crypto.h

   1 #ifndef CRYPTO_H
   2 #define CRYPTO_H
   3
   4 extern cvar_t crypto_developer;
   5 extern cvar_t crypto_aeslevel;
   6 #define ENCRYPTION_REQUIRED (crypto_aeslevel.integer >= 3)
   7
   8 extern int crypto_keyfp_recommended_length; // applies to LOCAL IDs, and to ALL keys
   9
  10 #define CRYPTO_HEADERSIZE 31
  11 // AES case causes 16 to 31 bytes overhead
  12 // SHA256 case causes 16 bytes overhead as we truncate to 128bit
  13
  14 #include "lhnet.h"
  15
  16 #define FP64_SIZE 44
  17 #define DHKEY_SIZE 16
  18
  19 typedef struct
  20 {
  21         unsigned char dhkey[DHKEY_SIZE]; // shared key, not NUL terminated
  22         char client_idfp[FP64_SIZE+1];
  23         char client_keyfp[FP64_SIZE+1]; // NULL if signature fail
  24         char server_idfp[FP64_SIZE+1];
  25         char server_keyfp[FP64_SIZE+1]; // NULL if signature fail
  26         qboolean authenticated;
  27         qboolean use_aes;
  28         void *data;
  29 }
  30 crypto_t;
  31
  32 void Crypto_Init(void);
  33 void Crypto_Init_Commands(void);
  34 void Crypto_Shutdown(void);
  35 qboolean Crypto_Available(void);
  36 void sha256(unsigned char *out, const unsigned char *in, int n); // may ONLY be called if Crypto_Available()
  37 const void *Crypto_EncryptPacket(crypto_t *crypto, const void *data_src, size_t len_src, void *data_dst, size_t *len_dst, size_t len);
  38 const void *Crypto_DecryptPacket(crypto_t *crypto, const void *data_src, size_t len_src, void *data_dst, size_t *len_dst, size_t len);
  39 #define CRYPTO_NOMATCH 0        // process as usual (packet was not used)
  40 #define CRYPTO_MATCH 1          // process as usual (packet was used)
  41 #define CRYPTO_DISCARD 2        // discard this packet
  42 #define CRYPTO_REPLACE 3        // make the buffer the current packet
  43 int Crypto_ClientParsePacket(const char *data_in, size_t len_in, char *data_out, size_t *len_out, lhnetaddress_t *peeraddress);
  44 int Crypto_ServerParsePacket(const char *data_in, size_t len_in, char *data_out, size_t *len_out, lhnetaddress_t *peeraddress);
  45
  46 // if len_out is nonzero, the packet is to be sent to the client
  47
  48 qboolean Crypto_ServerAppendToChallenge(const char *data_in, size_t len_in, char *data_out, size_t *len_out, size_t maxlen);
  49 crypto_t *Crypto_ServerGetInstance(lhnetaddress_t *peeraddress);
  50 qboolean Crypto_ServerFinishInstance(crypto_t *out, crypto_t *in); // also clears allocated memory
  51 const char *Crypto_GetInfoResponseDataString(void);
  52
  53 // retrieves a host key for an address (can be exposed to menuqc, or used by the engine to look up stored keys e.g. for server bookmarking)
  54 // pointers may be NULL
  55 qboolean Crypto_RetrieveHostKey(lhnetaddress_t *peeraddress, int *keyid, char *keyfp, size_t keyfplen, char *idfp, size_t idfplen, int *aeslevel);
  56 int Crypto_RetrieveLocalKey(int keyid, char *keyfp, size_t keyfplen, char *idfp, size_t idfplen); // return value: -1 if more to come, +1 if valid, 0 if end of list
  57
  58 size_t Crypto_SignData(const void *data, size_t datasize, int keyid, void *signed_data, size_t signed_size);
  59 size_t Crypto_SignDataDetached(const void *data, size_t datasize, int keyid, void *signed_data, size_t signed_size);
  60
  61 // netconn protocol:
  62 //   non-crypto:
  63 //     getchallenge                                            >
  64 //                                                             < challenge
  65 //     connect                                                 >
  66 //                                                             < accept (or: reject)
  67 //   crypto:
  68 //     getchallenge                                            >
  69 //                                                             < challenge SP <challenge> NUL vlen <size> d0pk <fingerprints I can auth to> NUL NUL <other fingerprints I accept>
  70 //
  71 //     IF serverfp:
  72 //     d0pk\cnt\0\challenge\<challenge>\aeslevel\<level> NUL <serverfp> NUL <clientfp>
  73 //                                                             >
  74 //                                                               check if client would get accepted; if not, do "reject" now
  75 //     require non-control packets to be encrypted               require non-control packets to be encrypted
  76 //     do not send anything yet                                  do not send anything yet
  77 //     RESET to serverfp                                         RESET to serverfp
  78 //                                                               d0_blind_id_authenticate_with_private_id_start() = 1
  79 //                                                             < d0pk\cnt\1\aes\<aesenabled> NUL *startdata*
  80 //     d0_blind_id_authenticate_with_private_id_challenge() = 1
  81 //     d0pk\cnt\2 NUL *challengedata*                          >
  82 //                                                               d0_blind_id_authenticate_with_private_id_response() = 0
  83 //                                                             < d0pk\cnt\3 NUL *responsedata*
  84 //     d0_blind_id_authenticate_with_private_id_verify() = 1
  85 //     store server's fingerprint NOW
  86 //     d0_blind_id_sessionkey_public_id() = 1                    d0_blind_id_sessionkey_public_id() = 1
  87 //
  88 //     IF clientfp AND NOT serverfp:
  89 //     RESET to clientfp                                         RESET to clientfp
  90 //     d0_blind_id_authenticate_with_private_id_start() = 1
  91 //     d0pk\cnt\0\challenge\<challenge>\aeslevel\<level> NUL NUL <clientfp> NUL *startdata*
  92 //                                                             >
  93 //                                                               check if client would get accepted; if not, do "reject" now
  94 //     require non-control packets to be encrypted               require non-control packets to be encrypted
  95 //                                                               d0_blind_id_authenticate_with_private_id_challenge() = 1
  96 //                                                             < d0pk\cnt\5\aes\<aesenabled> NUL *challengedata*
  97 //
  98 //     IF clientfp AND serverfp:
  99 //     RESET to clientfp                                         RESET to clientfp
 100 //     d0_blind_id_authenticate_with_private_id_start() = 1
 101 //     d0pk\cnt\4 NUL *startdata*                              >
 102 //                                                               d0_blind_id_authenticate_with_private_id_challenge() = 1
 103 //                                                             < d0pk\cnt\5 NUL *challengedata*
 104 //
 105 //     IF clientfp:
 106 //     d0_blind_id_authenticate_with_private_id_response() = 0
 107 //     d0pk\cnt\6 NUL *responsedata*                           >
 108 //                                                               d0_blind_id_authenticate_with_private_id_verify() = 1
 109 //                                                               store client's fingerprint NOW
 110 //     d0_blind_id_sessionkey_public_id() = 1                    d0_blind_id_sessionkey_public_id() = 1
 111 //     note: the ... is the "connect" message, except without the challenge. Reinterpret as regular connect message on server side
 112 //
 113 //     enforce encrypted transmission (key is XOR of the two DH keys)
 114 //
 115 //     IF clientfp:
 116 //                                                             < challenge (mere sync message)
 117 //
 118 //     connect\...                                             >
 119 //                                                             < accept (ALWAYS accept if connection is encrypted, ignore challenge as it had been checked before)
 120 //
 121 //     commence with ingame protocol
 122
 123 // in short:
 124 //   server:
 125 //     getchallenge NUL d0_blind_id: reply with challenge with added fingerprints
 126 //     cnt=0: IF server will auth, cnt=1, ELSE cnt=5
 127 //     cnt=2: cnt=3
 128 //     cnt=4: cnt=5
 129 //     cnt=6: send "challenge"
 130 //   client:
 131 //     challenge with added fingerprints: cnt=0; if client will auth but not server, append client auth start
 132 //     cnt=1: cnt=2
 133 //     cnt=3: IF client will auth, cnt=4, ELSE rewrite as "challenge"
 134 //     cnt=5: cnt=6, server will continue by sending "challenge" (let's avoid sending two packets as response to one)
 135 // other change:
 136 //   accept empty "challenge", and challenge-less connect in case crypto protocol has executed and finished
 137 //   statusResponse and infoResponse get an added d0_blind_id key that lists
 138 //   the keys the server can auth with and to in key@ca SPACE key@ca notation
 139 //   any d0pk\ message has an appended "id" parameter; messages with an unexpected "id" are ignored to prevent errors from multiple concurrent auth runs
 140
 141
 142 // comparison to OTR:
 143 // - encryption: yes
 144 // - authentication: yes
 145 // - deniability: no (attacker requires the temporary session key to prove you
 146 //   have sent a specific message, the private key itself does not suffice), no
 147 //   measures are taken to provide forgeability to even provide deniability
 148 //   against an attacker who knows the temporary session key, as using CTR mode
 149 //   for the encryption - which, together with deriving the MAC key from the
 150 //   encryption key, and MACing the ciphertexts instead of the plaintexts,
 151 //   would provide forgeability and thus deniability - requires longer
 152 //   encrypted packets and deniability was not a goal of this, as we may e.g.
 153 //   reserve the right to capture packet dumps + extra state info to prove a
 154 //   client/server has sent specific packets to prove cheating)
 155 // - perfect forward secrecy: yes (session key is derived via DH key exchange)
 156
 157 #endif