LCOV - code coverage report
Current view: top level - src/crypto - milenage.c (source / functions) Hit Total Coverage
Test: wpa_supplicant/hostapd combined for hwsim test run 1388613141 Lines: 106 127 83.5 %
Date: 2014-01-02 Functions: 6 6 100.0 %
Branches: 73 92 79.3 %

           Branch data     Line data    Source code
       1                 :            : /*
       2                 :            :  * 3GPP AKA - Milenage algorithm (3GPP TS 35.205, .206, .207, .208)
       3                 :            :  * Copyright (c) 2006-2007 <j@w1.fi>
       4                 :            :  *
       5                 :            :  * This software may be distributed under the terms of the BSD license.
       6                 :            :  * See README for more details.
       7                 :            :  *
       8                 :            :  * This file implements an example authentication algorithm defined for 3GPP
       9                 :            :  * AKA. This can be used to implement a simple HLR/AuC into hlr_auc_gw to allow
      10                 :            :  * EAP-AKA to be tested properly with real USIM cards.
      11                 :            :  *
      12                 :            :  * This implementations assumes that the r1..r5 and c1..c5 constants defined in
      13                 :            :  * TS 35.206 are used, i.e., r1=64, r2=0, r3=32, r4=64, r5=96, c1=00..00,
      14                 :            :  * c2=00..01, c3=00..02, c4=00..04, c5=00..08. The block cipher is assumed to
      15                 :            :  * be AES (Rijndael).
      16                 :            :  */
      17                 :            : 
      18                 :            : #include "includes.h"
      19                 :            : 
      20                 :            : #include "common.h"
      21                 :            : #include "crypto/aes_wrap.h"
      22                 :            : #include "milenage.h"
      23                 :            : 
      24                 :            : 
      25                 :            : /**
      26                 :            :  * milenage_f1 - Milenage f1 and f1* algorithms
      27                 :            :  * @opc: OPc = 128-bit value derived from OP and K
      28                 :            :  * @k: K = 128-bit subscriber key
      29                 :            :  * @_rand: RAND = 128-bit random challenge
      30                 :            :  * @sqn: SQN = 48-bit sequence number
      31                 :            :  * @amf: AMF = 16-bit authentication management field
      32                 :            :  * @mac_a: Buffer for MAC-A = 64-bit network authentication code, or %NULL
      33                 :            :  * @mac_s: Buffer for MAC-S = 64-bit resync authentication code, or %NULL
      34                 :            :  * Returns: 0 on success, -1 on failure
      35                 :            :  */
      36                 :         11 : int milenage_f1(const u8 *opc, const u8 *k, const u8 *_rand,
      37                 :            :                 const u8 *sqn, const u8 *amf, u8 *mac_a, u8 *mac_s)
      38                 :            : {
      39                 :            :         u8 tmp1[16], tmp2[16], tmp3[16];
      40                 :            :         int i;
      41                 :            : 
      42                 :            :         /* tmp1 = TEMP = E_K(RAND XOR OP_C) */
      43         [ +  + ]:        187 :         for (i = 0; i < 16; i++)
      44                 :        176 :                 tmp1[i] = _rand[i] ^ opc[i];
      45         [ -  + ]:         11 :         if (aes_128_encrypt_block(k, tmp1, tmp1))
      46                 :          0 :                 return -1;
      47                 :            : 
      48                 :            :         /* tmp2 = IN1 = SQN || AMF || SQN || AMF */
      49                 :         11 :         os_memcpy(tmp2, sqn, 6);
      50                 :         11 :         os_memcpy(tmp2 + 6, amf, 2);
      51                 :         11 :         os_memcpy(tmp2 + 8, tmp2, 8);
      52                 :            : 
      53                 :            :         /* OUT1 = E_K(TEMP XOR rot(IN1 XOR OP_C, r1) XOR c1) XOR OP_C */
      54                 :            : 
      55                 :            :         /* rotate (tmp2 XOR OP_C) by r1 (= 0x40 = 8 bytes) */
      56         [ +  + ]:        187 :         for (i = 0; i < 16; i++)
      57                 :        176 :                 tmp3[(i + 8) % 16] = tmp2[i] ^ opc[i];
      58                 :            :         /* XOR with TEMP = E_K(RAND XOR OP_C) */
      59         [ +  + ]:        187 :         for (i = 0; i < 16; i++)
      60                 :        176 :                 tmp3[i] ^= tmp1[i];
      61                 :            :         /* XOR with c1 (= ..00, i.e., NOP) */
      62                 :            : 
      63                 :            :         /* f1 || f1* = E_K(tmp3) XOR OP_c */
      64         [ -  + ]:         11 :         if (aes_128_encrypt_block(k, tmp3, tmp1))
      65                 :          0 :                 return -1;
      66         [ +  + ]:        187 :         for (i = 0; i < 16; i++)
      67                 :        176 :                 tmp1[i] ^= opc[i];
      68         [ +  + ]:         11 :         if (mac_a)
      69                 :          9 :                 os_memcpy(mac_a, tmp1, 8); /* f1 */
      70         [ +  + ]:         11 :         if (mac_s)
      71                 :          2 :                 os_memcpy(mac_s, tmp1 + 8, 8); /* f1* */
      72                 :         11 :         return 0;
      73                 :            : }
      74                 :            : 
      75                 :            : 
      76                 :            : /**
      77                 :            :  * milenage_f2345 - Milenage f2, f3, f4, f5, f5* algorithms
      78                 :            :  * @opc: OPc = 128-bit value derived from OP and K
      79                 :            :  * @k: K = 128-bit subscriber key
      80                 :            :  * @_rand: RAND = 128-bit random challenge
      81                 :            :  * @res: Buffer for RES = 64-bit signed response (f2), or %NULL
      82                 :            :  * @ck: Buffer for CK = 128-bit confidentiality key (f3), or %NULL
      83                 :            :  * @ik: Buffer for IK = 128-bit integrity key (f4), or %NULL
      84                 :            :  * @ak: Buffer for AK = 48-bit anonymity key (f5), or %NULL
      85                 :            :  * @akstar: Buffer for AK = 48-bit anonymity key (f5*), or %NULL
      86                 :            :  * Returns: 0 on success, -1 on failure
      87                 :            :  */
      88                 :         30 : int milenage_f2345(const u8 *opc, const u8 *k, const u8 *_rand,
      89                 :            :                    u8 *res, u8 *ck, u8 *ik, u8 *ak, u8 *akstar)
      90                 :            : {
      91                 :            :         u8 tmp1[16], tmp2[16], tmp3[16];
      92                 :            :         int i;
      93                 :            : 
      94                 :            :         /* tmp2 = TEMP = E_K(RAND XOR OP_C) */
      95         [ +  + ]:        510 :         for (i = 0; i < 16; i++)
      96                 :        480 :                 tmp1[i] = _rand[i] ^ opc[i];
      97         [ -  + ]:         30 :         if (aes_128_encrypt_block(k, tmp1, tmp2))
      98                 :          0 :                 return -1;
      99                 :            : 
     100                 :            :         /* OUT2 = E_K(rot(TEMP XOR OP_C, r2) XOR c2) XOR OP_C */
     101                 :            :         /* OUT3 = E_K(rot(TEMP XOR OP_C, r3) XOR c3) XOR OP_C */
     102                 :            :         /* OUT4 = E_K(rot(TEMP XOR OP_C, r4) XOR c4) XOR OP_C */
     103                 :            :         /* OUT5 = E_K(rot(TEMP XOR OP_C, r5) XOR c5) XOR OP_C */
     104                 :            : 
     105                 :            :         /* f2 and f5 */
     106                 :            :         /* rotate by r2 (= 0, i.e., NOP) */
     107         [ +  + ]:        510 :         for (i = 0; i < 16; i++)
     108                 :        480 :                 tmp1[i] = tmp2[i] ^ opc[i];
     109                 :         30 :         tmp1[15] ^= 1; /* XOR c2 (= ..01) */
     110                 :            :         /* f5 || f2 = E_K(tmp1) XOR OP_c */
     111         [ -  + ]:         30 :         if (aes_128_encrypt_block(k, tmp1, tmp3))
     112                 :          0 :                 return -1;
     113         [ +  + ]:        510 :         for (i = 0; i < 16; i++)
     114                 :        480 :                 tmp3[i] ^= opc[i];
     115         [ +  + ]:         30 :         if (res)
     116                 :         28 :                 os_memcpy(res, tmp3 + 8, 8); /* f2 */
     117         [ +  + ]:         30 :         if (ak)
     118                 :         10 :                 os_memcpy(ak, tmp3, 6); /* f5 */
     119                 :            : 
     120                 :            :         /* f3 */
     121         [ +  + ]:         30 :         if (ck) {
     122                 :            :                 /* rotate by r3 = 0x20 = 4 bytes */
     123         [ +  + ]:        476 :                 for (i = 0; i < 16; i++)
     124                 :        448 :                         tmp1[(i + 12) % 16] = tmp2[i] ^ opc[i];
     125                 :         28 :                 tmp1[15] ^= 2; /* XOR c3 (= ..02) */
     126         [ -  + ]:         28 :                 if (aes_128_encrypt_block(k, tmp1, ck))
     127                 :          0 :                         return -1;
     128         [ +  + ]:        476 :                 for (i = 0; i < 16; i++)
     129                 :        448 :                         ck[i] ^= opc[i];
     130                 :            :         }
     131                 :            : 
     132                 :            :         /* f4 */
     133         [ +  + ]:         30 :         if (ik) {
     134                 :            :                 /* rotate by r4 = 0x40 = 8 bytes */
     135         [ +  + ]:        476 :                 for (i = 0; i < 16; i++)
     136                 :        448 :                         tmp1[(i + 8) % 16] = tmp2[i] ^ opc[i];
     137                 :         28 :                 tmp1[15] ^= 4; /* XOR c4 (= ..04) */
     138         [ -  + ]:         28 :                 if (aes_128_encrypt_block(k, tmp1, ik))
     139                 :          0 :                         return -1;
     140         [ +  + ]:        476 :                 for (i = 0; i < 16; i++)
     141                 :        448 :                         ik[i] ^= opc[i];
     142                 :            :         }
     143                 :            : 
     144                 :            :         /* f5* */
     145         [ +  + ]:         30 :         if (akstar) {
     146                 :            :                 /* rotate by r5 = 0x60 = 12 bytes */
     147         [ +  + ]:         34 :                 for (i = 0; i < 16; i++)
     148                 :         32 :                         tmp1[(i + 4) % 16] = tmp2[i] ^ opc[i];
     149                 :          2 :                 tmp1[15] ^= 8; /* XOR c5 (= ..08) */
     150         [ -  + ]:          2 :                 if (aes_128_encrypt_block(k, tmp1, tmp1))
     151                 :          0 :                         return -1;
     152         [ +  + ]:         14 :                 for (i = 0; i < 6; i++)
     153                 :         12 :                         akstar[i] = tmp1[i] ^ opc[i];
     154                 :            :         }
     155                 :            : 
     156                 :         30 :         return 0;
     157                 :            : }
     158                 :            : 
     159                 :            : 
     160                 :            : /**
     161                 :            :  * milenage_generate - Generate AKA AUTN,IK,CK,RES
     162                 :            :  * @opc: OPc = 128-bit operator variant algorithm configuration field (encr.)
     163                 :            :  * @amf: AMF = 16-bit authentication management field
     164                 :            :  * @k: K = 128-bit subscriber key
     165                 :            :  * @sqn: SQN = 48-bit sequence number
     166                 :            :  * @_rand: RAND = 128-bit random challenge
     167                 :            :  * @autn: Buffer for AUTN = 128-bit authentication token
     168                 :            :  * @ik: Buffer for IK = 128-bit integrity key (f4), or %NULL
     169                 :            :  * @ck: Buffer for CK = 128-bit confidentiality key (f3), or %NULL
     170                 :            :  * @res: Buffer for RES = 64-bit signed response (f2), or %NULL
     171                 :            :  * @res_len: Max length for res; set to used length or 0 on failure
     172                 :            :  */
     173                 :          5 : void milenage_generate(const u8 *opc, const u8 *amf, const u8 *k,
     174                 :            :                        const u8 *sqn, const u8 *_rand, u8 *autn, u8 *ik,
     175                 :            :                        u8 *ck, u8 *res, size_t *res_len)
     176                 :            : {
     177                 :            :         int i;
     178                 :            :         u8 mac_a[8], ak[6];
     179                 :            : 
     180         [ -  + ]:          5 :         if (*res_len < 8) {
     181                 :          0 :                 *res_len = 0;
     182                 :          0 :                 return;
     183                 :            :         }
     184   [ +  -  -  + ]:         10 :         if (milenage_f1(opc, k, _rand, sqn, amf, mac_a, NULL) ||
     185                 :          5 :             milenage_f2345(opc, k, _rand, res, ck, ik, ak, NULL)) {
     186                 :          0 :                 *res_len = 0;
     187                 :          0 :                 return;
     188                 :            :         }
     189                 :          5 :         *res_len = 8;
     190                 :            : 
     191                 :            :         /* AUTN = (SQN ^ AK) || AMF || MAC */
     192         [ +  + ]:         35 :         for (i = 0; i < 6; i++)
     193                 :         30 :                 autn[i] = sqn[i] ^ ak[i];
     194                 :          5 :         os_memcpy(autn + 6, amf, 2);
     195                 :          5 :         os_memcpy(autn + 8, mac_a, 8);
     196                 :            : }
     197                 :            : 
     198                 :            : 
     199                 :            : /**
     200                 :            :  * milenage_auts - Milenage AUTS validation
     201                 :            :  * @opc: OPc = 128-bit operator variant algorithm configuration field (encr.)
     202                 :            :  * @k: K = 128-bit subscriber key
     203                 :            :  * @_rand: RAND = 128-bit random challenge
     204                 :            :  * @auts: AUTS = 112-bit authentication token from client
     205                 :            :  * @sqn: Buffer for SQN = 48-bit sequence number
     206                 :            :  * Returns: 0 = success (sqn filled), -1 on failure
     207                 :            :  */
     208                 :          1 : int milenage_auts(const u8 *opc, const u8 *k, const u8 *_rand, const u8 *auts,
     209                 :            :                   u8 *sqn)
     210                 :            : {
     211                 :          1 :         u8 amf[2] = { 0x00, 0x00 }; /* TS 33.102 v7.0.0, 6.3.3 */
     212                 :            :         u8 ak[6], mac_s[8];
     213                 :            :         int i;
     214                 :            : 
     215         [ -  + ]:          1 :         if (milenage_f2345(opc, k, _rand, NULL, NULL, NULL, NULL, ak))
     216                 :          0 :                 return -1;
     217         [ +  + ]:          7 :         for (i = 0; i < 6; i++)
     218                 :          6 :                 sqn[i] = auts[i] ^ ak[i];
     219 [ +  - ][ -  + ]:          1 :         if (milenage_f1(opc, k, _rand, sqn, amf, NULL, mac_s) ||
     220                 :          1 :             memcmp(mac_s, auts + 6, 8) != 0)
     221                 :          0 :                 return -1;
     222                 :          1 :         return 0;
     223                 :            : }
     224                 :            : 
     225                 :            : 
     226                 :            : /**
     227                 :            :  * gsm_milenage - Generate GSM-Milenage (3GPP TS 55.205) authentication triplet
     228                 :            :  * @opc: OPc = 128-bit operator variant algorithm configuration field (encr.)
     229                 :            :  * @k: K = 128-bit subscriber key
     230                 :            :  * @_rand: RAND = 128-bit random challenge
     231                 :            :  * @sres: Buffer for SRES = 32-bit SRES
     232                 :            :  * @kc: Buffer for Kc = 64-bit Kc
     233                 :            :  * Returns: 0 on success, -1 on failure
     234                 :            :  */
     235                 :         18 : int gsm_milenage(const u8 *opc, const u8 *k, const u8 *_rand, u8 *sres, u8 *kc)
     236                 :            : {
     237                 :            :         u8 res[8], ck[16], ik[16];
     238                 :            :         int i;
     239                 :            : 
     240         [ -  + ]:         18 :         if (milenage_f2345(opc, k, _rand, res, ck, ik, NULL, NULL))
     241                 :          0 :                 return -1;
     242                 :            : 
     243         [ +  + ]:        162 :         for (i = 0; i < 8; i++)
     244                 :        144 :                 kc[i] = ck[i] ^ ck[i + 8] ^ ik[i] ^ ik[i + 8];
     245                 :            : 
     246                 :            : #ifdef GSM_MILENAGE_ALT_SRES
     247                 :            :         os_memcpy(sres, res, 4);
     248                 :            : #else /* GSM_MILENAGE_ALT_SRES */
     249         [ +  + ]:         90 :         for (i = 0; i < 4; i++)
     250                 :         72 :                 sres[i] = res[i] ^ res[i + 4];
     251                 :            : #endif /* GSM_MILENAGE_ALT_SRES */
     252                 :         18 :         return 0;
     253                 :            : }
     254                 :            : 
     255                 :            : 
     256                 :            : /**
     257                 :            :  * milenage_generate - Generate AKA AUTN,IK,CK,RES
     258                 :            :  * @opc: OPc = 128-bit operator variant algorithm configuration field (encr.)
     259                 :            :  * @k: K = 128-bit subscriber key
     260                 :            :  * @sqn: SQN = 48-bit sequence number
     261                 :            :  * @_rand: RAND = 128-bit random challenge
     262                 :            :  * @autn: AUTN = 128-bit authentication token
     263                 :            :  * @ik: Buffer for IK = 128-bit integrity key (f4), or %NULL
     264                 :            :  * @ck: Buffer for CK = 128-bit confidentiality key (f3), or %NULL
     265                 :            :  * @res: Buffer for RES = 64-bit signed response (f2), or %NULL
     266                 :            :  * @res_len: Variable that will be set to RES length
     267                 :            :  * @auts: 112-bit buffer for AUTS
     268                 :            :  * Returns: 0 on success, -1 on failure, or -2 on synchronization failure
     269                 :            :  */
     270                 :          5 : int milenage_check(const u8 *opc, const u8 *k, const u8 *sqn, const u8 *_rand,
     271                 :            :                    const u8 *autn, u8 *ik, u8 *ck, u8 *res, size_t *res_len,
     272                 :            :                    u8 *auts)
     273                 :            : {
     274                 :            :         int i;
     275                 :            :         u8 mac_a[8], ak[6], rx_sqn[6];
     276                 :            :         const u8 *amf;
     277                 :            : 
     278                 :          5 :         wpa_hexdump(MSG_DEBUG, "Milenage: AUTN", autn, 16);
     279                 :          5 :         wpa_hexdump(MSG_DEBUG, "Milenage: RAND", _rand, 16);
     280                 :            : 
     281         [ -  + ]:          5 :         if (milenage_f2345(opc, k, _rand, res, ck, ik, ak, NULL))
     282                 :          0 :                 return -1;
     283                 :            : 
     284                 :          5 :         *res_len = 8;
     285                 :          5 :         wpa_hexdump_key(MSG_DEBUG, "Milenage: RES", res, *res_len);
     286                 :          5 :         wpa_hexdump_key(MSG_DEBUG, "Milenage: CK", ck, 16);
     287                 :          5 :         wpa_hexdump_key(MSG_DEBUG, "Milenage: IK", ik, 16);
     288                 :          5 :         wpa_hexdump_key(MSG_DEBUG, "Milenage: AK", ak, 6);
     289                 :            : 
     290                 :            :         /* AUTN = (SQN ^ AK) || AMF || MAC */
     291         [ +  + ]:         35 :         for (i = 0; i < 6; i++)
     292                 :         30 :                 rx_sqn[i] = autn[i] ^ ak[i];
     293                 :          5 :         wpa_hexdump(MSG_DEBUG, "Milenage: SQN", rx_sqn, 6);
     294                 :            : 
     295         [ +  + ]:          5 :         if (os_memcmp(rx_sqn, sqn, 6) <= 0) {
     296                 :          1 :                 u8 auts_amf[2] = { 0x00, 0x00 }; /* TS 33.102 v7.0.0, 6.3.3 */
     297         [ -  + ]:          1 :                 if (milenage_f2345(opc, k, _rand, NULL, NULL, NULL, NULL, ak))
     298                 :          0 :                         return -1;
     299                 :          1 :                 wpa_hexdump_key(MSG_DEBUG, "Milenage: AK*", ak, 6);
     300         [ +  + ]:          7 :                 for (i = 0; i < 6; i++)
     301                 :          6 :                         auts[i] = sqn[i] ^ ak[i];
     302         [ -  + ]:          1 :                 if (milenage_f1(opc, k, _rand, sqn, auts_amf, NULL, auts + 6))
     303                 :          0 :                         return -1;
     304                 :          1 :                 wpa_hexdump(MSG_DEBUG, "Milenage: AUTS", auts, 14);
     305                 :          1 :                 return -2;
     306                 :            :         }
     307                 :            : 
     308                 :          4 :         amf = autn + 6;
     309                 :          4 :         wpa_hexdump(MSG_DEBUG, "Milenage: AMF", amf, 2);
     310         [ -  + ]:          4 :         if (milenage_f1(opc, k, _rand, rx_sqn, amf, mac_a, NULL))
     311                 :          0 :                 return -1;
     312                 :            : 
     313                 :          4 :         wpa_hexdump(MSG_DEBUG, "Milenage: MAC_A", mac_a, 8);
     314                 :            : 
     315         [ -  + ]:          4 :         if (os_memcmp(mac_a, autn + 8, 8) != 0) {
     316                 :          0 :                 wpa_printf(MSG_DEBUG, "Milenage: MAC mismatch");
     317                 :          0 :                 wpa_hexdump(MSG_DEBUG, "Milenage: Received MAC_A",
     318                 :            :                             autn + 8, 8);
     319                 :          0 :                 return -1;
     320                 :            :         }
     321                 :            : 
     322                 :          5 :         return 0;
     323                 :            : }

Generated by: LCOV version 1.9