开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 加密解密 > CA认证 > 查看源码
p12dec.c
资源名称:nss-3.1.1.tar.gz [点击查看]
上传用户:lyxiangda
上传日期:2007-01-12
资源大小:3042k
文件大小:18k
源码类别:

CA认证

开发平台:

WINDOWS

p12dec.c:源码内容
  1. /*
  2.  * The contents of this file are subject to the Mozilla Public
  3.  * License Version 1.1 (the "License"); you may not use this file
  4.  * except in compliance with the License. You may obtain a copy of
  5.  * the License at http://www.mozilla.org/MPL/
  6.  * 
  7.  * Software distributed under the License is distributed on an "AS
  8.  * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
  9.  * implied. See the License for the specific language governing
  10.  * rights and limitations under the License.
  11.  * 
  12.  * The Original Code is the Netscape security libraries.
  13.  * 
  14.  * The Initial Developer of the Original Code is Netscape
  15.  * Communications Corporation.  Portions created by Netscape are 
  16.  * Copyright (C) 1994-2000 Netscape Communications Corporation.  All
  17.  * Rights Reserved.
  18.  * 
  19.  * Contributor(s):
  20.  * 
  21.  * Alternatively, the contents of this file may be used under the
  22.  * terms of the GNU General Public License Version 2 or later (the
  23.  * "GPL"), in which case the provisions of the GPL are applicable 
  24.  * instead of those above.  If you wish to allow use of your 
  25.  * version of this file only under the terms of the GPL and not to
  26.  * allow others to use your version of this file under the MPL,
  27.  * indicate your decision by deleting the provisions above and
  28.  * replace them with the notice and other provisions required by
  29.  * the GPL.  If you do not delete the provisions above, a recipient
  30.  * may use your version of this file under either the MPL or the
  31.  * GPL.
  32.  */
  34. #include "pkcs12.h"
  35. #include "plarena.h"
  36. #include "secpkcs7.h"
  37. #include "p12local.h"
  38. #include "secoid.h"
  39. #include "secitem.h"
  40. #include "secport.h"
  41. #include "secasn1.h"
  42. #include "secder.h"
  43. #include "secerr.h"
  44. #include "cert.h"
  45. #include "certdb.h"
  46. #include "p12plcy.h"
  47. #include "p12.h"
  49. /* PFX extraction and validation routines */
  51. /* decode the DER encoded PFX item.  if unable to decode, check to see if it
  52.  * is an older PFX item.  If that fails, assume the file was not a valid
  53.  * pfx file.
  54.  * the returned pfx structure should be destroyed using SEC_PKCS12DestroyPFX
  55.  */
  56. static SEC_PKCS12PFXItem *
  57. sec_pkcs12_decode_pfx(SECItem *der_pfx)
  58. {
  59.     SEC_PKCS12PFXItem *pfx;
  60.     SECStatus rv;
  62.     if(der_pfx == NULL) {
  63. return NULL;
  64.     }
  66.     /* allocate the space for a new PFX item */
  67.     pfx = sec_pkcs12_new_pfx();
  68.     if(pfx == NULL) {
  69. return NULL;
  70.     }
  72.     rv = SEC_ASN1DecodeItem(pfx->poolp, pfx, SEC_PKCS12PFXItemTemplate, 
  73.          der_pfx);
  75.     /* if a failure occurred, check for older version...
  76.      * we also get rid of the old pfx structure, because we don't
  77.      * know where it failed and what data in may contain
  78.      */
  79.     if(rv != SECSuccess) {
  80. SEC_PKCS12DestroyPFX(pfx);
  81. pfx = sec_pkcs12_new_pfx();
  82. if(pfx == NULL) {
  83.     return NULL;
  84. }
  85. rv = SEC_ASN1DecodeItem(pfx->poolp, pfx, SEC_PKCS12PFXItemTemplate_OLD, 
  86. der_pfx);
  87. if(rv != SECSuccess) {
  88.     PORT_SetError(SEC_ERROR_PKCS12_DECODING_PFX);
  89.     PORT_FreeArena(pfx->poolp, PR_TRUE);
  90.     return NULL;
  91. }
  92. pfx->old = PR_TRUE;
  93. SGN_CopyDigestInfo(pfx->poolp, &pfx->macData.safeMac, &pfx->old_safeMac);
  94. SECITEM_CopyItem(pfx->poolp, &pfx->macData.macSalt, &pfx->old_macSalt);
  95.     } else {
  96. pfx->old = PR_FALSE;
  97.     }
  99.     /* convert bit string from bits to bytes */
  100.     pfx->macData.macSalt.len /= 8;
  102.     return pfx;
  103. }
  105. /* validate the integrity MAC used in the PFX.  The MAC is generated
  106.  * per the PKCS 12 document.  If the MAC is incorrect, it is most likely
  107.  * due to an invalid password.
  108.  * pwitem is the integrity password
  109.  * pfx is the decoded pfx item
  110.  */
  111. static PRBool 
  112. sec_pkcs12_check_pfx_mac(SEC_PKCS12PFXItem *pfx,
  113.  SECItem *pwitem)
  114. {
  115.     SECItem *key = NULL, *mac = NULL, *data = NULL;
  116.     SECItem *vpwd = NULL;
  117.     SECOidTag algorithm;
  118.     PRBool ret = PR_FALSE;
  120.     if(pfx == NULL) {
  121. return PR_FALSE;
  122.     }
  124.     algorithm = SECOID_GetAlgorithmTag(&pfx->macData.safeMac.digestAlgorithm);
  125.     switch(algorithm) {
  126. /* only SHA1 hashing supported as a MACing algorithm */
  127. case SEC_OID_SHA1:
  128.     if(pfx->old == PR_FALSE) {
  129. pfx->swapUnicode = PR_FALSE;
  130.     }
  132. recheckUnicodePassword:
  133.     vpwd = sec_pkcs12_create_virtual_password(pwitem, 
  134.      &pfx->macData.macSalt, 
  135. pfx->swapUnicode);
  136.     if(vpwd == NULL) {
  137. return PR_FALSE;
  138.     }
  140.     key = sec_pkcs12_generate_key_from_password(algorithm,
  141. &pfx->macData.macSalt, 
  142. (pfx->old ? pwitem : vpwd));
  143.     /* free vpwd only for newer PFX */
  144.     if(vpwd) {
  145. SECITEM_ZfreeItem(vpwd, PR_TRUE);
  146.     }
  147.     if(key == NULL) {
  148. return PR_FALSE;
  149.     }
  151.     data = SEC_PKCS7GetContent(&pfx->authSafe);
  152.     if(data == NULL) {
  153. break;
  154.     }
  156.     /* check MAC */
  157.     mac = sec_pkcs12_generate_mac(key, data, pfx->old);
  158.     ret = PR_TRUE;
  159.     if(mac) {
  160. SECItem *safeMac = &pfx->macData.safeMac.digest;
  161. if(SECITEM_CompareItem(mac, safeMac) != SECEqual) {
  163.     /* if we encounter an invalid mac, lets invert the
  164.      * password in case of unicode changes 
  165.      */
  166.     if(((!pfx->old) && pfx->swapUnicode) || (pfx->old)){
  167. PORT_SetError(SEC_ERROR_PKCS12_INVALID_MAC);
  168. ret = PR_FALSE;
  169.     } else {
  170. SECITEM_ZfreeItem(mac, PR_TRUE);
  171. pfx->swapUnicode = PR_TRUE;
  172. goto recheckUnicodePassword;
  173.     }
  175. SECITEM_ZfreeItem(mac, PR_TRUE);
  176.     } else {
  177. ret = PR_FALSE;
  178.     }
  179.     break;
  180. default:
  181.     PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_MAC_ALGORITHM);
  182.     ret = PR_FALSE;
  183.     break;
  184.     }
  186.     /* let success fall through */
  187.     if(key != NULL)
  188. SECITEM_ZfreeItem(key, PR_TRUE);
  190.     return ret;
  191. }
  193. /* check the validity of the pfx structure.  we currently only support
  194.  * password integrity mode, so we check the MAC.
  195.  */
  196. static PRBool 
  197. sec_pkcs12_validate_pfx(SEC_PKCS12PFXItem *pfx, 
  198. SECItem *pwitem)
  199. {
  200.     SECOidTag contentType;
  202.     contentType = SEC_PKCS7ContentType(&pfx->authSafe);
  203.     switch(contentType)
  204.     {
  205. case SEC_OID_PKCS7_DATA:
  206.     return sec_pkcs12_check_pfx_mac(pfx, pwitem);
  207.     break;
  208. case SEC_OID_PKCS7_SIGNED_DATA:
  209. default:
  210.     PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_TRANSPORT_MODE);
  211.     break;
  212.     }
  214.     return PR_FALSE;
  215. }
  217. /* decode and return the valid PFX.  if the PFX item is not valid,
  218.  * NULL is returned.
  219.  */
  220. static SEC_PKCS12PFXItem *
  221. sec_pkcs12_get_pfx(SECItem *pfx_data, 
  222.    SECItem *pwitem)
  223. {
  224.     SEC_PKCS12PFXItem *pfx;
  225.     PRBool valid_pfx;
  227.     if((pfx_data == NULL) || (pwitem == NULL)) {
  228. return NULL;
  229.     }
  231.     pfx = sec_pkcs12_decode_pfx(pfx_data);
  232.     if(pfx == NULL) {
  233. return NULL;
  234.     }
  236.     valid_pfx = sec_pkcs12_validate_pfx(pfx, pwitem);
  237.     if(valid_pfx != PR_TRUE) {
  238. SEC_PKCS12DestroyPFX(pfx);
  239. pfx = NULL;
  240.     }
  242.     return pfx;
  243. }
  245. /* authenticated safe decoding, validation, and access routines
  246.  */
  248. /* convert dogbert beta 3 authenticated safe structure to a post
  249.  * beta three structure, so that we don't have to change more routines.
  250.  */
  251. static SECStatus
  252. sec_pkcs12_convert_old_auth_safe(SEC_PKCS12AuthenticatedSafe *asafe)
  253. {
  254.     SEC_PKCS12Baggage *baggage;
  255.     SEC_PKCS12BaggageItem *bag;
  256.     SECStatus rv = SECSuccess;
  258.     if(asafe->old_baggage.espvks == NULL) {
  259. /* XXX should the ASN1 engine produce a single NULL element list
  260.  * rather than setting the pointer to NULL?  
  261.  * There is no need to return an error -- assume that the list
  262.  * was empty.
  263.  */
  264. return SECSuccess;
  265.     }
  267.     baggage = sec_pkcs12_create_baggage(asafe->poolp);
  268.     if(!baggage) {
  269. return SECFailure;
  270.     }
  271.     bag = sec_pkcs12_create_external_bag(baggage);
  272.     if(!bag) {
  273. return SECFailure;
  274.     }
  276.     PORT_Memcpy(&asafe->baggage, baggage, sizeof(SEC_PKCS12Baggage));
  278.     /* if there are shrouded keys, append them to the bag */
  279.     rv = SECSuccess;
  280.     if(asafe->old_baggage.espvks[0] != NULL) {
  281. int nEspvk = 0;
  282. rv = SECSuccess;
  283. while((asafe->old_baggage.espvks[nEspvk] != NULL) && 
  284. (rv == SECSuccess)) {
  285.     rv = sec_pkcs12_append_shrouded_key(bag, 
  286.      asafe->old_baggage.espvks[nEspvk]);
  287.     nEspvk++;
  288. }
  289.     }
  291.     return rv;
  292. }    
  294. /* decodes the authenticated safe item.  a return of NULL indicates
  295.  * an error.  however, the error will have occured either in memory
  296.  * allocation or in decoding the authenticated safe.
  297.  *
  298.  * if an old PFX item has been found, we want to convert the
  299.  * old authenticated safe to the new one.
  300.  */
  301. static SEC_PKCS12AuthenticatedSafe *
  302. sec_pkcs12_decode_authenticated_safe(SEC_PKCS12PFXItem *pfx) 
  303. {
  304.     SECItem *der_asafe = NULL;
  305.     SEC_PKCS12AuthenticatedSafe *asafe = NULL;
  306.     SECStatus rv;
  308.     if(pfx == NULL) {
  309. return NULL;
  310.     }
  312.     der_asafe = SEC_PKCS7GetContent(&pfx->authSafe);
  313.     if(der_asafe == NULL) {
  314. /* XXX set error ? */
  315. goto loser;
  316.     }
  318.     asafe = sec_pkcs12_new_asafe(pfx->poolp);
  319.     if(asafe == NULL) {
  320. goto loser;
  321.     }
  323.     if(pfx->old == PR_FALSE) {
  324. rv = SEC_ASN1DecodeItem(pfx->poolp, asafe, 
  325.   SEC_PKCS12AuthenticatedSafeTemplate, 
  326.   der_asafe);
  327. asafe->old = PR_FALSE;
  328. asafe->swapUnicode = pfx->swapUnicode;
  329.     } else {
  330. /* handle beta exported files */
  331. rv = SEC_ASN1DecodeItem(pfx->poolp, asafe, 
  332. SEC_PKCS12AuthenticatedSafeTemplate_OLD,
  333. der_asafe);
  334. asafe->safe = &(asafe->old_safe);
  335. rv = sec_pkcs12_convert_old_auth_safe(asafe);
  336. asafe->old = PR_TRUE;
  337.     }
  339.     if(rv != SECSuccess) {
  340. goto loser;
  341.     }
  343.     asafe->poolp = pfx->poolp;
  344.     
  345.     return asafe;
  347. loser:
  348.     return NULL;
  349. }
  351. /* validates the safe within the authenticated safe item.  
  352.  * in order to be valid:
  353.  *  1.  the privacy salt must be present
  354.  *  2.  the encryption algorithm must be supported (including
  355.  * export policy)
  356.  * PR_FALSE indicates an error, PR_TRUE indicates a valid safe
  357.  */
  358. static PRBool 
  359. sec_pkcs12_validate_encrypted_safe(SEC_PKCS12AuthenticatedSafe *asafe)
  360. {
  361.     PRBool valid = PR_FALSE;
  362.     SECAlgorithmID *algid;
  364.     if(asafe == NULL) {
  365. return PR_FALSE;
  366.     }
  368.     /* if mode is password privacy, then privacySalt is assumed
  369.      * to be non-zero.
  370.      */
  371.     if(asafe->privacySalt.len != 0) {
  372. valid = PR_TRUE;
  373. asafe->privacySalt.len /= 8;
  374.     } else {
  375. PORT_SetError(SEC_ERROR_PKCS12_CORRUPT_PFX_STRUCTURE);
  376. return PR_FALSE;
  377.     }
  379.     /* until spec changes, content will have between 2 and 8 bytes depending
  380.      * upon the algorithm used if certs are unencrypted...
  381.      * also want to support case where content is empty -- which we produce 
  382.      */ 
  383.     if(SEC_PKCS7IsContentEmpty(asafe->safe, 8) == PR_TRUE) {
  384. asafe->emptySafe = PR_TRUE;
  385. return PR_TRUE;
  386.     }
  388.     asafe->emptySafe = PR_FALSE;
  390.     /* make sure that a pbe algorithm is being used */
  391.     algid = SEC_PKCS7GetEncryptionAlgorithm(asafe->safe);
  392.     if(algid != NULL) {
  393. if(SEC_PKCS5IsAlgorithmPBEAlg(algid)) {
  394.     valid = SEC_PKCS12DecryptionAllowed(algid);
  396.     if(valid == PR_FALSE) {
  397. PORT_SetError(SEC_ERROR_BAD_EXPORT_ALGORITHM);
  398.     }
  399. } else {
  400.     PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_PBE_ALGORITHM);
  401.     valid = PR_FALSE;
  402. }
  403.     } else {
  404. valid = PR_FALSE;
  405. PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_PBE_ALGORITHM);
  406.     }
  408.     return valid;
  409. }
  411. /* validates authenticates safe:
  412.  *  1.  checks that the version is supported
  413.  *  2.  checks that only password privacy mode is used (currently)
  414.  *  3.  further, makes sure safe has appropriate policies per above function
  415.  * PR_FALSE indicates failure.
  416.  */
  417. static PRBool 
  418. sec_pkcs12_validate_auth_safe(SEC_PKCS12AuthenticatedSafe *asafe)
  419. {
  420.     PRBool valid = PR_TRUE;
  421.     SECOidTag safe_type;
  422.     int version;
  424.     if(asafe == NULL) {
  425. return PR_FALSE;
  426.     }
  428.     /* check version, since it is default it may not be present.
  429.      * therefore, assume ok
  430.      */
  431.     if((asafe->version.len > 0) && (asafe->old == PR_FALSE)) {
  432. version = DER_GetInteger(&asafe->version);
  433. if(version > SEC_PKCS12_PFX_VERSION) {
  434.     PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_VERSION);
  435.     return PR_FALSE;
  436. }
  437.     }
  439.     /* validate password mode is being used */
  440.     safe_type = SEC_PKCS7ContentType(asafe->safe);
  441.     switch(safe_type)
  442.     {
  443. case SEC_OID_PKCS7_ENCRYPTED_DATA:
  444.     valid = sec_pkcs12_validate_encrypted_safe(asafe);
  445.     break;
  446. case SEC_OID_PKCS7_ENVELOPED_DATA:
  447. default:
  448.     PORT_SetError(SEC_ERROR_PKCS12_UNSUPPORTED_TRANSPORT_MODE);
  449.     valid = PR_FALSE;
  450.     break;
  451.     }
  453.     return valid;
  454. }
  456. /* retrieves the authenticated safe item from the PFX item
  457.  *  before returning the authenticated safe, the validity of the
  458.  *  authenticated safe is checked and if valid, returned.
  459.  * a return of NULL indicates that an error occured.
  460.  */
  461. static SEC_PKCS12AuthenticatedSafe *
  462. sec_pkcs12_get_auth_safe(SEC_PKCS12PFXItem *pfx)
  463. {
  464.     SEC_PKCS12AuthenticatedSafe *asafe;
  465.     PRBool valid_safe;
  467.     if(pfx == NULL) {
  468. return NULL;
  469.     }
  471.     asafe = sec_pkcs12_decode_authenticated_safe(pfx);
  472.     if(asafe == NULL) {
  473. return NULL;
  474.     }
  476.     valid_safe = sec_pkcs12_validate_auth_safe(asafe);
  477.     if(valid_safe != PR_TRUE) {
  478. asafe = NULL;
  479.     } else if(asafe) {
  480. asafe->baggage.poolp = asafe->poolp;
  481.     }
  483.     return asafe;
  484. }
  486. /* decrypts the authenticated safe.
  487.  * a return of anything but SECSuccess indicates an error.  the
  488.  * password is not known to be valid until the call to the 
  489.  * function sec_pkcs12_get_safe_contents.  If decoding the safe
  490.  * fails, it is assumed the password was incorrect and the error
  491.  * is set then.  any failure here is assumed to be due to 
  492.  * internal problems in SEC_PKCS7DecryptContents or below.
  493.  */
  494. static SECStatus
  495. sec_pkcs12_decrypt_auth_safe(SEC_PKCS12AuthenticatedSafe *asafe, 
  496.      SECItem *pwitem,
  497.      void *wincx)
  498. {
  499.     SECStatus rv = SECFailure;
  500.     SECItem *vpwd = NULL;
  502.     if((asafe == NULL) || (pwitem == NULL)) {
  503. return SECFailure;
  504.     }
  506.     if(asafe->old == PR_FALSE) {
  507. vpwd = sec_pkcs12_create_virtual_password(pwitem, &asafe->privacySalt,
  508.  asafe->swapUnicode);
  509. if(vpwd == NULL) {
  510.     return SECFailure;
  511. }
  512.     }
  514.     rv = SEC_PKCS7DecryptContents(asafe->poolp, asafe->safe, 
  515.        (asafe->old ? pwitem : vpwd), wincx);
  517.     if(asafe->old == PR_FALSE) {
  518. SECITEM_ZfreeItem(vpwd, PR_TRUE);
  519.     }
  521.     return rv;
  522. }
  524. /* extract the safe from the authenticated safe.
  525.  *  if we are unable to decode the safe, then it is likely that the 
  526.  *  safe has not been decrypted or the password used to decrypt
  527.  *  the safe was invalid.  we assume that the password was invalid and
  528.  *  set an error accordingly.
  529.  * a return of NULL indicates that an error occurred.
  530.  */
  531. static SEC_PKCS12SafeContents *
  532. sec_pkcs12_get_safe_contents(SEC_PKCS12AuthenticatedSafe *asafe)
  533. {
  534.     SECItem *src = NULL;
  535.     SEC_PKCS12SafeContents *safe = NULL;
  536.     SECStatus rv = SECFailure;
  538.     if(asafe == NULL) {
  539. return NULL;
  540.     }
  542.     safe = (SEC_PKCS12SafeContents *)PORT_ArenaZAlloc(asafe->poolp, 
  543.      sizeof(SEC_PKCS12SafeContents));
  544.     if(safe == NULL) {
  545. return NULL;
  546.     }
  547.     safe->poolp = asafe->poolp;
  548.     safe->old = asafe->old;
  549.     safe->swapUnicode = asafe->swapUnicode;
  551.     src = SEC_PKCS7GetContent(asafe->safe);
  552.     if(src != NULL) {
  553. const SEC_ASN1Template *theTemplate;
  554. if(asafe->old != PR_TRUE) {
  555.     theTemplate = SEC_PKCS12SafeContentsTemplate;
  556. } else {
  557.     theTemplate = SEC_PKCS12SafeContentsTemplate_OLD;
  558. }
  560. rv = SEC_ASN1DecodeItem(asafe->poolp, safe, theTemplate, src);
  562. /* if we could not decode the item, password was probably invalid */
  563. if(rv != SECSuccess) {
  564.     safe = NULL;
  565.     PORT_SetError(SEC_ERROR_PKCS12_PRIVACY_PASSWORD_INCORRECT);
  566. }
  567.     } else {
  568. PORT_SetError(SEC_ERROR_PKCS12_CORRUPT_PFX_STRUCTURE);
  569. rv = SECFailure;
  570.     }
  572.     return safe;
  573. }
  575. /* import PFX item 
  576.  * der_pfx is the der encoded pfx structure
  577.  * pbef and pbearg are the integrity/encryption password call back
  578.  * ncCall is the nickname collision calllback
  579.  * slot is the destination token
  580.  * wincx window handler
  581.  *
  582.  * on error, error code set and SECFailure returned 
  583.  */
  584. SECStatus
  585. SEC_PKCS12PutPFX(SECItem *der_pfx, SECItem *pwitem,
  586.  SEC_PKCS12NicknameCollisionCallback ncCall,
  587.  PK11SlotInfo *slot,
  588.  void *wincx)
  589. {
  590.     SEC_PKCS12PFXItem *pfx;
  591.     SEC_PKCS12AuthenticatedSafe *asafe;
  592.     SEC_PKCS12SafeContents *safe_contents = NULL;
  593.     SECStatus rv;
  595.     if(!der_pfx || !pwitem || !slot) {
  596. return SECFailure;
  597.     }
  599.     /* decode and validate each section */
  600.     rv = SECFailure;
  602.     pfx = sec_pkcs12_get_pfx(der_pfx, pwitem);
  603.     if(pfx != NULL) {
  604. asafe = sec_pkcs12_get_auth_safe(pfx);
  605. if(asafe != NULL) {
  607.     /* decrypt safe -- only if not empty */
  608.     if(asafe->emptySafe != PR_TRUE) {
  609. rv = sec_pkcs12_decrypt_auth_safe(asafe, pwitem, wincx);
  610. if(rv == SECSuccess) {
  611.     safe_contents = sec_pkcs12_get_safe_contents(asafe);
  612.     if(safe_contents == NULL) {
  613. rv = SECFailure;
  614.     }
  615. }
  616.     } else {
  617. safe_contents = sec_pkcs12_create_safe_contents(asafe->poolp);
  618. safe_contents->swapUnicode = pfx->swapUnicode;
  619. if(safe_contents == NULL) {
  620.     rv = SECFailure;
  621. } else {
  622.     rv = SECSuccess;
  623. }
  624.     }
  626.     /* get safe contents and begin import */
  627.     if(rv == SECSuccess) {
  628. SEC_PKCS12DecoderContext *p12dcx;
  630. p12dcx = sec_PKCS12ConvertOldSafeToNew(pfx->poolp, slot,
  631. pfx->swapUnicode,
  632. pwitem, wincx, safe_contents,
  633. &asafe->baggage);
  634. if(!p12dcx) {
  635.     rv = SECFailure;
  636.     goto loser;
  637. }
  639. if(SEC_PKCS12DecoderValidateBags(p12dcx, ncCall) 
  640. != SECSuccess) {
  641.     rv = SECFailure;
  642.     goto loser;
  643. }
  645. rv = SEC_PKCS12DecoderImportBags(p12dcx);
  646.     }
  648. }
  649.     }
  651. loser:
  653.     if(pfx) {
  654. SEC_PKCS12DestroyPFX(pfx);
  655.     }
  657.     return rv;
  658. }
  660. PRBool 
  661. SEC_PKCS12ValidData(char *buf, int bufLen, long int totalLength)
  662. {
  663.     int lengthLength;
  665.     PRBool valid = PR_FALSE;
  667.     if(buf == NULL) {
  668. return PR_FALSE;
  669.     }
  671.     /* check for constructed sequence identifier tag */
  672.     if(*buf == (SEC_ASN1_CONSTRUCTED | SEC_ASN1_SEQUENCE)) {
  673. totalLength--;   /* header byte taken care of */
  674. buf++;
  676. lengthLength = (long int)SEC_ASN1LengthLength(totalLength - 1);
  677. if(totalLength > 0x7f) {
  678.     lengthLength--;
  679.     *buf &= 0x7f;  /* remove bit 8 indicator */
  680.     if((*buf - (char)lengthLength) == 0) {
  681. valid = PR_TRUE;
  682.     }
  683. } else {
  684.     lengthLength--;
  685.     if((*buf - (char)lengthLength) == 0) {
  686. valid = PR_TRUE;
  687.     }
  688. }
  689.     }
  691.     return valid;
  692. }