onion.c
上传用户:awang829
上传日期:2019-07-14
资源大小:2356k
文件大小:13k
源码类别:

网络

开发平台:

Unix_Linux

  1. /* Copyright (c) 2001 Matej Pfajfar.
  2.  * Copyright (c) 2001-2004, Roger Dingledine.
  3.  * Copyright (c) 2004-2006, Roger Dingledine, Nick Mathewson.
  4.  * Copyright (c) 2007-2009, The Tor Project, Inc. */
  5. /* See LICENSE for licensing information */
  6. /**
  7.  * file onion.c
  8.  * brief Functions to queue create cells, and handle onionskin
  9.  * parsing and creation.
  10.  **/
  11. #include "or.h"
  12. /** Type for a linked list of circuits that are waiting for a free CPU worker
  13.  * to process a waiting onion handshake. */
  14. typedef struct onion_queue_t {
  15.   or_circuit_t *circ;
  16.   char *onionskin;
  17.   time_t when_added;
  18.   struct onion_queue_t *next;
  19. } onion_queue_t;
  20. /** 5 seconds on the onion queue til we just send back a destroy */
  21. #define ONIONQUEUE_WAIT_CUTOFF 5
  22. /** First and last elements in the linked list of circuits waiting for CPU
  23.  * workers, or NULL if the list is empty. */
  24. static onion_queue_t *ol_list=NULL;
  25. static onion_queue_t *ol_tail=NULL;
  26. /** Length of ol_list */
  27. static int ol_length=0;
  28. /** Add <b>circ</b> to the end of ol_list and return 0, except
  29.  * if ol_list is too long, in which case do nothing and return -1.
  30.  */
  31. int
  32. onion_pending_add(or_circuit_t *circ, char *onionskin)
  33. {
  34.   onion_queue_t *tmp;
  35.   time_t now = time(NULL);
  36.   tmp = tor_malloc_zero(sizeof(onion_queue_t));
  37.   tmp->circ = circ;
  38.   tmp->onionskin = onionskin;
  39.   tmp->when_added = now;
  40.   if (!ol_tail) {
  41.     tor_assert(!ol_list);
  42.     tor_assert(!ol_length);
  43.     ol_list = tmp;
  44.     ol_tail = tmp;
  45.     ol_length++;
  46.     return 0;
  47.   }
  48.   tor_assert(ol_list);
  49.   tor_assert(!ol_tail->next);
  50.   if (ol_length >= get_options()->MaxOnionsPending) {
  51.     log_warn(LD_GENERAL,
  52.              "Your computer is too slow to handle this many circuit "
  53.              "creation requests! Please consider using the "
  54.              "MaxAdvertisedBandwidth config option or choosing a more "
  55.              "restricted exit policy.");
  56.     tor_free(tmp);
  57.     return -1;
  58.   }
  59.   ol_length++;
  60.   ol_tail->next = tmp;
  61.   ol_tail = tmp;
  62.   while ((int)(now - ol_list->when_added) >= ONIONQUEUE_WAIT_CUTOFF) {
  63.     /* cull elderly requests. */
  64.     circ = ol_list->circ;
  65.     onion_pending_remove(ol_list->circ);
  66.     log_info(LD_CIRC,
  67.              "Circuit create request is too old; canceling due to overload.");
  68.     circuit_mark_for_close(TO_CIRCUIT(circ), END_CIRC_REASON_RESOURCELIMIT);
  69.   }
  70.   return 0;
  71. }
  72. /** Remove the first item from ol_list and return it, or return
  73.  * NULL if the list is empty.
  74.  */
  75. or_circuit_t *
  76. onion_next_task(char **onionskin_out)
  77. {
  78.   or_circuit_t *circ;
  79.   if (!ol_list)
  80.     return NULL; /* no onions pending, we're done */
  81.   tor_assert(ol_list->circ);
  82.   tor_assert(ol_list->circ->p_conn); /* make sure it's still valid */
  83.   tor_assert(ol_length > 0);
  84.   circ = ol_list->circ;
  85.   *onionskin_out = ol_list->onionskin;
  86.   ol_list->onionskin = NULL; /* prevent free. */
  87.   onion_pending_remove(ol_list->circ);
  88.   return circ;
  89. }
  90. /** Go through ol_list, find the onion_queue_t element which points to
  91.  * circ, remove and free that element. Leave circ itself alone.
  92.  */
  93. void
  94. onion_pending_remove(or_circuit_t *circ)
  95. {
  96.   onion_queue_t *tmpo, *victim;
  97.   if (!ol_list)
  98.     return; /* nothing here. */
  99.   /* first check to see if it's the first entry */
  100.   tmpo = ol_list;
  101.   if (tmpo->circ == circ) {
  102.     /* it's the first one. remove it from the list. */
  103.     ol_list = tmpo->next;
  104.     if (!ol_list)
  105.       ol_tail = NULL;
  106.     ol_length--;
  107.     victim = tmpo;
  108.   } else { /* we need to hunt through the rest of the list */
  109.     for ( ;tmpo->next && tmpo->next->circ != circ; tmpo=tmpo->next) ;
  110.     if (!tmpo->next) {
  111.       log_debug(LD_GENERAL,
  112.                 "circ (p_circ_id %d) not in list, probably at cpuworker.",
  113.                 circ->p_circ_id);
  114.       return;
  115.     }
  116.     /* now we know tmpo->next->circ == circ */
  117.     victim = tmpo->next;
  118.     tmpo->next = victim->next;
  119.     if (ol_tail == victim)
  120.       ol_tail = tmpo;
  121.     ol_length--;
  122.   }
  123.   /* now victim points to the element that needs to be removed */
  124.   tor_free(victim->onionskin);
  125.   tor_free(victim);
  126. }
  127. /*----------------------------------------------------------------------*/
  128. /** Given a router's 128 byte public key,
  129.  * stores the following in onion_skin_out:
  130.  *   - [42 bytes] OAEP padding
  131.  *   - [16 bytes] Symmetric key for encrypting blob past RSA
  132.  *   - [70 bytes] g^x part 1 (inside the RSA)
  133.  *   - [58 bytes] g^x part 2 (symmetrically encrypted)
  134.  *
  135.  * Stores the DH private key into handshake_state_out for later completion
  136.  * of the handshake.
  137.  *
  138.  * The meeting point/cookies and auth are zeroed out for now.
  139.  */
  140. int
  141. onion_skin_create(crypto_pk_env_t *dest_router_key,
  142.                   crypto_dh_env_t **handshake_state_out,
  143.                   char *onion_skin_out) /* ONIONSKIN_CHALLENGE_LEN bytes */
  144. {
  145.   char challenge[DH_KEY_LEN];
  146.   crypto_dh_env_t *dh = NULL;
  147.   int dhbytes, pkbytes;
  148.   tor_assert(dest_router_key);
  149.   tor_assert(handshake_state_out);
  150.   tor_assert(onion_skin_out);
  151.   *handshake_state_out = NULL;
  152.   memset(onion_skin_out, 0, ONIONSKIN_CHALLENGE_LEN);
  153.   if (!(dh = crypto_dh_new()))
  154.     goto err;
  155.   dhbytes = crypto_dh_get_bytes(dh);
  156.   pkbytes = (int) crypto_pk_keysize(dest_router_key);
  157.   tor_assert(dhbytes == 128);
  158.   tor_assert(pkbytes == 128);
  159.   if (crypto_dh_get_public(dh, challenge, dhbytes))
  160.     goto err;
  161.   note_crypto_pk_op(ENC_ONIONSKIN);
  162.   /* set meeting point, meeting cookie, etc here. Leave zero for now. */
  163.   if (crypto_pk_public_hybrid_encrypt(dest_router_key, onion_skin_out,
  164.                                       challenge, DH_KEY_LEN,
  165.                                       PK_PKCS1_OAEP_PADDING, 1)<0)
  166.     goto err;
  167.   memset(challenge, 0, sizeof(challenge));
  168.   *handshake_state_out = dh;
  169.   return 0;
  170.  err:
  171.   memset(challenge, 0, sizeof(challenge));
  172.   if (dh) crypto_dh_free(dh);
  173.   return -1;
  174. }
  175. /** Given an encrypted DH public key as generated by onion_skin_create,
  176.  * and the private key for this onion router, generate the reply (128-byte
  177.  * DH plus the first 20 bytes of shared key material), and store the
  178.  * next key_out_len bytes of key material in key_out.
  179.  */
  180. int
  181. onion_skin_server_handshake(const char *onion_skin, /*ONIONSKIN_CHALLENGE_LEN*/
  182.                             crypto_pk_env_t *private_key,
  183.                             crypto_pk_env_t *prev_private_key,
  184.                             char *handshake_reply_out, /*ONIONSKIN_REPLY_LEN*/
  185.                             char *key_out,
  186.                             size_t key_out_len)
  187. {
  188.   char challenge[ONIONSKIN_CHALLENGE_LEN];
  189.   crypto_dh_env_t *dh = NULL;
  190.   ssize_t len;
  191.   char *key_material=NULL;
  192.   size_t key_material_len=0;
  193.   int i;
  194.   crypto_pk_env_t *k;
  195.   len = -1;
  196.   for (i=0;i<2;++i) {
  197.     k = i==0?private_key:prev_private_key;
  198.     if (!k)
  199.       break;
  200.     note_crypto_pk_op(DEC_ONIONSKIN);
  201.     len = crypto_pk_private_hybrid_decrypt(k, challenge,
  202.                                            onion_skin, ONIONSKIN_CHALLENGE_LEN,
  203.                                            PK_PKCS1_OAEP_PADDING,0);
  204.     if (len>0)
  205.       break;
  206.   }
  207.   if (len<0) {
  208.     log_info(LD_PROTOCOL,
  209.              "Couldn't decrypt onionskin: client may be using old onion key");
  210.     goto err;
  211.   } else if (len != DH_KEY_LEN) {
  212.     log_warn(LD_PROTOCOL, "Unexpected onionskin length after decryption: %ld",
  213.              (long)len);
  214.     goto err;
  215.   }
  216.   dh = crypto_dh_new();
  217.   if (crypto_dh_get_public(dh, handshake_reply_out, DH_KEY_LEN)) {
  218.     log_info(LD_GENERAL, "crypto_dh_get_public failed.");
  219.     goto err;
  220.   }
  221.   key_material_len = DIGEST_LEN+key_out_len;
  222.   key_material = tor_malloc(key_material_len);
  223.   len = crypto_dh_compute_secret(dh, challenge, DH_KEY_LEN,
  224.                                  key_material, key_material_len);
  225.   if (len < 0) {
  226.     log_info(LD_GENERAL, "crypto_dh_compute_secret failed.");
  227.     goto err;
  228.   }
  229.   /* send back H(K|0) as proof that we learned K. */
  230.   memcpy(handshake_reply_out+DH_KEY_LEN, key_material, DIGEST_LEN);
  231.   /* use the rest of the key material for our shared keys, digests, etc */
  232.   memcpy(key_out, key_material+DIGEST_LEN, key_out_len);
  233.   memset(challenge, 0, sizeof(challenge));
  234.   memset(key_material, 0, key_material_len);
  235.   tor_free(key_material);
  236.   crypto_dh_free(dh);
  237.   return 0;
  238.  err:
  239.   memset(challenge, 0, sizeof(challenge));
  240.   if (key_material) {
  241.     memset(key_material, 0, key_material_len);
  242.     tor_free(key_material);
  243.   }
  244.   if (dh) crypto_dh_free(dh);
  245.   return -1;
  246. }
  247. /** Finish the client side of the DH handshake.
  248.  * Given the 128 byte DH reply + 20 byte hash as generated by
  249.  * onion_skin_server_handshake and the handshake state generated by
  250.  * onion_skin_create, verify H(K) with the first 20 bytes of shared
  251.  * key material, then generate key_out_len more bytes of shared key
  252.  * material and store them in key_out.
  253.  *
  254.  * After the invocation, call crypto_dh_free on handshake_state.
  255.  */
  256. int
  257. onion_skin_client_handshake(crypto_dh_env_t *handshake_state,
  258.             const char *handshake_reply, /* ONIONSKIN_REPLY_LEN bytes */
  259.             char *key_out,
  260.             size_t key_out_len)
  261. {
  262.   ssize_t len;
  263.   char *key_material=NULL;
  264.   size_t key_material_len;
  265.   tor_assert(crypto_dh_get_bytes(handshake_state) == DH_KEY_LEN);
  266.   key_material_len = DIGEST_LEN + key_out_len;
  267.   key_material = tor_malloc(key_material_len);
  268.   len = crypto_dh_compute_secret(handshake_state, handshake_reply, DH_KEY_LEN,
  269.                                  key_material, key_material_len);
  270.   if (len < 0)
  271.     goto err;
  272.   if (memcmp(key_material, handshake_reply+DH_KEY_LEN, DIGEST_LEN)) {
  273.     /* H(K) does *not* match. Something fishy. */
  274.     log_warn(LD_PROTOCOL,"Digest DOES NOT MATCH on onion handshake. "
  275.              "Bug or attack.");
  276.     goto err;
  277.   }
  278.   /* use the rest of the key material for our shared keys, digests, etc */
  279.   memcpy(key_out, key_material+DIGEST_LEN, key_out_len);
  280.   memset(key_material, 0, key_material_len);
  281.   tor_free(key_material);
  282.   return 0;
  283.  err:
  284.   memset(key_material, 0, key_material_len);
  285.   tor_free(key_material);
  286.   return -1;
  287. }
  288. /** Implement the server side of the CREATE_FAST abbreviated handshake.  The
  289.  * client has provided DIGEST_LEN key bytes in <b>key_in</b> ("x").  We
  290.  * generate a reply of DIGEST_LEN*2 bytes in <b>key_out</b>, consisting of a
  291.  * new random "y", followed by H(x|y) to check for correctness.  We set
  292.  * <b>key_out_len</b> bytes of key material in <b>key_out</b>.
  293.  * Return 0 on success, &lt;0 on failure.
  294.  **/
  295. int
  296. fast_server_handshake(const char *key_in, /* DIGEST_LEN bytes */
  297.                       char *handshake_reply_out, /* DIGEST_LEN*2 bytes */
  298.                       char *key_out,
  299.                       size_t key_out_len)
  300. {
  301.   char tmp[DIGEST_LEN+DIGEST_LEN];
  302.   char *out = NULL;
  303.   size_t out_len;
  304.   int r = -1;
  305.   if (crypto_rand(handshake_reply_out, DIGEST_LEN)<0)
  306.     return -1;
  307.   memcpy(tmp, key_in, DIGEST_LEN);
  308.   memcpy(tmp+DIGEST_LEN, handshake_reply_out, DIGEST_LEN);
  309.   out_len = key_out_len+DIGEST_LEN;
  310.   out = tor_malloc(out_len);
  311.   if (crypto_expand_key_material(tmp, sizeof(tmp), out, out_len)) {
  312.     goto done;
  313.   }
  314.   memcpy(handshake_reply_out+DIGEST_LEN, out, DIGEST_LEN);
  315.   memcpy(key_out, out+DIGEST_LEN, key_out_len);
  316.   r = 0;
  317.  done:
  318.   memset(tmp, 0, sizeof(tmp));
  319.   memset(out, 0, out_len);
  320.   tor_free(out);
  321.   return r;
  322. }
  323. /** Implement the second half of the client side of the CREATE_FAST handshake.
  324.  * We sent the server <b>handshake_state</b> ("x") already, and the server
  325.  * told us <b>handshake_reply_out</b> (y|H(x|y)).  Make sure that the hash is
  326.  * correct, and generate key material in <b>key_out</b>.  Return 0 on success,
  327.  * true on failure.
  328.  *
  329.  * NOTE: The "CREATE_FAST" handshake path is distinguishable from regular
  330.  * "onionskin" handshakes, and is not secure if an adversary can see or modify
  331.  * the messages.  Therefore, it should only be used by clients, and only as
  332.  * the first hop of a circuit (since the first hop is already authenticated
  333.  * and protected by TLS).
  334.  */
  335. int
  336. fast_client_handshake(const char *handshake_state, /* DIGEST_LEN bytes */
  337.                       const char *handshake_reply_out, /* DIGEST_LEN*2 bytes */
  338.                       char *key_out,
  339.                       size_t key_out_len)
  340. {
  341.   char tmp[DIGEST_LEN+DIGEST_LEN];
  342.   char *out;
  343.   size_t out_len;
  344.   int r = -1;
  345.   memcpy(tmp, handshake_state, DIGEST_LEN);
  346.   memcpy(tmp+DIGEST_LEN, handshake_reply_out, DIGEST_LEN);
  347.   out_len = key_out_len+DIGEST_LEN;
  348.   out = tor_malloc(out_len);
  349.   if (crypto_expand_key_material(tmp, sizeof(tmp), out, out_len)) {
  350.     goto done;
  351.   }
  352.   if (memcmp(out, handshake_reply_out+DIGEST_LEN, DIGEST_LEN)) {
  353.     /* H(K) does *not* match. Something fishy. */
  354.     log_warn(LD_PROTOCOL,"Digest DOES NOT MATCH on fast handshake. "
  355.              "Bug or attack.");
  356.     goto done;
  357.   }
  358.   memcpy(key_out, out+DIGEST_LEN, key_out_len);
  359.   r = 0;
  360.  done:
  361.   memset(tmp, 0, sizeof(tmp));
  362.   memset(out, 0, out_len);
  363.   tor_free(out);
  364.   return r;
  365. }
  366. /** Remove all circuits from the pending list.  Called from tor_free_all. */
  367. void
  368. clear_pending_onions(void)
  369. {
  370.   while (ol_list) {
  371.     onion_queue_t *victim = ol_list;
  372.     ol_list = victim->next;
  373.     tor_free(victim->onionskin);
  374.     tor_free(victim);
  375.   }
  376.   ol_list = ol_tail = NULL;
  377.   ol_length = 0;
  378. }