Branch data Line data Source code
1 : : // Copyright (c) 2019 The Bitcoin Core developers
2 : : // Distributed under the MIT software license, see the accompanying
3 : : // file COPYING or http://www.opensource.org/licenses/mit-license.php.
4 : :
5 : : #include <crypto/common.h>
6 : : #include <crypto/poly1305.h>
7 : :
8 : : #include <string.h>
9 : :
10 : : namespace poly1305_donna {
11 : :
12 : : // Based on the public domain implementation by Andrew Moon
13 : : // poly1305-donna-32.h from https://github.com/floodyberry/poly1305-donna
14 : :
15 : 1460837 : void poly1305_init(poly1305_context *st, const unsigned char key[32]) noexcept {
16 : : /* r &= 0xffffffc0ffffffc0ffffffc0fffffff */
17 : 1460837 : st->r[0] = (ReadLE32(&key[ 0]) ) & 0x3ffffff;
18 : 1460837 : st->r[1] = (ReadLE32(&key[ 3]) >> 2) & 0x3ffff03;
19 : 1460837 : st->r[2] = (ReadLE32(&key[ 6]) >> 4) & 0x3ffc0ff;
20 : 1460837 : st->r[3] = (ReadLE32(&key[ 9]) >> 6) & 0x3f03fff;
21 : 1460837 : st->r[4] = (ReadLE32(&key[12]) >> 8) & 0x00fffff;
22 : :
23 : : /* h = 0 */
24 : 1460837 : st->h[0] = 0;
25 : 1460837 : st->h[1] = 0;
26 : 1460837 : st->h[2] = 0;
27 : 1460837 : st->h[3] = 0;
28 : 1460837 : st->h[4] = 0;
29 : :
30 : : /* save pad for later */
31 : 1460837 : st->pad[0] = ReadLE32(&key[16]);
32 : 1460837 : st->pad[1] = ReadLE32(&key[20]);
33 : 1460837 : st->pad[2] = ReadLE32(&key[24]);
34 : 1460837 : st->pad[3] = ReadLE32(&key[28]);
35 : :
36 : 1460837 : st->leftover = 0;
37 : 1460837 : st->final = 0;
38 : 1460837 : }
39 : :
40 : 1805677 : static void poly1305_blocks(poly1305_context *st, const unsigned char *m, size_t bytes) noexcept {
41 [ + + ]: 1805677 : const uint32_t hibit = (st->final) ? 0 : (1UL << 24); /* 1 << 128 */
42 : 1805677 : uint32_t r0,r1,r2,r3,r4;
43 : 1805677 : uint32_t s1,s2,s3,s4;
44 : 1805677 : uint32_t h0,h1,h2,h3,h4;
45 : 1805677 : uint64_t d0,d1,d2,d3,d4;
46 : 1805677 : uint32_t c;
47 : :
48 : 1805677 : r0 = st->r[0];
49 : 1805677 : r1 = st->r[1];
50 : 1805677 : r2 = st->r[2];
51 : 1805677 : r3 = st->r[3];
52 : 1805677 : r4 = st->r[4];
53 : :
54 : 1805677 : s1 = r1 * 5;
55 : 1805677 : s2 = r2 * 5;
56 : 1805677 : s3 = r3 * 5;
57 : 1805677 : s4 = r4 * 5;
58 : :
59 : 1805677 : h0 = st->h[0];
60 : 1805677 : h1 = st->h[1];
61 : 1805677 : h2 = st->h[2];
62 : 1805677 : h3 = st->h[3];
63 : 1805677 : h4 = st->h[4];
64 : :
65 [ + + ]: 44377721 : while (bytes >= POLY1305_BLOCK_SIZE) {
66 : : /* h += m[i] */
67 : 42572044 : h0 += (ReadLE32(m+ 0) ) & 0x3ffffff;
68 : 42572044 : h1 += (ReadLE32(m+ 3) >> 2) & 0x3ffffff;
69 : 42572044 : h2 += (ReadLE32(m+ 6) >> 4) & 0x3ffffff;
70 : 42572044 : h3 += (ReadLE32(m+ 9) >> 6) & 0x3ffffff;
71 : 42572044 : h4 += (ReadLE32(m+12) >> 8) | hibit;
72 : :
73 : : /* h *= r */
74 : 42572044 : d0 = ((uint64_t)h0 * r0) + ((uint64_t)h1 * s4) + ((uint64_t)h2 * s3) + ((uint64_t)h3 * s2) + ((uint64_t)h4 * s1);
75 : 42572044 : d1 = ((uint64_t)h0 * r1) + ((uint64_t)h1 * r0) + ((uint64_t)h2 * s4) + ((uint64_t)h3 * s3) + ((uint64_t)h4 * s2);
76 : 42572044 : d2 = ((uint64_t)h0 * r2) + ((uint64_t)h1 * r1) + ((uint64_t)h2 * r0) + ((uint64_t)h3 * s4) + ((uint64_t)h4 * s3);
77 : 42572044 : d3 = ((uint64_t)h0 * r3) + ((uint64_t)h1 * r2) + ((uint64_t)h2 * r1) + ((uint64_t)h3 * r0) + ((uint64_t)h4 * s4);
78 : 42572044 : d4 = ((uint64_t)h0 * r4) + ((uint64_t)h1 * r3) + ((uint64_t)h2 * r2) + ((uint64_t)h3 * r1) + ((uint64_t)h4 * r0);
79 : :
80 : : /* (partial) h %= p */
81 : 42572044 : c = (uint32_t)(d0 >> 26); h0 = (uint32_t)d0 & 0x3ffffff;
82 : 42572044 : d1 += c; c = (uint32_t)(d1 >> 26); h1 = (uint32_t)d1 & 0x3ffffff;
83 : 42572044 : d2 += c; c = (uint32_t)(d2 >> 26); h2 = (uint32_t)d2 & 0x3ffffff;
84 : 42572044 : d3 += c; c = (uint32_t)(d3 >> 26); h3 = (uint32_t)d3 & 0x3ffffff;
85 : 42572044 : d4 += c; c = (uint32_t)(d4 >> 26); h4 = (uint32_t)d4 & 0x3ffffff;
86 : 42572044 : h0 += c * 5; c = (h0 >> 26); h0 = h0 & 0x3ffffff;
87 : 42572044 : h1 += c;
88 : :
89 : 42572044 : m += POLY1305_BLOCK_SIZE;
90 : 42572044 : bytes -= POLY1305_BLOCK_SIZE;
91 : : }
92 : :
93 : 1805677 : st->h[0] = h0;
94 : 1805677 : st->h[1] = h1;
95 : 1805677 : st->h[2] = h2;
96 : 1805677 : st->h[3] = h3;
97 : 1805677 : st->h[4] = h4;
98 : 1805677 : }
99 : :
100 : 1460837 : void poly1305_finish(poly1305_context *st, unsigned char mac[16]) noexcept {
101 : 1460837 : uint32_t h0,h1,h2,h3,h4,c;
102 : 1460837 : uint32_t g0,g1,g2,g3,g4;
103 : 1460837 : uint64_t f;
104 : 1460837 : uint32_t mask;
105 : :
106 : : /* process the remaining block */
107 [ + + ]: 1460837 : if (st->leftover) {
108 : 947 : size_t i = st->leftover;
109 : 947 : st->buffer[i++] = 1;
110 [ + + ]: 7374 : for (; i < POLY1305_BLOCK_SIZE; i++) {
111 : 6427 : st->buffer[i] = 0;
112 : : }
113 : 947 : st->final = 1;
114 : 947 : poly1305_blocks(st, st->buffer, POLY1305_BLOCK_SIZE);
115 : : }
116 : :
117 : : /* fully carry h */
118 : 1460837 : h0 = st->h[0];
119 : 1460837 : h1 = st->h[1];
120 : 1460837 : h2 = st->h[2];
121 : 1460837 : h3 = st->h[3];
122 : 1460837 : h4 = st->h[4];
123 : :
124 : 1460837 : c = h1 >> 26; h1 = h1 & 0x3ffffff;
125 : 1460837 : h2 += c; c = h2 >> 26; h2 = h2 & 0x3ffffff;
126 : 1460837 : h3 += c; c = h3 >> 26; h3 = h3 & 0x3ffffff;
127 : 1460837 : h4 += c; c = h4 >> 26; h4 = h4 & 0x3ffffff;
128 : 1460837 : h0 += c * 5; c = h0 >> 26; h0 = h0 & 0x3ffffff;
129 : 1460837 : h1 += c;
130 : :
131 : : /* compute h + -p */
132 : 1460837 : g0 = h0 + 5; c = g0 >> 26; g0 &= 0x3ffffff;
133 : 1460837 : g1 = h1 + c; c = g1 >> 26; g1 &= 0x3ffffff;
134 : 1460837 : g2 = h2 + c; c = g2 >> 26; g2 &= 0x3ffffff;
135 : 1460837 : g3 = h3 + c; c = g3 >> 26; g3 &= 0x3ffffff;
136 : 1460837 : g4 = h4 + c - (1UL << 26);
137 : :
138 : : /* select h if h < p, or h + -p if h >= p */
139 : 1460837 : mask = (g4 >> ((sizeof(uint32_t) * 8) - 1)) - 1;
140 : 1460837 : g0 &= mask;
141 : 1460837 : g1 &= mask;
142 : 1460837 : g2 &= mask;
143 : 1460837 : g3 &= mask;
144 : 1460837 : g4 &= mask;
145 : 1460837 : mask = ~mask;
146 : 1460837 : h0 = (h0 & mask) | g0;
147 : 1460837 : h1 = (h1 & mask) | g1;
148 : 1460837 : h2 = (h2 & mask) | g2;
149 : 1460837 : h3 = (h3 & mask) | g3;
150 : 1460837 : h4 = (h4 & mask) | g4;
151 : :
152 : : /* h = h % (2^128) */
153 : 1460837 : h0 = ((h0 ) | (h1 << 26)) & 0xffffffff;
154 : 1460837 : h1 = ((h1 >> 6) | (h2 << 20)) & 0xffffffff;
155 : 1460837 : h2 = ((h2 >> 12) | (h3 << 14)) & 0xffffffff;
156 : 1460837 : h3 = ((h3 >> 18) | (h4 << 8)) & 0xffffffff;
157 : :
158 : : /* mac = (h + pad) % (2^128) */
159 : 1460837 : f = (uint64_t)h0 + st->pad[0] ; h0 = (uint32_t)f;
160 : 1460837 : f = (uint64_t)h1 + st->pad[1] + (f >> 32); h1 = (uint32_t)f;
161 : 1460837 : f = (uint64_t)h2 + st->pad[2] + (f >> 32); h2 = (uint32_t)f;
162 : 1460837 : f = (uint64_t)h3 + st->pad[3] + (f >> 32); h3 = (uint32_t)f;
163 : :
164 : 1460837 : WriteLE32(mac + 0, h0);
165 : 1460837 : WriteLE32(mac + 4, h1);
166 : 1460837 : WriteLE32(mac + 8, h2);
167 : 1460837 : WriteLE32(mac + 12, h3);
168 : :
169 : : /* zero out the state */
170 : 1460837 : st->h[0] = 0;
171 : 1460837 : st->h[1] = 0;
172 : 1460837 : st->h[2] = 0;
173 : 1460837 : st->h[3] = 0;
174 : 1460837 : st->h[4] = 0;
175 : 1460837 : st->r[0] = 0;
176 : 1460837 : st->r[1] = 0;
177 : 1460837 : st->r[2] = 0;
178 : 1460837 : st->r[3] = 0;
179 : 1460837 : st->r[4] = 0;
180 : 1460837 : st->pad[0] = 0;
181 : 1460837 : st->pad[1] = 0;
182 : 1460837 : st->pad[2] = 0;
183 : 1460837 : st->pad[3] = 0;
184 : 1460837 : }
185 : :
186 : 7304102 : void poly1305_update(poly1305_context *st, const unsigned char *m, size_t bytes) noexcept {
187 : 7304102 : size_t i;
188 : :
189 : : /* handle leftover */
190 [ + + ]: 7304102 : if (st->leftover) {
191 : 248271 : size_t want = (POLY1305_BLOCK_SIZE - st->leftover);
192 [ + + ]: 248271 : if (want > bytes) {
193 : 2880 : want = bytes;
194 : : }
195 [ + + ]: 3264741 : for (i = 0; i < want; i++) {
196 : 3016470 : st->buffer[st->leftover + i] = m[i];
197 : : }
198 : 248271 : bytes -= want;
199 : 248271 : m += want;
200 : 248271 : st->leftover += want;
201 [ + + ]: 248271 : if (st->leftover < POLY1305_BLOCK_SIZE) return;
202 : 245391 : poly1305_blocks(st, st->buffer, POLY1305_BLOCK_SIZE);
203 : 245391 : st->leftover = 0;
204 : : }
205 : :
206 : : /* process full blocks */
207 [ + + ]: 7301222 : if (bytes >= POLY1305_BLOCK_SIZE) {
208 : 1559339 : size_t want = (bytes & ~(POLY1305_BLOCK_SIZE - 1));
209 : 1559339 : poly1305_blocks(st, m, want);
210 : 1559339 : m += want;
211 : 1559339 : bytes -= want;
212 : : }
213 : :
214 : : /* store leftover */
215 [ + + ]: 7301222 : if (bytes) {
216 [ + + ]: 1163902 : for (i = 0; i < bytes; i++) {
217 : 917564 : st->buffer[st->leftover + i] = m[i];
218 : : }
219 : 246338 : st->leftover += bytes;
220 : : }
221 : : }
222 : :
223 : : } // namespace poly1305_donna
|
