datapath: Mega flow implementation
[sliver-openvswitch.git] / lib / stream-ssl.c
1 /*
2  * Copyright (c) 2008, 2009, 2010, 2011, 2012, 2013 Nicira, Inc.
3  *
4  * Licensed under the Apache License, Version 2.0 (the "License");
5  * you may not use this file except in compliance with the License.
6  * You may obtain a copy of the License at:
7  *
8  *     http://www.apache.org/licenses/LICENSE-2.0
9  *
10  * Unless required by applicable law or agreed to in writing, software
11  * distributed under the License is distributed on an "AS IS" BASIS,
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13  * See the License for the specific language governing permissions and
14  * limitations under the License.
15  */
16
17 #include <config.h>
18 #include "stream-ssl.h"
19 #include "dhparams.h"
20 #include <ctype.h>
21 #include <errno.h>
22 #include <inttypes.h>
23 #include <string.h>
24 #include <sys/types.h>
25 #include <sys/socket.h>
26 #include <netinet/tcp.h>
27 #include <openssl/err.h>
28 #include <openssl/rand.h>
29 #include <openssl/ssl.h>
30 #include <openssl/x509v3.h>
31 #include <poll.h>
32 #include <sys/fcntl.h>
33 #include <sys/stat.h>
34 #include <unistd.h>
35 #include "coverage.h"
36 #include "dynamic-string.h"
37 #include "entropy.h"
38 #include "ofpbuf.h"
39 #include "openflow/openflow.h"
40 #include "packets.h"
41 #include "poll-loop.h"
42 #include "shash.h"
43 #include "socket-util.h"
44 #include "util.h"
45 #include "stream-provider.h"
46 #include "stream.h"
47 #include "timeval.h"
48 #include "vlog.h"
49
50 VLOG_DEFINE_THIS_MODULE(stream_ssl);
51
52 /* Active SSL. */
53
54 enum ssl_state {
55     STATE_TCP_CONNECTING,
56     STATE_SSL_CONNECTING
57 };
58
59 enum session_type {
60     CLIENT,
61     SERVER
62 };
63
64 struct ssl_stream
65 {
66     struct stream stream;
67     enum ssl_state state;
68     enum session_type type;
69     int fd;
70     SSL *ssl;
71     struct ofpbuf *txbuf;
72     unsigned int session_nr;
73
74     /* rx_want and tx_want record the result of the last call to SSL_read()
75      * and SSL_write(), respectively:
76      *
77      *    - If the call reported that data needed to be read from the file
78      *      descriptor, the corresponding member is set to SSL_READING.
79      *
80      *    - If the call reported that data needed to be written to the file
81      *      descriptor, the corresponding member is set to SSL_WRITING.
82      *
83      *    - Otherwise, the member is set to SSL_NOTHING, indicating that the
84      *      call completed successfully (or with an error) and that there is no
85      *      need to block.
86      *
87      * These are needed because there is no way to ask OpenSSL what a data read
88      * or write would require without giving it a buffer to receive into or
89      * data to send, respectively.  (Note that the SSL_want() status is
90      * overwritten by each SSL_read() or SSL_write() call, so we can't rely on
91      * its value.)
92      *
93      * A single call to SSL_read() or SSL_write() can perform both reading
94      * and writing and thus invalidate not one of these values but actually
95      * both.  Consider this situation, for example:
96      *
97      *    - SSL_write() blocks on a read, so tx_want gets SSL_READING.
98      *
99      *    - SSL_read() laters succeeds reading from 'fd' and clears out the
100      *      whole receive buffer, so rx_want gets SSL_READING.
101      *
102      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
103      *      and blocks.
104      *
105      *    - Now we're stuck blocking until the peer sends us data, even though
106      *      SSL_write() could now succeed, which could easily be a deadlock
107      *      condition.
108      *
109      * On the other hand, we can't reset both tx_want and rx_want on every call
110      * to SSL_read() or SSL_write(), because that would produce livelock,
111      * e.g. in this situation:
112      *
113      *    - SSL_write() blocks, so tx_want gets SSL_READING or SSL_WRITING.
114      *
115      *    - SSL_read() blocks, so rx_want gets SSL_READING or SSL_WRITING,
116      *      but tx_want gets reset to SSL_NOTHING.
117      *
118      *    - Client calls stream_wait(STREAM_RECV) and stream_wait(STREAM_SEND)
119      *      and blocks.
120      *
121      *    - Client wakes up immediately since SSL_NOTHING in tx_want indicates
122      *      that no blocking is necessary.
123      *
124      * The solution we adopt here is to set tx_want to SSL_NOTHING after
125      * calling SSL_read() only if the SSL state of the connection changed,
126      * which indicates that an SSL-level renegotiation made some progress, and
127      * similarly for rx_want and SSL_write().  This prevents both the
128      * deadlock and livelock situations above.
129      */
130     int rx_want, tx_want;
131
132     /* A few bytes of header data in case SSL negotiation fails. */
133     uint8_t head[2];
134     short int n_head;
135 };
136
137 /* SSL context created by ssl_init(). */
138 static SSL_CTX *ctx;
139
140 struct ssl_config_file {
141     bool read;                  /* Whether the file was successfully read. */
142     char *file_name;            /* Configured file name, if any. */
143     struct timespec mtime;      /* File mtime as of last time we read it. */
144 };
145
146 /* SSL configuration files. */
147 static struct ssl_config_file private_key;
148 static struct ssl_config_file certificate;
149 static struct ssl_config_file ca_cert;
150
151 /* Ordinarily, the SSL client and server verify each other's certificates using
152  * a CA certificate.  Setting this to false disables this behavior.  (This is a
153  * security risk.) */
154 static bool verify_peer_cert = true;
155
156 /* Ordinarily, we require a CA certificate for the peer to be locally
157  * available.  We can, however, bootstrap the CA certificate from the peer at
158  * the beginning of our first connection then use that certificate on all
159  * subsequent connections, saving it to a file for use in future runs also.  In
160  * this case, 'bootstrap_ca_cert' is true. */
161 static bool bootstrap_ca_cert;
162
163 /* Session number.  Used in debug logging messages to uniquely identify a
164  * session. */
165 static unsigned int next_session_nr;
166
167 /* Who knows what can trigger various SSL errors, so let's throttle them down
168  * quite a bit. */
169 static struct vlog_rate_limit rl = VLOG_RATE_LIMIT_INIT(10, 25);
170
171 static int ssl_init(void);
172 static int do_ssl_init(void);
173 static bool ssl_wants_io(int ssl_error);
174 static void ssl_close(struct stream *);
175 static void ssl_clear_txbuf(struct ssl_stream *);
176 static void interpret_queued_ssl_error(const char *function);
177 static int interpret_ssl_error(const char *function, int ret, int error,
178                                int *want);
179 static DH *tmp_dh_callback(SSL *ssl, int is_export OVS_UNUSED, int keylength);
180 static void log_ca_cert(const char *file_name, X509 *cert);
181 static void stream_ssl_set_ca_cert_file__(const char *file_name,
182                                           bool bootstrap, bool force);
183 static void ssl_protocol_cb(int write_p, int version, int content_type,
184                             const void *, size_t, SSL *, void *sslv_);
185 static bool update_ssl_config(struct ssl_config_file *, const char *file_name);
186
187 static short int
188 want_to_poll_events(int want)
189 {
190     switch (want) {
191     case SSL_NOTHING:
192         NOT_REACHED();
193
194     case SSL_READING:
195         return POLLIN;
196
197     case SSL_WRITING:
198         return POLLOUT;
199
200     default:
201         NOT_REACHED();
202     }
203 }
204
205 static int
206 new_ssl_stream(const char *name, int fd, enum session_type type,
207                enum ssl_state state, const struct sockaddr_in *remote,
208                struct stream **streamp)
209 {
210     struct sockaddr_in local;
211     socklen_t local_len = sizeof local;
212     struct ssl_stream *sslv;
213     SSL *ssl = NULL;
214     int on = 1;
215     int retval;
216
217     /* Check for all the needful configuration. */
218     retval = 0;
219     if (!private_key.read) {
220         VLOG_ERR("Private key must be configured to use SSL");
221         retval = ENOPROTOOPT;
222     }
223     if (!certificate.read) {
224         VLOG_ERR("Certificate must be configured to use SSL");
225         retval = ENOPROTOOPT;
226     }
227     if (!ca_cert.read && verify_peer_cert && !bootstrap_ca_cert) {
228         VLOG_ERR("CA certificate must be configured to use SSL");
229         retval = ENOPROTOOPT;
230     }
231     if (!retval && !SSL_CTX_check_private_key(ctx)) {
232         VLOG_ERR("Private key does not match certificate public key: %s",
233                  ERR_error_string(ERR_get_error(), NULL));
234         retval = ENOPROTOOPT;
235     }
236     if (retval) {
237         goto error;
238     }
239
240     /* Get the local IP and port information */
241     retval = getsockname(fd, (struct sockaddr *) &local, &local_len);
242     if (retval) {
243         memset(&local, 0, sizeof local);
244     }
245
246     /* Disable Nagle. */
247     retval = setsockopt(fd, IPPROTO_TCP, TCP_NODELAY, &on, sizeof on);
248     if (retval) {
249         VLOG_ERR("%s: setsockopt(TCP_NODELAY): %s", name, strerror(errno));
250         retval = errno;
251         goto error;
252     }
253
254     /* Create and configure OpenSSL stream. */
255     ssl = SSL_new(ctx);
256     if (ssl == NULL) {
257         VLOG_ERR("SSL_new: %s", ERR_error_string(ERR_get_error(), NULL));
258         retval = ENOPROTOOPT;
259         goto error;
260     }
261     if (SSL_set_fd(ssl, fd) == 0) {
262         VLOG_ERR("SSL_set_fd: %s", ERR_error_string(ERR_get_error(), NULL));
263         retval = ENOPROTOOPT;
264         goto error;
265     }
266     if (!verify_peer_cert || (bootstrap_ca_cert && type == CLIENT)) {
267         SSL_set_verify(ssl, SSL_VERIFY_NONE, NULL);
268     }
269
270     /* Create and return the ssl_stream. */
271     sslv = xmalloc(sizeof *sslv);
272     stream_init(&sslv->stream, &ssl_stream_class, EAGAIN, name);
273     stream_set_remote_ip(&sslv->stream, remote->sin_addr.s_addr);
274     stream_set_remote_port(&sslv->stream, remote->sin_port);
275     stream_set_local_ip(&sslv->stream, local.sin_addr.s_addr);
276     stream_set_local_port(&sslv->stream, local.sin_port);
277     sslv->state = state;
278     sslv->type = type;
279     sslv->fd = fd;
280     sslv->ssl = ssl;
281     sslv->txbuf = NULL;
282     sslv->rx_want = sslv->tx_want = SSL_NOTHING;
283     sslv->session_nr = next_session_nr++;
284     sslv->n_head = 0;
285
286     if (VLOG_IS_DBG_ENABLED()) {
287         SSL_set_msg_callback(ssl, ssl_protocol_cb);
288         SSL_set_msg_callback_arg(ssl, sslv);
289     }
290
291     *streamp = &sslv->stream;
292     return 0;
293
294 error:
295     if (ssl) {
296         SSL_free(ssl);
297     }
298     close(fd);
299     return retval;
300 }
301
302 static struct ssl_stream *
303 ssl_stream_cast(struct stream *stream)
304 {
305     stream_assert_class(stream, &ssl_stream_class);
306     return CONTAINER_OF(stream, struct ssl_stream, stream);
307 }
308
309 static int
310 ssl_open(const char *name, char *suffix, struct stream **streamp, uint8_t dscp)
311 {
312     struct sockaddr_in sin;
313     int error, fd;
314
315     error = ssl_init();
316     if (error) {
317         return error;
318     }
319
320     error = inet_open_active(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, &fd,
321                              dscp);
322     if (fd >= 0) {
323         int state = error ? STATE_TCP_CONNECTING : STATE_SSL_CONNECTING;
324         return new_ssl_stream(name, fd, CLIENT, state, &sin, streamp);
325     } else {
326         VLOG_ERR("%s: connect: %s", name, strerror(error));
327         return error;
328     }
329 }
330
331 static int
332 do_ca_cert_bootstrap(struct stream *stream)
333 {
334     struct ssl_stream *sslv = ssl_stream_cast(stream);
335     STACK_OF(X509) *chain;
336     X509 *cert;
337     FILE *file;
338     int error;
339     int fd;
340
341     chain = SSL_get_peer_cert_chain(sslv->ssl);
342     if (!chain || !sk_X509_num(chain)) {
343         VLOG_ERR("could not bootstrap CA cert: no certificate presented by "
344                  "peer");
345         return EPROTO;
346     }
347     cert = sk_X509_value(chain, sk_X509_num(chain) - 1);
348
349     /* Check that 'cert' is self-signed.  Otherwise it is not a CA
350      * certificate and we should not attempt to use it as one. */
351     error = X509_check_issued(cert, cert);
352     if (error) {
353         VLOG_ERR("could not bootstrap CA cert: obtained certificate is "
354                  "not self-signed (%s)",
355                  X509_verify_cert_error_string(error));
356         if (sk_X509_num(chain) < 2) {
357             VLOG_ERR("only one certificate was received, so probably the peer "
358                      "is not configured to send its CA certificate");
359         }
360         return EPROTO;
361     }
362
363     fd = open(ca_cert.file_name, O_CREAT | O_EXCL | O_WRONLY, 0444);
364     if (fd < 0) {
365         if (errno == EEXIST) {
366             VLOG_INFO_RL(&rl, "reading CA cert %s created by another process",
367                          ca_cert.file_name);
368             stream_ssl_set_ca_cert_file__(ca_cert.file_name, true, true);
369             return EPROTO;
370         } else {
371             VLOG_ERR("could not bootstrap CA cert: creating %s failed: %s",
372                      ca_cert.file_name, strerror(errno));
373             return errno;
374         }
375     }
376
377     file = fdopen(fd, "w");
378     if (!file) {
379         error = errno;
380         VLOG_ERR("could not bootstrap CA cert: fdopen failed: %s",
381                  strerror(error));
382         unlink(ca_cert.file_name);
383         return error;
384     }
385
386     if (!PEM_write_X509(file, cert)) {
387         VLOG_ERR("could not bootstrap CA cert: PEM_write_X509 to %s failed: "
388                  "%s", ca_cert.file_name,
389                  ERR_error_string(ERR_get_error(), NULL));
390         fclose(file);
391         unlink(ca_cert.file_name);
392         return EIO;
393     }
394
395     if (fclose(file)) {
396         error = errno;
397         VLOG_ERR("could not bootstrap CA cert: writing %s failed: %s",
398                  ca_cert.file_name, strerror(error));
399         unlink(ca_cert.file_name);
400         return error;
401     }
402
403     VLOG_INFO("successfully bootstrapped CA cert to %s", ca_cert.file_name);
404     log_ca_cert(ca_cert.file_name, cert);
405     bootstrap_ca_cert = false;
406     ca_cert.read = true;
407
408     /* SSL_CTX_add_client_CA makes a copy of cert's relevant data. */
409     SSL_CTX_add_client_CA(ctx, cert);
410
411     /* SSL_CTX_use_certificate() takes ownership of the certificate passed in.
412      * 'cert' is owned by sslv->ssl, so we need to duplicate it. */
413     cert = X509_dup(cert);
414     if (!cert) {
415         out_of_memory();
416     }
417     SSL_CTX_set_cert_store(ctx, X509_STORE_new());
418     if (SSL_CTX_load_verify_locations(ctx, ca_cert.file_name, NULL) != 1) {
419         VLOG_ERR("SSL_CTX_load_verify_locations: %s",
420                  ERR_error_string(ERR_get_error(), NULL));
421         return EPROTO;
422     }
423     VLOG_INFO("killing successful connection to retry using CA cert");
424     return EPROTO;
425 }
426
427 static int
428 ssl_connect(struct stream *stream)
429 {
430     struct ssl_stream *sslv = ssl_stream_cast(stream);
431     int retval;
432
433     switch (sslv->state) {
434     case STATE_TCP_CONNECTING:
435         retval = check_connection_completion(sslv->fd);
436         if (retval) {
437             return retval;
438         }
439         sslv->state = STATE_SSL_CONNECTING;
440         /* Fall through. */
441
442     case STATE_SSL_CONNECTING:
443         /* Capture the first few bytes of received data so that we can guess
444          * what kind of funny data we've been sent if SSL negotiation fails. */
445         if (sslv->n_head <= 0) {
446             sslv->n_head = recv(sslv->fd, sslv->head, sizeof sslv->head,
447                                 MSG_PEEK);
448         }
449
450         retval = (sslv->type == CLIENT
451                    ? SSL_connect(sslv->ssl) : SSL_accept(sslv->ssl));
452         if (retval != 1) {
453             int error = SSL_get_error(sslv->ssl, retval);
454             if (retval < 0 && ssl_wants_io(error)) {
455                 return EAGAIN;
456             } else {
457                 int unused;
458
459                 interpret_ssl_error((sslv->type == CLIENT ? "SSL_connect"
460                                      : "SSL_accept"), retval, error, &unused);
461                 shutdown(sslv->fd, SHUT_RDWR);
462                 stream_report_content(sslv->head, sslv->n_head, STREAM_SSL,
463                                       THIS_MODULE, stream_get_name(stream));
464                 return EPROTO;
465             }
466         } else if (bootstrap_ca_cert) {
467             return do_ca_cert_bootstrap(stream);
468         } else if (verify_peer_cert
469                    && ((SSL_get_verify_mode(sslv->ssl)
470                        & (SSL_VERIFY_NONE | SSL_VERIFY_PEER))
471                        != SSL_VERIFY_PEER)) {
472             /* Two or more SSL connections completed at the same time while we
473              * were in bootstrap mode.  Only one of these can finish the
474              * bootstrap successfully.  The other one(s) must be rejected
475              * because they were not verified against the bootstrapped CA
476              * certificate.  (Alternatively we could verify them against the CA
477              * certificate, but that's more trouble than it's worth.  These
478              * connections will succeed the next time they retry, assuming that
479              * they have a certificate against the correct CA.) */
480             VLOG_INFO("rejecting SSL connection during bootstrap race window");
481             return EPROTO;
482         } else {
483             return 0;
484         }
485     }
486
487     NOT_REACHED();
488 }
489
490 static void
491 ssl_close(struct stream *stream)
492 {
493     struct ssl_stream *sslv = ssl_stream_cast(stream);
494     ssl_clear_txbuf(sslv);
495
496     /* Attempt clean shutdown of the SSL connection.  This will work most of
497      * the time, as long as the kernel send buffer has some free space and the
498      * SSL connection isn't renegotiating, etc.  That has to be good enough,
499      * since we don't have any way to continue the close operation in the
500      * background. */
501     SSL_shutdown(sslv->ssl);
502
503     /* SSL_shutdown() might have signaled an error, in which case we need to
504      * flush it out of the OpenSSL error queue or the next OpenSSL operation
505      * will falsely signal an error. */
506     ERR_clear_error();
507
508     SSL_free(sslv->ssl);
509     close(sslv->fd);
510     free(sslv);
511 }
512
513 static void
514 interpret_queued_ssl_error(const char *function)
515 {
516     int queued_error = ERR_get_error();
517     if (queued_error != 0) {
518         VLOG_WARN_RL(&rl, "%s: %s",
519                      function, ERR_error_string(queued_error, NULL));
520     } else {
521         VLOG_ERR_RL(&rl, "%s: SSL_ERROR_SSL without queued error", function);
522     }
523 }
524
525 static int
526 interpret_ssl_error(const char *function, int ret, int error,
527                     int *want)
528 {
529     *want = SSL_NOTHING;
530
531     switch (error) {
532     case SSL_ERROR_NONE:
533         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_NONE", function);
534         break;
535
536     case SSL_ERROR_ZERO_RETURN:
537         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_ZERO_RETURN", function);
538         break;
539
540     case SSL_ERROR_WANT_READ:
541         *want = SSL_READING;
542         return EAGAIN;
543
544     case SSL_ERROR_WANT_WRITE:
545         *want = SSL_WRITING;
546         return EAGAIN;
547
548     case SSL_ERROR_WANT_CONNECT:
549         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_CONNECT", function);
550         break;
551
552     case SSL_ERROR_WANT_ACCEPT:
553         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_ACCEPT", function);
554         break;
555
556     case SSL_ERROR_WANT_X509_LOOKUP:
557         VLOG_ERR_RL(&rl, "%s: unexpected SSL_ERROR_WANT_X509_LOOKUP",
558                     function);
559         break;
560
561     case SSL_ERROR_SYSCALL: {
562         int queued_error = ERR_get_error();
563         if (queued_error == 0) {
564             if (ret < 0) {
565                 int status = errno;
566                 VLOG_WARN_RL(&rl, "%s: system error (%s)",
567                              function, strerror(status));
568                 return status;
569             } else {
570                 VLOG_WARN_RL(&rl, "%s: unexpected SSL connection close",
571                              function);
572                 return EPROTO;
573             }
574         } else {
575             VLOG_WARN_RL(&rl, "%s: %s",
576                          function, ERR_error_string(queued_error, NULL));
577             break;
578         }
579     }
580
581     case SSL_ERROR_SSL:
582         interpret_queued_ssl_error(function);
583         break;
584
585     default:
586         VLOG_ERR_RL(&rl, "%s: bad SSL error code %d", function, error);
587         break;
588     }
589     return EIO;
590 }
591
592 static ssize_t
593 ssl_recv(struct stream *stream, void *buffer, size_t n)
594 {
595     struct ssl_stream *sslv = ssl_stream_cast(stream);
596     int old_state;
597     ssize_t ret;
598
599     /* Behavior of zero-byte SSL_read is poorly defined. */
600     ovs_assert(n > 0);
601
602     old_state = SSL_get_state(sslv->ssl);
603     ret = SSL_read(sslv->ssl, buffer, n);
604     if (old_state != SSL_get_state(sslv->ssl)) {
605         sslv->tx_want = SSL_NOTHING;
606     }
607     sslv->rx_want = SSL_NOTHING;
608
609     if (ret > 0) {
610         return ret;
611     } else {
612         int error = SSL_get_error(sslv->ssl, ret);
613         if (error == SSL_ERROR_ZERO_RETURN) {
614             return 0;
615         } else {
616             return -interpret_ssl_error("SSL_read", ret, error,
617                                         &sslv->rx_want);
618         }
619     }
620 }
621
622 static void
623 ssl_clear_txbuf(struct ssl_stream *sslv)
624 {
625     ofpbuf_delete(sslv->txbuf);
626     sslv->txbuf = NULL;
627 }
628
629 static int
630 ssl_do_tx(struct stream *stream)
631 {
632     struct ssl_stream *sslv = ssl_stream_cast(stream);
633
634     for (;;) {
635         int old_state = SSL_get_state(sslv->ssl);
636         int ret = SSL_write(sslv->ssl, sslv->txbuf->data, sslv->txbuf->size);
637         if (old_state != SSL_get_state(sslv->ssl)) {
638             sslv->rx_want = SSL_NOTHING;
639         }
640         sslv->tx_want = SSL_NOTHING;
641         if (ret > 0) {
642             ofpbuf_pull(sslv->txbuf, ret);
643             if (sslv->txbuf->size == 0) {
644                 return 0;
645             }
646         } else {
647             int ssl_error = SSL_get_error(sslv->ssl, ret);
648             if (ssl_error == SSL_ERROR_ZERO_RETURN) {
649                 VLOG_WARN_RL(&rl, "SSL_write: connection closed");
650                 return EPIPE;
651             } else {
652                 return interpret_ssl_error("SSL_write", ret, ssl_error,
653                                            &sslv->tx_want);
654             }
655         }
656     }
657 }
658
659 static ssize_t
660 ssl_send(struct stream *stream, const void *buffer, size_t n)
661 {
662     struct ssl_stream *sslv = ssl_stream_cast(stream);
663
664     if (sslv->txbuf) {
665         return -EAGAIN;
666     } else {
667         int error;
668
669         sslv->txbuf = ofpbuf_clone_data(buffer, n);
670         error = ssl_do_tx(stream);
671         switch (error) {
672         case 0:
673             ssl_clear_txbuf(sslv);
674             return n;
675         case EAGAIN:
676             return n;
677         default:
678             sslv->txbuf = NULL;
679             return -error;
680         }
681     }
682 }
683
684 static void
685 ssl_run(struct stream *stream)
686 {
687     struct ssl_stream *sslv = ssl_stream_cast(stream);
688
689     if (sslv->txbuf && ssl_do_tx(stream) != EAGAIN) {
690         ssl_clear_txbuf(sslv);
691     }
692 }
693
694 static void
695 ssl_run_wait(struct stream *stream)
696 {
697     struct ssl_stream *sslv = ssl_stream_cast(stream);
698
699     if (sslv->tx_want != SSL_NOTHING) {
700         poll_fd_wait(sslv->fd, want_to_poll_events(sslv->tx_want));
701     }
702 }
703
704 static void
705 ssl_wait(struct stream *stream, enum stream_wait_type wait)
706 {
707     struct ssl_stream *sslv = ssl_stream_cast(stream);
708
709     switch (wait) {
710     case STREAM_CONNECT:
711         if (stream_connect(stream) != EAGAIN) {
712             poll_immediate_wake();
713         } else {
714             switch (sslv->state) {
715             case STATE_TCP_CONNECTING:
716                 poll_fd_wait(sslv->fd, POLLOUT);
717                 break;
718
719             case STATE_SSL_CONNECTING:
720                 /* ssl_connect() called SSL_accept() or SSL_connect(), which
721                  * set up the status that we test here. */
722                 poll_fd_wait(sslv->fd,
723                              want_to_poll_events(SSL_want(sslv->ssl)));
724                 break;
725
726             default:
727                 NOT_REACHED();
728             }
729         }
730         break;
731
732     case STREAM_RECV:
733         if (sslv->rx_want != SSL_NOTHING) {
734             poll_fd_wait(sslv->fd, want_to_poll_events(sslv->rx_want));
735         } else {
736             poll_immediate_wake();
737         }
738         break;
739
740     case STREAM_SEND:
741         if (!sslv->txbuf) {
742             /* We have room in our tx queue. */
743             poll_immediate_wake();
744         } else {
745             /* stream_run_wait() will do the right thing; don't bother with
746              * redundancy. */
747         }
748         break;
749
750     default:
751         NOT_REACHED();
752     }
753 }
754
755 const struct stream_class ssl_stream_class = {
756     "ssl",                      /* name */
757     true,                       /* needs_probes */
758     ssl_open,                   /* open */
759     ssl_close,                  /* close */
760     ssl_connect,                /* connect */
761     ssl_recv,                   /* recv */
762     ssl_send,                   /* send */
763     ssl_run,                    /* run */
764     ssl_run_wait,               /* run_wait */
765     ssl_wait,                   /* wait */
766 };
767 \f
768 /* Passive SSL. */
769
770 struct pssl_pstream
771 {
772     struct pstream pstream;
773     int fd;
774 };
775
776 const struct pstream_class pssl_pstream_class;
777
778 static struct pssl_pstream *
779 pssl_pstream_cast(struct pstream *pstream)
780 {
781     pstream_assert_class(pstream, &pssl_pstream_class);
782     return CONTAINER_OF(pstream, struct pssl_pstream, pstream);
783 }
784
785 static int
786 pssl_open(const char *name OVS_UNUSED, char *suffix, struct pstream **pstreamp,
787           uint8_t dscp)
788 {
789     struct pssl_pstream *pssl;
790     struct sockaddr_in sin;
791     char bound_name[128];
792     int retval;
793     int fd;
794
795     retval = ssl_init();
796     if (retval) {
797         return retval;
798     }
799
800     fd = inet_open_passive(SOCK_STREAM, suffix, OFP_SSL_PORT, &sin, dscp);
801     if (fd < 0) {
802         return -fd;
803     }
804     sprintf(bound_name, "pssl:%"PRIu16":"IP_FMT,
805             ntohs(sin.sin_port), IP_ARGS(sin.sin_addr.s_addr));
806
807     pssl = xmalloc(sizeof *pssl);
808     pstream_init(&pssl->pstream, &pssl_pstream_class, bound_name);
809     pstream_set_bound_port(&pssl->pstream, sin.sin_port);
810     pssl->fd = fd;
811     *pstreamp = &pssl->pstream;
812     return 0;
813 }
814
815 static void
816 pssl_close(struct pstream *pstream)
817 {
818     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
819     close(pssl->fd);
820     free(pssl);
821 }
822
823 static int
824 pssl_accept(struct pstream *pstream, struct stream **new_streamp)
825 {
826     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
827     struct sockaddr_in sin;
828     socklen_t sin_len = sizeof sin;
829     char name[128];
830     int new_fd;
831     int error;
832
833     new_fd = accept(pssl->fd, (struct sockaddr *) &sin, &sin_len);
834     if (new_fd < 0) {
835         error = errno;
836         if (error != EAGAIN) {
837             VLOG_DBG_RL(&rl, "accept: %s", strerror(error));
838         }
839         return error;
840     }
841
842     error = set_nonblocking(new_fd);
843     if (error) {
844         close(new_fd);
845         return error;
846     }
847
848     sprintf(name, "ssl:"IP_FMT, IP_ARGS(sin.sin_addr.s_addr));
849     if (sin.sin_port != htons(OFP_SSL_PORT)) {
850         sprintf(strchr(name, '\0'), ":%"PRIu16, ntohs(sin.sin_port));
851     }
852     return new_ssl_stream(name, new_fd, SERVER, STATE_SSL_CONNECTING, &sin,
853                           new_streamp);
854 }
855
856 static void
857 pssl_wait(struct pstream *pstream)
858 {
859     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
860     poll_fd_wait(pssl->fd, POLLIN);
861 }
862
863 static int
864 pssl_set_dscp(struct pstream *pstream, uint8_t dscp)
865 {
866     struct pssl_pstream *pssl = pssl_pstream_cast(pstream);
867     return set_dscp(pssl->fd, dscp);
868 }
869
870 const struct pstream_class pssl_pstream_class = {
871     "pssl",
872     true,
873     pssl_open,
874     pssl_close,
875     pssl_accept,
876     pssl_wait,
877     pssl_set_dscp,
878 };
879 \f
880 /*
881  * Returns true if OpenSSL error is WANT_READ or WANT_WRITE, indicating that
882  * OpenSSL is requesting that we call it back when the socket is ready for read
883  * or writing, respectively.
884  */
885 static bool
886 ssl_wants_io(int ssl_error)
887 {
888     return (ssl_error == SSL_ERROR_WANT_WRITE
889             || ssl_error == SSL_ERROR_WANT_READ);
890 }
891
892 static int
893 ssl_init(void)
894 {
895     static int init_status = -1;
896     if (init_status < 0) {
897         init_status = do_ssl_init();
898         ovs_assert(init_status >= 0);
899     }
900     return init_status;
901 }
902
903 static int
904 do_ssl_init(void)
905 {
906     SSL_METHOD *method;
907
908     SSL_library_init();
909     SSL_load_error_strings();
910
911     if (!RAND_status()) {
912         /* We occasionally see OpenSSL fail to seed its random number generator
913          * in heavily loaded hypervisors.  I suspect the following scenario:
914          *
915          * 1. OpenSSL calls read() to get 32 bytes from /dev/urandom.
916          * 2. The kernel generates 10 bytes of randomness and copies it out.
917          * 3. A signal arrives (perhaps SIGALRM).
918          * 4. The kernel interrupts the system call to service the signal.
919          * 5. Userspace gets 10 bytes of entropy.
920          * 6. OpenSSL doesn't read again to get the final 22 bytes.  Therefore
921          *    OpenSSL doesn't have enough entropy to consider itself
922          *    initialized.
923          *
924          * The only part I'm not entirely sure about is #6, because the OpenSSL
925          * code is so hard to read. */
926         uint8_t seed[32];
927         int retval;
928
929         VLOG_WARN("OpenSSL random seeding failed, reseeding ourselves");
930
931         retval = get_entropy(seed, sizeof seed);
932         if (retval) {
933             VLOG_ERR("failed to obtain entropy (%s)",
934                      ovs_retval_to_string(retval));
935             return retval > 0 ? retval : ENOPROTOOPT;
936         }
937
938         RAND_seed(seed, sizeof seed);
939     }
940
941     /* New OpenSSL changed TLSv1_method() to return a "const" pointer, so the
942      * cast is needed to avoid a warning with those newer versions. */
943     method = CONST_CAST(SSL_METHOD *, TLSv1_method());
944     if (method == NULL) {
945         VLOG_ERR("TLSv1_method: %s", ERR_error_string(ERR_get_error(), NULL));
946         return ENOPROTOOPT;
947     }
948
949     ctx = SSL_CTX_new(method);
950     if (ctx == NULL) {
951         VLOG_ERR("SSL_CTX_new: %s", ERR_error_string(ERR_get_error(), NULL));
952         return ENOPROTOOPT;
953     }
954     SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
955     SSL_CTX_set_tmp_dh_callback(ctx, tmp_dh_callback);
956     SSL_CTX_set_mode(ctx, SSL_MODE_ENABLE_PARTIAL_WRITE);
957     SSL_CTX_set_mode(ctx, SSL_MODE_ACCEPT_MOVING_WRITE_BUFFER);
958     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT,
959                        NULL);
960
961     return 0;
962 }
963
964 static DH *
965 tmp_dh_callback(SSL *ssl OVS_UNUSED, int is_export OVS_UNUSED, int keylength)
966 {
967     struct dh {
968         int keylength;
969         DH *dh;
970         DH *(*constructor)(void);
971     };
972
973     static struct dh dh_table[] = {
974         {1024, NULL, get_dh1024},
975         {2048, NULL, get_dh2048},
976         {4096, NULL, get_dh4096},
977     };
978
979     struct dh *dh;
980
981     for (dh = dh_table; dh < &dh_table[ARRAY_SIZE(dh_table)]; dh++) {
982         if (dh->keylength == keylength) {
983             if (!dh->dh) {
984                 dh->dh = dh->constructor();
985                 if (!dh->dh) {
986                     out_of_memory();
987                 }
988             }
989             return dh->dh;
990         }
991     }
992     VLOG_ERR_RL(&rl, "no Diffie-Hellman parameters for key length %d",
993                 keylength);
994     return NULL;
995 }
996
997 /* Returns true if SSL is at least partially configured. */
998 bool
999 stream_ssl_is_configured(void)
1000 {
1001     return private_key.file_name || certificate.file_name || ca_cert.file_name;
1002 }
1003
1004 static bool
1005 update_ssl_config(struct ssl_config_file *config, const char *file_name)
1006 {
1007     struct timespec mtime;
1008     int error;
1009
1010     if (ssl_init() || !file_name) {
1011         return false;
1012     }
1013
1014     /* If the file name hasn't changed and neither has the file contents, stop
1015      * here. */
1016     error = get_mtime(file_name, &mtime);
1017     if (error && error != ENOENT) {
1018         VLOG_ERR_RL(&rl, "%s: stat failed (%s)", file_name, strerror(error));
1019     }
1020     if (config->file_name
1021         && !strcmp(config->file_name, file_name)
1022         && mtime.tv_sec == config->mtime.tv_sec
1023         && mtime.tv_nsec == config->mtime.tv_nsec) {
1024         return false;
1025     }
1026
1027     /* Update 'config'. */
1028     config->mtime = mtime;
1029     if (file_name != config->file_name) {
1030         free(config->file_name);
1031         config->file_name = xstrdup(file_name);
1032     }
1033     return true;
1034 }
1035
1036 static void
1037 stream_ssl_set_private_key_file__(const char *file_name)
1038 {
1039     if (SSL_CTX_use_PrivateKey_file(ctx, file_name, SSL_FILETYPE_PEM) == 1) {
1040         private_key.read = true;
1041     } else {
1042         VLOG_ERR("SSL_use_PrivateKey_file: %s",
1043                  ERR_error_string(ERR_get_error(), NULL));
1044     }
1045 }
1046
1047 void
1048 stream_ssl_set_private_key_file(const char *file_name)
1049 {
1050     if (update_ssl_config(&private_key, file_name)) {
1051         stream_ssl_set_private_key_file__(file_name);
1052     }
1053 }
1054
1055 static void
1056 stream_ssl_set_certificate_file__(const char *file_name)
1057 {
1058     if (SSL_CTX_use_certificate_chain_file(ctx, file_name) == 1) {
1059         certificate.read = true;
1060     } else {
1061         VLOG_ERR("SSL_use_certificate_file: %s",
1062                  ERR_error_string(ERR_get_error(), NULL));
1063     }
1064 }
1065
1066 void
1067 stream_ssl_set_certificate_file(const char *file_name)
1068 {
1069     if (update_ssl_config(&certificate, file_name)) {
1070         stream_ssl_set_certificate_file__(file_name);
1071     }
1072 }
1073
1074 /* Sets the private key and certificate files in one operation.  Use this
1075  * interface, instead of calling stream_ssl_set_private_key_file() and
1076  * stream_ssl_set_certificate_file() individually, in the main loop of a
1077  * long-running program whose key and certificate might change at runtime.
1078  *
1079  * This is important because of OpenSSL's behavior.  If an OpenSSL context
1080  * already has a certificate, and stream_ssl_set_private_key_file() is called
1081  * to install a new private key, OpenSSL will report an error because the new
1082  * private key does not match the old certificate.  The other order, of setting
1083  * a new certificate, then setting a new private key, does work.
1084  *
1085  * If this were the only problem, calling stream_ssl_set_certificate_file()
1086  * before stream_ssl_set_private_key_file() would fix it.  But, if the private
1087  * key is changed before the certificate (e.g. someone "scp"s or "mv"s the new
1088  * private key in place before the certificate), then OpenSSL would reject that
1089  * change, and then the change of certificate would succeed, but there would be
1090  * no associated private key (because it had only changed once and therefore
1091  * there was no point in re-reading it).
1092  *
1093  * This function avoids both problems by, whenever either the certificate or
1094  * the private key file changes, re-reading both of them, in the correct order.
1095  */
1096 void
1097 stream_ssl_set_key_and_cert(const char *private_key_file,
1098                             const char *certificate_file)
1099 {
1100     if (update_ssl_config(&private_key, private_key_file)
1101         || update_ssl_config(&certificate, certificate_file)) {
1102         stream_ssl_set_certificate_file__(certificate_file);
1103         stream_ssl_set_private_key_file__(private_key_file);
1104     }
1105 }
1106
1107 /* Reads the X509 certificate or certificates in file 'file_name'.  On success,
1108  * stores the address of the first element in an array of pointers to
1109  * certificates in '*certs' and the number of certificates in the array in
1110  * '*n_certs', and returns 0.  On failure, stores a null pointer in '*certs', 0
1111  * in '*n_certs', and returns a positive errno value.
1112  *
1113  * The caller is responsible for freeing '*certs'. */
1114 static int
1115 read_cert_file(const char *file_name, X509 ***certs, size_t *n_certs)
1116 {
1117     FILE *file;
1118     size_t allocated_certs = 0;
1119
1120     *certs = NULL;
1121     *n_certs = 0;
1122
1123     file = fopen(file_name, "r");
1124     if (!file) {
1125         VLOG_ERR("failed to open %s for reading: %s",
1126                  file_name, strerror(errno));
1127         return errno;
1128     }
1129
1130     for (;;) {
1131         X509 *certificate;
1132         int c;
1133
1134         /* Read certificate from file. */
1135         certificate = PEM_read_X509(file, NULL, NULL, NULL);
1136         if (!certificate) {
1137             size_t i;
1138
1139             VLOG_ERR("PEM_read_X509 failed reading %s: %s",
1140                      file_name, ERR_error_string(ERR_get_error(), NULL));
1141             for (i = 0; i < *n_certs; i++) {
1142                 X509_free((*certs)[i]);
1143             }
1144             free(*certs);
1145             *certs = NULL;
1146             *n_certs = 0;
1147             return EIO;
1148         }
1149
1150         /* Add certificate to array. */
1151         if (*n_certs >= allocated_certs) {
1152             *certs = x2nrealloc(*certs, &allocated_certs, sizeof **certs);
1153         }
1154         (*certs)[(*n_certs)++] = certificate;
1155
1156         /* Are there additional certificates in the file? */
1157         do {
1158             c = getc(file);
1159         } while (isspace(c));
1160         if (c == EOF) {
1161             break;
1162         }
1163         ungetc(c, file);
1164     }
1165     fclose(file);
1166     return 0;
1167 }
1168
1169
1170 /* Sets 'file_name' as the name of a file containing one or more X509
1171  * certificates to send to the peer.  Typical use in OpenFlow is to send the CA
1172  * certificate to the peer, which enables a switch to pick up the controller's
1173  * CA certificate on its first connection. */
1174 void
1175 stream_ssl_set_peer_ca_cert_file(const char *file_name)
1176 {
1177     X509 **certs;
1178     size_t n_certs;
1179     size_t i;
1180
1181     if (ssl_init()) {
1182         return;
1183     }
1184
1185     if (!read_cert_file(file_name, &certs, &n_certs)) {
1186         for (i = 0; i < n_certs; i++) {
1187             if (SSL_CTX_add_extra_chain_cert(ctx, certs[i]) != 1) {
1188                 VLOG_ERR("SSL_CTX_add_extra_chain_cert: %s",
1189                          ERR_error_string(ERR_get_error(), NULL));
1190             }
1191         }
1192         free(certs);
1193     }
1194 }
1195
1196 /* Logs fingerprint of CA certificate 'cert' obtained from 'file_name'. */
1197 static void
1198 log_ca_cert(const char *file_name, X509 *cert)
1199 {
1200     unsigned char digest[EVP_MAX_MD_SIZE];
1201     unsigned int n_bytes;
1202     struct ds fp;
1203     char *subject;
1204
1205     ds_init(&fp);
1206     if (!X509_digest(cert, EVP_sha1(), digest, &n_bytes)) {
1207         ds_put_cstr(&fp, "<out of memory>");
1208     } else {
1209         unsigned int i;
1210         for (i = 0; i < n_bytes; i++) {
1211             if (i) {
1212                 ds_put_char(&fp, ':');
1213             }
1214             ds_put_format(&fp, "%02hhx", digest[i]);
1215         }
1216     }
1217     subject = X509_NAME_oneline(X509_get_subject_name(cert), NULL, 0);
1218     VLOG_INFO("Trusting CA cert from %s (%s) (fingerprint %s)", file_name,
1219               subject ? subject : "<out of memory>", ds_cstr(&fp));
1220     OPENSSL_free(subject);
1221     ds_destroy(&fp);
1222 }
1223
1224 static void
1225 stream_ssl_set_ca_cert_file__(const char *file_name,
1226                               bool bootstrap, bool force)
1227 {
1228     X509 **certs;
1229     size_t n_certs;
1230     struct stat s;
1231
1232     if (!update_ssl_config(&ca_cert, file_name) && !force) {
1233         return;
1234     }
1235
1236     if (!strcmp(file_name, "none")) {
1237         verify_peer_cert = false;
1238         VLOG_WARN("Peer certificate validation disabled "
1239                   "(this is a security risk)");
1240     } else if (bootstrap && stat(file_name, &s) && errno == ENOENT) {
1241         bootstrap_ca_cert = true;
1242     } else if (!read_cert_file(file_name, &certs, &n_certs)) {
1243         size_t i;
1244
1245         /* Set up list of CAs that the server will accept from the client. */
1246         for (i = 0; i < n_certs; i++) {
1247             /* SSL_CTX_add_client_CA makes a copy of the relevant data. */
1248             if (SSL_CTX_add_client_CA(ctx, certs[i]) != 1) {
1249                 VLOG_ERR("failed to add client certificate %zu from %s: %s",
1250                          i, file_name,
1251                          ERR_error_string(ERR_get_error(), NULL));
1252             } else {
1253                 log_ca_cert(file_name, certs[i]);
1254             }
1255             X509_free(certs[i]);
1256         }
1257         free(certs);
1258
1259         /* Set up CAs for OpenSSL to trust in verifying the peer's
1260          * certificate. */
1261         SSL_CTX_set_cert_store(ctx, X509_STORE_new());
1262         if (SSL_CTX_load_verify_locations(ctx, file_name, NULL) != 1) {
1263             VLOG_ERR("SSL_CTX_load_verify_locations: %s",
1264                      ERR_error_string(ERR_get_error(), NULL));
1265             return;
1266         }
1267
1268         bootstrap_ca_cert = false;
1269     }
1270     ca_cert.read = true;
1271 }
1272
1273 /* Sets 'file_name' as the name of the file from which to read the CA
1274  * certificate used to verify the peer within SSL connections.  If 'bootstrap'
1275  * is false, the file must exist.  If 'bootstrap' is false, then the file is
1276  * read if it is exists; if it does not, then it will be created from the CA
1277  * certificate received from the peer on the first SSL connection. */
1278 void
1279 stream_ssl_set_ca_cert_file(const char *file_name, bool bootstrap)
1280 {
1281     stream_ssl_set_ca_cert_file__(file_name, bootstrap, false);
1282 }
1283 \f
1284 /* SSL protocol logging. */
1285
1286 static const char *
1287 ssl_alert_level_to_string(uint8_t type)
1288 {
1289     switch (type) {
1290     case 1: return "warning";
1291     case 2: return "fatal";
1292     default: return "<unknown>";
1293     }
1294 }
1295
1296 static const char *
1297 ssl_alert_description_to_string(uint8_t type)
1298 {
1299     switch (type) {
1300     case 0: return "close_notify";
1301     case 10: return "unexpected_message";
1302     case 20: return "bad_record_mac";
1303     case 21: return "decryption_failed";
1304     case 22: return "record_overflow";
1305     case 30: return "decompression_failure";
1306     case 40: return "handshake_failure";
1307     case 42: return "bad_certificate";
1308     case 43: return "unsupported_certificate";
1309     case 44: return "certificate_revoked";
1310     case 45: return "certificate_expired";
1311     case 46: return "certificate_unknown";
1312     case 47: return "illegal_parameter";
1313     case 48: return "unknown_ca";
1314     case 49: return "access_denied";
1315     case 50: return "decode_error";
1316     case 51: return "decrypt_error";
1317     case 60: return "export_restriction";
1318     case 70: return "protocol_version";
1319     case 71: return "insufficient_security";
1320     case 80: return "internal_error";
1321     case 90: return "user_canceled";
1322     case 100: return "no_renegotiation";
1323     default: return "<unknown>";
1324     }
1325 }
1326
1327 static const char *
1328 ssl_handshake_type_to_string(uint8_t type)
1329 {
1330     switch (type) {
1331     case 0: return "hello_request";
1332     case 1: return "client_hello";
1333     case 2: return "server_hello";
1334     case 11: return "certificate";
1335     case 12: return "server_key_exchange";
1336     case 13: return "certificate_request";
1337     case 14: return "server_hello_done";
1338     case 15: return "certificate_verify";
1339     case 16: return "client_key_exchange";
1340     case 20: return "finished";
1341     default: return "<unknown>";
1342     }
1343 }
1344
1345 static void
1346 ssl_protocol_cb(int write_p, int version OVS_UNUSED, int content_type,
1347                 const void *buf_, size_t len, SSL *ssl OVS_UNUSED, void *sslv_)
1348 {
1349     const struct ssl_stream *sslv = sslv_;
1350     const uint8_t *buf = buf_;
1351     struct ds details;
1352
1353     if (!VLOG_IS_DBG_ENABLED()) {
1354         return;
1355     }
1356
1357     ds_init(&details);
1358     if (content_type == 20) {
1359         ds_put_cstr(&details, "change_cipher_spec");
1360     } else if (content_type == 21) {
1361         ds_put_format(&details, "alert: %s, %s",
1362                       ssl_alert_level_to_string(buf[0]),
1363                       ssl_alert_description_to_string(buf[1]));
1364     } else if (content_type == 22) {
1365         ds_put_format(&details, "handshake: %s",
1366                       ssl_handshake_type_to_string(buf[0]));
1367     } else {
1368         ds_put_format(&details, "type %d", content_type);
1369     }
1370
1371     VLOG_DBG("%s%u%s%s %s (%zu bytes)",
1372              sslv->type == CLIENT ? "client" : "server",
1373              sslv->session_nr, write_p ? "-->" : "<--",
1374              stream_get_name(&sslv->stream), ds_cstr(&details), len);
1375
1376     ds_destroy(&details);
1377 }