]> wagner.pp.ru Git - openssl-gost/engine.git/commit
gost_crypt: process full available block in CFB and CNT mode
authorAlexei A. Smekalkine <ikle@ikle.ru>
Mon, 30 Nov 2020 21:20:59 +0000 (00:20 +0300)
committerDmitry Belyavskiy <beldmit@gmail.com>
Sun, 6 Dec 2020 15:54:07 +0000 (18:54 +0300)
commite1a1b7aac0468c5d588148ed9758a439c78634ec
tree7df6079b88920ee53f34d8bc68ae0b2d13367fcd
parent531e9472326bf2212e5cf2a0db00cdfc638846d0
gost_crypt: process full available block in CFB and CNT mode

If at the input of the encryption function in the CFB mode we have
an integer number of blocks, then in the main loop all blocks will be
processed, except for the last one due to an incorrect border check.
The last block will be fully processed as a "partial" remainder, but
the initialization vector will not be updated. And, thus, the value
of IV will always be incorrect in this case.

This breaks stateless protocols due to an invalid initialization vector:
all messages except the first cannot be decrypted. (Naturally, we are
talking about a case with disabled key meshing, which does not allow
context recovery due to an erroneous implementation.)

It is worth noting here that the code for processing partial blocks
(both at the input of the encryption functions and at the output) is
a historically unnecessary artifact, since we do not set the
EVP_CIPH_FLAG_CUSTOM_CIPHER flag and, as a result, OpenSSL processes
partial blocks for us.

This patch corrects the checking of the main loop boundary.

A similar error is present in the code for the CNT mode, but there it
does not manifest itself in any way, because the restoration of the
state in this mode is impossible: even after disabling key meshing, we
still have the state-dependent transformation of the IV.

As an extra result of this fix, the code for processing partial blocks
can be completely removed now.

(cherry picked from commit cf402dd4d89271d5b1ca4ea938ce7a2f13a44d58)
gost_crypt.c