1*c6672fdcSEdison Ai // SPDX-License-Identifier: Apache-2.0 2817466cbSJens Wiklander /* 3817466cbSJens Wiklander * NIST SP800-38C compliant CCM implementation 4817466cbSJens Wiklander * 5817466cbSJens Wiklander * Copyright (C) 2006-2015, ARM Limited, All Rights Reserved 6817466cbSJens Wiklander * 7817466cbSJens Wiklander * Licensed under the Apache License, Version 2.0 (the "License"); you may 8817466cbSJens Wiklander * not use this file except in compliance with the License. 9817466cbSJens Wiklander * You may obtain a copy of the License at 10817466cbSJens Wiklander * 11817466cbSJens Wiklander * http://www.apache.org/licenses/LICENSE-2.0 12817466cbSJens Wiklander * 13817466cbSJens Wiklander * Unless required by applicable law or agreed to in writing, software 14817466cbSJens Wiklander * distributed under the License is distributed on an "AS IS" BASIS, WITHOUT 15817466cbSJens Wiklander * WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 16817466cbSJens Wiklander * See the License for the specific language governing permissions and 17817466cbSJens Wiklander * limitations under the License. 18817466cbSJens Wiklander * 19817466cbSJens Wiklander * This file is part of mbed TLS (https://tls.mbed.org) 20817466cbSJens Wiklander */ 21817466cbSJens Wiklander 22817466cbSJens Wiklander /* 23817466cbSJens Wiklander * Definition of CCM: 24817466cbSJens Wiklander * http://csrc.nist.gov/publications/nistpubs/800-38C/SP800-38C_updated-July20_2007.pdf 25817466cbSJens Wiklander * RFC 3610 "Counter with CBC-MAC (CCM)" 26817466cbSJens Wiklander * 27817466cbSJens Wiklander * Related: 28817466cbSJens Wiklander * RFC 5116 "An Interface and Algorithms for Authenticated Encryption" 29817466cbSJens Wiklander */ 30817466cbSJens Wiklander 31817466cbSJens Wiklander #if !defined(MBEDTLS_CONFIG_FILE) 32817466cbSJens Wiklander #include "mbedtls/config.h" 33817466cbSJens Wiklander #else 34817466cbSJens Wiklander #include MBEDTLS_CONFIG_FILE 35817466cbSJens Wiklander #endif 36817466cbSJens Wiklander 37817466cbSJens Wiklander #if defined(MBEDTLS_CCM_C) 38817466cbSJens Wiklander 39817466cbSJens Wiklander #include "mbedtls/ccm.h" 40817466cbSJens Wiklander 41817466cbSJens Wiklander #include <string.h> 42817466cbSJens Wiklander 43817466cbSJens Wiklander #if defined(MBEDTLS_SELF_TEST) && defined(MBEDTLS_AES_C) 44817466cbSJens Wiklander #if defined(MBEDTLS_PLATFORM_C) 45817466cbSJens Wiklander #include "mbedtls/platform.h" 46817466cbSJens Wiklander #else 47817466cbSJens Wiklander #include <stdio.h> 48817466cbSJens Wiklander #define mbedtls_printf printf 49817466cbSJens Wiklander #endif /* MBEDTLS_PLATFORM_C */ 50817466cbSJens Wiklander #endif /* MBEDTLS_SELF_TEST && MBEDTLS_AES_C */ 51817466cbSJens Wiklander 52817466cbSJens Wiklander /* Implementation that should never be optimized out by the compiler */ 53817466cbSJens Wiklander static void mbedtls_zeroize( void *v, size_t n ) { 54817466cbSJens Wiklander volatile unsigned char *p = (unsigned char*)v; while( n-- ) *p++ = 0; 55817466cbSJens Wiklander } 56817466cbSJens Wiklander 57817466cbSJens Wiklander #define CCM_ENCRYPT 0 58817466cbSJens Wiklander #define CCM_DECRYPT 1 59817466cbSJens Wiklander 60817466cbSJens Wiklander /* 61817466cbSJens Wiklander * Initialize context 62817466cbSJens Wiklander */ 63817466cbSJens Wiklander void mbedtls_ccm_init( mbedtls_ccm_context *ctx ) 64817466cbSJens Wiklander { 65817466cbSJens Wiklander memset( ctx, 0, sizeof( mbedtls_ccm_context ) ); 66817466cbSJens Wiklander } 67817466cbSJens Wiklander 68817466cbSJens Wiklander int mbedtls_ccm_setkey( mbedtls_ccm_context *ctx, 69817466cbSJens Wiklander mbedtls_cipher_id_t cipher, 70817466cbSJens Wiklander const unsigned char *key, 71817466cbSJens Wiklander unsigned int keybits ) 72817466cbSJens Wiklander { 73817466cbSJens Wiklander int ret; 74817466cbSJens Wiklander const mbedtls_cipher_info_t *cipher_info; 75817466cbSJens Wiklander 76817466cbSJens Wiklander cipher_info = mbedtls_cipher_info_from_values( cipher, keybits, MBEDTLS_MODE_ECB ); 77817466cbSJens Wiklander if( cipher_info == NULL ) 78817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 79817466cbSJens Wiklander 80817466cbSJens Wiklander if( cipher_info->block_size != 16 ) 81817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 82817466cbSJens Wiklander 83817466cbSJens Wiklander mbedtls_cipher_free( &ctx->cipher_ctx ); 84817466cbSJens Wiklander 85817466cbSJens Wiklander if( ( ret = mbedtls_cipher_setup( &ctx->cipher_ctx, cipher_info ) ) != 0 ) 86817466cbSJens Wiklander return( ret ); 87817466cbSJens Wiklander 88817466cbSJens Wiklander if( ( ret = mbedtls_cipher_setkey( &ctx->cipher_ctx, key, keybits, 89817466cbSJens Wiklander MBEDTLS_ENCRYPT ) ) != 0 ) 90817466cbSJens Wiklander { 91817466cbSJens Wiklander return( ret ); 92817466cbSJens Wiklander } 93817466cbSJens Wiklander 94817466cbSJens Wiklander return( 0 ); 95817466cbSJens Wiklander } 96817466cbSJens Wiklander 97817466cbSJens Wiklander /* 98817466cbSJens Wiklander * Free context 99817466cbSJens Wiklander */ 100817466cbSJens Wiklander void mbedtls_ccm_free( mbedtls_ccm_context *ctx ) 101817466cbSJens Wiklander { 102817466cbSJens Wiklander mbedtls_cipher_free( &ctx->cipher_ctx ); 103817466cbSJens Wiklander mbedtls_zeroize( ctx, sizeof( mbedtls_ccm_context ) ); 104817466cbSJens Wiklander } 105817466cbSJens Wiklander 106817466cbSJens Wiklander /* 107817466cbSJens Wiklander * Macros for common operations. 108817466cbSJens Wiklander * Results in smaller compiled code than static inline functions. 109817466cbSJens Wiklander */ 110817466cbSJens Wiklander 111817466cbSJens Wiklander /* 112817466cbSJens Wiklander * Update the CBC-MAC state in y using a block in b 113817466cbSJens Wiklander * (Always using b as the source helps the compiler optimise a bit better.) 114817466cbSJens Wiklander */ 115817466cbSJens Wiklander #define UPDATE_CBC_MAC \ 116817466cbSJens Wiklander for( i = 0; i < 16; i++ ) \ 117817466cbSJens Wiklander y[i] ^= b[i]; \ 118817466cbSJens Wiklander \ 119817466cbSJens Wiklander if( ( ret = mbedtls_cipher_update( &ctx->cipher_ctx, y, 16, y, &olen ) ) != 0 ) \ 120817466cbSJens Wiklander return( ret ); 121817466cbSJens Wiklander 122817466cbSJens Wiklander /* 123817466cbSJens Wiklander * Encrypt or decrypt a partial block with CTR 124817466cbSJens Wiklander * Warning: using b for temporary storage! src and dst must not be b! 125817466cbSJens Wiklander * This avoids allocating one more 16 bytes buffer while allowing src == dst. 126817466cbSJens Wiklander */ 127817466cbSJens Wiklander #define CTR_CRYPT( dst, src, len ) \ 128817466cbSJens Wiklander if( ( ret = mbedtls_cipher_update( &ctx->cipher_ctx, ctr, 16, b, &olen ) ) != 0 ) \ 129817466cbSJens Wiklander return( ret ); \ 130817466cbSJens Wiklander \ 131817466cbSJens Wiklander for( i = 0; i < len; i++ ) \ 132817466cbSJens Wiklander dst[i] = src[i] ^ b[i]; 133817466cbSJens Wiklander 134817466cbSJens Wiklander /* 135817466cbSJens Wiklander * Authenticated encryption or decryption 136817466cbSJens Wiklander */ 137817466cbSJens Wiklander static int ccm_auth_crypt( mbedtls_ccm_context *ctx, int mode, size_t length, 138817466cbSJens Wiklander const unsigned char *iv, size_t iv_len, 139817466cbSJens Wiklander const unsigned char *add, size_t add_len, 140817466cbSJens Wiklander const unsigned char *input, unsigned char *output, 141817466cbSJens Wiklander unsigned char *tag, size_t tag_len ) 142817466cbSJens Wiklander { 143817466cbSJens Wiklander int ret; 144817466cbSJens Wiklander unsigned char i; 145817466cbSJens Wiklander unsigned char q; 146817466cbSJens Wiklander size_t len_left, olen; 147817466cbSJens Wiklander unsigned char b[16]; 148817466cbSJens Wiklander unsigned char y[16]; 149817466cbSJens Wiklander unsigned char ctr[16]; 150817466cbSJens Wiklander const unsigned char *src; 151817466cbSJens Wiklander unsigned char *dst; 152817466cbSJens Wiklander 153817466cbSJens Wiklander /* 154817466cbSJens Wiklander * Check length requirements: SP800-38C A.1 155817466cbSJens Wiklander * Additional requirement: a < 2^16 - 2^8 to simplify the code. 156817466cbSJens Wiklander * 'length' checked later (when writing it to the first block) 157817466cbSJens Wiklander */ 158817466cbSJens Wiklander if( tag_len < 4 || tag_len > 16 || tag_len % 2 != 0 ) 159817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 160817466cbSJens Wiklander 161817466cbSJens Wiklander /* Also implies q is within bounds */ 162817466cbSJens Wiklander if( iv_len < 7 || iv_len > 13 ) 163817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 164817466cbSJens Wiklander 165817466cbSJens Wiklander if( add_len > 0xFF00 ) 166817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 167817466cbSJens Wiklander 168817466cbSJens Wiklander q = 16 - 1 - (unsigned char) iv_len; 169817466cbSJens Wiklander 170817466cbSJens Wiklander /* 171817466cbSJens Wiklander * First block B_0: 172817466cbSJens Wiklander * 0 .. 0 flags 173817466cbSJens Wiklander * 1 .. iv_len nonce (aka iv) 174817466cbSJens Wiklander * iv_len+1 .. 15 length 175817466cbSJens Wiklander * 176817466cbSJens Wiklander * With flags as (bits): 177817466cbSJens Wiklander * 7 0 178817466cbSJens Wiklander * 6 add present? 179817466cbSJens Wiklander * 5 .. 3 (t - 2) / 2 180817466cbSJens Wiklander * 2 .. 0 q - 1 181817466cbSJens Wiklander */ 182817466cbSJens Wiklander b[0] = 0; 183817466cbSJens Wiklander b[0] |= ( add_len > 0 ) << 6; 184817466cbSJens Wiklander b[0] |= ( ( tag_len - 2 ) / 2 ) << 3; 185817466cbSJens Wiklander b[0] |= q - 1; 186817466cbSJens Wiklander 187817466cbSJens Wiklander memcpy( b + 1, iv, iv_len ); 188817466cbSJens Wiklander 189817466cbSJens Wiklander for( i = 0, len_left = length; i < q; i++, len_left >>= 8 ) 190817466cbSJens Wiklander b[15-i] = (unsigned char)( len_left & 0xFF ); 191817466cbSJens Wiklander 192817466cbSJens Wiklander if( len_left > 0 ) 193817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_BAD_INPUT ); 194817466cbSJens Wiklander 195817466cbSJens Wiklander 196817466cbSJens Wiklander /* Start CBC-MAC with first block */ 197817466cbSJens Wiklander memset( y, 0, 16 ); 198817466cbSJens Wiklander UPDATE_CBC_MAC; 199817466cbSJens Wiklander 200817466cbSJens Wiklander /* 201817466cbSJens Wiklander * If there is additional data, update CBC-MAC with 202817466cbSJens Wiklander * add_len, add, 0 (padding to a block boundary) 203817466cbSJens Wiklander */ 204817466cbSJens Wiklander if( add_len > 0 ) 205817466cbSJens Wiklander { 206817466cbSJens Wiklander size_t use_len; 207817466cbSJens Wiklander len_left = add_len; 208817466cbSJens Wiklander src = add; 209817466cbSJens Wiklander 210817466cbSJens Wiklander memset( b, 0, 16 ); 211817466cbSJens Wiklander b[0] = (unsigned char)( ( add_len >> 8 ) & 0xFF ); 212817466cbSJens Wiklander b[1] = (unsigned char)( ( add_len ) & 0xFF ); 213817466cbSJens Wiklander 214817466cbSJens Wiklander use_len = len_left < 16 - 2 ? len_left : 16 - 2; 215817466cbSJens Wiklander memcpy( b + 2, src, use_len ); 216817466cbSJens Wiklander len_left -= use_len; 217817466cbSJens Wiklander src += use_len; 218817466cbSJens Wiklander 219817466cbSJens Wiklander UPDATE_CBC_MAC; 220817466cbSJens Wiklander 221817466cbSJens Wiklander while( len_left > 0 ) 222817466cbSJens Wiklander { 223817466cbSJens Wiklander use_len = len_left > 16 ? 16 : len_left; 224817466cbSJens Wiklander 225817466cbSJens Wiklander memset( b, 0, 16 ); 226817466cbSJens Wiklander memcpy( b, src, use_len ); 227817466cbSJens Wiklander UPDATE_CBC_MAC; 228817466cbSJens Wiklander 229817466cbSJens Wiklander len_left -= use_len; 230817466cbSJens Wiklander src += use_len; 231817466cbSJens Wiklander } 232817466cbSJens Wiklander } 233817466cbSJens Wiklander 234817466cbSJens Wiklander /* 235817466cbSJens Wiklander * Prepare counter block for encryption: 236817466cbSJens Wiklander * 0 .. 0 flags 237817466cbSJens Wiklander * 1 .. iv_len nonce (aka iv) 238817466cbSJens Wiklander * iv_len+1 .. 15 counter (initially 1) 239817466cbSJens Wiklander * 240817466cbSJens Wiklander * With flags as (bits): 241817466cbSJens Wiklander * 7 .. 3 0 242817466cbSJens Wiklander * 2 .. 0 q - 1 243817466cbSJens Wiklander */ 244817466cbSJens Wiklander ctr[0] = q - 1; 245817466cbSJens Wiklander memcpy( ctr + 1, iv, iv_len ); 246817466cbSJens Wiklander memset( ctr + 1 + iv_len, 0, q ); 247817466cbSJens Wiklander ctr[15] = 1; 248817466cbSJens Wiklander 249817466cbSJens Wiklander /* 250817466cbSJens Wiklander * Authenticate and {en,de}crypt the message. 251817466cbSJens Wiklander * 252817466cbSJens Wiklander * The only difference between encryption and decryption is 253817466cbSJens Wiklander * the respective order of authentication and {en,de}cryption. 254817466cbSJens Wiklander */ 255817466cbSJens Wiklander len_left = length; 256817466cbSJens Wiklander src = input; 257817466cbSJens Wiklander dst = output; 258817466cbSJens Wiklander 259817466cbSJens Wiklander while( len_left > 0 ) 260817466cbSJens Wiklander { 261817466cbSJens Wiklander size_t use_len = len_left > 16 ? 16 : len_left; 262817466cbSJens Wiklander 263817466cbSJens Wiklander if( mode == CCM_ENCRYPT ) 264817466cbSJens Wiklander { 265817466cbSJens Wiklander memset( b, 0, 16 ); 266817466cbSJens Wiklander memcpy( b, src, use_len ); 267817466cbSJens Wiklander UPDATE_CBC_MAC; 268817466cbSJens Wiklander } 269817466cbSJens Wiklander 270817466cbSJens Wiklander CTR_CRYPT( dst, src, use_len ); 271817466cbSJens Wiklander 272817466cbSJens Wiklander if( mode == CCM_DECRYPT ) 273817466cbSJens Wiklander { 274817466cbSJens Wiklander memset( b, 0, 16 ); 275817466cbSJens Wiklander memcpy( b, dst, use_len ); 276817466cbSJens Wiklander UPDATE_CBC_MAC; 277817466cbSJens Wiklander } 278817466cbSJens Wiklander 279817466cbSJens Wiklander dst += use_len; 280817466cbSJens Wiklander src += use_len; 281817466cbSJens Wiklander len_left -= use_len; 282817466cbSJens Wiklander 283817466cbSJens Wiklander /* 284817466cbSJens Wiklander * Increment counter. 285817466cbSJens Wiklander * No need to check for overflow thanks to the length check above. 286817466cbSJens Wiklander */ 287817466cbSJens Wiklander for( i = 0; i < q; i++ ) 288817466cbSJens Wiklander if( ++ctr[15-i] != 0 ) 289817466cbSJens Wiklander break; 290817466cbSJens Wiklander } 291817466cbSJens Wiklander 292817466cbSJens Wiklander /* 293817466cbSJens Wiklander * Authentication: reset counter and crypt/mask internal tag 294817466cbSJens Wiklander */ 295817466cbSJens Wiklander for( i = 0; i < q; i++ ) 296817466cbSJens Wiklander ctr[15-i] = 0; 297817466cbSJens Wiklander 298817466cbSJens Wiklander CTR_CRYPT( y, y, 16 ); 299817466cbSJens Wiklander memcpy( tag, y, tag_len ); 300817466cbSJens Wiklander 301817466cbSJens Wiklander return( 0 ); 302817466cbSJens Wiklander } 303817466cbSJens Wiklander 304817466cbSJens Wiklander /* 305817466cbSJens Wiklander * Authenticated encryption 306817466cbSJens Wiklander */ 307817466cbSJens Wiklander int mbedtls_ccm_encrypt_and_tag( mbedtls_ccm_context *ctx, size_t length, 308817466cbSJens Wiklander const unsigned char *iv, size_t iv_len, 309817466cbSJens Wiklander const unsigned char *add, size_t add_len, 310817466cbSJens Wiklander const unsigned char *input, unsigned char *output, 311817466cbSJens Wiklander unsigned char *tag, size_t tag_len ) 312817466cbSJens Wiklander { 313817466cbSJens Wiklander return( ccm_auth_crypt( ctx, CCM_ENCRYPT, length, iv, iv_len, 314817466cbSJens Wiklander add, add_len, input, output, tag, tag_len ) ); 315817466cbSJens Wiklander } 316817466cbSJens Wiklander 317817466cbSJens Wiklander /* 318817466cbSJens Wiklander * Authenticated decryption 319817466cbSJens Wiklander */ 320817466cbSJens Wiklander int mbedtls_ccm_auth_decrypt( mbedtls_ccm_context *ctx, size_t length, 321817466cbSJens Wiklander const unsigned char *iv, size_t iv_len, 322817466cbSJens Wiklander const unsigned char *add, size_t add_len, 323817466cbSJens Wiklander const unsigned char *input, unsigned char *output, 324817466cbSJens Wiklander const unsigned char *tag, size_t tag_len ) 325817466cbSJens Wiklander { 326817466cbSJens Wiklander int ret; 327817466cbSJens Wiklander unsigned char check_tag[16]; 328817466cbSJens Wiklander unsigned char i; 329817466cbSJens Wiklander int diff; 330817466cbSJens Wiklander 331817466cbSJens Wiklander if( ( ret = ccm_auth_crypt( ctx, CCM_DECRYPT, length, 332817466cbSJens Wiklander iv, iv_len, add, add_len, 333817466cbSJens Wiklander input, output, check_tag, tag_len ) ) != 0 ) 334817466cbSJens Wiklander { 335817466cbSJens Wiklander return( ret ); 336817466cbSJens Wiklander } 337817466cbSJens Wiklander 338817466cbSJens Wiklander /* Check tag in "constant-time" */ 339817466cbSJens Wiklander for( diff = 0, i = 0; i < tag_len; i++ ) 340817466cbSJens Wiklander diff |= tag[i] ^ check_tag[i]; 341817466cbSJens Wiklander 342817466cbSJens Wiklander if( diff != 0 ) 343817466cbSJens Wiklander { 344817466cbSJens Wiklander mbedtls_zeroize( output, length ); 345817466cbSJens Wiklander return( MBEDTLS_ERR_CCM_AUTH_FAILED ); 346817466cbSJens Wiklander } 347817466cbSJens Wiklander 348817466cbSJens Wiklander return( 0 ); 349817466cbSJens Wiklander } 350817466cbSJens Wiklander 351817466cbSJens Wiklander 352817466cbSJens Wiklander #if defined(MBEDTLS_SELF_TEST) && defined(MBEDTLS_AES_C) 353817466cbSJens Wiklander /* 354817466cbSJens Wiklander * Examples 1 to 3 from SP800-38C Appendix C 355817466cbSJens Wiklander */ 356817466cbSJens Wiklander 357817466cbSJens Wiklander #define NB_TESTS 3 358817466cbSJens Wiklander 359817466cbSJens Wiklander /* 360817466cbSJens Wiklander * The data is the same for all tests, only the used length changes 361817466cbSJens Wiklander */ 362817466cbSJens Wiklander static const unsigned char key[] = { 363817466cbSJens Wiklander 0x40, 0x41, 0x42, 0x43, 0x44, 0x45, 0x46, 0x47, 364817466cbSJens Wiklander 0x48, 0x49, 0x4a, 0x4b, 0x4c, 0x4d, 0x4e, 0x4f 365817466cbSJens Wiklander }; 366817466cbSJens Wiklander 367817466cbSJens Wiklander static const unsigned char iv[] = { 368817466cbSJens Wiklander 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, 0x17, 369817466cbSJens Wiklander 0x18, 0x19, 0x1a, 0x1b 370817466cbSJens Wiklander }; 371817466cbSJens Wiklander 372817466cbSJens Wiklander static const unsigned char ad[] = { 373817466cbSJens Wiklander 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 374817466cbSJens Wiklander 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 375817466cbSJens Wiklander 0x10, 0x11, 0x12, 0x13 376817466cbSJens Wiklander }; 377817466cbSJens Wiklander 378817466cbSJens Wiklander static const unsigned char msg[] = { 379817466cbSJens Wiklander 0x20, 0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 380817466cbSJens Wiklander 0x28, 0x29, 0x2a, 0x2b, 0x2c, 0x2d, 0x2e, 0x2f, 381817466cbSJens Wiklander 0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 382817466cbSJens Wiklander }; 383817466cbSJens Wiklander 384817466cbSJens Wiklander static const size_t iv_len [NB_TESTS] = { 7, 8, 12 }; 385817466cbSJens Wiklander static const size_t add_len[NB_TESTS] = { 8, 16, 20 }; 386817466cbSJens Wiklander static const size_t msg_len[NB_TESTS] = { 4, 16, 24 }; 387817466cbSJens Wiklander static const size_t tag_len[NB_TESTS] = { 4, 6, 8 }; 388817466cbSJens Wiklander 389817466cbSJens Wiklander static const unsigned char res[NB_TESTS][32] = { 390817466cbSJens Wiklander { 0x71, 0x62, 0x01, 0x5b, 0x4d, 0xac, 0x25, 0x5d }, 391817466cbSJens Wiklander { 0xd2, 0xa1, 0xf0, 0xe0, 0x51, 0xea, 0x5f, 0x62, 392817466cbSJens Wiklander 0x08, 0x1a, 0x77, 0x92, 0x07, 0x3d, 0x59, 0x3d, 393817466cbSJens Wiklander 0x1f, 0xc6, 0x4f, 0xbf, 0xac, 0xcd }, 394817466cbSJens Wiklander { 0xe3, 0xb2, 0x01, 0xa9, 0xf5, 0xb7, 0x1a, 0x7a, 395817466cbSJens Wiklander 0x9b, 0x1c, 0xea, 0xec, 0xcd, 0x97, 0xe7, 0x0b, 396817466cbSJens Wiklander 0x61, 0x76, 0xaa, 0xd9, 0xa4, 0x42, 0x8a, 0xa5, 397817466cbSJens Wiklander 0x48, 0x43, 0x92, 0xfb, 0xc1, 0xb0, 0x99, 0x51 } 398817466cbSJens Wiklander }; 399817466cbSJens Wiklander 400817466cbSJens Wiklander int mbedtls_ccm_self_test( int verbose ) 401817466cbSJens Wiklander { 402817466cbSJens Wiklander mbedtls_ccm_context ctx; 403817466cbSJens Wiklander unsigned char out[32]; 404817466cbSJens Wiklander size_t i; 405817466cbSJens Wiklander int ret; 406817466cbSJens Wiklander 407817466cbSJens Wiklander mbedtls_ccm_init( &ctx ); 408817466cbSJens Wiklander 409817466cbSJens Wiklander if( mbedtls_ccm_setkey( &ctx, MBEDTLS_CIPHER_ID_AES, key, 8 * sizeof key ) != 0 ) 410817466cbSJens Wiklander { 411817466cbSJens Wiklander if( verbose != 0 ) 412817466cbSJens Wiklander mbedtls_printf( " CCM: setup failed" ); 413817466cbSJens Wiklander 414817466cbSJens Wiklander return( 1 ); 415817466cbSJens Wiklander } 416817466cbSJens Wiklander 417817466cbSJens Wiklander for( i = 0; i < NB_TESTS; i++ ) 418817466cbSJens Wiklander { 419817466cbSJens Wiklander if( verbose != 0 ) 420817466cbSJens Wiklander mbedtls_printf( " CCM-AES #%u: ", (unsigned int) i + 1 ); 421817466cbSJens Wiklander 422817466cbSJens Wiklander ret = mbedtls_ccm_encrypt_and_tag( &ctx, msg_len[i], 423817466cbSJens Wiklander iv, iv_len[i], ad, add_len[i], 424817466cbSJens Wiklander msg, out, 425817466cbSJens Wiklander out + msg_len[i], tag_len[i] ); 426817466cbSJens Wiklander 427817466cbSJens Wiklander if( ret != 0 || 428817466cbSJens Wiklander memcmp( out, res[i], msg_len[i] + tag_len[i] ) != 0 ) 429817466cbSJens Wiklander { 430817466cbSJens Wiklander if( verbose != 0 ) 431817466cbSJens Wiklander mbedtls_printf( "failed\n" ); 432817466cbSJens Wiklander 433817466cbSJens Wiklander return( 1 ); 434817466cbSJens Wiklander } 435817466cbSJens Wiklander 436817466cbSJens Wiklander ret = mbedtls_ccm_auth_decrypt( &ctx, msg_len[i], 437817466cbSJens Wiklander iv, iv_len[i], ad, add_len[i], 438817466cbSJens Wiklander res[i], out, 439817466cbSJens Wiklander res[i] + msg_len[i], tag_len[i] ); 440817466cbSJens Wiklander 441817466cbSJens Wiklander if( ret != 0 || 442817466cbSJens Wiklander memcmp( out, msg, msg_len[i] ) != 0 ) 443817466cbSJens Wiklander { 444817466cbSJens Wiklander if( verbose != 0 ) 445817466cbSJens Wiklander mbedtls_printf( "failed\n" ); 446817466cbSJens Wiklander 447817466cbSJens Wiklander return( 1 ); 448817466cbSJens Wiklander } 449817466cbSJens Wiklander 450817466cbSJens Wiklander if( verbose != 0 ) 451817466cbSJens Wiklander mbedtls_printf( "passed\n" ); 452817466cbSJens Wiklander } 453817466cbSJens Wiklander 454817466cbSJens Wiklander mbedtls_ccm_free( &ctx ); 455817466cbSJens Wiklander 456817466cbSJens Wiklander if( verbose != 0 ) 457817466cbSJens Wiklander mbedtls_printf( "\n" ); 458817466cbSJens Wiklander 459817466cbSJens Wiklander return( 0 ); 460817466cbSJens Wiklander } 461817466cbSJens Wiklander 462817466cbSJens Wiklander #endif /* MBEDTLS_SELF_TEST && MBEDTLS_AES_C */ 463817466cbSJens Wiklander 464817466cbSJens Wiklander #endif /* MBEDTLS_CCM_C */ 465