5f81fe1ef2f12e6bc12177c12765b9e26b6b969d
[WebKit-https.git] / Source / WebCore / crypto / mac / CryptoKeyRSAMac.cpp
1 /*
2  * Copyright (C) 2013 Apple Inc. All rights reserved.
3  *
4  * Redistribution and use in source and binary forms, with or without
5  * modification, are permitted provided that the following conditions
6  * are met:
7  * 1. Redistributions of source code must retain the above copyright
8  *    notice, this list of conditions and the following disclaimer.
9  * 2. Redistributions in binary form must reproduce the above copyright
10  *    notice, this list of conditions and the following disclaimer in the
11  *    documentation and/or other materials provided with the distribution.
12  *
13  * THIS SOFTWARE IS PROVIDED BY APPLE INC. AND ITS CONTRIBUTORS ``AS IS''
14  * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
15  * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
16  * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL APPLE INC. OR ITS CONTRIBUTORS
17  * BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
18  * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
19  * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
20  * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
21  * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
22  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF
23  * THE POSSIBILITY OF SUCH DAMAGE.
24  */
25
26 #include "config.h"
27 #include "CryptoKeyRSA.h"
28
29 #if ENABLE(SUBTLE_CRYPTO)
30
31 #include "CommonCryptoDERUtilities.h"
32 #include "CommonCryptoUtilities.h"
33 #include "CryptoAlgorithmRegistry.h"
34 #include "CryptoKeyDataRSAComponents.h"
35 #include "CryptoKeyPair.h"
36 #include "ScriptExecutionContext.h"
37 #include <wtf/MainThread.h>
38
39 namespace WebCore {
40
41 // OID rsaEncryption: 1.2.840.113549.1.1.1. Per https://tools.ietf.org/html/rfc3279#section-2.3.1
42 static const unsigned char RSAOIDHeader[] = {0x30, 0x0d, 0x06, 0x09, 0x2a, 0x86, 0x48, 0x86, 0xf7, 0x0d, 0x01, 0x01, 0x01, 0x05, 0x00};
43
44 // FIXME: We should get rid of magic number 16384. It assumes that the length of provided key will not exceed 16KB.
45 // https://bugs.webkit.org/show_bug.cgi?id=164942
46 static CCCryptorStatus getPublicKeyComponents(CCRSACryptorRef rsaKey, Vector<uint8_t>& modulus, Vector<uint8_t>& publicExponent)
47 {
48     ASSERT(CCRSAGetKeyType(rsaKey) == ccRSAKeyPublic || CCRSAGetKeyType(rsaKey) == ccRSAKeyPrivate);
49     bool keyIsPublic = CCRSAGetKeyType(rsaKey) == ccRSAKeyPublic;
50     CCRSACryptorRef publicKey = keyIsPublic ? rsaKey : CCRSACryptorGetPublicKeyFromPrivateKey(rsaKey);
51
52     modulus.resize(16384);
53     size_t modulusLength = modulus.size();
54     publicExponent.resize(16384);
55     size_t exponentLength = publicExponent.size();
56     CCCryptorStatus status = CCRSAGetKeyComponents(publicKey, modulus.data(), &modulusLength, publicExponent.data(), &exponentLength, 0, 0, 0, 0);
57     if (!keyIsPublic) {
58         // CCRSACryptorGetPublicKeyFromPrivateKey has "Get" in the name, but its result needs to be released (see <rdar://problem/15449697>).
59         CCRSACryptorRelease(publicKey);
60     }
61     if (status)
62         return status;
63
64     modulus.shrink(modulusLength);
65     publicExponent.shrink(exponentLength);
66     return status;
67 }
68
69 static CCCryptorStatus getPrivateKeyComponents(CCRSACryptorRef rsaKey, Vector<uint8_t>& privateExponent, CryptoKeyDataRSAComponents::PrimeInfo& firstPrimeInfo, CryptoKeyDataRSAComponents::PrimeInfo& secondPrimeInfo)
70 {
71     ASSERT(CCRSAGetKeyType(rsaKey) == ccRSAKeyPrivate);
72
73     Vector<uint8_t> unusedModulus(16384);
74     size_t modulusLength = unusedModulus.size();
75     privateExponent.resize(16384);
76     size_t exponentLength = privateExponent.size();
77     firstPrimeInfo.primeFactor.resize(16384);
78     size_t pLength = firstPrimeInfo.primeFactor.size();
79     secondPrimeInfo.primeFactor.resize(16384);
80     size_t qLength = secondPrimeInfo.primeFactor.size();
81
82     CCCryptorStatus status = CCRSAGetKeyComponents(rsaKey, unusedModulus.data(), &modulusLength, privateExponent.data(), &exponentLength, firstPrimeInfo.primeFactor.data(), &pLength, secondPrimeInfo.primeFactor.data(), &qLength);
83     if (status)
84         return status;
85
86     privateExponent.shrink(exponentLength);
87     firstPrimeInfo.primeFactor.shrink(pLength);
88     secondPrimeInfo.primeFactor.shrink(qLength);
89
90     CCBigNum d(privateExponent.data(), privateExponent.size());
91     CCBigNum p(firstPrimeInfo.primeFactor.data(), firstPrimeInfo.primeFactor.size());
92     CCBigNum q(secondPrimeInfo.primeFactor.data(), secondPrimeInfo.primeFactor.size());
93
94     CCBigNum dp = d % (p - 1);
95     CCBigNum dq = d % (q - 1);
96     CCBigNum qi = q.inverse(p);
97
98     firstPrimeInfo.factorCRTExponent = dp.data();
99     secondPrimeInfo.factorCRTExponent = dq.data();
100     secondPrimeInfo.factorCRTCoefficient = qi.data();
101
102     return status;
103 }
104
105 CryptoKeyRSA::CryptoKeyRSA(CryptoAlgorithmIdentifier identifier, CryptoAlgorithmIdentifier hash, bool hasHash, CryptoKeyType type, PlatformRSAKey platformKey, bool extractable, CryptoKeyUsageBitmap usage)
106     : CryptoKey(identifier, type, extractable, usage)
107     , m_platformKey(platformKey)
108     , m_restrictedToSpecificHash(hasHash)
109     , m_hash(hash)
110 {
111 }
112
113 RefPtr<CryptoKeyRSA> CryptoKeyRSA::create(CryptoAlgorithmIdentifier identifier, CryptoAlgorithmIdentifier hash, bool hasHash, const CryptoKeyDataRSAComponents& keyData, bool extractable, CryptoKeyUsageBitmap usage)
114 {
115     if (keyData.type() == CryptoKeyDataRSAComponents::Type::Private && !keyData.hasAdditionalPrivateKeyParameters()) {
116         // <rdar://problem/15452324> tracks adding support.
117         WTFLogAlways("Private keys without additional data are not supported");
118         return nullptr;
119     }
120     if (keyData.otherPrimeInfos().size()) {
121         // <rdar://problem/15444074> tracks adding support.
122         WTFLogAlways("Keys with more than two primes are not supported");
123         return nullptr;
124     }
125     // When an empty vector p is provided to CCRSACryptorCreateFromData to create a private key, it crashes.
126     // <rdar://problem/30550228> tracks the issue.
127     if (keyData.type() == CryptoKeyDataRSAComponents::Type::Private && keyData.firstPrimeInfo().primeFactor.isEmpty())
128         return nullptr;
129
130     CCRSACryptorRef cryptor;
131     // FIXME: It is so weired that we recaculate the private exponent from first prime factor and second prime factor,
132     // given the fact that we have already had it. Also, the re-caculated private exponent may not match the given one.
133     // See <rdar://problem/15452324>.
134     CCCryptorStatus status = CCRSACryptorCreateFromData(
135         keyData.type() == CryptoKeyDataRSAComponents::Type::Public ? ccRSAKeyPublic : ccRSAKeyPrivate,
136         (uint8_t*)keyData.modulus().data(), keyData.modulus().size(),
137         (uint8_t*)keyData.exponent().data(), keyData.exponent().size(),
138         (uint8_t*)keyData.firstPrimeInfo().primeFactor.data(), keyData.firstPrimeInfo().primeFactor.size(),
139         (uint8_t*)keyData.secondPrimeInfo().primeFactor.data(), keyData.secondPrimeInfo().primeFactor.size(),
140         &cryptor);
141
142     if (status) {
143         LOG_ERROR("Couldn't create RSA key from data, error %d", status);
144         return nullptr;
145     }
146
147     return adoptRef(new CryptoKeyRSA(identifier, hash, hasHash, keyData.type() == CryptoKeyDataRSAComponents::Type::Public ? CryptoKeyType::Public : CryptoKeyType::Private, cryptor, extractable, usage));
148 }
149
150 CryptoKeyRSA::~CryptoKeyRSA()
151 {
152     CCRSACryptorRelease(m_platformKey);
153 }
154
155 bool CryptoKeyRSA::isRestrictedToHash(CryptoAlgorithmIdentifier& identifier) const
156 {
157     if (!m_restrictedToSpecificHash)
158         return false;
159
160     identifier = m_hash;
161     return true;
162 }
163
164 size_t CryptoKeyRSA::keySizeInBits() const
165 {
166     Vector<uint8_t> modulus;
167     Vector<uint8_t> publicExponent;
168     CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
169     if (status) {
170         WTFLogAlways("Couldn't get RSA key components, status %d", status);
171         return 0;
172     }
173
174     return modulus.size() * 8;
175 }
176
177 std::unique_ptr<KeyAlgorithm> CryptoKeyRSA::buildAlgorithm() const
178 {
179     String name = CryptoAlgorithmRegistry::singleton().name(algorithmIdentifier());
180     Vector<uint8_t> modulus;
181     Vector<uint8_t> publicExponent;
182     CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
183     if (status) {
184         WTFLogAlways("Couldn't get RSA key components, status %d", status);
185         publicExponent.clear();
186         return std::make_unique<RsaKeyAlgorithm>(name, 0, WTFMove(publicExponent));
187     }
188
189     size_t modulusLength = modulus.size() * 8;
190     if (m_restrictedToSpecificHash)
191         return std::make_unique<RsaHashedKeyAlgorithm>(name, modulusLength, WTFMove(publicExponent), CryptoAlgorithmRegistry::singleton().name(m_hash));
192     return std::make_unique<RsaKeyAlgorithm>(name, modulusLength, WTFMove(publicExponent));
193 }
194
195 std::unique_ptr<CryptoKeyData> CryptoKeyRSA::exportData() const
196 {
197     switch (CCRSAGetKeyType(m_platformKey)) {
198     case ccRSAKeyPublic: {
199         Vector<uint8_t> modulus;
200         Vector<uint8_t> publicExponent;
201         CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
202         if (status) {
203             WTFLogAlways("Couldn't get RSA key components, status %d", status);
204             return nullptr;
205         }
206         return CryptoKeyDataRSAComponents::createPublic(modulus, publicExponent);
207     }
208     case ccRSAKeyPrivate: {
209         Vector<uint8_t> modulus;
210         Vector<uint8_t> publicExponent;
211         CCCryptorStatus status = getPublicKeyComponents(m_platformKey, modulus, publicExponent);
212         if (status) {
213             WTFLogAlways("Couldn't get RSA key components, status %d", status);
214             return nullptr;
215         }
216         Vector<uint8_t> privateExponent;
217         CryptoKeyDataRSAComponents::PrimeInfo firstPrimeInfo;
218         CryptoKeyDataRSAComponents::PrimeInfo secondPrimeInfo;
219         Vector<CryptoKeyDataRSAComponents::PrimeInfo> otherPrimeInfos; // Always empty, CommonCrypto only supports two primes (cf. <rdar://problem/15444074>).
220         status = getPrivateKeyComponents(m_platformKey, privateExponent, firstPrimeInfo, secondPrimeInfo);
221         if (status) {
222             WTFLogAlways("Couldn't get RSA key components, status %d", status);
223             return nullptr;
224         }
225         return CryptoKeyDataRSAComponents::createPrivateWithAdditionalData(modulus, publicExponent, privateExponent, firstPrimeInfo, secondPrimeInfo, otherPrimeInfos);
226     }
227     default:
228         return nullptr;
229     }
230 }
231
232 static bool bigIntegerToUInt32(const Vector<uint8_t>& bigInteger, uint32_t& result)
233 {
234     result = 0;
235     for (size_t i = 0; i + 4 < bigInteger.size(); ++i) {
236         if (bigInteger[i])
237             return false; // Too big to fit in 32 bits.
238     }
239
240     for (size_t i = bigInteger.size() > 4 ? bigInteger.size() - 4 : 0; i < bigInteger.size(); ++i) {
241         result <<= 8;
242         result += bigInteger[i];
243     }
244     return true;
245 }
246
247 // FIXME: We should use WorkQueue here instead of dispatch_async once WebKitSubtleCrypto is deprecated.
248 // https://bugs.webkit.org/show_bug.cgi?id=164943
249 void CryptoKeyRSA::generatePair(CryptoAlgorithmIdentifier algorithm, CryptoAlgorithmIdentifier hash, bool hasHash, unsigned modulusLength, const Vector<uint8_t>& publicExponent, bool extractable, CryptoKeyUsageBitmap usage, KeyPairCallback&& callback, VoidCallback&& failureCallback, ScriptExecutionContext* context)
250 {
251     uint32_t e;
252     if (!bigIntegerToUInt32(publicExponent, e)) {
253         // Adding support is tracked as <rdar://problem/15444034>.
254         WTFLogAlways("Public exponent is too big, not supported");
255         failureCallback();
256         return;
257     }
258
259     // We only use the callback functions when back on the main/worker thread, but captured variables are copied on a secondary thread too.
260     KeyPairCallback* localCallback = new KeyPairCallback(WTFMove(callback));
261     VoidCallback* localFailureCallback = new VoidCallback(WTFMove(failureCallback));
262     context->ref();
263
264     dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{
265         ASSERT(context);
266         CCRSACryptorRef ccPublicKey;
267         CCRSACryptorRef ccPrivateKey;
268         CCCryptorStatus status = CCRSACryptorGeneratePair(modulusLength, e, &ccPublicKey, &ccPrivateKey);
269         if (status) {
270             WTFLogAlways("Could not generate a key pair, status %d", status);
271             context->postTask([localCallback, localFailureCallback](ScriptExecutionContext& context) {
272                 (*localFailureCallback)();
273                 delete localCallback;
274                 delete localFailureCallback;
275                 context.deref();
276             });
277             return;
278         }
279         context->postTask([algorithm, hash, hasHash, extractable, usage, localCallback, localFailureCallback, ccPublicKey, ccPrivateKey](ScriptExecutionContext& context) {
280             auto publicKey = CryptoKeyRSA::create(algorithm, hash, hasHash, CryptoKeyType::Public, ccPublicKey, true, usage);
281             auto privateKey = CryptoKeyRSA::create(algorithm, hash, hasHash, CryptoKeyType::Private, ccPrivateKey, extractable, usage);
282
283             (*localCallback)(CryptoKeyPair { WTFMove(publicKey), WTFMove(privateKey) });
284
285             delete localCallback;
286             delete localFailureCallback;
287             context.deref();
288         });
289     });
290 }
291
292 RefPtr<CryptoKeyRSA> CryptoKeyRSA::importSpki(CryptoAlgorithmIdentifier identifier, std::optional<CryptoAlgorithmIdentifier> hash, Vector<uint8_t>&& keyData, bool extractable, CryptoKeyUsageBitmap usages)
293 {
294     // The current SecLibrary cannot import a SPKI format binary. Hence, we need to strip out the SPKI header.
295     // This hack can be removed when <rdar://problem/29523286> is resolved.
296     // The header format we assume is: SequenceMark(1) + Length(?) + rsaEncryption(15) + BitStringMark(1) + Length(?) + InitialOctet(1).
297     // The header format could be varied. However since we don't have a full-fledged ASN.1 encoder/decoder, we want to restrict it to
298     // the most common one for now.
299     // Per https://tools.ietf.org/html/rfc5280#section-4.1. subjectPublicKeyInfo.
300     size_t headerSize = 1;
301     if (keyData.size() < headerSize + 1)
302         return nullptr;
303     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(RSAOIDHeader) + sizeof(BitStringMark);
304     if (keyData.size() < headerSize + 1)
305         return nullptr;
306     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(InitialOctet);
307
308     CCRSACryptorRef ccPublicKey;
309     if (CCRSACryptorImport(keyData.data() + headerSize, keyData.size() - headerSize, &ccPublicKey))
310         return nullptr;
311
312     // Notice: CryptoAlgorithmIdentifier::SHA_1 is just a placeholder. It should not have any effect if hash is std::nullopt.
313     return adoptRef(new CryptoKeyRSA(identifier, hash.value_or(CryptoAlgorithmIdentifier::SHA_1), !!hash, CryptoKeyType::Public, ccPublicKey, extractable, usages));
314 }
315
316 ExceptionOr<Vector<uint8_t>> CryptoKeyRSA::exportSpki() const
317 {
318     if (type() != CryptoKeyType::Public)
319         return Exception { InvalidAccessError };
320
321     // The current SecLibrary cannot output a valid SPKI format binary. Hence, we need the following hack.
322     // This hack can be removed when <rdar://problem/29523286> is resolved.
323     // Estimated size in produced bytes format. Per https://tools.ietf.org/html/rfc3279#section-2.3.1. RSAPublicKey.
324     // O(size) = Sequence(1) + Length(3) + Integer(1) + Length(3) + Modulus + Integer(1) + Length(3) + Exponent
325     Vector<uint8_t> keyBytes(keySizeInBits() / 4);
326     size_t keySize = keyBytes.size();
327     if (CCRSACryptorExport(platformKey(), keyBytes.data(), &keySize))
328         return Exception { OperationError };
329     keyBytes.shrink(keySize);
330
331     // RSAOIDHeader + BitStringMark + Length + keySize + InitialOctet
332     size_t totalSize = sizeof(RSAOIDHeader) + bytesNeededForEncodedLength(keySize + 1) + keySize + 2;
333
334     // Per https://tools.ietf.org/html/rfc5280#section-4.1. subjectPublicKeyInfo.
335     Vector<uint8_t> result;
336     result.reserveCapacity(totalSize + bytesNeededForEncodedLength(totalSize) + 1);
337     result.append(SequenceMark);
338     addEncodedASN1Length(result, totalSize);
339     result.append(RSAOIDHeader, sizeof(RSAOIDHeader));
340     result.append(BitStringMark);
341     addEncodedASN1Length(result, keySize + 1);
342     result.append(InitialOctet);
343     result.append(keyBytes.data(), keyBytes.size());
344
345     return WTFMove(result);
346 }
347
348 RefPtr<CryptoKeyRSA> CryptoKeyRSA::importPkcs8(CryptoAlgorithmIdentifier identifier, std::optional<CryptoAlgorithmIdentifier> hash, Vector<uint8_t>&& keyData, bool extractable, CryptoKeyUsageBitmap usages)
349 {
350     // The current SecLibrary cannot import a PKCS8 format binary. Hence, we need to strip out the PKCS8 header.
351     // This hack can be removed when <rdar://problem/29523286> is resolved.
352     // The header format we assume is: SequenceMark(1) + Length(?) + Version(3) + rsaEncryption(15) + OctetStringMark(1) + Length(?).
353     // The header format could be varied. However since we don't have a full-fledged ASN.1 encoder/decoder, we want to restrict it to
354     // the most common one for now.
355     // Per https://tools.ietf.org/html/rfc5208#section-5. PrivateKeyInfo.
356     // We also assume there is no optional parameters.
357     size_t headerSize = 1;
358     if (keyData.size() < headerSize + 1)
359         return nullptr;
360     headerSize += bytesUsedToEncodedLength(keyData[headerSize]) + sizeof(Version) + sizeof(RSAOIDHeader) + sizeof(OctetStringMark);
361     if (keyData.size() < headerSize + 1)
362         return nullptr;
363     headerSize += bytesUsedToEncodedLength(keyData[headerSize]);
364
365     CCRSACryptorRef ccPrivateKey;
366     if (CCRSACryptorImport(keyData.data() + headerSize, keyData.size() - headerSize, &ccPrivateKey))
367         return nullptr;
368
369     // Notice: CryptoAlgorithmIdentifier::SHA_1 is just a placeholder. It should not have any effect if hash is std::nullopt.
370     return adoptRef(new CryptoKeyRSA(identifier, hash.value_or(CryptoAlgorithmIdentifier::SHA_1), !!hash, CryptoKeyType::Private, ccPrivateKey, extractable, usages));
371 }
372
373 ExceptionOr<Vector<uint8_t>> CryptoKeyRSA::exportPkcs8() const
374 {
375     if (type() != CryptoKeyType::Private)
376         return Exception { InvalidAccessError };
377
378     // The current SecLibrary cannot output a valid PKCS8 format binary. Hence, we need the following hack.
379     // This hack can be removed when <rdar://problem/29523286> is resolved.
380     // Estimated size in produced bytes format. Per https://tools.ietf.org/html/rfc3447#appendix-A.1.2. RSAPrivateKey.
381     // O(size) = Sequence(1) + Length(3) + Integer(1) + Length(3) + Modulus + Integer(1) + Length(3) + publicExponent + Integer(1) + Length(3) +
382     // privateExponent + Integer(1) + Length(3) + prime1 + Integer(1) + Length(3) + prime2 + Integer(1) + Length(3) + exponent1 + Integer(1) +
383     // Length(3) + exponent2 + Integer(1) + Length(3) + coefficient.
384     Vector<uint8_t> keyBytes(keySizeInBits());
385     size_t keySize = keyBytes.size();
386     if (CCRSACryptorExport(platformKey(), keyBytes.data(), &keySize))
387         return Exception { OperationError };
388     keyBytes.shrink(keySize);
389
390     // Version + RSAOIDHeader + OctetStringMark + Length + keySize
391     size_t totalSize = sizeof(Version) + sizeof(RSAOIDHeader) + bytesNeededForEncodedLength(keySize) + keySize + 1;
392
393     // Per https://tools.ietf.org/html/rfc5208#section-5. PrivateKeyInfo.
394     Vector<uint8_t> result;
395     result.reserveCapacity(totalSize + bytesNeededForEncodedLength(totalSize) + 1);
396     result.append(SequenceMark);
397     addEncodedASN1Length(result, totalSize);
398     result.append(Version, sizeof(Version));
399     result.append(RSAOIDHeader, sizeof(RSAOIDHeader));
400     result.append(OctetStringMark);
401     addEncodedASN1Length(result, keySize);
402     result.append(keyBytes.data(), keyBytes.size());
403
404     return WTFMove(result);
405 }
406
407 } // namespace WebCore
408
409 #endif // ENABLE(SUBTLE_CRYPTO)