]> asedeno.scripts.mit.edu Git - PuTTY.git/blob - sshpubk.c
Give a better error message if a PuTTY private key file has a version
[PuTTY.git] / sshpubk.c
1 /*
2  * Generic SSH public-key handling operations. In particular,
3  * reading of SSH public-key files, and also the generic `sign'
4  * operation for SSH-2 (which checks the type of the key and
5  * dispatches to the appropriate key-type specific function).
6  */
7
8 #include <stdio.h>
9 #include <stdlib.h>
10 #include <assert.h>
11
12 #include "putty.h"
13 #include "ssh.h"
14 #include "misc.h"
15
16 #define rsa_signature "SSH PRIVATE KEY FILE FORMAT 1.1\n"
17
18 #define BASE64_TOINT(x) ( (x)-'A'<26 ? (x)-'A'+0 :\
19                           (x)-'a'<26 ? (x)-'a'+26 :\
20                           (x)-'0'<10 ? (x)-'0'+52 :\
21                           (x)=='+' ? 62 : \
22                           (x)=='/' ? 63 : 0 )
23
24 static int loadrsakey_main(FILE * fp, struct RSAKey *key, int pub_only,
25                            char **commentptr, char *passphrase,
26                            const char **error)
27 {
28     unsigned char buf[16384];
29     unsigned char keybuf[16];
30     int len;
31     int i, j, ciphertype;
32     int ret = 0;
33     struct MD5Context md5c;
34     char *comment;
35
36     *error = NULL;
37
38     /* Slurp the whole file (minus the header) into a buffer. */
39     len = fread(buf, 1, sizeof(buf), fp);
40     fclose(fp);
41     if (len < 0 || len == sizeof(buf)) {
42         *error = "error reading file";
43         goto end;                      /* file too big or not read */
44     }
45
46     i = 0;
47     *error = "file format error";
48
49     /*
50      * A zero byte. (The signature includes a terminating NUL.)
51      */
52     if (len - i < 1 || buf[i] != 0)
53         goto end;
54     i++;
55
56     /* One byte giving encryption type, and one reserved uint32. */
57     if (len - i < 1)
58         goto end;
59     ciphertype = buf[i];
60     if (ciphertype != 0 && ciphertype != SSH_CIPHER_3DES)
61         goto end;
62     i++;
63     if (len - i < 4)
64         goto end;                      /* reserved field not present */
65     if (buf[i] != 0 || buf[i + 1] != 0 || buf[i + 2] != 0
66         || buf[i + 3] != 0) goto end;  /* reserved field nonzero, panic! */
67     i += 4;
68
69     /* Now the serious stuff. An ordinary SSH-1 public key. */
70     i += makekey(buf + i, len, key, NULL, 1);
71     if (i < 0)
72         goto end;                      /* overran */
73
74     /* Next, the comment field. */
75     j = GET_32BIT(buf + i);
76     i += 4;
77     if (len - i < j)
78         goto end;
79     comment = snewn(j + 1, char);
80     if (comment) {
81         memcpy(comment, buf + i, j);
82         comment[j] = '\0';
83     }
84     i += j;
85     if (commentptr)
86         *commentptr = dupstr(comment);
87     if (key)
88         key->comment = comment;
89     else
90         sfree(comment);
91
92     if (pub_only) {
93         ret = 1;
94         goto end;
95     }
96
97     if (!key) {
98         ret = ciphertype != 0;
99         *error = NULL;
100         goto end;
101     }
102
103     /*
104      * Decrypt remainder of buffer.
105      */
106     if (ciphertype) {
107         MD5Init(&md5c);
108         MD5Update(&md5c, (unsigned char *)passphrase, strlen(passphrase));
109         MD5Final(keybuf, &md5c);
110         des3_decrypt_pubkey(keybuf, buf + i, (len - i + 7) & ~7);
111         smemclr(keybuf, sizeof(keybuf));        /* burn the evidence */
112     }
113
114     /*
115      * We are now in the secret part of the key. The first four
116      * bytes should be of the form a, b, a, b.
117      */
118     if (len - i < 4)
119         goto end;
120     if (buf[i] != buf[i + 2] || buf[i + 1] != buf[i + 3]) {
121         *error = "wrong passphrase";
122         ret = -1;
123         goto end;
124     }
125     i += 4;
126
127     /*
128      * After that, we have one further bignum which is our
129      * decryption exponent, and then the three auxiliary values
130      * (iqmp, q, p).
131      */
132     j = makeprivate(buf + i, len - i, key);
133     if (j < 0) goto end;
134     i += j;
135     j = ssh1_read_bignum(buf + i, len - i, &key->iqmp);
136     if (j < 0) goto end;
137     i += j;
138     j = ssh1_read_bignum(buf + i, len - i, &key->q);
139     if (j < 0) goto end;
140     i += j;
141     j = ssh1_read_bignum(buf + i, len - i, &key->p);
142     if (j < 0) goto end;
143     i += j;
144
145     if (!rsa_verify(key)) {
146         *error = "rsa_verify failed";
147         freersakey(key);
148         ret = 0;
149     } else
150         ret = 1;
151
152   end:
153     smemclr(buf, sizeof(buf));       /* burn the evidence */
154     return ret;
155 }
156
157 int loadrsakey(const Filename *filename, struct RSAKey *key, char *passphrase,
158                const char **errorstr)
159 {
160     FILE *fp;
161     char buf[64];
162     int ret = 0;
163     const char *error = NULL;
164
165     fp = f_open(filename, "rb", FALSE);
166     if (!fp) {
167         error = "can't open file";
168         goto end;
169     }
170
171     /*
172      * Read the first line of the file and see if it's a v1 private
173      * key file.
174      */
175     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
176         /*
177          * This routine will take care of calling fclose() for us.
178          */
179         ret = loadrsakey_main(fp, key, FALSE, NULL, passphrase, &error);
180         fp = NULL;
181         goto end;
182     }
183
184     /*
185      * Otherwise, we have nothing. Return empty-handed.
186      */
187     error = "not an SSH-1 RSA file";
188
189   end:
190     if (fp)
191         fclose(fp);
192     if ((ret != 1) && errorstr)
193         *errorstr = error;
194     return ret;
195 }
196
197 /*
198  * See whether an RSA key is encrypted. Return its comment field as
199  * well.
200  */
201 int rsakey_encrypted(const Filename *filename, char **comment)
202 {
203     FILE *fp;
204     char buf[64];
205
206     fp = f_open(filename, "rb", FALSE);
207     if (!fp)
208         return 0;                      /* doesn't even exist */
209
210     /*
211      * Read the first line of the file and see if it's a v1 private
212      * key file.
213      */
214     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
215         const char *dummy;
216         /*
217          * This routine will take care of calling fclose() for us.
218          */
219         return loadrsakey_main(fp, NULL, FALSE, comment, NULL, &dummy);
220     }
221     fclose(fp);
222     return 0;                          /* wasn't the right kind of file */
223 }
224
225 /*
226  * Return a malloc'ed chunk of memory containing the public blob of
227  * an RSA key, as given in the agent protocol (modulus bits,
228  * exponent, modulus).
229  */
230 int rsakey_pubblob(const Filename *filename, void **blob, int *bloblen,
231                    char **commentptr, const char **errorstr)
232 {
233     FILE *fp;
234     char buf[64];
235     struct RSAKey key;
236     int ret;
237     const char *error = NULL;
238
239     /* Default return if we fail. */
240     *blob = NULL;
241     *bloblen = 0;
242     ret = 0;
243
244     fp = f_open(filename, "rb", FALSE);
245     if (!fp) {
246         error = "can't open file";
247         goto end;
248     }
249
250     /*
251      * Read the first line of the file and see if it's a v1 private
252      * key file.
253      */
254     if (fgets(buf, sizeof(buf), fp) && !strcmp(buf, rsa_signature)) {
255         memset(&key, 0, sizeof(key));
256         if (loadrsakey_main(fp, &key, TRUE, commentptr, NULL, &error)) {
257             *blob = rsa_public_blob(&key, bloblen);
258             freersakey(&key);
259             ret = 1;
260             fp = NULL;
261         }
262     } else {
263         error = "not an SSH-1 RSA file";
264     }
265
266   end:
267     if (fp)
268         fclose(fp);
269     if ((ret != 1) && errorstr)
270         *errorstr = error;
271     return ret;
272 }
273
274 /*
275  * Save an RSA key file. Return nonzero on success.
276  */
277 int saversakey(const Filename *filename, struct RSAKey *key, char *passphrase)
278 {
279     unsigned char buf[16384];
280     unsigned char keybuf[16];
281     struct MD5Context md5c;
282     unsigned char *p, *estart;
283     FILE *fp;
284
285     /*
286      * Write the initial signature.
287      */
288     p = buf;
289     memcpy(p, rsa_signature, sizeof(rsa_signature));
290     p += sizeof(rsa_signature);
291
292     /*
293      * One byte giving encryption type, and one reserved (zero)
294      * uint32.
295      */
296     *p++ = (passphrase ? SSH_CIPHER_3DES : 0);
297     PUT_32BIT(p, 0);
298     p += 4;
299
300     /*
301      * An ordinary SSH-1 public key consists of: a uint32
302      * containing the bit count, then two bignums containing the
303      * modulus and exponent respectively.
304      */
305     PUT_32BIT(p, bignum_bitcount(key->modulus));
306     p += 4;
307     p += ssh1_write_bignum(p, key->modulus);
308     p += ssh1_write_bignum(p, key->exponent);
309
310     /*
311      * A string containing the comment field.
312      */
313     if (key->comment) {
314         PUT_32BIT(p, strlen(key->comment));
315         p += 4;
316         memcpy(p, key->comment, strlen(key->comment));
317         p += strlen(key->comment);
318     } else {
319         PUT_32BIT(p, 0);
320         p += 4;
321     }
322
323     /*
324      * The encrypted portion starts here.
325      */
326     estart = p;
327
328     /*
329      * Two bytes, then the same two bytes repeated.
330      */
331     *p++ = random_byte();
332     *p++ = random_byte();
333     p[0] = p[-2];
334     p[1] = p[-1];
335     p += 2;
336
337     /*
338      * Four more bignums: the decryption exponent, then iqmp, then
339      * q, then p.
340      */
341     p += ssh1_write_bignum(p, key->private_exponent);
342     p += ssh1_write_bignum(p, key->iqmp);
343     p += ssh1_write_bignum(p, key->q);
344     p += ssh1_write_bignum(p, key->p);
345
346     /*
347      * Now write zeros until the encrypted portion is a multiple of
348      * 8 bytes.
349      */
350     while ((p - estart) % 8)
351         *p++ = '\0';
352
353     /*
354      * Now encrypt the encrypted portion.
355      */
356     if (passphrase) {
357         MD5Init(&md5c);
358         MD5Update(&md5c, (unsigned char *)passphrase, strlen(passphrase));
359         MD5Final(keybuf, &md5c);
360         des3_encrypt_pubkey(keybuf, estart, p - estart);
361         smemclr(keybuf, sizeof(keybuf));        /* burn the evidence */
362     }
363
364     /*
365      * Done. Write the result to the file.
366      */
367     fp = f_open(filename, "wb", TRUE);
368     if (fp) {
369         int ret = (fwrite(buf, 1, p - buf, fp) == (size_t) (p - buf));
370         if (fclose(fp))
371             ret = 0;
372         return ret;
373     } else
374         return 0;
375 }
376
377 /* ----------------------------------------------------------------------
378  * SSH-2 private key load/store functions.
379  */
380
381 /*
382  * PuTTY's own format for SSH-2 keys is as follows:
383  *
384  * The file is text. Lines are terminated by CRLF, although CR-only
385  * and LF-only are tolerated on input.
386  *
387  * The first line says "PuTTY-User-Key-File-2: " plus the name of the
388  * algorithm ("ssh-dss", "ssh-rsa" etc).
389  *
390  * The next line says "Encryption: " plus an encryption type.
391  * Currently the only supported encryption types are "aes256-cbc"
392  * and "none".
393  *
394  * The next line says "Comment: " plus the comment string.
395  *
396  * Next there is a line saying "Public-Lines: " plus a number N.
397  * The following N lines contain a base64 encoding of the public
398  * part of the key. This is encoded as the standard SSH-2 public key
399  * blob (with no initial length): so for RSA, for example, it will
400  * read
401  *
402  *    string "ssh-rsa"
403  *    mpint  exponent
404  *    mpint  modulus
405  *
406  * Next, there is a line saying "Private-Lines: " plus a number N,
407  * and then N lines containing the (potentially encrypted) private
408  * part of the key. For the key type "ssh-rsa", this will be
409  * composed of
410  *
411  *    mpint  private_exponent
412  *    mpint  p                  (the larger of the two primes)
413  *    mpint  q                  (the smaller prime)
414  *    mpint  iqmp               (the inverse of q modulo p)
415  *    data   padding            (to reach a multiple of the cipher block size)
416  *
417  * And for "ssh-dss", it will be composed of
418  *
419  *    mpint  x                  (the private key parameter)
420  *  [ string hash   20-byte hash of mpints p || q || g   only in old format ]
421  * 
422  * Finally, there is a line saying "Private-MAC: " plus a hex
423  * representation of a HMAC-SHA-1 of:
424  *
425  *    string  name of algorithm ("ssh-dss", "ssh-rsa")
426  *    string  encryption type
427  *    string  comment
428  *    string  public-blob
429  *    string  private-plaintext (the plaintext version of the
430  *                               private part, including the final
431  *                               padding)
432  * 
433  * The key to the MAC is itself a SHA-1 hash of:
434  * 
435  *    data    "putty-private-key-file-mac-key"
436  *    data    passphrase
437  *
438  * (An empty passphrase is used for unencrypted keys.)
439  *
440  * If the key is encrypted, the encryption key is derived from the
441  * passphrase by means of a succession of SHA-1 hashes. Each hash
442  * is the hash of:
443  *
444  *    uint32  sequence-number
445  *    data    passphrase
446  *
447  * where the sequence-number increases from zero. As many of these
448  * hashes are used as necessary.
449  *
450  * For backwards compatibility with snapshots between 0.51 and
451  * 0.52, we also support the older key file format, which begins
452  * with "PuTTY-User-Key-File-1" (version number differs). In this
453  * format the Private-MAC: field only covers the private-plaintext
454  * field and nothing else (and without the 4-byte string length on
455  * the front too). Moreover, the Private-MAC: field can be replaced
456  * with a Private-Hash: field which is a plain SHA-1 hash instead of
457  * an HMAC (this was generated for unencrypted keys).
458  */
459
460 static int read_header(FILE * fp, char *header)
461 {
462     int len = 39;
463     int c;
464
465     while (len > 0) {
466         c = fgetc(fp);
467         if (c == '\n' || c == '\r' || c == EOF)
468             return 0;                  /* failure */
469         if (c == ':') {
470             c = fgetc(fp);
471             if (c != ' ')
472                 return 0;
473             *header = '\0';
474             return 1;                  /* success! */
475         }
476         if (len == 0)
477             return 0;                  /* failure */
478         *header++ = c;
479         len--;
480     }
481     return 0;                          /* failure */
482 }
483
484 static char *read_body(FILE * fp)
485 {
486     char *text;
487     int len;
488     int size;
489     int c;
490
491     size = 128;
492     text = snewn(size, char);
493     len = 0;
494     text[len] = '\0';
495
496     while (1) {
497         c = fgetc(fp);
498         if (c == '\r' || c == '\n' || c == EOF) {
499             if (c != EOF) {
500                 c = fgetc(fp);
501                 if (c != '\r' && c != '\n')
502                     ungetc(c, fp);
503             }
504             return text;
505         }
506         if (len + 1 >= size) {
507             size += 128;
508             text = sresize(text, size, char);
509         }
510         text[len++] = c;
511         text[len] = '\0';
512     }
513 }
514
515 int base64_decode_atom(char *atom, unsigned char *out)
516 {
517     int vals[4];
518     int i, v, len;
519     unsigned word;
520     char c;
521
522     for (i = 0; i < 4; i++) {
523         c = atom[i];
524         if (c >= 'A' && c <= 'Z')
525             v = c - 'A';
526         else if (c >= 'a' && c <= 'z')
527             v = c - 'a' + 26;
528         else if (c >= '0' && c <= '9')
529             v = c - '0' + 52;
530         else if (c == '+')
531             v = 62;
532         else if (c == '/')
533             v = 63;
534         else if (c == '=')
535             v = -1;
536         else
537             return 0;                  /* invalid atom */
538         vals[i] = v;
539     }
540
541     if (vals[0] == -1 || vals[1] == -1)
542         return 0;
543     if (vals[2] == -1 && vals[3] != -1)
544         return 0;
545
546     if (vals[3] != -1)
547         len = 3;
548     else if (vals[2] != -1)
549         len = 2;
550     else
551         len = 1;
552
553     word = ((vals[0] << 18) |
554             (vals[1] << 12) | ((vals[2] & 0x3F) << 6) | (vals[3] & 0x3F));
555     out[0] = (word >> 16) & 0xFF;
556     if (len > 1)
557         out[1] = (word >> 8) & 0xFF;
558     if (len > 2)
559         out[2] = word & 0xFF;
560     return len;
561 }
562
563 static unsigned char *read_blob(FILE * fp, int nlines, int *bloblen)
564 {
565     unsigned char *blob;
566     char *line;
567     int linelen, len;
568     int i, j, k;
569
570     /* We expect at most 64 base64 characters, ie 48 real bytes, per line. */
571     blob = snewn(48 * nlines, unsigned char);
572     len = 0;
573     for (i = 0; i < nlines; i++) {
574         line = read_body(fp);
575         if (!line) {
576             sfree(blob);
577             return NULL;
578         }
579         linelen = strlen(line);
580         if (linelen % 4 != 0 || linelen > 64) {
581             sfree(blob);
582             sfree(line);
583             return NULL;
584         }
585         for (j = 0; j < linelen; j += 4) {
586             k = base64_decode_atom(line + j, blob + len);
587             if (!k) {
588                 sfree(line);
589                 sfree(blob);
590                 return NULL;
591             }
592             len += k;
593         }
594         sfree(line);
595     }
596     *bloblen = len;
597     return blob;
598 }
599
600 /*
601  * Magic error return value for when the passphrase is wrong.
602  */
603 struct ssh2_userkey ssh2_wrong_passphrase = {
604     NULL, NULL, NULL
605 };
606
607 const struct ssh_signkey *find_pubkey_alg(const char *name)
608 {
609     if (!strcmp(name, "ssh-rsa"))
610         return &ssh_rsa;
611     else if (!strcmp(name, "ssh-dss"))
612         return &ssh_dss;
613     else
614         return NULL;
615 }
616
617 struct ssh2_userkey *ssh2_load_userkey(const Filename *filename,
618                                        char *passphrase, const char **errorstr)
619 {
620     FILE *fp;
621     char header[40], *b, *encryption, *comment, *mac;
622     const struct ssh_signkey *alg;
623     struct ssh2_userkey *ret;
624     int cipher, cipherblk;
625     unsigned char *public_blob, *private_blob;
626     int public_blob_len, private_blob_len;
627     int i, is_mac, old_fmt;
628     int passlen = passphrase ? strlen(passphrase) : 0;
629     const char *error = NULL;
630
631     ret = NULL;                        /* return NULL for most errors */
632     encryption = comment = mac = NULL;
633     public_blob = private_blob = NULL;
634
635     fp = f_open(filename, "rb", FALSE);
636     if (!fp) {
637         error = "can't open file";
638         goto error;
639     }
640
641     /* Read the first header line which contains the key type. */
642     if (!read_header(fp, header))
643         goto error;
644     if (0 == strcmp(header, "PuTTY-User-Key-File-2")) {
645         old_fmt = 0;
646     } else if (0 == strcmp(header, "PuTTY-User-Key-File-1")) {
647         /* this is an old key file; warn and then continue */
648         old_keyfile_warning();
649         old_fmt = 1;
650     } else if (0 == strncmp(header, "PuTTY-User-Key-File-", 20)) {
651         /* this is a key file FROM THE FUTURE; refuse it, but with a
652          * more specific error message than the generic one below */
653         error = "PuTTY key format too new";
654         goto error;
655     } else {
656         error = "not a PuTTY SSH-2 private key";
657         goto error;
658     }
659     error = "file format error";
660     if ((b = read_body(fp)) == NULL)
661         goto error;
662     /* Select key algorithm structure. */
663     alg = find_pubkey_alg(b);
664     if (!alg) {
665         sfree(b);
666         goto error;
667     }
668     sfree(b);
669
670     /* Read the Encryption header line. */
671     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption"))
672         goto error;
673     if ((encryption = read_body(fp)) == NULL)
674         goto error;
675     if (!strcmp(encryption, "aes256-cbc")) {
676         cipher = 1;
677         cipherblk = 16;
678     } else if (!strcmp(encryption, "none")) {
679         cipher = 0;
680         cipherblk = 1;
681     } else {
682         sfree(encryption);
683         goto error;
684     }
685
686     /* Read the Comment header line. */
687     if (!read_header(fp, header) || 0 != strcmp(header, "Comment"))
688         goto error;
689     if ((comment = read_body(fp)) == NULL)
690         goto error;
691
692     /* Read the Public-Lines header line and the public blob. */
693     if (!read_header(fp, header) || 0 != strcmp(header, "Public-Lines"))
694         goto error;
695     if ((b = read_body(fp)) == NULL)
696         goto error;
697     i = atoi(b);
698     sfree(b);
699     if ((public_blob = read_blob(fp, i, &public_blob_len)) == NULL)
700         goto error;
701
702     /* Read the Private-Lines header line and the Private blob. */
703     if (!read_header(fp, header) || 0 != strcmp(header, "Private-Lines"))
704         goto error;
705     if ((b = read_body(fp)) == NULL)
706         goto error;
707     i = atoi(b);
708     sfree(b);
709     if ((private_blob = read_blob(fp, i, &private_blob_len)) == NULL)
710         goto error;
711
712     /* Read the Private-MAC or Private-Hash header line. */
713     if (!read_header(fp, header))
714         goto error;
715     if (0 == strcmp(header, "Private-MAC")) {
716         if ((mac = read_body(fp)) == NULL)
717             goto error;
718         is_mac = 1;
719     } else if (0 == strcmp(header, "Private-Hash") && old_fmt) {
720         if ((mac = read_body(fp)) == NULL)
721             goto error;
722         is_mac = 0;
723     } else
724         goto error;
725
726     fclose(fp);
727     fp = NULL;
728
729     /*
730      * Decrypt the private blob.
731      */
732     if (cipher) {
733         unsigned char key[40];
734         SHA_State s;
735
736         if (!passphrase)
737             goto error;
738         if (private_blob_len % cipherblk)
739             goto error;
740
741         SHA_Init(&s);
742         SHA_Bytes(&s, "\0\0\0\0", 4);
743         SHA_Bytes(&s, passphrase, passlen);
744         SHA_Final(&s, key + 0);
745         SHA_Init(&s);
746         SHA_Bytes(&s, "\0\0\0\1", 4);
747         SHA_Bytes(&s, passphrase, passlen);
748         SHA_Final(&s, key + 20);
749         aes256_decrypt_pubkey(key, private_blob, private_blob_len);
750     }
751
752     /*
753      * Verify the MAC.
754      */
755     {
756         char realmac[41];
757         unsigned char binary[20];
758         unsigned char *macdata;
759         int maclen;
760         int free_macdata;
761
762         if (old_fmt) {
763             /* MAC (or hash) only covers the private blob. */
764             macdata = private_blob;
765             maclen = private_blob_len;
766             free_macdata = 0;
767         } else {
768             unsigned char *p;
769             int namelen = strlen(alg->name);
770             int enclen = strlen(encryption);
771             int commlen = strlen(comment);
772             maclen = (4 + namelen +
773                       4 + enclen +
774                       4 + commlen +
775                       4 + public_blob_len +
776                       4 + private_blob_len);
777             macdata = snewn(maclen, unsigned char);
778             p = macdata;
779 #define DO_STR(s,len) PUT_32BIT(p,(len));memcpy(p+4,(s),(len));p+=4+(len)
780             DO_STR(alg->name, namelen);
781             DO_STR(encryption, enclen);
782             DO_STR(comment, commlen);
783             DO_STR(public_blob, public_blob_len);
784             DO_STR(private_blob, private_blob_len);
785
786             free_macdata = 1;
787         }
788
789         if (is_mac) {
790             SHA_State s;
791             unsigned char mackey[20];
792             char header[] = "putty-private-key-file-mac-key";
793
794             SHA_Init(&s);
795             SHA_Bytes(&s, header, sizeof(header)-1);
796             if (cipher && passphrase)
797                 SHA_Bytes(&s, passphrase, passlen);
798             SHA_Final(&s, mackey);
799
800             hmac_sha1_simple(mackey, 20, macdata, maclen, binary);
801
802             smemclr(mackey, sizeof(mackey));
803             smemclr(&s, sizeof(s));
804         } else {
805             SHA_Simple(macdata, maclen, binary);
806         }
807
808         if (free_macdata) {
809             smemclr(macdata, maclen);
810             sfree(macdata);
811         }
812
813         for (i = 0; i < 20; i++)
814             sprintf(realmac + 2 * i, "%02x", binary[i]);
815
816         if (strcmp(mac, realmac)) {
817             /* An incorrect MAC is an unconditional Error if the key is
818              * unencrypted. Otherwise, it means Wrong Passphrase. */
819             if (cipher) {
820                 error = "wrong passphrase";
821                 ret = SSH2_WRONG_PASSPHRASE;
822             } else {
823                 error = "MAC failed";
824                 ret = NULL;
825             }
826             goto error;
827         }
828     }
829     sfree(mac);
830
831     /*
832      * Create and return the key.
833      */
834     ret = snew(struct ssh2_userkey);
835     ret->alg = alg;
836     ret->comment = comment;
837     ret->data = alg->createkey(public_blob, public_blob_len,
838                                private_blob, private_blob_len);
839     if (!ret->data) {
840         sfree(ret->comment);
841         sfree(ret);
842         ret = NULL;
843         error = "createkey failed";
844         goto error;
845     }
846     sfree(public_blob);
847     sfree(private_blob);
848     sfree(encryption);
849     if (errorstr)
850         *errorstr = NULL;
851     return ret;
852
853     /*
854      * Error processing.
855      */
856   error:
857     if (fp)
858         fclose(fp);
859     if (comment)
860         sfree(comment);
861     if (encryption)
862         sfree(encryption);
863     if (mac)
864         sfree(mac);
865     if (public_blob)
866         sfree(public_blob);
867     if (private_blob)
868         sfree(private_blob);
869     if (errorstr)
870         *errorstr = error;
871     return ret;
872 }
873
874 unsigned char *ssh2_userkey_loadpub(const Filename *filename, char **algorithm,
875                                     int *pub_blob_len, char **commentptr,
876                                     const char **errorstr)
877 {
878     FILE *fp;
879     char header[40], *b;
880     const struct ssh_signkey *alg;
881     unsigned char *public_blob;
882     int public_blob_len;
883     int i;
884     const char *error = NULL;
885     char *comment;
886
887     public_blob = NULL;
888
889     fp = f_open(filename, "rb", FALSE);
890     if (!fp) {
891         error = "can't open file";
892         goto error;
893     }
894
895     /* Read the first header line which contains the key type. */
896     if (!read_header(fp, header)
897         || (0 != strcmp(header, "PuTTY-User-Key-File-2") &&
898             0 != strcmp(header, "PuTTY-User-Key-File-1"))) {
899         if (0 == strncmp(header, "PuTTY-User-Key-File-", 20))
900             error = "PuTTY key format too new";
901         else
902             error = "not a PuTTY SSH-2 private key";
903         goto error;
904     }
905     error = "file format error";
906     if ((b = read_body(fp)) == NULL)
907         goto error;
908     /* Select key algorithm structure. */
909     alg = find_pubkey_alg(b);
910     if (!alg) {
911         sfree(b);
912         goto error;
913     }
914     sfree(b);
915
916     /* Read the Encryption header line. */
917     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption"))
918         goto error;
919     if ((b = read_body(fp)) == NULL)
920         goto error;
921     sfree(b);                          /* we don't care */
922
923     /* Read the Comment header line. */
924     if (!read_header(fp, header) || 0 != strcmp(header, "Comment"))
925         goto error;
926     if ((comment = read_body(fp)) == NULL)
927         goto error;
928
929     if (commentptr)
930         *commentptr = comment;
931     else
932         sfree(comment);
933
934     /* Read the Public-Lines header line and the public blob. */
935     if (!read_header(fp, header) || 0 != strcmp(header, "Public-Lines"))
936         goto error;
937     if ((b = read_body(fp)) == NULL)
938         goto error;
939     i = atoi(b);
940     sfree(b);
941     if ((public_blob = read_blob(fp, i, &public_blob_len)) == NULL)
942         goto error;
943
944     fclose(fp);
945     if (pub_blob_len)
946         *pub_blob_len = public_blob_len;
947     if (algorithm)
948         *algorithm = alg->name;
949     return public_blob;
950
951     /*
952      * Error processing.
953      */
954   error:
955     if (fp)
956         fclose(fp);
957     if (public_blob)
958         sfree(public_blob);
959     if (errorstr)
960         *errorstr = error;
961     return NULL;
962 }
963
964 int ssh2_userkey_encrypted(const Filename *filename, char **commentptr)
965 {
966     FILE *fp;
967     char header[40], *b, *comment;
968     int ret;
969
970     if (commentptr)
971         *commentptr = NULL;
972
973     fp = f_open(filename, "rb", FALSE);
974     if (!fp)
975         return 0;
976     if (!read_header(fp, header)
977         || (0 != strcmp(header, "PuTTY-User-Key-File-2") &&
978             0 != strcmp(header, "PuTTY-User-Key-File-1"))) {
979         fclose(fp);
980         return 0;
981     }
982     if ((b = read_body(fp)) == NULL) {
983         fclose(fp);
984         return 0;
985     }
986     sfree(b);                          /* we don't care about key type here */
987     /* Read the Encryption header line. */
988     if (!read_header(fp, header) || 0 != strcmp(header, "Encryption")) {
989         fclose(fp);
990         return 0;
991     }
992     if ((b = read_body(fp)) == NULL) {
993         fclose(fp);
994         return 0;
995     }
996
997     /* Read the Comment header line. */
998     if (!read_header(fp, header) || 0 != strcmp(header, "Comment")) {
999         fclose(fp);
1000         sfree(b);
1001         return 1;
1002     }
1003     if ((comment = read_body(fp)) == NULL) {
1004         fclose(fp);
1005         sfree(b);
1006         return 1;
1007     }
1008
1009     if (commentptr)
1010         *commentptr = comment;
1011
1012     fclose(fp);
1013     if (!strcmp(b, "aes256-cbc"))
1014         ret = 1;
1015     else
1016         ret = 0;
1017     sfree(b);
1018     return ret;
1019 }
1020
1021 int base64_lines(int datalen)
1022 {
1023     /* When encoding, we use 64 chars/line, which equals 48 real chars. */
1024     return (datalen + 47) / 48;
1025 }
1026
1027 void base64_encode(FILE * fp, unsigned char *data, int datalen, int cpl)
1028 {
1029     int linelen = 0;
1030     char out[4];
1031     int n, i;
1032
1033     while (datalen > 0) {
1034         n = (datalen < 3 ? datalen : 3);
1035         base64_encode_atom(data, n, out);
1036         data += n;
1037         datalen -= n;
1038         for (i = 0; i < 4; i++) {
1039             if (linelen >= cpl) {
1040                 linelen = 0;
1041                 fputc('\n', fp);
1042             }
1043             fputc(out[i], fp);
1044             linelen++;
1045         }
1046     }
1047     fputc('\n', fp);
1048 }
1049
1050 int ssh2_save_userkey(const Filename *filename, struct ssh2_userkey *key,
1051                       char *passphrase)
1052 {
1053     FILE *fp;
1054     unsigned char *pub_blob, *priv_blob, *priv_blob_encrypted;
1055     int pub_blob_len, priv_blob_len, priv_encrypted_len;
1056     int passlen;
1057     int cipherblk;
1058     int i;
1059     char *cipherstr;
1060     unsigned char priv_mac[20];
1061
1062     /*
1063      * Fetch the key component blobs.
1064      */
1065     pub_blob = key->alg->public_blob(key->data, &pub_blob_len);
1066     priv_blob = key->alg->private_blob(key->data, &priv_blob_len);
1067     if (!pub_blob || !priv_blob) {
1068         sfree(pub_blob);
1069         sfree(priv_blob);
1070         return 0;
1071     }
1072
1073     /*
1074      * Determine encryption details, and encrypt the private blob.
1075      */
1076     if (passphrase) {
1077         cipherstr = "aes256-cbc";
1078         cipherblk = 16;
1079     } else {
1080         cipherstr = "none";
1081         cipherblk = 1;
1082     }
1083     priv_encrypted_len = priv_blob_len + cipherblk - 1;
1084     priv_encrypted_len -= priv_encrypted_len % cipherblk;
1085     priv_blob_encrypted = snewn(priv_encrypted_len, unsigned char);
1086     memset(priv_blob_encrypted, 0, priv_encrypted_len);
1087     memcpy(priv_blob_encrypted, priv_blob, priv_blob_len);
1088     /* Create padding based on the SHA hash of the unpadded blob. This prevents
1089      * too easy a known-plaintext attack on the last block. */
1090     SHA_Simple(priv_blob, priv_blob_len, priv_mac);
1091     assert(priv_encrypted_len - priv_blob_len < 20);
1092     memcpy(priv_blob_encrypted + priv_blob_len, priv_mac,
1093            priv_encrypted_len - priv_blob_len);
1094
1095     /* Now create the MAC. */
1096     {
1097         unsigned char *macdata;
1098         int maclen;
1099         unsigned char *p;
1100         int namelen = strlen(key->alg->name);
1101         int enclen = strlen(cipherstr);
1102         int commlen = strlen(key->comment);
1103         SHA_State s;
1104         unsigned char mackey[20];
1105         char header[] = "putty-private-key-file-mac-key";
1106
1107         maclen = (4 + namelen +
1108                   4 + enclen +
1109                   4 + commlen +
1110                   4 + pub_blob_len +
1111                   4 + priv_encrypted_len);
1112         macdata = snewn(maclen, unsigned char);
1113         p = macdata;
1114 #define DO_STR(s,len) PUT_32BIT(p,(len));memcpy(p+4,(s),(len));p+=4+(len)
1115         DO_STR(key->alg->name, namelen);
1116         DO_STR(cipherstr, enclen);
1117         DO_STR(key->comment, commlen);
1118         DO_STR(pub_blob, pub_blob_len);
1119         DO_STR(priv_blob_encrypted, priv_encrypted_len);
1120
1121         SHA_Init(&s);
1122         SHA_Bytes(&s, header, sizeof(header)-1);
1123         if (passphrase)
1124             SHA_Bytes(&s, passphrase, strlen(passphrase));
1125         SHA_Final(&s, mackey);
1126         hmac_sha1_simple(mackey, 20, macdata, maclen, priv_mac);
1127         smemclr(macdata, maclen);
1128         sfree(macdata);
1129         smemclr(mackey, sizeof(mackey));
1130         smemclr(&s, sizeof(s));
1131     }
1132
1133     if (passphrase) {
1134         unsigned char key[40];
1135         SHA_State s;
1136
1137         passlen = strlen(passphrase);
1138
1139         SHA_Init(&s);
1140         SHA_Bytes(&s, "\0\0\0\0", 4);
1141         SHA_Bytes(&s, passphrase, passlen);
1142         SHA_Final(&s, key + 0);
1143         SHA_Init(&s);
1144         SHA_Bytes(&s, "\0\0\0\1", 4);
1145         SHA_Bytes(&s, passphrase, passlen);
1146         SHA_Final(&s, key + 20);
1147         aes256_encrypt_pubkey(key, priv_blob_encrypted,
1148                               priv_encrypted_len);
1149
1150         smemclr(key, sizeof(key));
1151         smemclr(&s, sizeof(s));
1152     }
1153
1154     fp = f_open(filename, "w", TRUE);
1155     if (!fp)
1156         return 0;
1157     fprintf(fp, "PuTTY-User-Key-File-2: %s\n", key->alg->name);
1158     fprintf(fp, "Encryption: %s\n", cipherstr);
1159     fprintf(fp, "Comment: %s\n", key->comment);
1160     fprintf(fp, "Public-Lines: %d\n", base64_lines(pub_blob_len));
1161     base64_encode(fp, pub_blob, pub_blob_len, 64);
1162     fprintf(fp, "Private-Lines: %d\n", base64_lines(priv_encrypted_len));
1163     base64_encode(fp, priv_blob_encrypted, priv_encrypted_len, 64);
1164     fprintf(fp, "Private-MAC: ");
1165     for (i = 0; i < 20; i++)
1166         fprintf(fp, "%02x", priv_mac[i]);
1167     fprintf(fp, "\n");
1168     fclose(fp);
1169
1170     sfree(pub_blob);
1171     smemclr(priv_blob, priv_blob_len);
1172     sfree(priv_blob);
1173     sfree(priv_blob_encrypted);
1174     return 1;
1175 }
1176
1177 /* ----------------------------------------------------------------------
1178  * A function to determine the type of a private key file. Returns
1179  * 0 on failure, 1 or 2 on success.
1180  */
1181 int key_type(const Filename *filename)
1182 {
1183     FILE *fp;
1184     char buf[32];
1185     const char putty2_sig[] = "PuTTY-User-Key-File-";
1186     const char sshcom_sig[] = "---- BEGIN SSH2 ENCRYPTED PRIVAT";
1187     const char openssh_sig[] = "-----BEGIN ";
1188     int i;
1189
1190     fp = f_open(filename, "r", FALSE);
1191     if (!fp)
1192         return SSH_KEYTYPE_UNOPENABLE;
1193     i = fread(buf, 1, sizeof(buf), fp);
1194     fclose(fp);
1195     if (i < 0)
1196         return SSH_KEYTYPE_UNOPENABLE;
1197     if (i < 32)
1198         return SSH_KEYTYPE_UNKNOWN;
1199     if (!memcmp(buf, rsa_signature, sizeof(rsa_signature)-1))
1200         return SSH_KEYTYPE_SSH1;
1201     if (!memcmp(buf, putty2_sig, sizeof(putty2_sig)-1))
1202         return SSH_KEYTYPE_SSH2;
1203     if (!memcmp(buf, openssh_sig, sizeof(openssh_sig)-1))
1204         return SSH_KEYTYPE_OPENSSH;
1205     if (!memcmp(buf, sshcom_sig, sizeof(sshcom_sig)-1))
1206         return SSH_KEYTYPE_SSHCOM;
1207     return SSH_KEYTYPE_UNKNOWN;        /* unrecognised or EOF */
1208 }
1209
1210 /*
1211  * Convert the type word to a string, for `wrong type' error
1212  * messages.
1213  */
1214 char *key_type_to_str(int type)
1215 {
1216     switch (type) {
1217       case SSH_KEYTYPE_UNOPENABLE: return "unable to open file"; break;
1218       case SSH_KEYTYPE_UNKNOWN: return "not a private key"; break;
1219       case SSH_KEYTYPE_SSH1: return "SSH-1 private key"; break;
1220       case SSH_KEYTYPE_SSH2: return "PuTTY SSH-2 private key"; break;
1221       case SSH_KEYTYPE_OPENSSH: return "OpenSSH SSH-2 private key"; break;
1222       case SSH_KEYTYPE_SSHCOM: return "ssh.com SSH-2 private key"; break;
1223       default: return "INTERNAL ERROR"; break;
1224     }
1225 }