]> Cypherpunks.ru repositories - nncp.git/blob - src/pkt.go
projects / nncp.git / blob
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
AD for AEAD
[nncp.git] / src / pkt.go
1 /*
2 NNCP -- Node to Node copy, utilities for store-and-forward data exchange
3 Copyright (C) 2016-2021 Sergey Matveev <stargrave@stargrave.org>
4
5 This program is free software: you can redistribute it and/or modify
6 it under the terms of the GNU General Public License as published by
7 the Free Software Foundation, version 3 of the License.
8
9 This program is distributed in the hope that it will be useful,
10 but WITHOUT ANY WARRANTY; without even the implied warranty of
11 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
12 GNU General Public License for more details.
13
14 You should have received a copy of the GNU General Public License
15 along with this program.  If not, see <http://www.gnu.org/licenses/>.
16 */
17
18 package nncp
19
20 import (
21         "bytes"
22         "crypto/cipher"
23         "crypto/rand"
24         "encoding/binary"
25         "errors"
26         "io"
27
28         xdr "github.com/davecgh/go-xdr/xdr2"
29         "golang.org/x/crypto/chacha20poly1305"
30         "golang.org/x/crypto/curve25519"
31         "golang.org/x/crypto/ed25519"
32         "golang.org/x/crypto/nacl/box"
33         "golang.org/x/crypto/poly1305"
34         "lukechampine.com/blake3"
35 )
36
37 type PktType uint8
38
39 const (
40         EncBlkSize = 128 * (1 << 10)
41
42         PktTypeFile    PktType = iota
43         PktTypeFreq    PktType = iota
44         PktTypeExec    PktType = iota
45         PktTypeTrns    PktType = iota
46         PktTypeExecFat PktType = iota
47
48         MaxPathSize = 1<<8 - 1
49
50         NNCPBundlePrefix = "NNCP"
51
52         PktSizeOverhead = 8 + poly1305.TagSize
53 )
54
55 var (
56         MagicNNCPPv3 [8]byte = [8]byte{'N', 'N', 'C', 'P', 'P', 0, 0, 3}
57         MagicNNCPEv5 [8]byte = [8]byte{'N', 'N', 'C', 'P', 'E', 0, 0, 5}
58         BadMagic     error   = errors.New("Unknown magic number")
59         BadPktType   error   = errors.New("Unknown packet type")
60
61         PktOverhead    int64
62         PktEncOverhead int64
63 )
64
65 type Pkt struct {
66         Magic   [8]byte
67         Type    PktType
68         Nice    uint8
69         PathLen uint8
70         Path    [MaxPathSize]byte
71 }
72
73 type PktTbs struct {
74         Magic     [8]byte
75         Nice      uint8
76         Sender    *NodeId
77         Recipient *NodeId
78         ExchPub   [32]byte
79 }
80
81 type PktEnc struct {
82         Magic     [8]byte
83         Nice      uint8
84         Sender    *NodeId
85         Recipient *NodeId
86         ExchPub   [32]byte
87         Sign      [ed25519.SignatureSize]byte
88 }
89
90 func init() {
91         pkt := Pkt{Type: PktTypeFile}
92         var buf bytes.Buffer
93         n, err := xdr.Marshal(&buf, pkt)
94         if err != nil {
95                 panic(err)
96         }
97         PktOverhead = int64(n)
98         buf.Reset()
99
100         dummyId, err := NodeIdFromString("AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA")
101         if err != nil {
102                 panic(err)
103         }
104         pktEnc := PktEnc{
105                 Magic:     MagicNNCPEv5,
106                 Sender:    dummyId,
107                 Recipient: dummyId,
108         }
109         n, err = xdr.Marshal(&buf, pktEnc)
110         if err != nil {
111                 panic(err)
112         }
113         PktEncOverhead = int64(n)
114 }
115
116 func NewPkt(typ PktType, nice uint8, path []byte) (*Pkt, error) {
117         if len(path) > MaxPathSize {
118                 return nil, errors.New("Too long path")
119         }
120         pkt := Pkt{
121                 Magic:   MagicNNCPPv3,
122                 Type:    typ,
123                 Nice:    nice,
124                 PathLen: uint8(len(path)),
125         }
126         copy(pkt.Path[:], path)
127         return &pkt, nil
128 }
129
130 func ctrIncr(b []byte) {
131         for i := len(b) - 1; i >= 0; i-- {
132                 b[i]++
133                 if b[i] != 0 {
134                         return
135                 }
136         }
137         panic("counter overflow")
138 }
139
140 func aeadProcess(
141         aead cipher.AEAD,
142         nonce, ad []byte,
143         doEncrypt bool,
144         r io.Reader,
145         w io.Writer,
146 ) (int, error) {
147         ciphCtr := nonce[len(nonce)-8:]
148         buf := make([]byte, EncBlkSize+aead.Overhead())
149         var toRead []byte
150         var toWrite []byte
151         var n int
152         var readBytes int
153         var err error
154         if doEncrypt {
155                 toRead = buf[:EncBlkSize]
156         } else {
157                 toRead = buf
158         }
159         for {
160                 n, err = io.ReadFull(r, toRead)
161                 if err != nil {
162                         if err == io.EOF {
163                                 break
164                         }
165                         if err != io.ErrUnexpectedEOF {
166                                 return readBytes + n, err
167                         }
168                 }
169                 readBytes += n
170                 ctrIncr(ciphCtr)
171                 if doEncrypt {
172                         toWrite = aead.Seal(buf[:0], nonce, buf[:n], ad)
173                 } else {
174                         toWrite, err = aead.Open(buf[:0], nonce, buf[:n], ad)
175                         if err != nil {
176                                 return readBytes, err
177                         }
178                 }
179                 if _, err = w.Write(toWrite); err != nil {
180                         return readBytes, err
181                 }
182         }
183         return readBytes, nil
184 }
185
186 func sizeWithTags(size int64) (fullSize int64) {
187         fullSize = size + (size/EncBlkSize)*poly1305.TagSize
188         if size%EncBlkSize != 0 {
189                 fullSize += poly1305.TagSize
190         }
191         return
192 }
193
194 func PktEncWrite(
195         our *NodeOur,
196         their *Node,
197         pkt *Pkt,
198         nice uint8,
199         size, padSize int64,
200         data io.Reader,
201         out io.Writer,
202 ) ([]byte, error) {
203         pubEph, prvEph, err := box.GenerateKey(rand.Reader)
204         if err != nil {
205                 return nil, err
206         }
207         var pktBuf bytes.Buffer
208         if _, err := xdr.Marshal(&pktBuf, pkt); err != nil {
209                 return nil, err
210         }
211         tbs := PktTbs{
212                 Magic:     MagicNNCPEv5,
213                 Nice:      nice,
214                 Sender:    our.Id,
215                 Recipient: their.Id,
216                 ExchPub:   *pubEph,
217         }
218         var tbsBuf bytes.Buffer
219         if _, err = xdr.Marshal(&tbsBuf, &tbs); err != nil {
220                 return nil, err
221         }
222         signature := new([ed25519.SignatureSize]byte)
223         copy(signature[:], ed25519.Sign(our.SignPrv, tbsBuf.Bytes()))
224         pktEnc := PktEnc{
225                 Magic:     MagicNNCPEv5,
226                 Nice:      nice,
227                 Sender:    our.Id,
228                 Recipient: their.Id,
229                 ExchPub:   *pubEph,
230                 Sign:      *signature,
231         }
232         ad := blake3.Sum256(tbsBuf.Bytes())
233         tbsBuf.Reset()
234         if _, err = xdr.Marshal(&tbsBuf, &pktEnc); err != nil {
235                 return nil, err
236         }
237         pktEncRaw := tbsBuf.Bytes()
238         if _, err = out.Write(pktEncRaw); err != nil {
239                 return nil, err
240         }
241         sharedKey := new([32]byte)
242         curve25519.ScalarMult(sharedKey, prvEph, their.ExchPub)
243
244         key := make([]byte, chacha20poly1305.KeySize)
245         blake3.DeriveKey(key, string(MagicNNCPEv5[:]), sharedKey[:])
246         aead, err := chacha20poly1305.New(key)
247         if err != nil {
248                 return nil, err
249         }
250         nonce := make([]byte, aead.NonceSize())
251
252         fullSize := pktBuf.Len() + int(size)
253         sizeBuf := make([]byte, 8+aead.Overhead())
254         binary.BigEndian.PutUint64(sizeBuf, uint64(sizeWithTags(int64(fullSize))))
255         if _, err = out.Write(aead.Seal(sizeBuf[:0], nonce, sizeBuf[:8], ad[:])); err != nil {
256                 return nil, err
257         }
258
259         lr := io.LimitedReader{R: data, N: size}
260         mr := io.MultiReader(&pktBuf, &lr)
261         written, err := aeadProcess(aead, nonce, ad[:], true, mr, out)
262         if err != nil {
263                 return nil, err
264         }
265         if written != fullSize {
266                 return nil, io.ErrUnexpectedEOF
267         }
268         if padSize > 0 {
269                 blake3.DeriveKey(key, string(MagicNNCPEv5[:])+" PAD", sharedKey[:])
270                 xof := blake3.New(32, key).XOF()
271                 if _, err = io.CopyN(out, xof, padSize); err != nil {
272                         return nil, err
273                 }
274         }
275         return pktEncRaw, nil
276 }
277
278 func TbsVerify(our *NodeOur, their *Node, pktEnc *PktEnc) ([]byte, bool, error) {
279         tbs := PktTbs{
280                 Magic:     MagicNNCPEv5,
281                 Nice:      pktEnc.Nice,
282                 Sender:    their.Id,
283                 Recipient: our.Id,
284                 ExchPub:   pktEnc.ExchPub,
285         }
286         var tbsBuf bytes.Buffer
287         if _, err := xdr.Marshal(&tbsBuf, &tbs); err != nil {
288                 return nil, false, err
289         }
290         return tbsBuf.Bytes(), ed25519.Verify(their.SignPub, tbsBuf.Bytes(), pktEnc.Sign[:]), nil
291 }
292
293 func PktEncRead(
294         our *NodeOur,
295         nodes map[NodeId]*Node,
296         data io.Reader,
297         out io.Writer,
298 ) (*Node, int64, error) {
299         var pktEnc PktEnc
300         _, err := xdr.Unmarshal(data, &pktEnc)
301         if err != nil {
302                 return nil, 0, err
303         }
304         if pktEnc.Magic != MagicNNCPEv5 {
305                 return nil, 0, BadMagic
306         }
307         their, known := nodes[*pktEnc.Sender]
308         if !known {
309                 return nil, 0, errors.New("Unknown sender")
310         }
311         if *pktEnc.Recipient != *our.Id {
312                 return nil, 0, errors.New("Invalid recipient")
313         }
314         tbsRaw, verified, err := TbsVerify(our, their, &pktEnc)
315         if err != nil {
316                 return nil, 0, err
317         }
318         if !verified {
319                 return their, 0, errors.New("Invalid signature")
320         }
321         ad := blake3.Sum256(tbsRaw)
322         sharedKey := new([32]byte)
323         curve25519.ScalarMult(sharedKey, our.ExchPrv, &pktEnc.ExchPub)
324
325         key := make([]byte, chacha20poly1305.KeySize)
326         blake3.DeriveKey(key, string(MagicNNCPEv5[:]), sharedKey[:])
327         aead, err := chacha20poly1305.New(key)
328         if err != nil {
329                 return their, 0, err
330         }
331         nonce := make([]byte, aead.NonceSize())
332
333         sizeBuf := make([]byte, 8+aead.Overhead())
334         if _, err = io.ReadFull(data, sizeBuf); err != nil {
335                 return their, 0, err
336         }
337         sizeBuf, err = aead.Open(sizeBuf[:0], nonce, sizeBuf, ad[:])
338         if err != nil {
339                 return their, 0, err
340         }
341         size := int64(binary.BigEndian.Uint64(sizeBuf))
342
343         lr := io.LimitedReader{R: data, N: size}
344         written, err := aeadProcess(aead, nonce, ad[:], false, &lr, out)
345         if err != nil {
346                 return their, int64(written), err
347         }
348         if written != int(size) {
349                 return their, int64(written), io.ErrUnexpectedEOF
350         }
351         return their, size, nil
352 }
Node to Node copy