contrib/wpa_supplicant/src/crypto/sha512-internal.c

   1 /*
   2  * SHA-512 hash implementation and interface functions
   3  * Copyright (c) 2015, Pali Rohár <pali.rohar@gmail.com>
   4  *
   5  * This software may be distributed under the terms of the BSD license.
   6  * See README for more details.
   7  */
   8
   9 #include "includes.h"
  10
  11 #include "common.h"
  12 #include "sha512_i.h"
  13 #include "crypto.h"
  14
  15
  16 /**
  17  * sha512_vector - SHA512 hash for data vector
  18  * @num_elem: Number of elements in the data vector
  19  * @addr: Pointers to the data areas
  20  * @len: Lengths of the data blocks
  21  * @mac: Buffer for the hash
  22  * Returns: 0 on success, -1 of failure
  23  */
  24 int sha512_vector(size_t num_elem, const u8 *addr[], const size_t *len,
  25                   u8 *mac)
  26 {
  27         struct sha512_state ctx;
  28         size_t i;
  29
  30         sha512_init(&ctx);
  31         for (i = 0; i < num_elem; i++)
  32                 if (sha512_process(&ctx, addr[i], len[i]))
  33                         return -1;
  34         if (sha512_done(&ctx, mac))
  35                 return -1;
  36         return 0;
  37 }
  38
  39
  40 /* ===== start - public domain SHA512 implementation ===== */
  41
  42 /* This is based on SHA512 implementation in LibTomCrypt that was released into
  43  * public domain by Tom St Denis. */
  44
  45 #define CONST64(n) n ## ULL
  46
  47 /* the K array */
  48 static const u64 K[80] = {
  49         CONST64(0x428a2f98d728ae22), CONST64(0x7137449123ef65cd),
  50         CONST64(0xb5c0fbcfec4d3b2f), CONST64(0xe9b5dba58189dbbc),
  51         CONST64(0x3956c25bf348b538), CONST64(0x59f111f1b605d019),
  52         CONST64(0x923f82a4af194f9b), CONST64(0xab1c5ed5da6d8118),
  53         CONST64(0xd807aa98a3030242), CONST64(0x12835b0145706fbe),
  54         CONST64(0x243185be4ee4b28c), CONST64(0x550c7dc3d5ffb4e2),
  55         CONST64(0x72be5d74f27b896f), CONST64(0x80deb1fe3b1696b1),
  56         CONST64(0x9bdc06a725c71235), CONST64(0xc19bf174cf692694),
  57         CONST64(0xe49b69c19ef14ad2), CONST64(0xefbe4786384f25e3),
  58         CONST64(0x0fc19dc68b8cd5b5), CONST64(0x240ca1cc77ac9c65),
  59         CONST64(0x2de92c6f592b0275), CONST64(0x4a7484aa6ea6e483),
  60         CONST64(0x5cb0a9dcbd41fbd4), CONST64(0x76f988da831153b5),
  61         CONST64(0x983e5152ee66dfab), CONST64(0xa831c66d2db43210),
  62         CONST64(0xb00327c898fb213f), CONST64(0xbf597fc7beef0ee4),
  63         CONST64(0xc6e00bf33da88fc2), CONST64(0xd5a79147930aa725),
  64         CONST64(0x06ca6351e003826f), CONST64(0x142929670a0e6e70),
  65         CONST64(0x27b70a8546d22ffc), CONST64(0x2e1b21385c26c926),
  66         CONST64(0x4d2c6dfc5ac42aed), CONST64(0x53380d139d95b3df),
  67         CONST64(0x650a73548baf63de), CONST64(0x766a0abb3c77b2a8),
  68         CONST64(0x81c2c92e47edaee6), CONST64(0x92722c851482353b),
  69         CONST64(0xa2bfe8a14cf10364), CONST64(0xa81a664bbc423001),
  70         CONST64(0xc24b8b70d0f89791), CONST64(0xc76c51a30654be30),
  71         CONST64(0xd192e819d6ef5218), CONST64(0xd69906245565a910),
  72         CONST64(0xf40e35855771202a), CONST64(0x106aa07032bbd1b8),
  73         CONST64(0x19a4c116b8d2d0c8), CONST64(0x1e376c085141ab53),
  74         CONST64(0x2748774cdf8eeb99), CONST64(0x34b0bcb5e19b48a8),
  75         CONST64(0x391c0cb3c5c95a63), CONST64(0x4ed8aa4ae3418acb),
  76         CONST64(0x5b9cca4f7763e373), CONST64(0x682e6ff3d6b2b8a3),
  77         CONST64(0x748f82ee5defb2fc), CONST64(0x78a5636f43172f60),
  78         CONST64(0x84c87814a1f0ab72), CONST64(0x8cc702081a6439ec),
  79         CONST64(0x90befffa23631e28), CONST64(0xa4506cebde82bde9),
  80         CONST64(0xbef9a3f7b2c67915), CONST64(0xc67178f2e372532b),
  81         CONST64(0xca273eceea26619c), CONST64(0xd186b8c721c0c207),
  82         CONST64(0xeada7dd6cde0eb1e), CONST64(0xf57d4f7fee6ed178),
  83         CONST64(0x06f067aa72176fba), CONST64(0x0a637dc5a2c898a6),
  84         CONST64(0x113f9804bef90dae), CONST64(0x1b710b35131c471b),
  85         CONST64(0x28db77f523047d84), CONST64(0x32caab7b40c72493),
  86         CONST64(0x3c9ebe0a15c9bebc), CONST64(0x431d67c49c100d4c),
  87         CONST64(0x4cc5d4becb3e42b6), CONST64(0x597f299cfc657e2a),
  88         CONST64(0x5fcb6fab3ad6faec), CONST64(0x6c44198c4a475817)
  89 };
  90
  91 /* Various logical functions */
  92 #define Ch(x,y,z)       (z ^ (x & (y ^ z)))
  93 #define Maj(x,y,z)      (((x | y) & z) | (x & y))
  94 #define S(x, n)         ROR64c(x, n)
  95 #define R(x, n)         (((x) & CONST64(0xFFFFFFFFFFFFFFFF)) >> ((u64) n))
  96 #define Sigma0(x)       (S(x, 28) ^ S(x, 34) ^ S(x, 39))
  97 #define Sigma1(x)       (S(x, 14) ^ S(x, 18) ^ S(x, 41))
  98 #define Gamma0(x)       (S(x, 1) ^ S(x, 8) ^ R(x, 7))
  99 #define Gamma1(x)       (S(x, 19) ^ S(x, 61) ^ R(x, 6))
 100 #ifndef MIN
 101 #define MIN(x, y) (((x) < (y)) ? (x) : (y))
 102 #endif
 103
 104 #define ROR64c(x, y) \
 105     ( ((((x) & CONST64(0xFFFFFFFFFFFFFFFF)) >> ((u64) (y) & CONST64(63))) | \
 106       ((x) << ((u64) (64 - ((y) & CONST64(63)))))) & \
 107       CONST64(0xFFFFFFFFFFFFFFFF))
 108
 109 /* compress 1024-bits */
 110 static int sha512_compress(struct sha512_state *md, unsigned char *buf)
 111 {
 112         u64 S[8], t0, t1;
 113         u64 *W;
 114         int i;
 115
 116         W = os_malloc(80 * sizeof(u64));
 117         if (!W)
 118                 return -1;
 119
 120         /* copy state into S */
 121         for (i = 0; i < 8; i++) {
 122                 S[i] = md->state[i];
 123         }
 124
 125         /* copy the state into 1024-bits into W[0..15] */
 126         for (i = 0; i < 16; i++)
 127                 W[i] = WPA_GET_BE64(buf + (8 * i));
 128
 129         /* fill W[16..79] */
 130         for (i = 16; i < 80; i++) {
 131                 W[i] = Gamma1(W[i - 2]) + W[i - 7] + Gamma0(W[i - 15]) +
 132                         W[i - 16];
 133         }
 134
 135         /* Compress */
 136         for (i = 0; i < 80; i++) {
 137                 t0 = S[7] + Sigma1(S[4]) + Ch(S[4], S[5], S[6]) + K[i] + W[i];
 138                 t1 = Sigma0(S[0]) + Maj(S[0], S[1], S[2]);
 139                 S[7] = S[6];
 140                 S[6] = S[5];
 141                 S[5] = S[4];
 142                 S[4] = S[3] + t0;
 143                 S[3] = S[2];
 144                 S[2] = S[1];
 145                 S[1] = S[0];
 146                 S[0] = t0 + t1;
 147         }
 148
 149         /* feedback */
 150         for (i = 0; i < 8; i++) {
 151                 md->state[i] = md->state[i] + S[i];
 152         }
 153
 154         os_free(W);
 155         return 0;
 156 }
 157
 158
 159 /**
 160    Initialize the hash state
 161    @param md   The hash state you wish to initialize
 162    @return CRYPT_OK if successful
 163 */
 164 void sha512_init(struct sha512_state *md)
 165 {
 166         md->curlen = 0;
 167         md->length = 0;
 168         md->state[0] = CONST64(0x6a09e667f3bcc908);
 169         md->state[1] = CONST64(0xbb67ae8584caa73b);
 170         md->state[2] = CONST64(0x3c6ef372fe94f82b);
 171         md->state[3] = CONST64(0xa54ff53a5f1d36f1);
 172         md->state[4] = CONST64(0x510e527fade682d1);
 173         md->state[5] = CONST64(0x9b05688c2b3e6c1f);
 174         md->state[6] = CONST64(0x1f83d9abfb41bd6b);
 175         md->state[7] = CONST64(0x5be0cd19137e2179);
 176 }
 177
 178
 179 /**
 180    Process a block of memory though the hash
 181    @param md     The hash state
 182    @param in     The data to hash
 183    @param inlen  The length of the data (octets)
 184    @return CRYPT_OK if successful
 185 */
 186 int sha512_process(struct sha512_state *md, const unsigned char *in,
 187                    unsigned long inlen)
 188 {
 189         unsigned long n;
 190
 191         if (md->curlen >= sizeof(md->buf))
 192                 return -1;
 193
 194         while (inlen > 0) {
 195                 if (md->curlen == 0 && inlen >= SHA512_BLOCK_SIZE) {
 196                         if (sha512_compress(md, (unsigned char *) in) < 0)
 197                                 return -1;
 198                         md->length += SHA512_BLOCK_SIZE * 8;
 199                         in += SHA512_BLOCK_SIZE;
 200                         inlen -= SHA512_BLOCK_SIZE;
 201                 } else {
 202                         n = MIN(inlen, (SHA512_BLOCK_SIZE - md->curlen));
 203                         os_memcpy(md->buf + md->curlen, in, n);
 204                         md->curlen += n;
 205                         in += n;
 206                         inlen -= n;
 207                         if (md->curlen == SHA512_BLOCK_SIZE) {
 208                                 if (sha512_compress(md, md->buf) < 0)
 209                                         return -1;
 210                                 md->length += 8 * SHA512_BLOCK_SIZE;
 211                                 md->curlen = 0;
 212                         }
 213                 }
 214         }
 215
 216         return 0;
 217 }
 218
 219
 220 /**
 221    Terminate the hash to get the digest
 222    @param md  The hash state
 223    @param out [out] The destination of the hash (64 bytes)
 224    @return CRYPT_OK if successful
 225 */
 226 int sha512_done(struct sha512_state *md, unsigned char *out)
 227 {
 228         int i;
 229
 230         if (md->curlen >= sizeof(md->buf))
 231                 return -1;
 232
 233         /* increase the length of the message */
 234         md->length += md->curlen * CONST64(8);
 235
 236         /* append the '1' bit */
 237         md->buf[md->curlen++] = (unsigned char) 0x80;
 238
 239         /* if the length is currently above 112 bytes we append zeros
 240          * then compress.  Then we can fall back to padding zeros and length
 241          * encoding like normal.
 242          */
 243         if (md->curlen > 112) {
 244                 while (md->curlen < 128) {
 245                         md->buf[md->curlen++] = (unsigned char) 0;
 246                 }
 247                 sha512_compress(md, md->buf);
 248                 md->curlen = 0;
 249         }
 250
 251         /* pad up to 120 bytes of zeroes
 252          * note: that from 112 to 120 is the 64 MSB of the length.  We assume
 253          * that you won't hash > 2^64 bits of data... :-)
 254          */
 255         while (md->curlen < 120) {
 256                 md->buf[md->curlen++] = (unsigned char) 0;
 257         }
 258
 259         /* store length */
 260         WPA_PUT_BE64(md->buf + 120, md->length);
 261         sha512_compress(md, md->buf);
 262
 263         /* copy output */
 264         for (i = 0; i < 8; i++)
 265                 WPA_PUT_BE64(out + (8 * i), md->state[i]);
 266
 267         return 0;
 268 }
 269
 270 /* ===== end - public domain SHA512 implementation ===== */