scard-opensc.c

   1 /*
   2  * Copyright (c) 2002 Juha Yrjölä.  All rights reserved.
   3  * Copyright (c) 2001 Markus Friedl.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  * 1. Redistributions of source code must retain the above copyright
   9  *    notice, this list of conditions and the following disclaimer.
  10  * 2. Redistributions in binary form must reproduce the above copyright
  11  *    notice, this list of conditions and the following disclaimer in the
  12  *    documentation and/or other materials provided with the distribution.
  13  *
  14  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
  15  * IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
  16  * OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
  17  * IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
  18  * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
  19  * NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
  20  * DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
  21  * THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
  22  * (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
  23  * THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  24  */
  25
  26 #include "includes.h"
  27 #if defined(SMARTCARD) && defined(USE_OPENSC)
  28
  29 #include <openssl/evp.h>
  30 #include <openssl/x509.h>
  31
  32 #include <opensc/opensc.h>
  33 #include <opensc/pkcs15.h>
  34
  35 #include "key.h"
  36 #include "log.h"
  37 #include "xmalloc.h"
  38 #include "readpass.h"
  39 #include "scard.h"
  40
  41 #if OPENSSL_VERSION_NUMBER < 0x00907000L && defined(CRYPTO_LOCK_ENGINE)
  42 #define USE_ENGINE
  43 #define RSA_get_default_method RSA_get_default_openssl_method
  44 #else
  45 #endif
  46
  47 #ifdef USE_ENGINE
  48 #include <openssl/engine.h>
  49 #define sc_get_rsa sc_get_engine
  50 #else
  51 #define sc_get_rsa sc_get_rsa_method
  52 #endif
  53
  54 static int sc_reader_id;
  55 static sc_context_t *ctx = NULL;
  56 static sc_card_t *card = NULL;
  57 static sc_pkcs15_card_t *p15card = NULL;
  58
  59 static char *sc_pin = NULL;
  60
  61 struct sc_priv_data
  62 {
  63         struct sc_pkcs15_id cert_id;
  64         int ref_count;
  65 };
  66
  67 void
  68 sc_close(void)
  69 {
  70         if (p15card) {
  71                 sc_pkcs15_unbind(p15card);
  72                 p15card = NULL;
  73         }
  74         if (card) {
  75                 sc_disconnect_card(card, 0);
  76                 card = NULL;
  77         }
  78         if (ctx) {
  79                 sc_release_context(ctx);
  80                 ctx = NULL;
  81         }
  82 }
  83
  84 static int
  85 sc_init(void)
  86 {
  87         int r;
  88
  89         r = sc_establish_context(&ctx, "openssh");
  90         if (r)
  91                 goto err;
  92         r = sc_connect_card(ctx->reader[sc_reader_id], 0, &card);
  93         if (r)
  94                 goto err;
  95         r = sc_pkcs15_bind(card, &p15card);
  96         if (r)
  97                 goto err;
  98         return 0;
  99 err:
 100         sc_close();
 101         return r;
 102 }
 103
 104 /* private key operations */
 105
 106 static int
 107 sc_prkey_op_init(RSA *rsa, struct sc_pkcs15_object **key_obj_out)
 108 {
 109         int r;
 110         struct sc_priv_data *priv;
 111         struct sc_pkcs15_object *key_obj;
 112         struct sc_pkcs15_prkey_info *key;
 113         struct sc_pkcs15_object *pin_obj;
 114         struct sc_pkcs15_pin_info *pin;
 115
 116         priv = (struct sc_priv_data *) RSA_get_app_data(rsa);
 117         if (priv == NULL)
 118                 return -1;
 119         if (p15card == NULL) {
 120                 sc_close();
 121                 r = sc_init();
 122                 if (r) {
 123                         error("SmartCard init failed: %s", sc_strerror(r));
 124                         goto err;
 125                 }
 126         }
 127         r = sc_pkcs15_find_prkey_by_id(p15card, &priv->cert_id, &key_obj);
 128         if (r) {
 129                 error("Unable to find private key from SmartCard: %s",
 130                       sc_strerror(r));
 131                 goto err;
 132         }
 133         key = key_obj->data;
 134         r = sc_pkcs15_find_pin_by_auth_id(p15card, &key_obj->auth_id,
 135                                           &pin_obj);
 136         if (r == SC_ERROR_OBJECT_NOT_FOUND) {
 137                 /* no pin required */
 138                 sc_lock(card);
 139                 *key_obj_out = key_obj;
 140                 return 0;
 141         } else if (r) {
 142                 error("Unable to find PIN object from SmartCard: %s",
 143                       sc_strerror(r));
 144                 goto err;
 145         }
 146         pin = pin_obj->data;
 147         r = sc_lock(card);
 148         if (r) {
 149                 error("Unable to lock smartcard: %s", sc_strerror(r));
 150                 goto err;
 151         }
 152         if (sc_pin != NULL) {
 153                 r = sc_pkcs15_verify_pin(p15card, pin, sc_pin,
 154                                          strlen(sc_pin));
 155                 if (r) {
 156                         sc_unlock(card);
 157                         error("PIN code verification failed: %s",
 158                               sc_strerror(r));
 159                         goto err;
 160                 }
 161         }
 162         *key_obj_out = key_obj;
 163         return 0;
 164 err:
 165         sc_close();
 166         return -1;
 167 }
 168
 169 static int
 170 sc_private_decrypt(int flen, u_char *from, u_char *to, RSA *rsa,
 171     int padding)
 172 {
 173         struct sc_pkcs15_object *key_obj;
 174         int r;
 175
 176         if (padding != RSA_PKCS1_PADDING)
 177                 return -1;
 178         r = sc_prkey_op_init(rsa, &key_obj);
 179         if (r)
 180                 return -1;
 181         r = sc_pkcs15_decipher(p15card, key_obj, SC_ALGORITHM_RSA_PAD_PKCS1,
 182             from, flen, to, flen);
 183         sc_unlock(card);
 184         if (r < 0) {
 185                 error("sc_pkcs15_decipher() failed: %s", sc_strerror(r));
 186                 goto err;
 187         }
 188         return r;
 189 err:
 190         sc_close();
 191         return -1;
 192 }
 193
 194 static int
 195 sc_sign(int type, u_char *m, unsigned int m_len,
 196         unsigned char *sigret, unsigned int *siglen, RSA *rsa)
 197 {
 198         struct sc_pkcs15_object *key_obj;
 199         int r;
 200         unsigned long flags = 0;
 201
 202         r = sc_prkey_op_init(rsa, &key_obj);
 203         if (r)
 204                 return -1;
 205         /* FIXME: length of sigret correct? */
 206         /* FIXME: check 'type' and modify flags accordingly */
 207         flags = SC_ALGORITHM_RSA_PAD_PKCS1 | SC_ALGORITHM_RSA_HASH_SHA1;
 208         r = sc_pkcs15_compute_signature(p15card, key_obj, flags,
 209                                         m, m_len, sigret, RSA_size(rsa));
 210         sc_unlock(card);
 211         if (r < 0) {
 212                 error("sc_pkcs15_compute_signature() failed: %s",
 213                       sc_strerror(r));
 214                 goto err;
 215         }
 216         *siglen = r;
 217         return 1;
 218 err:
 219         sc_close();
 220         return 0;
 221 }
 222
 223 static int
 224 sc_private_encrypt(int flen, u_char *from, u_char *to, RSA *rsa,
 225     int padding)
 226 {
 227         error("Private key encryption not supported");
 228         return -1;
 229 }
 230
 231 /* called on free */
 232
 233 static int (*orig_finish)(RSA *rsa) = NULL;
 234
 235 static int
 236 sc_finish(RSA *rsa)
 237 {
 238         struct sc_priv_data *priv;
 239
 240         priv = RSA_get_app_data(rsa);
 241         priv->ref_count--;
 242         if (priv->ref_count == 0) {
 243                 free(priv);
 244                 sc_close();
 245         }
 246         if (orig_finish)
 247                 orig_finish(rsa);
 248         return 1;
 249 }
 250
 251 /* engine for overloading private key operations */
 252
 253 static RSA_METHOD *
 254 sc_get_rsa_method(void)
 255 {
 256         static RSA_METHOD smart_rsa;
 257         const RSA_METHOD *def = RSA_get_default_method();
 258
 259         /* use the OpenSSL version */
 260         memcpy(&smart_rsa, def, sizeof(smart_rsa));
 261
 262         smart_rsa.name          = "opensc";
 263
 264         /* overload */
 265         smart_rsa.rsa_priv_enc  = sc_private_encrypt;
 266         smart_rsa.rsa_priv_dec  = sc_private_decrypt;
 267         smart_rsa.rsa_sign      = sc_sign;
 268
 269         /* save original */
 270         orig_finish             = def->finish;
 271         smart_rsa.finish        = sc_finish;
 272
 273         return &smart_rsa;
 274 }
 275
 276 #ifdef USE_ENGINE
 277 static ENGINE *
 278 sc_get_engine(void)
 279 {
 280         static ENGINE *smart_engine = NULL;
 281
 282         if ((smart_engine = ENGINE_new()) == NULL)
 283                 fatal("ENGINE_new failed");
 284
 285         ENGINE_set_id(smart_engine, "opensc");
 286         ENGINE_set_name(smart_engine, "OpenSC");
 287
 288         ENGINE_set_RSA(smart_engine, sc_get_rsa_method());
 289         ENGINE_set_DSA(smart_engine, DSA_get_default_openssl_method());
 290         ENGINE_set_DH(smart_engine, DH_get_default_openssl_method());
 291         ENGINE_set_RAND(smart_engine, RAND_SSLeay());
 292         ENGINE_set_BN_mod_exp(smart_engine, BN_mod_exp);
 293
 294         return smart_engine;
 295 }
 296 #endif
 297
 298 static void
 299 convert_rsa_to_rsa1(Key * in, Key * out)
 300 {
 301         struct sc_priv_data *priv;
 302
 303         out->rsa->flags = in->rsa->flags;
 304         out->flags = in->flags;
 305         RSA_set_method(out->rsa, RSA_get_method(in->rsa));
 306         BN_copy(out->rsa->n, in->rsa->n);
 307         BN_copy(out->rsa->e, in->rsa->e);
 308         priv = RSA_get_app_data(in->rsa);
 309         priv->ref_count++;
 310         RSA_set_app_data(out->rsa, priv);
 311         return;
 312 }
 313
 314 static int
 315 sc_read_pubkey(Key * k, const struct sc_pkcs15_object *cert_obj)
 316 {
 317         int r;
 318         sc_pkcs15_cert_t *cert = NULL;
 319         struct sc_priv_data *priv = NULL;
 320         sc_pkcs15_cert_info_t *cinfo = cert_obj->data;
 321
 322         X509 *x509 = NULL;
 323         EVP_PKEY *pubkey = NULL;
 324         u8 *p;
 325         char *tmp;
 326
 327         debug("sc_read_pubkey() with cert id %02X", cinfo->id.value[0]);
 328         r = sc_pkcs15_read_certificate(p15card, cinfo, &cert);
 329         if (r) {
 330                 logit("Certificate read failed: %s", sc_strerror(r));
 331                 goto err;
 332         }
 333         x509 = X509_new();
 334         if (x509 == NULL) {
 335                 r = -1;
 336                 goto err;
 337         }
 338         p = cert->data;
 339         if (!d2i_X509(&x509, &p, cert->data_len)) {
 340                 logit("Unable to parse X.509 certificate");
 341                 r = -1;
 342                 goto err;
 343         }
 344         sc_pkcs15_free_certificate(cert);
 345         cert = NULL;
 346         pubkey = X509_get_pubkey(x509);
 347         X509_free(x509);
 348         x509 = NULL;
 349         if (pubkey->type != EVP_PKEY_RSA) {
 350                 logit("Public key is of unknown type");
 351                 r = -1;
 352                 goto err;
 353         }
 354         k->rsa = EVP_PKEY_get1_RSA(pubkey);
 355         EVP_PKEY_free(pubkey);
 356
 357         k->rsa->flags |= RSA_FLAG_SIGN_VER;
 358         RSA_set_method(k->rsa, sc_get_rsa_method());
 359         priv = xmalloc(sizeof(struct sc_priv_data));
 360         priv->cert_id = cinfo->id;
 361         priv->ref_count = 1;
 362         RSA_set_app_data(k->rsa, priv);
 363
 364         k->flags = KEY_FLAG_EXT;
 365         tmp = key_fingerprint(k, SSH_FP_MD5, SSH_FP_HEX);
 366         debug("fingerprint %d %s", key_size(k), tmp);
 367         xfree(tmp);
 368
 369         return 0;
 370 err:
 371         if (cert)
 372                 sc_pkcs15_free_certificate(cert);
 373         if (pubkey)
 374                 EVP_PKEY_free(pubkey);
 375         if (x509)
 376                 X509_free(x509);
 377         return r;
 378 }
 379
 380 Key **
 381 sc_get_keys(const char *id, const char *pin)
 382 {
 383         Key *k, **keys;
 384         int i, r, real_count = 0, key_count;
 385         sc_pkcs15_id_t cert_id;
 386         sc_pkcs15_object_t *certs[32];
 387         char *buf = xstrdup(id), *p;
 388
 389         debug("sc_get_keys called: id = %s", id);
 390
 391         if (sc_pin != NULL)
 392                 xfree(sc_pin);
 393         sc_pin = (pin == NULL) ? NULL : xstrdup(pin);
 394
 395         cert_id.len = 0;
 396         if ((p = strchr(buf, ':')) != NULL) {
 397                 *p = 0;
 398                 p++;
 399                 sc_pkcs15_hex_string_to_id(p, &cert_id);
 400         }
 401         r = sscanf(buf, "%d", &sc_reader_id);
 402         xfree(buf);
 403         if (r != 1)
 404                 goto err;
 405         if (p15card == NULL) {
 406                 sc_close();
 407                 r = sc_init();
 408                 if (r) {
 409                         error("Smartcard init failed: %s", sc_strerror(r));
 410                         goto err;
 411                 }
 412         }
 413         if (cert_id.len) {
 414                 r = sc_pkcs15_find_cert_by_id(p15card, &cert_id, &certs[0]);
 415                 if (r < 0)
 416                         goto err;
 417                 key_count = 1;
 418         } else {
 419                 r = sc_pkcs15_get_objects(p15card, SC_PKCS15_TYPE_CERT_X509,
 420                                           certs, 32);
 421                 if (r == 0) {
 422                         logit("No certificates found on smartcard");
 423                         r = -1;
 424                         goto err;
 425                 } else if (r < 0) {
 426                         error("Certificate enumeration failed: %s",
 427                               sc_strerror(r));
 428                         goto err;
 429                 }
 430                 key_count = r;
 431         }
 432         /* FIXME: only keep entries with a corresponding private key */
 433         keys = xmalloc(sizeof(Key *) * (key_count*2+1));
 434         for (i = 0; i < key_count; i++) {
 435                 k = key_new(KEY_RSA);
 436                 if (k == NULL)
 437                         break;
 438                 r = sc_read_pubkey(k, certs[i]);
 439                 if (r) {
 440                         error("sc_read_pubkey failed: %s", sc_strerror(r));
 441                         key_free(k);
 442                         continue;
 443                 }
 444                 keys[real_count] = k;
 445                 real_count++;
 446                 k = key_new(KEY_RSA1);
 447                 if (k == NULL)
 448                         break;
 449                 convert_rsa_to_rsa1(keys[real_count-1], k);
 450                 keys[real_count] = k;
 451                 real_count++;
 452         }
 453         keys[real_count] = NULL;
 454
 455         return keys;
 456 err:
 457         sc_close();
 458         return NULL;
 459 }
 460
 461 int
 462 sc_put_key(Key *prv, const char *id)
 463 {
 464         error("key uploading not yet supported");
 465         return -1;
 466 }
 467
 468 #endif /* SMARTCARD */