LCOV - code coverage report
Current view: top level - ballet/aes - fd_aes_gcm_ref.c (source / functions) Hit Total Coverage
Test: cov.lcov Lines: 171 191 89.5 %
Date: 2025-03-20 12:08:36 Functions: 8 8 100.0 %

          Line data    Source code
       1             : /* fd_aes_ref.c was imported from the OpenSSL project circa 2023-Aug.
       2             :    Original source files:  crypto/evp/e_aes.c crypto/modes/gcm128.c */
       3             : 
       4             : #include "fd_aes_gcm.h"
       5             : 
       6             : #include <assert.h>
       7             : 
       8     8232906 : #define fd_gcm_init  fd_gcm_init_4bit
       9     4001670 : #define fd_gcm_gmult fd_gcm_gmult_4bit
      10    80397044 : #define fd_gcm_ghash fd_gcm_ghash_4bit
      11             : 
      12             : static void
      13             : fd_aes_gcm_setiv( fd_aes_gcm_ref_t * gcm,
      14     8232906 :                   uchar const        iv[ 12 ] ) {
      15             : 
      16     8232906 :   uint ctr;
      17     8232906 :   gcm->len.u[ 0 ] = 0;  /* AAD length */
      18     8232906 :   gcm->len.u[ 1 ] = 0;  /* Message length */
      19     8232906 :   gcm->ares = 0;
      20     8232906 :   gcm->mres = 0;
      21             : 
      22     8232906 :   memcpy( gcm->Yi.c, iv, 12 );
      23     8232906 :   gcm->Yi.c[12] = 0;
      24     8232906 :   gcm->Yi.c[13] = 0;
      25     8232906 :   gcm->Yi.c[14] = 0;
      26     8232906 :   gcm->Yi.c[15] = 1;
      27     8232906 :   ctr = 1;
      28             : 
      29     8232906 :   gcm->Xi.u[0] = 0;
      30     8232906 :   gcm->Xi.u[1] = 0;
      31             : 
      32     8232906 :   fd_aes_encrypt( gcm->Yi.c, gcm->EK0.c, &gcm->key );
      33     8232906 :   ctr++;
      34             : 
      35     8232906 :   gcm->Yi.d[3] = fd_uint_bswap( ctr );
      36     8232906 : }
      37             : 
      38             : void
      39             : fd_aes_128_gcm_init_ref( fd_aes_gcm_ref_t * gcm,
      40             :                          uchar const        key[ 16 ],
      41     8232906 :                          uchar const        iv[ 12 ] ) {
      42             : 
      43             :   /* TODO: Check key size */
      44             : 
      45     8232906 :   memset( gcm, 0, sizeof(fd_aes_gcm_t) );
      46             : 
      47     8232906 :   fd_aes_key_ref_t * ks = &gcm->key;
      48     8232906 :   fd_aes_set_encrypt_key( key, 128, ks );
      49             : 
      50     8232906 :   fd_aes_encrypt( gcm->H.c, gcm->H.c, ks );
      51     8232906 :   gcm->H.u[ 0 ] = fd_ulong_bswap( gcm->H.u[ 0 ] );
      52     8232906 :   gcm->H.u[ 1 ] = fd_ulong_bswap( gcm->H.u[ 1 ] );
      53             : 
      54     8232906 :   fd_gcm_init( gcm->Htable, gcm->H.u );
      55     8232906 :   fd_aes_gcm_setiv( gcm, iv );
      56     8232906 : }
      57             : 
      58             : static int
      59             : fd_gcm128_aad( fd_aes_gcm_ref_t * aes_gcm,
      60             :                uchar const *      aad,
      61     8232906 :                ulong              aad_sz ) {
      62             : 
      63     8232906 :   ulong alen = aes_gcm->len.u[ 0 ];
      64             : 
      65     8232906 :   if( FD_UNLIKELY( aes_gcm->len.u[ 1 ] ) )
      66           0 :     return -2;
      67             : 
      68     8232906 :   alen += aad_sz;
      69     8232906 :   if (alen > (1UL<<61) || (sizeof(aad_sz) == 8 && alen < aad_sz))
      70           0 :     return -1;
      71     8232906 :   aes_gcm->len.u[0] = alen;
      72             : 
      73     8232906 :   uint n = aes_gcm->ares;
      74     8232906 :   if (n) {
      75           0 :     while (n && aad_sz) {
      76           0 :       aes_gcm->Xi.c[n] ^= *(aad++);
      77           0 :       --aad_sz;
      78           0 :       n = (n + 1) % 16;
      79           0 :     }
      80           0 :     if (n == 0)
      81           0 :       fd_gcm_gmult( aes_gcm->Xi.u, aes_gcm->Htable );
      82           0 :     else {
      83           0 :       aes_gcm->ares = n;
      84           0 :       return 0;
      85           0 :     }
      86           0 :   }
      87     8232906 :   ulong i;
      88     8232906 :   if ((i = (aad_sz & (ulong)-16))) {
      89     6017816 :     fd_gcm_ghash( aes_gcm->Xi.u, aes_gcm->Htable, aad, i );
      90     6017816 :     aad += i;
      91     6017816 :     aad_sz -= i;
      92     6017816 :   }
      93     8232906 :   if (aad_sz) {
      94     8232906 :     n = (unsigned int)aad_sz;
      95    63860848 :     for (i = 0; i < aad_sz; ++i)
      96    55627942 :       aes_gcm->Xi.c[i] ^= aad[i];
      97     8232906 :   }
      98             : 
      99     8232906 :   aes_gcm->ares = n;
     100     8232906 :   return 0;
     101     8232906 : }
     102             : 
     103             : /* TODO separate reference code and GCM128 */
     104             : 
     105             : static int
     106             : fd_gcm128_encrypt( fd_aes_gcm_ref_t * ctx,
     107             :                    uchar const *      in,
     108             :                    uchar *            out,
     109     4116680 :                    ulong              len ) {
     110             : 
     111     4116680 :   uint n, ctr, mres;
     112     4116680 :   ulong i;
     113     4116680 :   ulong mlen = ctx->len.u[1];
     114     4116680 :   void *key = &ctx->key;
     115             : 
     116     4116680 :   mlen += len;
     117     4116680 :   if (mlen > ((1UL<<36) - 32) || (sizeof(len) == 8 && mlen < len))
     118           0 :     return -1;
     119     4116680 :   ctx->len.u[1] = mlen;
     120             : 
     121     4116680 :   mres = ctx->mres;
     122             : 
     123     4116680 :   if (ctx->ares) {
     124             :     /* First call to encrypt finalizes GHASH(AAD) */
     125     4116680 :     if (len == 0) {
     126     2000073 :       fd_gcm_gmult( ctx->Xi.u, ctx->Htable );
     127     2000073 :       ctx->ares = 0;
     128     2000073 :       return 0;
     129     2000073 :     }
     130     2116607 :     memcpy(ctx->Xn, ctx->Xi.c, sizeof(ctx->Xi));
     131     2116607 :     ctx->Xi.u[0] = 0;
     132     2116607 :     ctx->Xi.u[1] = 0;
     133     2116607 :     mres = sizeof(ctx->Xi);
     134     2116607 :     ctx->ares = 0;
     135     2116607 :   }
     136             : 
     137     2116607 :   ctr = fd_uint_bswap( ctx->Yi.d[3] );
     138             : 
     139     2116607 :   n = mres % 16;
     140  1558990753 :   for (i = 0; i < len; ++i) {
     141  1556874146 :     if (n == 0) {
     142    98144915 :       fd_aes_encrypt( ctx->Yi.c, ctx->EKi.c, key );
     143    98144915 :       ++ctr;
     144    98144915 :       ctx->Yi.d[3] = fd_uint_bswap( ctr );
     145    98144915 :     }
     146  1556874146 :     ctx->Xn[mres++] = out[i] = in[i] ^ ctx->EKi.c[n];
     147  1556874146 :     n = (n + 1) % 16;
     148  1556874146 :     if (mres == sizeof(ctx->Xn)) {
     149    31979456 :       fd_gcm_ghash( ctx->Xi.u, ctx->Htable, ctx->Xn, sizeof(ctx->Xn) );
     150    31979456 :       mres = 0;
     151    31979456 :     }
     152  1556874146 :   }
     153             : 
     154     2116607 :   ctx->mres = mres;
     155     2116607 :   return 0;
     156     4116680 : }
     157             : 
     158             : static int
     159             : fd_gcm128_decrypt( fd_aes_gcm_ref_t * ctx,
     160             :                    uchar const *      in,
     161             :                    uchar *            out,
     162     4116226 :                    ulong              len ) {
     163             : 
     164     4116226 :   uint n, ctr, mres;
     165     4116226 :   ulong i;
     166     4116226 :   ulong mlen = ctx->len.u[1];
     167     4116226 :   void * key = &ctx->key;
     168             : 
     169     4116226 :   mlen += len;
     170     4116226 :   if (mlen > ((1UL<<36) - 32) || (sizeof(len) == 8 && mlen < len))
     171           0 :     return -1;
     172     4116226 :   ctx->len.u[1] = mlen;
     173             : 
     174     4116226 :   mres = ctx->mres;
     175             : 
     176     4116226 :   if (ctx->ares) {
     177             :     /* First call to decrypt finalizes GHASH(AAD) */
     178     4116226 :     if (len == 0) {
     179     2001597 :       fd_gcm_gmult( ctx->Xi.u, ctx->Htable );
     180     2001597 :       ctx->ares = 0;
     181     2001597 :       return 0;
     182     2001597 :     }
     183     2114629 :     memcpy(ctx->Xn, ctx->Xi.c, sizeof(ctx->Xi));
     184     2114629 :     ctx->Xi.u[0] = 0;
     185     2114629 :     ctx->Xi.u[1] = 0;
     186     2114629 :     mres = sizeof(ctx->Xi);
     187     2114629 :     ctx->ares = 0;
     188     2114629 :   }
     189             : 
     190     2114629 :   ctr = fd_uint_bswap( ctx->Yi.d[3] );
     191             : 
     192     2114629 :   n = mres % 16;
     193  1597373787 :   for (i = 0; i < len; ++i) {
     194  1595259158 :     uchar c;
     195  1595259158 :     if (n == 0) {
     196   100143093 :       fd_aes_encrypt( ctx->Yi.c, ctx->EKi.c, key );
     197   100143093 :       ++ctr;
     198   100143093 :       ctx->Yi.d[3] = fd_uint_bswap( ctr );
     199   100143093 :     }
     200  1595259158 :     out[i] = (ctx->Xn[mres++] = c = in[i]) ^ ctx->EKi.c[n];
     201  1595259158 :     n = (n + 1) % 16;
     202  1595259158 :     if (mres == sizeof(ctx->Xn)) {
     203    32979506 :       fd_gcm_ghash( ctx->Xi.u, ctx->Htable, ctx->Xn, sizeof(ctx->Xn) );
     204    32979506 :       mres = 0;
     205    32979506 :     }
     206  1595259158 :   }
     207             : 
     208     2114629 :   ctx->mres = mres;
     209     2114629 :   return 0;
     210     4116226 : }
     211             : 
     212             : static void
     213     8232906 : fd_gcm128_finish( fd_aes_gcm_ref_t * ctx ) {
     214             : 
     215     8232906 :   ulong alen = ctx->len.u[0] << 3;  // 176
     216     8232906 :   ulong clen = ctx->len.u[1] << 3;  // 9296
     217             : 
     218     8232906 :   struct {
     219     8232906 :     ulong hi;
     220     8232906 :     ulong lo;
     221     8232906 :   } bitlen;
     222     8232906 :   uint mres = ctx->mres;
     223             : 
     224     8232906 :   if( mres ) {
     225     4231026 :     uint blocks = (mres + 15u) & 0xfffffff0u; // 16
     226             : 
     227     4231026 :     memset(ctx->Xn + mres, 0, blocks - mres);
     228     4231026 :     mres = blocks;
     229     4231026 :     if (mres == sizeof(ctx->Xn)) {
     230     1187360 :       fd_gcm_ghash( ctx->Xi.u, ctx->Htable, ctx->Xn, mres );
     231     1187360 :       mres = 0;
     232     1187360 :     }
     233     4231026 :   } else if( ctx->ares ) {
     234           0 :     fd_gcm_gmult( ctx->Xi.u, ctx->Htable );
     235           0 :   }
     236             : 
     237     8232906 :   alen = fd_ulong_bswap( alen );
     238     8232906 :   clen = fd_ulong_bswap( clen );
     239             : 
     240     8232906 :   bitlen.hi = alen;
     241     8232906 :   bitlen.lo = clen;
     242     8232906 :   memcpy( ctx->Xn + mres, &bitlen, sizeof(bitlen) );
     243     8232906 :   mres += (uint)sizeof(bitlen);
     244     8232906 :   fd_gcm_ghash( ctx->Xi.u, ctx->Htable, ctx->Xn, mres );
     245             : 
     246     8232906 :   ctx->Xi.u[0] ^= ctx->EK0.u[0];
     247     8232906 :   ctx->Xi.u[1] ^= ctx->EK0.u[1];
     248     8232906 : }
     249             : 
     250             : void
     251             : fd_aes_gcm_encrypt_ref( fd_aes_gcm_ref_t * aes_gcm,
     252             :                         uchar *            c,
     253             :                         uchar const *      p,
     254             :                         ulong              sz,
     255             :                         uchar const *      aad,
     256             :                         ulong              aad_sz,
     257     4116680 :                         uchar              tag[ 16 ] ) {
     258             : 
     259     4116680 :   fd_gcm128_aad( aes_gcm, aad, aad_sz );
     260             : 
     261     4116680 :   ulong bulk = 0UL;
     262     4116680 :   assert( 0==fd_gcm128_encrypt( aes_gcm, p+bulk, c+bulk, sz-bulk ) );
     263             : 
     264             :   /* CRYPTO_gcm128_tag */
     265           0 :   fd_gcm128_finish( aes_gcm );
     266     4116680 :   fd_memcpy( tag, aes_gcm->Xi.c, 16 );
     267     4116680 : }
     268             : 
     269             : int
     270             : fd_aes_gcm_decrypt_ref( fd_aes_gcm_ref_t * aes_gcm,
     271             :                         uchar const *      c,
     272             :                         uchar *            p,
     273             :                         ulong              sz,
     274             :                         uchar const *      aad,
     275             :                         ulong              aad_sz,
     276     4116226 :                         uchar const        tag[ 16 ] ) {
     277             : 
     278     4116226 :   fd_gcm128_aad( aes_gcm, aad, aad_sz );
     279             : 
     280     4116226 :   ulong bulk = 0UL;
     281     4116226 :   assert( 0==fd_gcm128_decrypt( aes_gcm, c+bulk, p+bulk, sz-bulk ) );
     282             : 
     283             :   /* CRYPTO_gcm128_finish */
     284           0 :   fd_gcm128_finish( aes_gcm );
     285     4116226 :   return 0==memcmp( aes_gcm->Xi.c, tag, 16 );  /* TODO USE CONSTANT TIME COMPARE */
     286     4116226 : }

Generated by: LCOV version 1.14