]> wagner.pp.ru Git - openssl-gost/engine.git/commit
gost_crypt: process full available block in CFB and CNT mode
authorAlexei A. Smekalkine <ikle@ikle.ru>
Mon, 30 Nov 2020 21:20:59 +0000 (00:20 +0300)
committerDmitry Belyavskiy <beldmit@gmail.com>
Sun, 6 Dec 2020 15:54:38 +0000 (18:54 +0300)
commitfbd7748fde5397eb39e398f06ee31c1827e68201
tree973d6232bc0e197bde2d415388514334c35379b6
parent672ef82b66374cde3b74140a9b78891cda451fac
gost_crypt: process full available block in CFB and CNT mode

If at the input of the encryption function in the CFB mode we have
an integer number of blocks, then in the main loop all blocks will be
processed, except for the last one due to an incorrect border check.
The last block will be fully processed as a "partial" remainder, but
the initialization vector will not be updated. And, thus, the value
of IV will always be incorrect in this case.

This breaks stateless protocols due to an invalid initialization vector:
all messages except the first cannot be decrypted. (Naturally, we are
talking about a case with disabled key meshing, which does not allow
context recovery due to an erroneous implementation.)

It is worth noting here that the code for processing partial blocks
(both at the input of the encryption functions and at the output) is
a historically unnecessary artifact, since we do not set the
EVP_CIPH_FLAG_CUSTOM_CIPHER flag and, as a result, OpenSSL processes
partial blocks for us.

This patch corrects the checking of the main loop boundary.

A similar error is present in the code for the CNT mode, but there it
does not manifest itself in any way, because the restoration of the
state in this mode is impossible: even after disabling key meshing, we
still have the state-dependent transformation of the IV.

As an extra result of this fix, the code for processing partial blocks
can be completely removed now.

(cherry picked from commit cf402dd4d89271d5b1ca4ea938ce7a2f13a44d58)
gost_crypt.c