pkcs: extract PBE-based encryption and decryption functions

Extract internal functions used by both PKCS#12 and PKCS#8 to handle
PBE-based encryption of the data.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: consolidate encryption functions

Use _gnutls_pkcs7_en/decrypt_int() to implement
_gnutls_pkcs_raw_en/decrypt_data().

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: add support for EncryptedData

Add support for parsing, decrypting and encrypting EncryptedData
PKCS7/CMS files.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkix.asn: add RC2 CBC parameters

Add SEQUENCE for RC2 CBC parameters. It includes IV and a magic
describing RC2 key bits.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: move writing attributes to pkcs7-attrs.c

Move functions that write PKCS7 attributes to pkcs7-attrs.c, they will
be reused by encrypted/enveloped files support.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

lib: add function to get cipher by OID

Add function returning gnutls_cipher_algorithm_t by corresponding OID.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: add support for DigestedData CMS files

Add support for creating and verifying DigestedData CMS files.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

tests: add cmstool tests

Copy relevant `certtool --p7-foo` tests to check `cmstool --foo`.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

cmstool: add new tool targeting CMS files

Add new cmstool - a command line utility for handling CMS/PKCS#7 files.
For now it had inherited pkcs7-related commands from certtol.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: support Data Content Type

As a first step towards supporting different PKCS7 content types, add
support for plain Data Content Type.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: rename data fields

Rename data fields to use word 'content' rather than 'signed'. Other
PKCS#7 types have different usage types for these data elements.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: drop expanded field, just reinit always

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

pkcs7: rearrange code to ease adding other pkcs7 types

Rearrange functions splitting pkcs7 signed support to separate file.

Signed-off-by: Dmitry Baryshkov <dbaryshkov@gmail.com>

Merge branch 'fix_nettle_alignment' into 'master'

cipher: Ensure correct alignment

See merge request gnutls/gnutls!1633

Merge branch 'wip/dueno/cb-fixes' into 'master'

doc: mention GNUTLS_CB_TLS_EXPORTER

Closes #1391

See merge request gnutls/gnutls!1636

src: request tls-exporter only when unique master secrets are used

This is to comply with RFC9266 4.2.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

gnutls_session_channel_binding: perform check on "tls-exporter"

According to RFC9622 4.2, the "tls-exporter" channel binding is only
usable when the handshake is bound to a unique master secret.  This
adds a check whether either TLS 1.3 or extended master secret
extension is negotiated.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

doc: mention GNUTLS_CB_TLS_EXPORTER

Signed-off-by: Daiki Ueno <ueno@gnu.org>

cipher: Ensure correct alignment

Unsigned math is required to calculate the current alignment.

Signed-off-by: Doug Nazar <nazard@nazar.ca>

Merge branch 'wip/dueno/cpuid-fixes' into 'master'

accelerated: clear AVX bits if it cannot be queried through XSAVE

Closes #1282

See merge request gnutls/gnutls!1631

Merge branch 'unload' into 'master'

Unload custom allocators in gnutls_crypto_deinit()

Closes #1398

See merge request gnutls/gnutls!1637

Unload custom allocators in gnutls_crypto_deinit()

Closes #1398

Signed-off-by: Tobias Heider <tobias.heider@canonical.com>

accelerated: clear AVX bits if it cannot be queried through XSAVE

The algorithm to detect AVX is described in 14.3 of "Intel® 64 and IA-32
Architectures Software Developer’s Manual".

GnuTLS previously only followed that algorithm when registering the
crypto backend, while the CRYPTOGAMS derived SHA code assembly expects
that the extension bits are propagated to _gnutls_x86_cpuid_s.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/cligen-update' into 'master'

srptool: resurrect default value for -i

Closes #1394

See merge request gnutls/gnutls!1634

srptool: resurrect default value for -i

The default option value for -i (--index) was dropped during the
cligen conversion.  This adds it back for compatibility with the
existing command line usage.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

cligen: update git submodule

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'restrict-allowlisting-api' into 'master'

restrict allowlisting api to before priority string initialization

See merge request gnutls/gnutls!1533

Merge branch 'wip/dueno/fips-rsa-key-sizes' into 'master'

fips: mark RSA SigVer operation approved for known modulus sizes

See merge request gnutls/gnutls!1630

tests: add fips-rsa-sizes

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'int-conversion' into 'master'

windows: Avoid -Wint-conversion errors

See merge request gnutls/gnutls!1632

update documentation on allowlisting API

(in a separate commit so that it's easier to compare)

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

plumb allowlisting API through the config, restrict usage to early times

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

windows: Avoid -Wint-conversion errors

Clang 15 made "incompatible pointer to integer conversion" an error
instead of a plain warning. This fixes errors like these:

system/keys-win.c:257:13: error: incompatible pointer to integer conversion initializing 'HCRYPTHASH' (aka 'unsigned long') with an expression of type 'void *' [-Wint-conversion]
        HCRYPTHASH hHash = NULL;
                   ^       ~~~~

Signed-off-by: Martin Storsjo <martin@martin.st>

lib/priority: extract parts of cfg_apply into cfg_*_set_array*

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

lib/priority: move sigalgs filtering to set_ciphersuite_list

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'drop-3des-selftest' into 'master'

fips: disable GNUTLS_CIPHER_3DES_CBC self-test

See merge request gnutls/gnutls!1629

nettle: mark RSA SigVer operation approved for known modulus sizes

SP800-131A rev2 suggests certain RSA modulus sizes under 2048
bits (1024, 1280, 1536, and 1792) may continue to be used for
signature verification but not for signature generation.  This loosen
the current service indicator report to approve them.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

nettle: check RSA modulus size in bits rather than bytes

Previously we checked RSA modulus size clamped to byte unit instead of
bits.  This makes the check stricter by explicitly calculating the
modulus size in bits.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

fips: disable GNUTLS_CIPHER_3DES_CBC self-test

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

Merge branch 'wip/dueno/interruptible' into 'master'

.gitlab-ci.yml: mark all CI jobs interruptible

Closes #1390

See merge request gnutls/gnutls!1628

Merge branch 'interop' into 'master'

interoperability testing with openssl

See merge request gnutls/gnutls!1623

Merge branch 'tmp-ametzler-2022-bashism' into 'master'

Avoid &> redirection bashism in testsuite

See merge request gnutls/gnutls!1627

.gitlab-ci.yml: mark all CI jobs interruptible

This allows previous pipelines to be cancelled if a new job is
submitted subsequently:
https://docs.gitlab.com/ee/ci/yaml/#interruptible

Suggested-by: Zoltán Fridrich <zfridric@redhat.com>
Signed-off-by: Daiki Ueno <ueno@gnu.org>

Moved TLS interoperability tests to submodule.

Signed-off-by: Stanislav Zidek <szidek@redhat.com>

Avoid &> redirection bashism in testsuite

Broken by 7b700dbcd5907944a7dd2f74cd26ad8586cd4bac

Signed-off-by: Andreas Metzler <ametzler@bebt.de>

interoperability testing with openssl

GitLab CI extended to run 2way interoperability tests with openssl on
Fedora. Also prepared for adding further interoperability tests once
they are in better shape.

Signed-off-by: Stanislav Zidek <szidek@redhat.com>

Merge branch 'wip/dueno/fips-pbes1' into 'master'

_gnutls_decrypt_pbes1_des_md5_data: use public crypto API

Closes #1392

See merge request gnutls/gnutls!1626

_gnutls_decrypt_pbes1_des_md5_data: use public crypto API

This is a follow-up of e7f9267342bc2231149a640163c82b63c86f1dfd.  In
the decryption code path with PBES1, algorithm checks for FIPS was not
applied, because it used internal functions that bypass those checks.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'jas/doc-fix-tls-exporter' into 'master'

Update doc for GNUTLS_CB_TLS_EXPORTER towards RFC9266.

See merge request gnutls/gnutls!1621

Update doc for GNUTLS_CB_TLS_EXPORTER towards RFC9266.

Signed-off-by: Simon Josefsson <simon@josefsson.org>

Merge branch 'ktls_fix' into 'master'

KTLS:  hotfix

See merge request gnutls/gnutls!1620

KTLS: hotfix

session->internals.pull_func is set to system_read during gnutls_init()
so check for user set pull/push function added in commit mentioned
bellow will never pass.

source: 2d3cba6bb21acb40141180298f3924c73c7de8f8

Signed-off-by: Frantisek Krenzelok <krenzelok.frantisek@gmail.com>

Merge branch 'zfridric_devel' into 'master'

Release 3.7.7

See merge request gnutls/gnutls!1619

Release 3.7.7

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'wip/dueno/socket-no-wrap' into 'master'

Make gnutls-cli work with KTLS

See merge request gnutls/gnutls!1617

Merge branch 'zfridric_devel' into 'master'

Fix double free during gnutls_pkcs7_verify

Closes #1383

See merge request gnutls/gnutls!1615

socket: only set pull/push functions when --save-*-trace is used

This allows gnutls-cli to use KTLS for the transport, unless either
--save-client-trace or --save-server-trace is used.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

handshake: do not enable KTLS if custom pull/push functions are set

If gnutls_transport_set_pull_function or
gnutls_transport_set_push_function is used, we can't assume the
underlying transport handle is an FD.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Fix double free during gnutls_pkcs7_verify

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'wip/dueno/guile-skip-reauth-test' into 'master'

guile: revert gnutls/build/tests.scm to use use-modules

See merge request gnutls/gnutls!1618

guile: revert gnutls/build/tests.scm to use use-modules

This partially reverts e727eb7901a3f1754de970c8529925ae3d591b90.  For
some reason, the usage of #:use-module causes some behavioral
difference that affects reauth.scm test.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'zfridric_devel2' into 'master'

Fix memory leak in gnutls_pkcs7_import

Closes #1387

See merge request gnutls/gnutls!1616

Fix memory leak in gnutls_pkcs7_import

Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'wip/dueno/cbc-pkcs7-pad' into 'master'

crypto-api: add block cipher API with automatic padding

See merge request gnutls/gnutls!1611

crypto-api: add block cipher API with automatic padding

This adds a couple of functions gnutls_cipher_encrypt3 and
gnutls_cipher_decrypt3, which add or remove padding as necessary if
the length of the plaintext is not a multiple of the block size.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip/dueno/minor-f36' into 'master'

Suppress compile time warnings on Fedora 36

Closes #1386

See merge request gnutls/gnutls!1606

tests: temporarily disable checking against unresolvable hosts

*.dane.verisignlabs.com and fedoraproject.org are no longer
resolvable.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

src: add __attribute__((malloc)) to safe_open_rw

This silences -Wsuggest-attribute=malloc warning with GCC 12.  While
we could use ATTRIBUTE_DEALLOC(fclose, 1), it is currently not
possible to use it until Gnulib is updated.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

src: add NULL check on return value of realloc used in tests

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: resume-with-previous-stek: initialize session data

Spotted by gcc-analyzer 12.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: add __attribute__((__noreturn__)) to _fail and fail_ignore

To suppress warnings with gcc-analyzer 12.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

crypto-selftests: fix decryption check condition in test_cipher_aead

Spotted by gcc-analyzer 12.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

x509, tpm2: use asn1_node instead of deprecated ASN1_TYPE

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip-session-record-port-close' into 'master'

guile: Allow session record ports to have a 'close' procedure

See merge request gnutls/gnutls!1610

guile: Allow session record ports to have a 'close' procedure.

This addition makes it easy to close the backing file descriptor or port
of a session when its record port is closed.

* guile/src/core.c (SCM_GNUTLS_SESSION_RECORD_PORT_SESSION): Add SCM_CAR.
(SCM_GNUTLS_SESSION_RECORD_PORT_CLOSE_PROCEDURE)
(SCM_GNUTLS_SET_SESSION_RECORD_PORT_CLOSE)
(SCM_GNUTLS_SESSION_RECORD_PORT_P)
(SCM_VALIDATE_SESSION_RECORD_PORT): New macros.
(make_session_record_port): Change "stream" argument to a pair.
(close_session_record_port): New function.
(scm_gnutls_session_record_port): Add optional 'close' parameter and
honor it.
(scm_gnutls_set_session_record_port_close_x): New function.
(scm_init_gnutls_session_record_port_type): Add call to
'scm_set_port_close' and 'scm_set_port_needs_close_on_gc'.
* guile/tests/session-record-port.scm: Test it.
* NEWS: Update.

Signed-off-by: Ludovic Courtès <ludo@gnu.org>

Merge branch 'wip-remove-guile-1.8-support' into 'master'

Remove support for Guile 1.8.

See merge request gnutls/gnutls!1608

guile: Remove support for the 1.8.x series.

The last Guile 1.8.x release dates back to 2010.

* configure.ac: Remove 1.8 from 'GUILE_PKG'.
* doc/gnutls-guile.texi (Guile Preparations): Remove mention of Guile 1.8.
* guile/src/core.c (mark_session_record_port)
(free_session_record_port): Remove.
(scm_init_gnutls_session_record_port_type): Remove corresponding
'scm_set_port_mark' and 'scm_set_port_free' calls.
* guile/modules/gnutls.in: Remove top-level 'cond-expand' forms for
Guile 1.8.
* guile/modules/gnutls/build/tests.scm: Likewise.
* NEWS: Update.

Signed-off-by: Ludovic Courtès <ludo@gnu.org>

maint: Update guile.m4.

* m4/guile.m4: Update from Guile 3.0.7.

Signed-off-by: Ludovic Courtès <ludo@gnu.org>

Merge branch 'aarch64_openbsd' into 'master'

accelerated: aarch64: add OpenBSD/aarch64 support

See merge request gnutls/gnutls!1612

accelerated: aarch64: add OpenBSD/aarch64 support

Signed-off-by: Brad Smith <brad@comstyle.com>

Merge branch 'wip/dueno/aes-gcm-rekey-limit' into 'master'

cipher: limit plaintext length supplied to AES-GCM

See merge request gnutls/gnutls!1603

cipher: limit plaintext length supplied to AES-GCM

According to SP800-38D 5.2.1.1, input data length of AES-GCM
encryption function must be less than or equal to 2^39-256 bits.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'wip-guile-premature-termination' into 'master'

guile: Session record port treats premature termination as EOF.

See merge request gnutls/gnutls!1609

guile: Session record port treats premature termination as EOF.

* guile/src/core.c (do_fill_port) [USING_GUILE_BEFORE_2_2]: Treat
GNUTLS_E_PREMATURE_TERMINATION as EOF.
(read_from_session_record_port) [!USING_GUILE_BEFORE_2_2]: Likewise.
* guile/tests/premature-termination.scm: New file.
* guile/Makefile.am (TESTS): Add it.
* NEWS: Update.

Signed-off-by: Ludovic Courtès <ludo@gnu.org>

Merge branch 'master' into 'master'

Add self-test code inside a FIPS context

See merge request gnutls/gnutls!1607

Add self-test code inside a FIPS context

Self-test code exercise lots of different FIPS-related code with
side-effects. So, in order to prevent it from losing information when
executing inside another context, we create an appropriated one.

If the self-test fails, then the library is placed in error state, so it
doesn't matter for other contexts.

Signed-off-by: Richard Maciel Costa <richard.costa@suse.com>

Merge branch 'zfridric_devel2' into 'master'

Increase the limit of TLS PSK usernames

Closes #1323

See merge request gnutls/gnutls!1581

Increase the limit of TLS PSK usernames from 128 to 65535 characters

Co-authored-by: Hannes Reinecke <hare@suse.de>
Signed-off-by: Zoltan Fridrich <zfridric@redhat.com>

Merge branch 'more-rsa-checks' into 'master'

tests/fips-test: minor extension

See merge request gnutls/gnutls!1605

Merge branch 'wip/dueno/ktls-fixes' into 'master'

Minor fixes on KTLS

See merge request gnutls/gnutls!1604

Merge branch 'wip/dueno/hkdf-limit' into 'master'

nettle: restrict output size of HKDF-Expand to 255 * HashLen

See merge request gnutls/gnutls!1602

Merge branch 'wip/dueno/fipscontext-log' into 'master'

fips: make service indicator logging louder

See merge request gnutls/gnutls!1567

fips: make service indicator logging louder

Previously, the only way to monitor the FIPS context transtion was to
increase logging level to debug (2), which produces unrelated output.

This changes the minimum logging level to audit (1) for when the
transition happens.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

nettle: restrict output size of HKDF-Expand to 255 * HashLen

RFC 5869 2.3 requires that requested output length of HKDF-Expand to
be equal to or less than 255 times hash output size.

Inspired by the report by Guido Vranken in:
https://lists.gnupg.org/pipermail/gcrypt-devel/2022-June/005328.html

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests/fips-test: minor extension

Signed-off-by: Alexander Sosedkin <asosedkin@redhat.com>

.gitlab-ci.yml: add fedora-ktls pipeline

This is to ensure that the same testsuite succeeds even if we compile
the library with --enable-ktls and KTLS is enabled with a run-time
configuration.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

ktls: _gnutls_ktls_enable: fix GNUTLS_KTLS_SEND calculation

Previously, if the first setsockopt for GNUTLS_KTLS_RECV fails and the
same socket is used for both sending and receiving, GNUTLS_KTLS_SEND
was unconditionally set.  This fixes the conditions and also adds more
logging.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

handshake: do not reset KTLS enablement in gnutls_handshake

As gnutls_handshake can be repeatedly called upon non-blocking setup,
we shouldn't try to call setsockopt for KTLS upon every call.

Signed-off-by: Daiki Ueno <ueno@gnu.org>

tests: enable KTLS config while running gnutls_ktls test

Signed-off-by: Daiki Ueno <ueno@gnu.org>

Merge branch 'add-tasn-bin' into 'master'

README.md: explicitly install libtasn1-bin

See merge request gnutls/gnutls!1600