Merge branch '2020-09-16-assorted-fixes'
[platform/kernel/u-boot.git] / lib / sha256.c
1 // SPDX-License-Identifier: GPL-2.0+
2 /*
3  * FIPS-180-2 compliant SHA-256 implementation
4  *
5  * Copyright (C) 2001-2003  Christophe Devine
6  */
7
8 #ifndef USE_HOSTCC
9 #include <common.h>
10 #include <linux/string.h>
11 #else
12 #include <string.h>
13 #endif /* USE_HOSTCC */
14 #include <watchdog.h>
15 #include <u-boot/sha256.h>
16
17 const uint8_t sha256_der_prefix[SHA256_DER_LEN] = {
18         0x30, 0x31, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86,
19         0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x01, 0x05,
20         0x00, 0x04, 0x20
21 };
22
23 /*
24  * 32-bit integer manipulation macros (big endian)
25  */
26 #ifndef GET_UINT32_BE
27 #define GET_UINT32_BE(n,b,i) {                          \
28         (n) = ( (unsigned long) (b)[(i)    ] << 24 )    \
29             | ( (unsigned long) (b)[(i) + 1] << 16 )    \
30             | ( (unsigned long) (b)[(i) + 2] <<  8 )    \
31             | ( (unsigned long) (b)[(i) + 3]       );   \
32 }
33 #endif
34 #ifndef PUT_UINT32_BE
35 #define PUT_UINT32_BE(n,b,i) {                          \
36         (b)[(i)    ] = (unsigned char) ( (n) >> 24 );   \
37         (b)[(i) + 1] = (unsigned char) ( (n) >> 16 );   \
38         (b)[(i) + 2] = (unsigned char) ( (n) >>  8 );   \
39         (b)[(i) + 3] = (unsigned char) ( (n)       );   \
40 }
41 #endif
42
43 void sha256_starts(sha256_context * ctx)
44 {
45         ctx->total[0] = 0;
46         ctx->total[1] = 0;
47
48         ctx->state[0] = 0x6A09E667;
49         ctx->state[1] = 0xBB67AE85;
50         ctx->state[2] = 0x3C6EF372;
51         ctx->state[3] = 0xA54FF53A;
52         ctx->state[4] = 0x510E527F;
53         ctx->state[5] = 0x9B05688C;
54         ctx->state[6] = 0x1F83D9AB;
55         ctx->state[7] = 0x5BE0CD19;
56 }
57
58 static void sha256_process(sha256_context *ctx, const uint8_t data[64])
59 {
60         uint32_t temp1, temp2;
61         uint32_t W[64];
62         uint32_t A, B, C, D, E, F, G, H;
63
64         GET_UINT32_BE(W[0], data, 0);
65         GET_UINT32_BE(W[1], data, 4);
66         GET_UINT32_BE(W[2], data, 8);
67         GET_UINT32_BE(W[3], data, 12);
68         GET_UINT32_BE(W[4], data, 16);
69         GET_UINT32_BE(W[5], data, 20);
70         GET_UINT32_BE(W[6], data, 24);
71         GET_UINT32_BE(W[7], data, 28);
72         GET_UINT32_BE(W[8], data, 32);
73         GET_UINT32_BE(W[9], data, 36);
74         GET_UINT32_BE(W[10], data, 40);
75         GET_UINT32_BE(W[11], data, 44);
76         GET_UINT32_BE(W[12], data, 48);
77         GET_UINT32_BE(W[13], data, 52);
78         GET_UINT32_BE(W[14], data, 56);
79         GET_UINT32_BE(W[15], data, 60);
80
81 #define SHR(x,n) ((x & 0xFFFFFFFF) >> n)
82 #define ROTR(x,n) (SHR(x,n) | (x << (32 - n)))
83
84 #define S0(x) (ROTR(x, 7) ^ ROTR(x,18) ^ SHR(x, 3))
85 #define S1(x) (ROTR(x,17) ^ ROTR(x,19) ^ SHR(x,10))
86
87 #define S2(x) (ROTR(x, 2) ^ ROTR(x,13) ^ ROTR(x,22))
88 #define S3(x) (ROTR(x, 6) ^ ROTR(x,11) ^ ROTR(x,25))
89
90 #define F0(x,y,z) ((x & y) | (z & (x | y)))
91 #define F1(x,y,z) (z ^ (x & (y ^ z)))
92
93 #define R(t)                                    \
94 (                                               \
95         W[t] = S1(W[t - 2]) + W[t - 7] +        \
96                 S0(W[t - 15]) + W[t - 16]       \
97 )
98
99 #define P(a,b,c,d,e,f,g,h,x,K) {                \
100         temp1 = h + S3(e) + F1(e,f,g) + K + x;  \
101         temp2 = S2(a) + F0(a,b,c);              \
102         d += temp1; h = temp1 + temp2;          \
103 }
104
105         A = ctx->state[0];
106         B = ctx->state[1];
107         C = ctx->state[2];
108         D = ctx->state[3];
109         E = ctx->state[4];
110         F = ctx->state[5];
111         G = ctx->state[6];
112         H = ctx->state[7];
113
114         P(A, B, C, D, E, F, G, H, W[0], 0x428A2F98);
115         P(H, A, B, C, D, E, F, G, W[1], 0x71374491);
116         P(G, H, A, B, C, D, E, F, W[2], 0xB5C0FBCF);
117         P(F, G, H, A, B, C, D, E, W[3], 0xE9B5DBA5);
118         P(E, F, G, H, A, B, C, D, W[4], 0x3956C25B);
119         P(D, E, F, G, H, A, B, C, W[5], 0x59F111F1);
120         P(C, D, E, F, G, H, A, B, W[6], 0x923F82A4);
121         P(B, C, D, E, F, G, H, A, W[7], 0xAB1C5ED5);
122         P(A, B, C, D, E, F, G, H, W[8], 0xD807AA98);
123         P(H, A, B, C, D, E, F, G, W[9], 0x12835B01);
124         P(G, H, A, B, C, D, E, F, W[10], 0x243185BE);
125         P(F, G, H, A, B, C, D, E, W[11], 0x550C7DC3);
126         P(E, F, G, H, A, B, C, D, W[12], 0x72BE5D74);
127         P(D, E, F, G, H, A, B, C, W[13], 0x80DEB1FE);
128         P(C, D, E, F, G, H, A, B, W[14], 0x9BDC06A7);
129         P(B, C, D, E, F, G, H, A, W[15], 0xC19BF174);
130         P(A, B, C, D, E, F, G, H, R(16), 0xE49B69C1);
131         P(H, A, B, C, D, E, F, G, R(17), 0xEFBE4786);
132         P(G, H, A, B, C, D, E, F, R(18), 0x0FC19DC6);
133         P(F, G, H, A, B, C, D, E, R(19), 0x240CA1CC);
134         P(E, F, G, H, A, B, C, D, R(20), 0x2DE92C6F);
135         P(D, E, F, G, H, A, B, C, R(21), 0x4A7484AA);
136         P(C, D, E, F, G, H, A, B, R(22), 0x5CB0A9DC);
137         P(B, C, D, E, F, G, H, A, R(23), 0x76F988DA);
138         P(A, B, C, D, E, F, G, H, R(24), 0x983E5152);
139         P(H, A, B, C, D, E, F, G, R(25), 0xA831C66D);
140         P(G, H, A, B, C, D, E, F, R(26), 0xB00327C8);
141         P(F, G, H, A, B, C, D, E, R(27), 0xBF597FC7);
142         P(E, F, G, H, A, B, C, D, R(28), 0xC6E00BF3);
143         P(D, E, F, G, H, A, B, C, R(29), 0xD5A79147);
144         P(C, D, E, F, G, H, A, B, R(30), 0x06CA6351);
145         P(B, C, D, E, F, G, H, A, R(31), 0x14292967);
146         P(A, B, C, D, E, F, G, H, R(32), 0x27B70A85);
147         P(H, A, B, C, D, E, F, G, R(33), 0x2E1B2138);
148         P(G, H, A, B, C, D, E, F, R(34), 0x4D2C6DFC);
149         P(F, G, H, A, B, C, D, E, R(35), 0x53380D13);
150         P(E, F, G, H, A, B, C, D, R(36), 0x650A7354);
151         P(D, E, F, G, H, A, B, C, R(37), 0x766A0ABB);
152         P(C, D, E, F, G, H, A, B, R(38), 0x81C2C92E);
153         P(B, C, D, E, F, G, H, A, R(39), 0x92722C85);
154         P(A, B, C, D, E, F, G, H, R(40), 0xA2BFE8A1);
155         P(H, A, B, C, D, E, F, G, R(41), 0xA81A664B);
156         P(G, H, A, B, C, D, E, F, R(42), 0xC24B8B70);
157         P(F, G, H, A, B, C, D, E, R(43), 0xC76C51A3);
158         P(E, F, G, H, A, B, C, D, R(44), 0xD192E819);
159         P(D, E, F, G, H, A, B, C, R(45), 0xD6990624);
160         P(C, D, E, F, G, H, A, B, R(46), 0xF40E3585);
161         P(B, C, D, E, F, G, H, A, R(47), 0x106AA070);
162         P(A, B, C, D, E, F, G, H, R(48), 0x19A4C116);
163         P(H, A, B, C, D, E, F, G, R(49), 0x1E376C08);
164         P(G, H, A, B, C, D, E, F, R(50), 0x2748774C);
165         P(F, G, H, A, B, C, D, E, R(51), 0x34B0BCB5);
166         P(E, F, G, H, A, B, C, D, R(52), 0x391C0CB3);
167         P(D, E, F, G, H, A, B, C, R(53), 0x4ED8AA4A);
168         P(C, D, E, F, G, H, A, B, R(54), 0x5B9CCA4F);
169         P(B, C, D, E, F, G, H, A, R(55), 0x682E6FF3);
170         P(A, B, C, D, E, F, G, H, R(56), 0x748F82EE);
171         P(H, A, B, C, D, E, F, G, R(57), 0x78A5636F);
172         P(G, H, A, B, C, D, E, F, R(58), 0x84C87814);
173         P(F, G, H, A, B, C, D, E, R(59), 0x8CC70208);
174         P(E, F, G, H, A, B, C, D, R(60), 0x90BEFFFA);
175         P(D, E, F, G, H, A, B, C, R(61), 0xA4506CEB);
176         P(C, D, E, F, G, H, A, B, R(62), 0xBEF9A3F7);
177         P(B, C, D, E, F, G, H, A, R(63), 0xC67178F2);
178
179         ctx->state[0] += A;
180         ctx->state[1] += B;
181         ctx->state[2] += C;
182         ctx->state[3] += D;
183         ctx->state[4] += E;
184         ctx->state[5] += F;
185         ctx->state[6] += G;
186         ctx->state[7] += H;
187 }
188
189 void sha256_update(sha256_context *ctx, const uint8_t *input, uint32_t length)
190 {
191         uint32_t left, fill;
192
193         if (!length)
194                 return;
195
196         left = ctx->total[0] & 0x3F;
197         fill = 64 - left;
198
199         ctx->total[0] += length;
200         ctx->total[0] &= 0xFFFFFFFF;
201
202         if (ctx->total[0] < length)
203                 ctx->total[1]++;
204
205         if (left && length >= fill) {
206                 memcpy((void *) (ctx->buffer + left), (void *) input, fill);
207                 sha256_process(ctx, ctx->buffer);
208                 length -= fill;
209                 input += fill;
210                 left = 0;
211         }
212
213         while (length >= 64) {
214                 sha256_process(ctx, input);
215                 length -= 64;
216                 input += 64;
217         }
218
219         if (length)
220                 memcpy((void *) (ctx->buffer + left), (void *) input, length);
221 }
222
223 static uint8_t sha256_padding[64] = {
224         0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
225            0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
226            0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
227            0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0
228 };
229
230 void sha256_finish(sha256_context * ctx, uint8_t digest[32])
231 {
232         uint32_t last, padn;
233         uint32_t high, low;
234         uint8_t msglen[8];
235
236         high = ((ctx->total[0] >> 29)
237                 | (ctx->total[1] << 3));
238         low = (ctx->total[0] << 3);
239
240         PUT_UINT32_BE(high, msglen, 0);
241         PUT_UINT32_BE(low, msglen, 4);
242
243         last = ctx->total[0] & 0x3F;
244         padn = (last < 56) ? (56 - last) : (120 - last);
245
246         sha256_update(ctx, sha256_padding, padn);
247         sha256_update(ctx, msglen, 8);
248
249         PUT_UINT32_BE(ctx->state[0], digest, 0);
250         PUT_UINT32_BE(ctx->state[1], digest, 4);
251         PUT_UINT32_BE(ctx->state[2], digest, 8);
252         PUT_UINT32_BE(ctx->state[3], digest, 12);
253         PUT_UINT32_BE(ctx->state[4], digest, 16);
254         PUT_UINT32_BE(ctx->state[5], digest, 20);
255         PUT_UINT32_BE(ctx->state[6], digest, 24);
256         PUT_UINT32_BE(ctx->state[7], digest, 28);
257 }
258
259 /*
260  * Output = SHA-256( input buffer ). Trigger the watchdog every 'chunk_sz'
261  * bytes of input processed.
262  */
263 void sha256_csum_wd(const unsigned char *input, unsigned int ilen,
264                 unsigned char *output, unsigned int chunk_sz)
265 {
266         sha256_context ctx;
267 #if defined(CONFIG_HW_WATCHDOG) || defined(CONFIG_WATCHDOG)
268         const unsigned char *end;
269         unsigned char *curr;
270         int chunk;
271 #endif
272
273         sha256_starts(&ctx);
274
275 #if defined(CONFIG_HW_WATCHDOG) || defined(CONFIG_WATCHDOG)
276         curr = (unsigned char *)input;
277         end = input + ilen;
278         while (curr < end) {
279                 chunk = end - curr;
280                 if (chunk > chunk_sz)
281                         chunk = chunk_sz;
282                 sha256_update(&ctx, curr, chunk);
283                 curr += chunk;
284                 WATCHDOG_RESET();
285         }
286 #else
287         sha256_update(&ctx, input, ilen);
288 #endif
289
290         sha256_finish(&ctx, output);
291 }