &lenfinal)
3275             || !WPACKET_allocate_bytes(pkt, lenfinal, &encdata2)
3276             || encdata1 + len != encdata2
3277             || len + lenfinal > slen + EVP_MAX_BLOCK_LENGTH
3278             || !WPACKET_get_total_written(pkt, &macendoffset)
3279             || !HMAC_Update(hctx,
3280                             (unsigned char *)s->init_buf->data + macoffset,
3281                             macendoffset - macoffset)
3282             || !WPACKET_reserve_bytes(pkt, EVP_MAX_MD_SIZE, &macdata1)
3283             || !HMAC_Final(hctx, macdata1, &hlen)
3284             || hlen > EVP_MAX_MD_SIZE
3285             || !WPACKET_allocate_bytes(pkt, hlen, &macdata2)
3286             || macdata1 != macdata2
3287             || !WPACKET_close(pkt)) {
3288         SSLerr(SSL_F_TLS_CONSTRUCT_NEW_SESSION_TICKET, ERR_R_INTERNAL_ERROR);
3289         goto err;
3290     }
3291     EVP_CIPHER_CTX_free(ctx);
3292     HMAC_CTX_free(hctx);
3293     OPENSSL_free(senc);
3294
3295     return 1;
3296  err:
3297     OPENSSL_free(senc);
3298     EVP_CIPHER_CTX_free(ctx);
3299     HMAC_CTX_free(hctx);
3300     ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3301     return 0;
3302 }
3303
3304 int tls_construct_cert_status(SSL *s, WPACKET *pkt)
3305 {
3306     if (!WPACKET_put_bytes_u8(pkt, s->tlsext_status_type)
3307             || !WPACKET_sub_memcpy_u24(pkt, s->tlsext_ocsp_resp,
3308                                        s->tlsext_ocsp_resplen)) {
3309         SSLerr(SSL_F_TLS_CONSTRUCT_CERT_STATUS, ERR_R_INTERNAL_ERROR);
3310         ssl3_send_alert(s, SSL3_AL_FATAL, SSL_AD_INTERNAL_ERROR);
3311         return 0;
3312     }
3313
3314     return 1;
3315 }
3316
3317 #ifndef OPENSSL_NO_NEXTPROTONEG
3318 /*
3319  * tls_process_next_proto reads a Next Protocol Negotiation handshake message.
3320  * It sets the next_proto member in s if found
3321  */
3322 MSG_PROCESS_RETURN tls_process_next_proto(SSL *s, PACKET *pkt)
3323 {
3324     PACKET next_proto, padding;
3325     size_t next_proto_len;
3326
3327     /*-
3328      * The payload looks like:
3329      *   uint8 proto_len;
3330      *   uint8 proto[proto_len];
3331      *   uint8 padding_len;
3332      *   uint8 padding[padding_len];
3333      */
3334     if (!PACKET_get_length_prefixed_1(pkt, &next_proto)
3335         || !PACKET_get_length_prefixed_1(pkt, &padding)
3336         || PACKET_remaining(pkt) > 0) {
3337         SSLerr(SSL_F_TLS_PROCESS_NEXT_PROTO, SSL_R_LENGTH_MISMATCH);
3338         goto err;
3339     }
3340
3341     if (!PACKET_memdup(&next_proto, &s->next_proto_negotiated, &next_proto_len)) {
3342         s->next_proto_negotiated_len = 0;
3343         goto err;
3344     }
3345
3346     s->next_proto_negotiated_len = (unsigned char)next_proto_len;
3347
3348     return MSG_PROCESS_CONTINUE_READING;
3349  err:
3350     ossl_statem_set_error(s);
3351     return MSG_PROCESS_ERROR;
3352 }
3353 #endif
3354
3355 #define SSLV2_CIPHER_LEN    3
3356
3357 STACK_OF(SSL_CIPHER) *ssl_bytes_to_cipher_list(SSL *s,
3358                                                PACKET *cipher_suites,
3359                                                STACK_OF(SSL_CIPHER) **skp,
3360                                                int sslv2format, int *al)
3361 {
3362     const SSL_CIPHER *c;
3363     STACK_OF(SSL_CIPHER) *sk;
3364     int n;
3365     /* 3 = SSLV2_CIPHER_LEN > TLS_CIPHER_LEN = 2. */
3366     unsigned char cipher[SSLV2_CIPHER_LEN];
3367
3368     s->s3->send_connection_binding = 0;
3369
3370     n = sslv2format ? SSLV2_CIPHER_LEN : TLS_CIPHER_LEN;
3371
3372     if (PACKET_remaining(cipher_suites) == 0) {
3373         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, SSL_R_NO_CIPHERS_SPECIFIED);
3374         *al = SSL_AD_ILLEGAL_PARAMETER;
3375         return NULL;
3376     }
3377
3378     if (PACKET_remaining(cipher_suites) % n != 0) {
3379         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3380                SSL_R_ERROR_IN_RECEIVED_CIPHER_LIST);
3381         *al = SSL_AD_DECODE_ERROR;
3382         return NULL;
3383     }
3384
3385     if ((skp == NULL) || (*skp == NULL)) {
3386         sk = sk_SSL_CIPHER_new_null(); /* change perhaps later */
3387         if (sk == NULL) {
3388             SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3389             *al = SSL_AD_INTERNAL_ERROR;
3390             return NULL;
3391         }
3392     } else {
3393         sk = *skp;
3394         sk_SSL_CIPHER_zero(sk);
3395     }
3396
3397     if (!PACKET_memdup(cipher_suites, &s->s3->tmp.ciphers_raw,
3398                        &s->s3->tmp.ciphers_rawlen)) {
3399         *al = SSL_AD_INTERNAL_ERROR;
3400         goto err;
3401     }
3402
3403     while (PACKET_copy_bytes(cipher_suites, cipher, n)) {
3404         /*
3405          * SSLv3 ciphers wrapped in an SSLv2-compatible ClientHello have the
3406          * first byte set to zero, while true SSLv2 ciphers have a non-zero
3407          * first byte. We don't support any true SSLv2 ciphers, so skip them.
3408          */
3409         if (sslv2format && cipher[0] != '\0')
3410             continue;
3411
3412         /* Check for TLS_EMPTY_RENEGOTIATION_INFO_SCSV */
3413         if ((cipher[n - 2] == ((SSL3_CK_SCSV >> 8) & 0xff)) &&
3414             (cipher[n - 1] == (SSL3_CK_SCSV & 0xff))) {
3415             /* SCSV fatal if renegotiating */
3416             if (s->renegotiate) {
3417                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3418                        SSL_R_SCSV_RECEIVED_WHEN_RENEGOTIATING);
3419                 *al = SSL_AD_HANDSHAKE_FAILURE;
3420                 goto err;
3421             }
3422             s->s3->send_connection_binding = 1;
3423             continue;
3424         }
3425
3426         /* Check for TLS_FALLBACK_SCSV */
3427         if ((cipher[n - 2] == ((SSL3_CK_FALLBACK_SCSV >> 8) & 0xff)) &&
3428             (cipher[n - 1] == (SSL3_CK_FALLBACK_SCSV & 0xff))) {
3429             /*
3430              * The SCSV indicates that the client previously tried a higher
3431              * version. Fail if the current version is an unexpected
3432              * downgrade.
3433              */
3434             if (!ssl_check_version_downgrade(s)) {
3435                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST,
3436                        SSL_R_INAPPROPRIATE_FALLBACK);
3437                 *al = SSL_AD_INAPPROPRIATE_FALLBACK;
3438                 goto err;
3439             }
3440             continue;
3441         }
3442
3443         /* For SSLv2-compat, ignore leading 0-byte. */
3444         c = ssl_get_cipher_by_char(s, sslv2format ? &cipher[1] : cipher);
3445         if (c != NULL) {
3446             if (!sk_SSL_CIPHER_push(sk, c)) {
3447                 SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_MALLOC_FAILURE);
3448                 *al = SSL_AD_INTERNAL_ERROR;
3449                 goto err;
3450             }
3451         }
3452     }
3453     if (PACKET_remaining(cipher_suites) > 0) {
3454         *al = SSL_AD_INTERNAL_ERROR;
3455         SSLerr(SSL_F_SSL_BYTES_TO_CIPHER_LIST, ERR_R_INTERNAL_ERROR);
3456         goto err;
3457     }
3458
3459     if (skp != NULL)
3460         *skp = sk;
3461     return (sk);
3462  err:
3463     if ((skp == NULL) || (*skp == NULL))
3464         sk_SSL_CIPHER_free(sk);
3465     return NULL;
3466 }