]> asedeno.scripts.mit.edu Git - PuTTY.git/blob - sshpubk.c
Oops. Fix a bug in my `keyfile-diagnostic' work which caused SSH-2 key loading
[PuTTY.git] / sshpubk.c
1 /*
2  * Generic SSH public-key handling operations. In particular,
3  * reading of SSH public-key files, and also the generic `sign'
4  * operation for ssh2 (which checks the type of the key and
5  * dispatches to the appropriate key-type specific function).
6  */
7
8 #include <stdio.h>
9 #include <stdlib.h>
10 #include <assert.h>
11
12 #include "putty.h"
13 #include "ssh.h"
14 #include "misc.h"
15
16 #define PUT_32BIT(cp, value) do { \
17   (cp)[3] = (value); \
18   (cp)[2] = (value) >> 8; \
19   (cp)[1] = (value) >> 16; \
20   (cp)[0] = (value) >> 24; } while (0)
21
22 #define GET_32BIT(cp) \
23     (((unsigned long)(unsigned char)(cp)[0] << 24) | \
24     ((unsigned long)(unsigned char)(cp)[1] << 16) | \
25     ((unsigned long)(unsigned char)(cp)[2] << 8) | \
26     ((unsigned long)(unsigned char)(cp)[3]))
27
28 #define rsa_signature "SSH PRIVATE KEY FILE FORMAT 1.1\n"
29
30 #define BASE64_TOINT(x) ( (x)-'A'<26 ? (x)-'A'+0 :\
31                           (x)-'a'<26 ? (x)-'a'+26 :\
32                           (x)-'0'<10 ? (x)-'0'+52 :\
33                           (x)=='+' ? 62 : \
34                           (x)=='/' ? 63 : 0 )
35
36 static int loadrsakey_main(FILE * fp, struct RSAKey *key, int pub_only,
37                            char **commentptr, char *passphrase,
38                            const char **error)
39 {
40     unsigned char buf[16384];
41     unsigned char keybuf[16];
42     int len;
43     int i, j, ciphertype;
44     int ret = 0;
45     struct MD5Context md5c;
46     char *comment;
47
48     *error = NULL;
49
50     /* Slurp the whole file (minus the header) into a buffer. */
51     len = fread(buf, 1, sizeof(buf), fp);
52     fclose(fp);
53     if (len < 0 || len == sizeof(buf)) {
54         *error = "error reading file";
55         goto end;                      /* file too big or not read */
56     }
57
58     i = 0;
59     *error = "file format error";
60
61     /*
62      * A zero byte. (The signature includes a terminating NUL.)
63      */
64     if (len - i < 1 || buf[i] != 0)
65         goto end;
66     i++;
67
68     /* One byte giving encryption type, and one reserved uint32. */
69     if (len - i < 1)
70         goto end;
71     ciphertype = buf[i];
72     if (ciphertype != 0 && ciphertype != SSH_CIPHER_3DES)
73         goto end;
74     i++;
75     if (len - i < 4)
76         goto end;                      /* reserved field not present */
77     if (buf[i] != 0 || buf[i + 1] != 0 || buf[i + 2] != 0
78         || buf[i + 3] != 0) goto end;  /* reserved field nonzero, panic! */
79     i += 4;
80
81     /* Now the serious stuff. An ordinary SSH 1 public key. */
82     i += makekey(buf + i, key, NULL, 1);
83     if (len - i < 0)
84         goto end;                      /* overran */
85
86     if (pub_only) {
87         ret = 1;
88         goto end;
89     }
90
91     /* Next, the comment field. */
92     j = GET_32BIT(buf + i);
93     i += 4;
94     if (len - i < j)
95         goto end;
96     comment = snewn(j + 1, char);
97     if (comment) {
98         memcpy(comment, buf + i, j);
99         comment[j] = '\0';
100     }
101     i += j;
102     if (commentptr)
103         *commentptr = comment;
104     if (key)
105         key->comment = comment;
106     if (!key) {
107         ret = ciphertype != 0;
108         *error = NULL;
109         goto end;
110     }
111
112     /*
113      * Decrypt remainder of buffer.
114      */
115     if (ciphertype) {
116         MD5Init(&md5c);
117         MD5Update(&md5c, (unsigned char *)passphrase, strlen(passphrase));
118         MD5Final(keybuf, &md5c);
119         des3_decrypt_pubkey(keybuf, buf + i, (len - i + 7) & ~7);
120         memset(keybuf, 0, sizeof(keybuf));      /* burn the evidence */
121     }
122
123     /*
124      * We are now in the secret part of the key. The first four
125      * bytes should be of the form a, b, a, b.
126      */
127     if (len - i < 4)
128         goto end;
129     if (buf[i] != buf[i + 2] || buf[i + 1] != buf[i + 3]) {
130         *error = "wrong passphrase";
131         ret = -1;
132         goto end;
133     }
134     i += 4;
135
136     /*
137      * After that, we have one further bignum which is our
138      * decryption exponent, and then the three auxiliary values
139      * (iqmp, q, p).
140      */
141     i += makeprivate(buf + i, key);
142     if (len - i < 0)
143         goto end;
144     i += ssh1_read_bignum(buf + i, &key->iqmp);
145     if (len - i < 0)
146         goto end;
147     i += ssh1_read_bignum(buf + i, &key->q);
148     if (len - i < 0)
149         goto end;
150     i += ssh1_read_bignum(buf + i, &key->p);
151     if (len - i < 0)
152         goto end;
153
154     if (!rsa_verify(key)) {
155         *error = "rsa_verify failed";
156         freersakey(key);
157         ret = 0;
158     } else
159         ret = 1;
160
161   end:
162     memset(buf, 0, sizeof(buf));       /* burn the evidence */
163     return ret;
164 }
165
166 int loadrsakey(const Filename *filename, struct RSAKey *key, char *passphrase,
167                const char **errorstr)
168 {
169     FILE *fp;
170     char buf[64];
171     int ret = 0;
172     const char *error = NULL;
173
174     fp = f_open(*filename, "rb");
175     if (!fp) {
176         error = "can't open file";
177         goto end;
178     }
179
180     /*
181      * Read the first line of the file and see if it's a v1 private
182      * key file.
183      */
184     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
185         ret = loadrsakey_main(fp, key, FALSE, NULL, passphrase, &error);
186         goto end;
187     }
188
189     /*
190      * Otherwise, we have nothing. Return empty-handed.
191      */
192     fclose(fp);
193     error = "not an SSH-1 RSA file";
194
195   end:
196     if ((ret != 1) && errorstr)
197         *errorstr = error;
198     return ret;
199 }
200
201 /*
202  * See whether an RSA key is encrypted. Return its comment field as
203  * well.
204  */
205 int rsakey_encrypted(const Filename *filename, char **comment)
206 {
207     FILE *fp;
208     char buf[64];
209
210     fp = f_open(*filename, "rb");
211     if (!fp)
212         return 0;                      /* doesn't even exist */
213
214     /*
215      * Read the first line of the file and see if it's a v1 private
216      * key file.
217      */
218     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
219         const char *dummy;
220         return loadrsakey_main(fp, NULL, FALSE, comment, NULL, &dummy);
221     }
222     fclose(fp);
223     return 0;                          /* wasn't the right kind of file */
224 }
225
226 /*
227  * Return a malloc'ed chunk of memory containing the public blob of
228  * an RSA key, as given in the agent protocol (modulus bits,
229  * exponent, modulus).
230  */
231 int rsakey_pubblob(const Filename *filename, void **blob, int *bloblen,
232                    const char **errorstr)
233 {
234     FILE *fp;
235     char buf[64];
236     struct RSAKey key;
237     int ret;
238     const char *error = NULL;
239
240     /* Default return if we fail. */
241     *blob = NULL;
242     *bloblen = 0;
243     ret = 0;
244
245     fp = f_open(*filename, "rb");
246     if (!fp) {
247         error = "can't open file";
248         goto end;
249     }
250
251     /*
252      * Read the first line of the file and see if it's a v1 private
253      * key file.
254      */
255     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
256         memset(&key, 0, sizeof(key));
257         if (loadrsakey_main(fp, &key, TRUE, NULL, NULL, &error)) {
258             *blob = rsa_public_blob(&key, bloblen);
259             freersakey(&key);
260             ret = 1;
261         }
262     } else {
263         error = "not an SSH-1 RSA file";
264         fclose(fp);
265     }
266
267   end:
268     if ((ret != 1) && errorstr)
269         *errorstr = error;
270     return ret;
271 }
272
273 /*
274  * Save an RSA key file. Return nonzero on success.
275  */
276 int saversakey(const Filename *filename, struct RSAKey *key, char *passphrase)
277 {
278     unsigned char buf[16384];
279     unsigned char keybuf[16];
280     struct MD5Context md5c;
281     unsigned char *p, *estart;
282     FILE *fp;
283
284     /*
285      * Write the initial signature.
286      */
287     p = buf;
288     memcpy(p, rsa_signature, sizeof(rsa_signature));
289     p += sizeof(rsa_signature);
290
291     /*
292      * One byte giving encryption type, and one reserved (zero)
293      * uint32.
294      */
295     *p++ = (passphrase ? SSH_CIPHER_3DES : 0);
296     PUT_32BIT(p, 0);
297     p += 4;
298
299     /*
300      * An ordinary SSH 1 public key consists of: a uint32
301      * containing the bit count, then two bignums containing the
302      * modulus and exponent respectively.
303      */
304     PUT_32BIT(p, bignum_bitcount(key->modulus));
305     p += 4;
306     p += ssh1_write_bignum(p, key->modulus);
307     p += ssh1_write_bignum(p, key->exponent);
308
309     /*
310      * A string containing the comment field.
311      */
312     if (key->comment) {
313         PUT_32BIT(p, strlen(key->comment));
314         p += 4;
315         memcpy(p, key->comment, strlen(key->comment));
316         p += strlen(key->comment);
317     } else {
318         PUT_32BIT(p, 0);
319         p += 4;
320     }
321
322     /*
323      * The encrypted portion starts here.
324      */
325     estart = p;
326
327     /*
328      * Two bytes, then the same two bytes repeated.
329      */
330     *p++ = random_byte();
331     *p++ = random_byte();
332     p[0] = p[-2];
333     p[1] = p[-1];
334     p += 2;
335
336     /*
337      * Four more bignums: the decryption exponent, then iqmp, then
338      * q, then p.
339      */
340     p += ssh1_write_bignum(p, key->private_exponent);
341     p += ssh1_write_bignum(p, key->iqmp);
342     p += ssh1_write_bignum(p, key->q);
343     p += ssh1_write_bignum(p, key->p);
344
345     /*
346      * Now write zeros until the encrypted portion is a multiple of
347      * 8 bytes.
348      */
349     while ((p - estart) % 8)
350         *p++ = '\0';
351
352     /*
353      * Now encrypt the encrypted portion.
354      */
355     if (passphrase) {
356         MD5Init(&md5c);
357         MD5Update(&md5c, (unsigned char *)passphrase, strlen(passphrase));
358         MD5Final(keybuf, &md5c);
359         des3_encrypt_pubkey(keybuf, estart, p - estart);
360         memset(keybuf, 0, sizeof(keybuf));      /* burn the evidence */
361     }
362
363     /*
364      * Done. Write the result to the file.
365      */
366     fp = f_open(*filename, "wb");
367     if (fp) {
368         int ret = (fwrite(buf, 1, p - buf, fp) == (size_t) (p - buf));
369         ret = ret && (fclose(fp) == 0);
370         return ret;
371     } else
372         return 0;
373 }
374
375 /* ----------------------------------------------------------------------
376  * SSH2 private key load/store functions.
377  */
378
379 /*
380  * PuTTY's own format for SSH2 keys is as follows:
381  *
382  * The file is text. Lines are terminated by CRLF, although CR-only
383  * and LF-only are tolerated on input.
384  *
385  * The first line says "PuTTY-User-Key-File-2: " plus the name of the
386  * algorithm ("ssh-dss", "ssh-rsa" etc).
387  *
388  * The next line says "Encryption: " plus an encryption type.
389  * Currently the only supported encryption types are "aes256-cbc"
390  * and "none".
391  *
392  * The next line says "Comment: " plus the comment string.
393  *
394  * Next there is a line saying "Public-Lines: " plus a number N.
395  * The following N lines contain a base64 encoding of the public
396  * part of the key. This is encoded as the standard SSH2 public key
397  * blob (with no initial length): so for RSA, for example, it will
398  * read
399  *
400  *    string "ssh-rsa"
401  *    mpint  exponent
402  *    mpint  modulus
403  *
404  * Next, there is a line saying "Private-Lines: " plus a number N,
405  * and then N lines containing the (potentially encrypted) private
406  * part of the key. For the key type "ssh-rsa", this will be
407  * composed of
408  *
409  *    mpint  private_exponent
410  *    mpint  p                  (the larger of the two primes)
411  *    mpint  q                  (the smaller prime)
412  *    mpint  iqmp               (the inverse of q modulo p)
413  *    data   padding            (to reach a multiple of the cipher block size)
414  *
415  * And for "ssh-dss", it will be composed of
416  *
417  *    mpint  x                  (the private key parameter)
418  *  [ string hash   20-byte hash of mpints p || q || g   only in old format ]
419  * 
420  * Finally, there is a line saying "Private-MAC: " plus a hex
421  * representation of a HMAC-SHA-1 of:
422  *
423  *    string  name of algorithm ("ssh-dss", "ssh-rsa")
424  *    string  encryption type
425  *    string  comment
426  *    string  public-blob
427  *    string  private-plaintext (the plaintext version of the
428  *                               private part, including the final
429  *                               padding)
430  * 
431  * The key to the MAC is itself a SHA-1 hash of:
432  * 
433  *    data    "putty-private-key-file-mac-key"
434  *    data    passphrase
435  *
436  * (An empty passphrase is used for unencrypted keys.)
437  *
438  * If the key is encrypted, the encryption key is derived from the
439  * passphrase by means of a succession of SHA-1 hashes. Each hash
440  * is the hash of:
441  *
442  *    uint32  sequence-number
443  *    data    passphrase
444  *
445  * where the sequence-number increases from zero. As many of these
446  * hashes are used as necessary.
447  *
448  * For backwards compatibility with snapshots between 0.51 and
449  * 0.52, we also support the older key file format, which begins
450  * with "PuTTY-User-Key-File-1" (version number differs). In this
451  * format the Private-MAC: field only covers the private-plaintext
452  * field and nothing else (and without the 4-byte string length on
453  * the front too). Moreover, for RSA keys the Private-MAC: field
454  * can be replaced with a Private-Hash: field which is a plain
455  * SHA-1 hash instead of an HMAC. This is not allowable in DSA
456  * keys. (Yes, the old format was a mess. Guess why it changed :-)
457  */
458
459 static int read_header(FILE * fp, char *header)
460 {
461     int len = 39;
462     int c;
463
464     while (len > 0) {
465         c = fgetc(fp);
466         if (c == '\n' || c == '\r' || c == EOF)
467             return 0;                  /* failure */
468         if (c == ':') {
469             c = fgetc(fp);
470             if (c != ' ')
471                 return 0;
472             *header = '\0';
473             return 1;                  /* success! */
474         }
475         if (len == 0)
476             return 0;                  /* failure */
477         *header++ = c;
478         len--;
479     }
480     return 0;                          /* failure */
481 }
482
483 static char *read_body(FILE * fp)
484 {
485     char *text;
486     int len;
487     int size;
488     int c;
489
490     size = 128;
491     text = snewn(size, char);
492     len = 0;
493     text[len] = '\0';
494
495     while (1) {
496         c = fgetc(fp);
497         if (c == '\r' || c == '\n') {
498             c = fgetc(fp);
499             if (c != '\r' && c != '\n' && c != EOF)
500                 ungetc(c, fp);
501             return text;
502         }
503         if (c == EOF) {
504             sfree(text);
505             return NULL;
506         }
507         if (len + 1 > size) {
508             size += 128;
509             text = sresize(text, size, char);
510         }
511         text[len++] = c;
512         text[len] = '\0';
513     }
514 }
515
516 int base64_decode_atom(char *atom, unsigned char *out)
517 {
518     int vals[4];
519     int i, v, len;
520     unsigned word;
521     char c;
522
523     for (i = 0; i < 4; i++) {
524         c = atom[i];
525         if (c >= 'A' && c <= 'Z')
526             v = c - 'A';
527         else if (c >= 'a' && c <= 'z')
528             v = c - 'a' + 26;
529         else if (c >= '0' && c <= '9')
530             v = c - '0' + 52;
531         else if (c == '+')
532             v = 62;
533         else if (c == '/')
534             v = 63;
535         else if (c == '=')
536             v = -1;
537         else
538             return 0;                  /* invalid atom */
539         vals[i] = v;
540     }
541
542     if (vals[0] == -1 || vals[1] == -1)
543         return 0;
544     if (vals[2] == -1 && vals[3] != -1)
545         return 0;
546
547     if (vals[3] != -1)
548         len = 3;
549     else if (vals[2] != -1)
550         len = 2;
551     else
552         len = 1;
553
554     word = ((vals[0] << 18) |
555             (vals[1] << 12) | ((vals[2] & 0x3F) << 6) | (vals[3] & 0x3F));
556     out[0] = (word >> 16) & 0xFF;
557     if (len > 1)
558         out[1] = (word >> 8) & 0xFF;
559     if (len > 2)
560         out[2] = word & 0xFF;
561     return len;
562 }
563
564 static unsigned char *read_blob(FILE * fp, int nlines, int *bloblen)
565 {
566     unsigned char *blob;
567     char *line;
568     int linelen, len;
569     int i, j, k;
570
571     /* We expect at most 64 base64 characters, ie 48 real bytes, per line. */
572     blob = snewn(48 * nlines, unsigned char);
573     len = 0;
574     for (i = 0; i < nlines; i++) {
575         line = read_body(fp);
576         if (!line) {
577             sfree(blob);
578             return NULL;
579         }
580         linelen = strlen(line);
581         if (linelen % 4 != 0 || linelen > 64) {
582             sfree(blob);
583             sfree(line);
584             return NULL;
585         }
586         for (j = 0; j < linelen; j += 4) {
587             k = base64_decode_atom(line + j, blob + len);
588             if (!k) {
589                 sfree(line);
590                 sfree(blob);
591                 return NULL;
592             }
593             len += k;
594         }
595         sfree(line);
596     }
597     *bloblen = len;
598     return blob;
599 }
600
601 /*
602  * Magic error return value for when the passphrase is wrong.
603  */
604 struct ssh2_userkey ssh2_wrong_passphrase = {
605     NULL, NULL, NULL
606 };
607
608 struct ssh2_userkey *ssh2_load_userkey(const Filename *filename,
609                                        char *passphrase, const char **errorstr)
610 {
611     FILE *fp;
612     char header[40], *b, *encryption, *comment, *mac;
613     const struct ssh_signkey *alg;
614     struct ssh2_userkey *ret;
615     int cipher, cipherblk;
616     unsigned char *public_blob, *private_blob;
617     int public_blob_len, private_blob_len;
618     int i, is_mac, old_fmt;
619     int passlen = passphrase ? strlen(passphrase) : 0;
620     const char *error = NULL;
621
622     ret = NULL;                        /* return NULL for most errors */
623     encryption = comment = mac = NULL;
624     public_blob = private_blob = NULL;
625
626     fp = f_open(*filename, "rb");
627     if (!fp) {
628         error = "can't open file";
629         goto error;
630     }
631
632     /* Read the first header line which contains the key type. */
633     if (!read_header(fp, header))
634         goto error;
635     if (0 == strcmp(header, "PuTTY-User-Key-File-2")) {
636         old_fmt = 0;
637     } else if (0 == strcmp(header, "PuTTY-User-Key-File-1")) {
638         /* this is an old key file; warn and then continue */
639         old_keyfile_warning();
640         old_fmt = 1;
641     } else {
642         error = "not a PuTTY SSH-2 private key";
643         goto error;
644     }
645     error = "file format error";
646     if ((b = read_body(fp)) == NULL)
647         goto error;
648     /* Select key algorithm structure. */
649     if (!strcmp(b, "ssh-rsa"))
650         alg = &ssh_rsa;
651     else if (!strcmp(b, "ssh-dss"))
652         alg = &ssh_dss;
653     else {
654         sfree(b);
655         goto error;
656     }
657     sfree(b);
658
659     /* Read the Encryption header line. */
660     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption"))
661         goto error;
662     if ((encryption = read_body(fp)) == NULL)
663         goto error;
664     if (!strcmp(encryption, "aes256-cbc")) {
665         cipher = 1;
666         cipherblk = 16;
667     } else if (!strcmp(encryption, "none")) {
668         cipher = 0;
669         cipherblk = 1;
670     } else {
671         sfree(encryption);
672         goto error;
673     }
674
675     /* Read the Comment header line. */
676     if (!read_header(fp, header) || 0 != strcmp(header, "Comment"))
677         goto error;
678     if ((comment = read_body(fp)) == NULL)
679         goto error;
680
681     /* Read the Public-Lines header line and the public blob. */
682     if (!read_header(fp, header) || 0 != strcmp(header, "Public-Lines"))
683         goto error;
684     if ((b = read_body(fp)) == NULL)
685         goto error;
686     i = atoi(b);
687     sfree(b);
688     if ((public_blob = read_blob(fp, i, &public_blob_len)) == NULL)
689         goto error;
690
691     /* Read the Private-Lines header line and the Private blob. */
692     if (!read_header(fp, header) || 0 != strcmp(header, "Private-Lines"))
693         goto error;
694     if ((b = read_body(fp)) == NULL)
695         goto error;
696     i = atoi(b);
697     sfree(b);
698     if ((private_blob = read_blob(fp, i, &private_blob_len)) == NULL)
699         goto error;
700
701     /* Read the Private-MAC or Private-Hash header line. */
702     if (!read_header(fp, header))
703         goto error;
704     if (0 == strcmp(header, "Private-MAC")) {
705         if ((mac = read_body(fp)) == NULL)
706             goto error;
707         is_mac = 1;
708     } else if (0 == strcmp(header, "Private-Hash") &&
709                            alg == &ssh_rsa && old_fmt) {
710         if ((mac = read_body(fp)) == NULL)
711             goto error;
712         is_mac = 0;
713     } else
714         goto error;
715
716     fclose(fp);
717     fp = NULL;
718
719     /*
720      * Decrypt the private blob.
721      */
722     if (cipher) {
723         unsigned char key[40];
724         SHA_State s;
725
726         if (!passphrase)
727             goto error;
728         if (private_blob_len % cipherblk)
729             goto error;
730
731         SHA_Init(&s);
732         SHA_Bytes(&s, "\0\0\0\0", 4);
733         SHA_Bytes(&s, passphrase, passlen);
734         SHA_Final(&s, key + 0);
735         SHA_Init(&s);
736         SHA_Bytes(&s, "\0\0\0\1", 4);
737         SHA_Bytes(&s, passphrase, passlen);
738         SHA_Final(&s, key + 20);
739         aes256_decrypt_pubkey(key, private_blob, private_blob_len);
740     }
741
742     /*
743      * Verify the MAC.
744      */
745     {
746         char realmac[41];
747         unsigned char binary[20];
748         unsigned char *macdata;
749         int maclen;
750         int free_macdata;
751
752         if (old_fmt) {
753             /* MAC (or hash) only covers the private blob. */
754             macdata = private_blob;
755             maclen = private_blob_len;
756             free_macdata = 0;
757         } else {
758             unsigned char *p;
759             int namelen = strlen(alg->name);
760             int enclen = strlen(encryption);
761             int commlen = strlen(comment);
762             maclen = (4 + namelen +
763                       4 + enclen +
764                       4 + commlen +
765                       4 + public_blob_len +
766                       4 + private_blob_len);
767             macdata = snewn(maclen, unsigned char);
768             p = macdata;
769 #define DO_STR(s,len) PUT_32BIT(p,(len));memcpy(p+4,(s),(len));p+=4+(len)
770             DO_STR(alg->name, namelen);
771             DO_STR(encryption, enclen);
772             DO_STR(comment, commlen);
773             DO_STR(public_blob, public_blob_len);
774             DO_STR(private_blob, private_blob_len);
775
776             free_macdata = 1;
777         }
778
779         if (is_mac) {
780             SHA_State s;
781             unsigned char mackey[20];
782             char header[] = "putty-private-key-file-mac-key";
783
784             SHA_Init(&s);
785             SHA_Bytes(&s, header, sizeof(header)-1);
786             if (cipher && passphrase)
787                 SHA_Bytes(&s, passphrase, passlen);
788             SHA_Final(&s, mackey);
789
790             hmac_sha1_simple(mackey, 20, macdata, maclen, binary);
791
792             memset(mackey, 0, sizeof(mackey));
793             memset(&s, 0, sizeof(s));
794         } else {
795             SHA_Simple(macdata, maclen, binary);
796         }
797
798         if (free_macdata) {
799             memset(macdata, 0, maclen);
800             sfree(macdata);
801         }
802
803         for (i = 0; i < 20; i++)
804             sprintf(realmac + 2 * i, "%02x", binary[i]);
805
806         if (strcmp(mac, realmac)) {
807             /* An incorrect MAC is an unconditional Error if the key is
808              * unencrypted. Otherwise, it means Wrong Passphrase. */
809             if (cipher) {
810                 ret = SSH2_WRONG_PASSPHRASE;
811             } else {
812                 error = "MAC failed";
813                 ret = NULL;
814             }
815             goto error;
816         }
817     }
818     sfree(mac);
819
820     /*
821      * Create and return the key.
822      */
823     ret = snew(struct ssh2_userkey);
824     ret->alg = alg;
825     ret->comment = comment;
826     ret->data = alg->createkey(public_blob, public_blob_len,
827                                private_blob, private_blob_len);
828     if (!ret->data) {
829         sfree(ret->comment);
830         sfree(ret);
831         ret = NULL;
832         error = "createkey failed";
833         goto error;
834     }
835     sfree(public_blob);
836     sfree(private_blob);
837     sfree(encryption);
838     if (errorstr)
839         *errorstr = NULL;
840     return ret;
841
842     /*
843      * Error processing.
844      */
845   error:
846     if (fp)
847         fclose(fp);
848     if (comment)
849         sfree(comment);
850     if (encryption)
851         sfree(encryption);
852     if (mac)
853         sfree(mac);
854     if (public_blob)
855         sfree(public_blob);
856     if (private_blob)
857         sfree(private_blob);
858     if (errorstr)
859         *errorstr = error;
860     return ret;
861 }
862
863 char *ssh2_userkey_loadpub(const Filename *filename, char **algorithm,
864                            int *pub_blob_len, const char **errorstr)
865 {
866     FILE *fp;
867     char header[40], *b;
868     const struct ssh_signkey *alg;
869     unsigned char *public_blob;
870     int public_blob_len;
871     int i;
872     const char *error = NULL;
873
874     public_blob = NULL;
875
876     fp = f_open(*filename, "rb");
877     if (!fp) {
878         error = "can't open file";
879         goto error;
880     }
881
882     /* Read the first header line which contains the key type. */
883     if (!read_header(fp, header)
884         || (0 != strcmp(header, "PuTTY-User-Key-File-2") &&
885             0 != strcmp(header, "PuTTY-User-Key-File-1"))) {
886         error = "not a PuTTY SSH-2 private key";
887         goto error;
888     }
889     error = "file format error";
890     if ((b = read_body(fp)) == NULL)
891         goto error;
892     /* Select key algorithm structure. Currently only ssh-rsa. */
893     if (!strcmp(b, "ssh-rsa"))
894         alg = &ssh_rsa;
895     else if (!strcmp(b, "ssh-dss"))
896         alg = &ssh_dss;
897     else {
898         sfree(b);
899         goto error;
900     }
901     sfree(b);
902
903     /* Read the Encryption header line. */
904     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption"))
905         goto error;
906     if ((b = read_body(fp)) == NULL)
907         goto error;
908     sfree(b);                          /* we don't care */
909
910     /* Read the Comment header line. */
911     if (!read_header(fp, header) || 0 != strcmp(header, "Comment"))
912         goto error;
913     if ((b = read_body(fp)) == NULL)
914         goto error;
915     sfree(b);                          /* we don't care */
916
917     /* Read the Public-Lines header line and the public blob. */
918     if (!read_header(fp, header) || 0 != strcmp(header, "Public-Lines"))
919         goto error;
920     if ((b = read_body(fp)) == NULL)
921         goto error;
922     i = atoi(b);
923     sfree(b);
924     if ((public_blob = read_blob(fp, i, &public_blob_len)) == NULL)
925         goto error;
926
927     fclose(fp);
928     if (pub_blob_len)
929         *pub_blob_len = public_blob_len;
930     if (algorithm)
931         *algorithm = alg->name;
932     return (char *)public_blob;
933
934     /*
935      * Error processing.
936      */
937   error:
938     if (fp)
939         fclose(fp);
940     if (public_blob)
941         sfree(public_blob);
942     if (errorstr)
943         *errorstr = error;
944     return NULL;
945 }
946
947 int ssh2_userkey_encrypted(const Filename *filename, char **commentptr)
948 {
949     FILE *fp;
950     char header[40], *b, *comment;
951     int ret;
952
953     if (commentptr)
954         *commentptr = NULL;
955
956     fp = f_open(*filename, "rb");
957     if (!fp)
958         return 0;
959     if (!read_header(fp, header)
960         || (0 != strcmp(header, "PuTTY-User-Key-File-2") &&
961             0 != strcmp(header, "PuTTY-User-Key-File-1"))) {
962         fclose(fp);
963         return 0;
964     }
965     if ((b = read_body(fp)) == NULL) {
966         fclose(fp);
967         return 0;
968     }
969     sfree(b);                          /* we don't care about key type here */
970     /* Read the Encryption header line. */
971     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption")) {
972         fclose(fp);
973         return 0;
974     }
975     if ((b = read_body(fp)) == NULL) {
976         fclose(fp);
977         return 0;
978     }
979
980     /* Read the Comment header line. */
981     if (!read_header(fp, header) || 0 != strcmp(header, "Comment")) {
982         fclose(fp);
983         sfree(b);
984         return 1;
985     }
986     if ((comment = read_body(fp)) == NULL) {
987         fclose(fp);
988         sfree(b);
989         return 1;
990     }
991
992     if (commentptr)
993         *commentptr = comment;
994
995     fclose(fp);
996     if (!strcmp(b, "aes256-cbc"))
997         ret = 1;
998     else
999         ret = 0;
1000     sfree(b);
1001     return ret;
1002 }
1003
1004 int base64_lines(int datalen)
1005 {
1006     /* When encoding, we use 64 chars/line, which equals 48 real chars. */
1007     return (datalen + 47) / 48;
1008 }
1009
1010 void base64_encode(FILE * fp, unsigned char *data, int datalen, int cpl)
1011 {
1012     int linelen = 0;
1013     char out[4];
1014     int n, i;
1015
1016     while (datalen > 0) {
1017         n = (datalen < 3 ? datalen : 3);
1018         base64_encode_atom(data, n, out);
1019         data += n;
1020         datalen -= n;
1021         for (i = 0; i < 4; i++) {
1022             if (linelen >= cpl) {
1023                 linelen = 0;
1024                 fputc('\n', fp);
1025             }
1026             fputc(out[i], fp);
1027             linelen++;
1028         }
1029     }
1030     fputc('\n', fp);
1031 }
1032
1033 int ssh2_save_userkey(const Filename *filename, struct ssh2_userkey *key,
1034                       char *passphrase)
1035 {
1036     FILE *fp;
1037     unsigned char *pub_blob, *priv_blob, *priv_blob_encrypted;
1038     int pub_blob_len, priv_blob_len, priv_encrypted_len;
1039     int passlen;
1040     int cipherblk;
1041     int i;
1042     char *cipherstr;
1043     unsigned char priv_mac[20];
1044
1045     /*
1046      * Fetch the key component blobs.
1047      */
1048     pub_blob = key->alg->public_blob(key->data, &pub_blob_len);
1049     priv_blob = key->alg->private_blob(key->data, &priv_blob_len);
1050     if (!pub_blob || !priv_blob) {
1051         sfree(pub_blob);
1052         sfree(priv_blob);
1053         return 0;
1054     }
1055
1056     /*
1057      * Determine encryption details, and encrypt the private blob.
1058      */
1059     if (passphrase) {
1060         cipherstr = "aes256-cbc";
1061         cipherblk = 16;
1062     } else {
1063         cipherstr = "none";
1064         cipherblk = 1;
1065     }
1066     priv_encrypted_len = priv_blob_len + cipherblk - 1;
1067     priv_encrypted_len -= priv_encrypted_len % cipherblk;
1068     priv_blob_encrypted = snewn(priv_encrypted_len, unsigned char);
1069     memset(priv_blob_encrypted, 0, priv_encrypted_len);
1070     memcpy(priv_blob_encrypted, priv_blob, priv_blob_len);
1071     /* Create padding based on the SHA hash of the unpadded blob. This prevents
1072      * too easy a known-plaintext attack on the last block. */
1073     SHA_Simple(priv_blob, priv_blob_len, priv_mac);
1074     assert(priv_encrypted_len - priv_blob_len < 20);
1075     memcpy(priv_blob_encrypted + priv_blob_len, priv_mac,
1076            priv_encrypted_len - priv_blob_len);
1077
1078     /* Now create the MAC. */
1079     {
1080         unsigned char *macdata;
1081         int maclen;
1082         unsigned char *p;
1083         int namelen = strlen(key->alg->name);
1084         int enclen = strlen(cipherstr);
1085         int commlen = strlen(key->comment);
1086         SHA_State s;
1087         unsigned char mackey[20];
1088         char header[] = "putty-private-key-file-mac-key";
1089
1090         maclen = (4 + namelen +
1091                   4 + enclen +
1092                   4 + commlen +
1093                   4 + pub_blob_len +
1094                   4 + priv_encrypted_len);
1095         macdata = snewn(maclen, unsigned char);
1096         p = macdata;
1097 #define DO_STR(s,len) PUT_32BIT(p,(len));memcpy(p+4,(s),(len));p+=4+(len)
1098         DO_STR(key->alg->name, namelen);
1099         DO_STR(cipherstr, enclen);
1100         DO_STR(key->comment, commlen);
1101         DO_STR(pub_blob, pub_blob_len);
1102         DO_STR(priv_blob_encrypted, priv_encrypted_len);
1103
1104         SHA_Init(&s);
1105         SHA_Bytes(&s, header, sizeof(header)-1);
1106         if (passphrase)
1107             SHA_Bytes(&s, passphrase, strlen(passphrase));
1108         SHA_Final(&s, mackey);
1109         hmac_sha1_simple(mackey, 20, macdata, maclen, priv_mac);
1110         memset(macdata, 0, maclen);
1111         sfree(macdata);
1112         memset(mackey, 0, sizeof(mackey));
1113         memset(&s, 0, sizeof(s));
1114     }
1115
1116     if (passphrase) {
1117         unsigned char key[40];
1118         SHA_State s;
1119
1120         passlen = strlen(passphrase);
1121
1122         SHA_Init(&s);
1123         SHA_Bytes(&s, "\0\0\0\0", 4);
1124         SHA_Bytes(&s, passphrase, passlen);
1125         SHA_Final(&s, key + 0);
1126         SHA_Init(&s);
1127         SHA_Bytes(&s, "\0\0\0\1", 4);
1128         SHA_Bytes(&s, passphrase, passlen);
1129         SHA_Final(&s, key + 20);
1130         aes256_encrypt_pubkey(key, priv_blob_encrypted,
1131                               priv_encrypted_len);
1132
1133         memset(key, 0, sizeof(key));
1134         memset(&s, 0, sizeof(s));
1135     }
1136
1137     fp = f_open(*filename, "w");
1138     if (!fp)
1139         return 0;
1140     fprintf(fp, "PuTTY-User-Key-File-2: %s\n", key->alg->name);
1141     fprintf(fp, "Encryption: %s\n", cipherstr);
1142     fprintf(fp, "Comment: %s\n", key->comment);
1143     fprintf(fp, "Public-Lines: %d\n", base64_lines(pub_blob_len));
1144     base64_encode(fp, pub_blob, pub_blob_len, 64);
1145     fprintf(fp, "Private-Lines: %d\n", base64_lines(priv_encrypted_len));
1146     base64_encode(fp, priv_blob_encrypted, priv_encrypted_len, 64);
1147     fprintf(fp, "Private-MAC: ");
1148     for (i = 0; i < 20; i++)
1149         fprintf(fp, "%02x", priv_mac[i]);
1150     fprintf(fp, "\n");
1151     fclose(fp);
1152
1153     sfree(pub_blob);
1154     memset(priv_blob, 0, priv_blob_len);
1155     sfree(priv_blob);
1156     sfree(priv_blob_encrypted);
1157     return 1;
1158 }
1159
1160 /* ----------------------------------------------------------------------
1161  * A function to determine the type of a private key file. Returns
1162  * 0 on failure, 1 or 2 on success.
1163  */
1164 int key_type(const Filename *filename)
1165 {
1166     FILE *fp;
1167     char buf[32];
1168     const char putty2_sig[] = "PuTTY-User-Key-File-";
1169     const char sshcom_sig[] = "---- BEGIN SSH2 ENCRYPTED PRIVAT";
1170     const char openssh_sig[] = "-----BEGIN ";
1171     int i;
1172
1173     fp = f_open(*filename, "r");
1174     if (!fp)
1175         return SSH_KEYTYPE_UNOPENABLE;
1176     i = fread(buf, 1, sizeof(buf), fp);
1177     fclose(fp);
1178     if (i < 0)
1179         return SSH_KEYTYPE_UNOPENABLE;
1180     if (i < 32)
1181         return SSH_KEYTYPE_UNKNOWN;
1182     if (!memcmp(buf, rsa_signature, sizeof(rsa_signature)-1))
1183         return SSH_KEYTYPE_SSH1;
1184     if (!memcmp(buf, putty2_sig, sizeof(putty2_sig)-1))
1185         return SSH_KEYTYPE_SSH2;
1186     if (!memcmp(buf, openssh_sig, sizeof(openssh_sig)-1))
1187         return SSH_KEYTYPE_OPENSSH;
1188     if (!memcmp(buf, sshcom_sig, sizeof(sshcom_sig)-1))
1189         return SSH_KEYTYPE_SSHCOM;
1190     return SSH_KEYTYPE_UNKNOWN;        /* unrecognised or EOF */
1191 }
1192
1193 /*
1194  * Convert the type word to a string, for `wrong type' error
1195  * messages.
1196  */
1197 char *key_type_to_str(int type)
1198 {
1199     switch (type) {
1200       case SSH_KEYTYPE_UNOPENABLE: return "unable to open file"; break;
1201       case SSH_KEYTYPE_UNKNOWN: return "not a private key"; break;
1202       case SSH_KEYTYPE_SSH1: return "SSH1 private key"; break;
1203       case SSH_KEYTYPE_SSH2: return "PuTTY SSH2 private key"; break;
1204       case SSH_KEYTYPE_OPENSSH: return "OpenSSH SSH2 private key"; break;
1205       case SSH_KEYTYPE_SSHCOM: return "ssh.com SSH2 private key"; break;
1206       default: return "INTERNAL ERROR"; break;
1207     }
1208 }