CryptoPkg/BaseCryptLib: Add missing OpenSSL includes

[mirror_edk2.git] / CryptoPkg / Library / BaseCryptLib / Pk / CryptX509.c
diff --git a/CryptoPkg/Library/BaseCryptLib/Pk/CryptX509.c b/CryptoPkg/Library/BaseCryptLib/Pk/CryptX509.c

index a0c5a2a78efc3748863a4a1a8e383a54fc26cddd..fba356f8e75860aef4ae5e9ccd8bc715a92af5f5 100644 (file)
--- a/CryptoPkg/Library/BaseCryptLib/Pk/CryptX509.c
+++ b/CryptoPkg/Library/BaseCryptLib/Pk/CryptX509.c
@@ -1,7 +1,7 @@
  /** @file\r
    X.509 Certificate Handler Wrapper Implementation over OpenSSL.\r
  \r
-Copyright (c) 2010 - 2012, Intel Corporation. All rights reserved.<BR>\r
+Copyright (c) 2010 - 2015, Intel Corporation. All rights reserved.<BR>\r
  This program and the accompanying materials\r
  are licensed and made available under the terms and conditions of the BSD License\r
  which accompanies this distribution.  The full text of the license may be found at\r
@@ -14,7 +14,7 @@ WITHOUT WARRANTIES OR REPRESENTATIONS OF ANY KIND, EITHER EXPRESS OR IMPLIED.
  \r
  #include "InternalCryptLib.h"\r
  #include <openssl/x509.h>\r
-\r
+#include <openssl/rsa.h>\r
  \r
  /**\r
    Construct a X509 object from DER-encoded certificate data.\r
@@ -38,9 +38,8 @@ X509ConstructCertificate (
    OUT  UINT8        **SingleX509Cert\r
    )\r
  {\r
-  BIO      *CertBio;\r
-  X509     *X509Cert;\r
-  BOOLEAN  Status;\r
+  X509         *X509Cert;\r
+  CONST UINT8  *Temp;\r
  \r
    //\r
    // Check input parameters.\r
@@ -49,31 +48,18 @@ X509ConstructCertificate (
      return FALSE;\r
    }\r
  \r
-  Status = FALSE;\r
-\r
    //\r
    // Read DER-encoded X509 Certificate and Construct X509 object.\r
    //\r
-  CertBio = BIO_new (BIO_s_mem ());\r
-  BIO_write (CertBio, Cert, (int) CertSize);\r
-  if (CertBio == NULL) {\r
-    goto _Exit;\r
-  }\r
-  X509Cert = d2i_X509_bio (CertBio, NULL);\r
+  Temp     = Cert;\r
+  X509Cert = d2i_X509 (NULL, &Temp, (long) CertSize);\r
    if (X509Cert == NULL) {\r
-    goto _Exit;\r
+    return FALSE;\r
    }\r
  \r
    *SingleX509Cert = (UINT8 *) X509Cert;\r
-  Status = TRUE;\r
-\r
-_Exit:\r
-  //\r
-  // Release Resources.\r
-  //\r
-  BIO_free (CertBio);\r
  \r
-  return Status;\r
+  return TRUE;\r
  }\r
  \r
  /**\r
@@ -81,7 +67,7 @@ _Exit:
  \r
    If X509Stack is NULL, then return FALSE.\r
  \r
-  @param[in, out]  X509Stack  On input, pointer to an existing X509 stack object.\r
+  @param[in, out]  X509Stack  On input, pointer to an existing or NULL X509 stack object.\r
                                On output, pointer to the X509 stack object with new\r
                                inserted X509 certificate.\r
    @param           ...        A list of DER-encoded single certificate data followed\r
@@ -139,17 +125,23 @@ X509ConstructCertificateStack (
      }\r
  \r
      CertSize = VA_ARG (Args, UINTN);\r
+    if (CertSize == 0) {\r
+      break;\r
+    }\r
  \r
      //\r
      // Construct X509 Object from the given DER-encoded certificate data.\r
      //\r
+    X509Cert = NULL;\r
      Status = X509ConstructCertificate (\r
                 (CONST UINT8 *) Cert,\r
                 CertSize,\r
                 (UINT8 **) &X509Cert\r
                 );\r
      if (!Status) {\r
-      X509_free (X509Cert);\r
+      if (X509Cert != NULL) {\r
+        X509_free (X509Cert);\r
+      }\r
        break;\r
      }\r
  \r
@@ -224,91 +216,6 @@ X509StackFree (
    sk_X509_pop_free ((STACK_OF(X509) *) X509Stack, X509_free);\r
  }\r
  \r
-/**\r
-  Pop single certificate from STACK_OF(X509).\r
-\r
-  If X509Stack, Cert, or CertSize is NULL, then return FALSE.\r
-\r
-  @param[in]  X509Stack       Pointer to a X509 stack object.\r
-  @param[out] Cert            Pointer to a X509 certificate.\r
-  @param[out] CertSize        Length of output X509 certificate in bytes.\r
-                                 \r
-  @retval     TRUE            The X509 stack pop succeeded.\r
-  @retval     FALSE           The pop operation failed.\r
-\r
-**/\r
-BOOLEAN\r
-X509PopCertificate (\r
-  IN  VOID  *X509Stack,\r
-  OUT UINT8 **Cert,\r
-  OUT UINTN *CertSize\r
-  )\r
-{\r
-  BIO             *CertBio;\r
-  X509            *X509Cert;\r
-  STACK_OF(X509)  *CertStack;\r
-  BOOLEAN         Status;\r
-  int             Result;\r
-  int             Length;\r
-  VOID            *Buffer;\r
-\r
-  Status = FALSE;\r
-\r
-  if ((X509Stack == NULL) || (Cert == NULL) || (CertSize == NULL)) {\r
-    return Status;\r
-  }\r
-\r
-  CertStack = (STACK_OF(X509) *) X509Stack;\r
-\r
-  X509Cert = sk_X509_pop (CertStack);\r
-\r
-  if (X509Cert == NULL) {\r
-    return Status;\r
-  }\r
-\r
-  Buffer = NULL;\r
-\r
-  CertBio = BIO_new (BIO_s_mem ());\r
-  if (CertBio == NULL) {\r
-    return Status;\r
-  }\r
-\r
-  Result = i2d_X509_bio (CertBio, X509Cert);\r
-  if (Result == 0) {\r
-    goto _Exit;\r
-  }\r
-\r
-  Length = ((BUF_MEM *) CertBio->ptr)->length;\r
-  if (Length <= 0) {\r
-    goto _Exit;\r
-  }\r
-\r
-  Buffer = malloc (Length);\r
-  if (Buffer == NULL) {\r
-    goto _Exit;\r
-  }\r
-\r
-  Result = BIO_read (CertBio, Buffer, Length);\r
-  if (Result != Length) {\r
-    goto _Exit;\r
-  }\r
-\r
-  *Cert     = Buffer;\r
-  *CertSize = Length;\r
-\r
-  Status = TRUE;\r
-\r
-_Exit:\r
-\r
-  BIO_free (CertBio);\r
-\r
-  if (!Status && (Buffer != NULL)) {\r
-    free (Buffer);\r
-  }\r
-\r
-  return Status;\r
-}\r
-\r
  /**\r
    Retrieve the subject bytes from one X.509 certificate.\r
  \r
@@ -346,7 +253,6 @@ X509GetSubjectName (
      return FALSE;\r
    }\r
  \r
-  Status   = FALSE;\r
    X509Cert = NULL;\r
  \r
    //\r
@@ -354,20 +260,27 @@ X509GetSubjectName (
    //\r
    Status = X509ConstructCertificate (Cert, CertSize, (UINT8 **) &X509Cert);\r
    if ((X509Cert == NULL) || (!Status)) {\r
+    Status = FALSE;\r
      goto _Exit;\r
    }\r
  \r
+  Status = FALSE;\r
+\r
    //\r
    // Retrieve subject name from certificate object.\r
    //\r
    X509Name = X509_get_subject_name (X509Cert);\r
+  if (X509Name == NULL) {\r
+    goto _Exit;\r
+  }\r
+\r
    if (*SubjectSize < (UINTN) X509Name->bytes->length) {\r
      *SubjectSize = (UINTN) X509Name->bytes->length;\r
      goto _Exit;\r
    }\r
    *SubjectSize = (UINTN) X509Name->bytes->length;\r
    if (CertSubject != NULL) {\r
-    CopyMem (CertSubject, (UINT8 *)X509Name->bytes->data, *SubjectSize);\r
+    CopyMem (CertSubject, (UINT8 *) X509Name->bytes->data, *SubjectSize);\r
      Status = TRUE;\r
    }\r
  \r
@@ -375,7 +288,9 @@ _Exit:
    //\r
    // Release Resources.\r
    //\r
-  X509_free (X509Cert);\r
+  if (X509Cert != NULL) {\r
+    X509_free (X509Cert);\r
+  }\r
  \r
    return Status;\r
  }\r
@@ -415,7 +330,6 @@ RsaGetPublicKeyFromX509 (
      return FALSE;\r
    }\r
  \r
-  Status   = FALSE;\r
    Pkey     = NULL;\r
    X509Cert = NULL;\r
  \r
@@ -424,9 +338,12 @@ RsaGetPublicKeyFromX509 (
    //\r
    Status = X509ConstructCertificate (Cert, CertSize, (UINT8 **) &X509Cert);\r
    if ((X509Cert == NULL) || (!Status)) {\r
+    Status = FALSE;\r
      goto _Exit;\r
    }\r
  \r
+  Status = FALSE;\r
+\r
    //\r
    // Retrieve and check EVP_PKEY data from X509 Certificate.\r
    //\r
@@ -446,8 +363,13 @@ _Exit:
    //\r
    // Release Resources.\r
    //\r
-  X509_free (X509Cert);\r
-  EVP_PKEY_free (Pkey);\r
+  if (X509Cert != NULL) {\r
+    X509_free (X509Cert);\r
+  }\r
+\r
+  if (Pkey != NULL) {\r
+    EVP_PKEY_free (Pkey);\r
+  }  \r
  \r
    return Status;\r
  }\r
@@ -498,15 +420,22 @@ X509VerifyCert (
    //\r
    // Register & Initialize necessary digest algorithms for certificate verification.\r
    //\r
-  EVP_add_digest (EVP_md5());\r
-  EVP_add_digest (EVP_sha1());\r
-  EVP_add_digest (EVP_sha256());\r
+  if (EVP_add_digest (EVP_md5 ()) == 0) {\r
+    goto _Exit;\r
+  }\r
+  if (EVP_add_digest (EVP_sha1 ()) == 0) {\r
+    goto _Exit;\r
+  }\r
+  if (EVP_add_digest (EVP_sha256 ()) == 0) {\r
+    goto _Exit;\r
+  }\r
  \r
    //\r
    // Read DER-encoded certificate to be verified and Construct X509 object.\r
    //\r
    Status = X509ConstructCertificate (Cert, CertSize, (UINT8 **) &X509Cert);\r
    if ((X509Cert == NULL) || (!Status)) {\r
+    Status = FALSE;\r
      goto _Exit;\r
    }\r
  \r
@@ -515,9 +444,12 @@ X509VerifyCert (
    //\r
    Status = X509ConstructCertificate (CACert, CACertSize, (UINT8 **) &X509CACert);\r
    if ((X509CACert == NULL) || (!Status)) {\r
+    Status = FALSE;\r
      goto _Exit;\r
    }\r
  \r
+  Status = FALSE;\r
+\r
    //\r
    // Set up X509 Store for trusted certificate.\r
    //\r
@@ -546,9 +478,94 @@ _Exit:
    //\r
    // Release Resources.\r
    //\r
-  X509_free (X509Cert);\r
-  X509_free (X509CACert);\r
-  X509_STORE_free (CertStore);\r
+  if (X509Cert != NULL) {\r
+    X509_free (X509Cert);\r
+  }\r
+\r
+  if (X509CACert != NULL) {\r
+    X509_free (X509CACert);\r
+  }\r
  \r
+  if (CertStore != NULL) {\r
+    X509_STORE_free (CertStore);\r
+  }\r
+  \r
    return Status;\r
  }\r
+\r
+/**\r
+  Retrieve the TBSCertificate from one given X.509 certificate.\r
+\r
+  @param[in]      Cert         Pointer to the given DER-encoded X509 certificate.\r
+  @param[in]      CertSize     Size of the X509 certificate in bytes.\r
+  @param[out]     TBSCert      DER-Encoded To-Be-Signed certificate.\r
+  @param[out]     TBSCertSize  Size of the TBS certificate in bytes.\r
+\r
+  If Cert is NULL, then return FALSE.\r
+  If TBSCert is NULL, then return FALSE.\r
+  If TBSCertSize is NULL, then return FALSE.\r
+\r
+  @retval  TRUE   The TBSCertificate was retrieved successfully.\r
+  @retval  FALSE  Invalid X.509 certificate.\r
+\r
+**/\r
+BOOLEAN\r
+EFIAPI\r
+X509GetTBSCert (\r
+  IN  CONST UINT8  *Cert,\r
+  IN  UINTN        CertSize,\r
+  OUT UINT8        **TBSCert,\r
+  OUT UINTN        *TBSCertSize\r
+  )\r
+{\r
+  CONST UINT8  *Temp;\r
+  INTN         Asn1Tag;\r
+  INTN         ObjClass;\r
+  UINTN        Length;\r
+\r
+  //\r
+  // Check input parameters.\r
+  //\r
+  if ((Cert == NULL) || (TBSCert == NULL) ||\r
+      (TBSCertSize == NULL) || (CertSize > INT_MAX)) {\r
+    return FALSE;\r
+  }\r
+\r
+  //\r
+  // An X.509 Certificate is: (defined in RFC3280)\r
+  //   Certificate  ::=  SEQUENCE  {\r
+  //     tbsCertificate       TBSCertificate,\r
+  //     signatureAlgorithm   AlgorithmIdentifier,\r
+  //     signature            BIT STRING }\r
+  //\r
+  // and\r
+  //\r
+  //  TBSCertificate  ::=  SEQUENCE  {\r
+  //    version         [0]  Version DEFAULT v1,\r
+  //    ...\r
+  //    }\r
+  //\r
+  // So we can just ASN1-parse the x.509 DER-encoded data. If we strip\r
+  // the first SEQUENCE, the second SEQUENCE is the TBSCertificate.\r
+  //\r
+  Temp = Cert;\r
+  ASN1_get_object (&Temp, (long *)&Length, (int *)&Asn1Tag, (int *)&ObjClass, (long)CertSize);\r
+\r
+  if (Asn1Tag != V_ASN1_SEQUENCE) {\r
+    return FALSE;\r
+  }\r
+\r
+  *TBSCert = (UINT8 *)Temp;\r
+\r
+  ASN1_get_object (&Temp, (long *)&Length, (int *)&Asn1Tag, (int *)&ObjClass, (long)Length);\r
+  //\r
+  // Verify the parsed TBSCertificate is one correct SEQUENCE data.\r
+  //\r
+  if (Asn1Tag != V_ASN1_SEQUENCE) {\r
+    return FALSE;\r
+  }\r
+\r
+  *TBSCertSize = Length + (Temp - *TBSCert);\r
+  \r
+  return TRUE;\r
+}\r