Line data Source code
1 : /*
2 : * SRTP encryption/decryption
3 : * Copyright (c) 2012 Martin Storsjo
4 : *
5 : * This file is part of FFmpeg.
6 : *
7 : * FFmpeg is free software; you can redistribute it and/or
8 : * modify it under the terms of the GNU Lesser General Public
9 : * License as published by the Free Software Foundation; either
10 : * version 2.1 of the License, or (at your option) any later version.
11 : *
12 : * FFmpeg is distributed in the hope that it will be useful,
13 : * but WITHOUT ANY WARRANTY; without even the implied warranty of
14 : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
15 : * Lesser General Public License for more details.
16 : *
17 : * You should have received a copy of the GNU Lesser General Public
18 : * License along with FFmpeg; if not, write to the Free Software
19 : * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA
20 : */
21 :
22 : #include "libavutil/base64.h"
23 : #include "libavutil/aes.h"
24 : #include "libavutil/hmac.h"
25 : #include "libavutil/intreadwrite.h"
26 : #include "libavutil/log.h"
27 : #include "rtp.h"
28 : #include "rtpdec.h"
29 : #include "srtp.h"
30 :
31 30 : void ff_srtp_free(struct SRTPContext *s)
32 : {
33 30 : if (!s)
34 0 : return;
35 30 : av_freep(&s->aes);
36 30 : if (s->hmac)
37 15 : av_hmac_free(s->hmac);
38 30 : s->hmac = NULL;
39 : }
40 :
41 108 : static void encrypt_counter(struct AVAES *aes, uint8_t *iv, uint8_t *outbuf,
42 : int outlen)
43 : {
44 : int i, j, outpos;
45 249 : for (i = 0, outpos = 0; outpos < outlen; i++) {
46 : uint8_t keystream[16];
47 141 : AV_WB16(&iv[14], i);
48 141 : av_aes_crypt(aes, keystream, iv, 1, NULL, 0);
49 1812 : for (j = 0; j < 16 && outpos < outlen; j++, outpos++)
50 1671 : outbuf[outpos] ^= keystream[j];
51 : }
52 108 : }
53 :
54 90 : static void derive_key(struct AVAES *aes, const uint8_t *salt, int label,
55 : uint8_t *out, int outlen)
56 : {
57 90 : uint8_t input[16] = { 0 };
58 90 : memcpy(input, salt, 14);
59 : // Key derivation rate assumed to be zero
60 90 : input[14 - 7] ^= label;
61 90 : memset(out, 0, outlen);
62 90 : encrypt_counter(aes, input, out, outlen);
63 90 : }
64 :
65 15 : int ff_srtp_set_crypto(struct SRTPContext *s, const char *suite,
66 : const char *params)
67 : {
68 : uint8_t buf[30];
69 :
70 15 : ff_srtp_free(s);
71 :
72 : // RFC 4568
73 25 : if (!strcmp(suite, "AES_CM_128_HMAC_SHA1_80") ||
74 10 : !strcmp(suite, "SRTP_AES128_CM_HMAC_SHA1_80")) {
75 5 : s->rtp_hmac_size = s->rtcp_hmac_size = 10;
76 10 : } else if (!strcmp(suite, "AES_CM_128_HMAC_SHA1_32")) {
77 5 : s->rtp_hmac_size = s->rtcp_hmac_size = 4;
78 5 : } else if (!strcmp(suite, "SRTP_AES128_CM_HMAC_SHA1_32")) {
79 : // RFC 5764 section 4.1.2
80 5 : s->rtp_hmac_size = 4;
81 5 : s->rtcp_hmac_size = 10;
82 : } else {
83 0 : av_log(NULL, AV_LOG_WARNING, "SRTP Crypto suite %s not supported\n",
84 : suite);
85 0 : return AVERROR(EINVAL);
86 : }
87 15 : if (av_base64_decode(buf, params, sizeof(buf)) != sizeof(buf)) {
88 0 : av_log(NULL, AV_LOG_WARNING, "Incorrect amount of SRTP params\n");
89 0 : return AVERROR(EINVAL);
90 : }
91 : // MKI and lifetime not handled yet
92 15 : s->aes = av_aes_alloc();
93 15 : s->hmac = av_hmac_alloc(AV_HMAC_SHA1);
94 15 : if (!s->aes || !s->hmac)
95 0 : return AVERROR(ENOMEM);
96 15 : memcpy(s->master_key, buf, 16);
97 15 : memcpy(s->master_salt, buf + 16, 14);
98 :
99 : // RFC 3711
100 15 : av_aes_init(s->aes, s->master_key, 128, 0);
101 :
102 15 : derive_key(s->aes, s->master_salt, 0x00, s->rtp_key, sizeof(s->rtp_key));
103 15 : derive_key(s->aes, s->master_salt, 0x02, s->rtp_salt, sizeof(s->rtp_salt));
104 15 : derive_key(s->aes, s->master_salt, 0x01, s->rtp_auth, sizeof(s->rtp_auth));
105 :
106 15 : derive_key(s->aes, s->master_salt, 0x03, s->rtcp_key, sizeof(s->rtcp_key));
107 15 : derive_key(s->aes, s->master_salt, 0x05, s->rtcp_salt, sizeof(s->rtcp_salt));
108 15 : derive_key(s->aes, s->master_salt, 0x04, s->rtcp_auth, sizeof(s->rtcp_auth));
109 15 : return 0;
110 : }
111 :
112 18 : static void create_iv(uint8_t *iv, const uint8_t *salt, uint64_t index,
113 : uint32_t ssrc)
114 : {
115 : uint8_t indexbuf[8];
116 : int i;
117 18 : memset(iv, 0, 16);
118 18 : AV_WB32(&iv[4], ssrc);
119 18 : AV_WB64(indexbuf, index);
120 162 : for (i = 0; i < 8; i++) // index << 16
121 144 : iv[6 + i] ^= indexbuf[i];
122 270 : for (i = 0; i < 14; i++)
123 252 : iv[i] ^= salt[i];
124 18 : }
125 :
126 12 : int ff_srtp_decrypt(struct SRTPContext *s, uint8_t *buf, int *lenptr)
127 : {
128 12 : uint8_t iv[16] = { 0 }, hmac[20];
129 12 : int len = *lenptr;
130 12 : int av_uninit(seq_largest);
131 12 : uint32_t ssrc, av_uninit(roc);
132 : uint64_t index;
133 : int rtcp, hmac_size;
134 :
135 : // TODO: Missing replay protection
136 :
137 12 : if (len < 2)
138 0 : return AVERROR_INVALIDDATA;
139 :
140 12 : rtcp = RTP_PT_IS_RTCP(buf[1]);
141 12 : hmac_size = rtcp ? s->rtcp_hmac_size : s->rtp_hmac_size;
142 :
143 12 : if (len < hmac_size)
144 0 : return AVERROR_INVALIDDATA;
145 :
146 : // Authentication HMAC
147 12 : av_hmac_init(s->hmac, rtcp ? s->rtcp_auth : s->rtp_auth, sizeof(s->rtp_auth));
148 : // If MKI is used, this should exclude the MKI as well
149 12 : av_hmac_update(s->hmac, buf, len - hmac_size);
150 :
151 12 : if (!rtcp) {
152 6 : int seq = AV_RB16(buf + 2);
153 : uint32_t v;
154 : uint8_t rocbuf[4];
155 :
156 : // RFC 3711 section 3.3.1, appendix A
157 6 : seq_largest = s->seq_initialized ? s->seq_largest : seq;
158 6 : v = roc = s->roc;
159 6 : if (seq_largest < 32768) {
160 6 : if (seq - seq_largest > 32768)
161 0 : v = roc - 1;
162 : } else {
163 0 : if (seq_largest - 32768 > seq)
164 0 : v = roc + 1;
165 : }
166 6 : if (v == roc) {
167 6 : seq_largest = FFMAX(seq_largest, seq);
168 0 : } else if (v == roc + 1) {
169 0 : seq_largest = seq;
170 0 : roc = v;
171 : }
172 6 : index = seq + (((uint64_t)v) << 16);
173 :
174 6 : AV_WB32(rocbuf, roc);
175 6 : av_hmac_update(s->hmac, rocbuf, 4);
176 : }
177 :
178 12 : av_hmac_final(s->hmac, hmac, sizeof(hmac));
179 12 : if (memcmp(hmac, buf + len - hmac_size, hmac_size)) {
180 0 : av_log(NULL, AV_LOG_WARNING, "HMAC mismatch\n");
181 0 : return AVERROR_INVALIDDATA;
182 : }
183 :
184 12 : len -= hmac_size;
185 12 : *lenptr = len;
186 :
187 12 : if (len < 12)
188 0 : return AVERROR_INVALIDDATA;
189 :
190 12 : if (rtcp) {
191 6 : uint32_t srtcp_index = AV_RB32(buf + len - 4);
192 6 : len -= 4;
193 6 : *lenptr = len;
194 :
195 6 : ssrc = AV_RB32(buf + 4);
196 6 : index = srtcp_index & 0x7fffffff;
197 :
198 6 : buf += 8;
199 6 : len -= 8;
200 6 : if (!(srtcp_index & 0x80000000))
201 0 : return 0;
202 : } else {
203 : int ext, csrc;
204 6 : s->seq_initialized = 1;
205 6 : s->seq_largest = seq_largest;
206 6 : s->roc = roc;
207 :
208 6 : csrc = buf[0] & 0x0f;
209 6 : ext = buf[0] & 0x10;
210 6 : ssrc = AV_RB32(buf + 8);
211 :
212 6 : buf += 12;
213 6 : len -= 12;
214 :
215 6 : buf += 4 * csrc;
216 6 : len -= 4 * csrc;
217 6 : if (len < 0)
218 0 : return AVERROR_INVALIDDATA;
219 :
220 6 : if (ext) {
221 0 : if (len < 4)
222 0 : return AVERROR_INVALIDDATA;
223 0 : ext = (AV_RB16(buf + 2) + 1) * 4;
224 0 : if (len < ext)
225 0 : return AVERROR_INVALIDDATA;
226 0 : len -= ext;
227 0 : buf += ext;
228 : }
229 : }
230 :
231 12 : create_iv(iv, rtcp ? s->rtcp_salt : s->rtp_salt, index, ssrc);
232 12 : av_aes_init(s->aes, rtcp ? s->rtcp_key : s->rtp_key, 128, 0);
233 12 : encrypt_counter(s->aes, iv, buf, len);
234 :
235 12 : return 0;
236 : }
237 :
238 6 : int ff_srtp_encrypt(struct SRTPContext *s, const uint8_t *in, int len,
239 : uint8_t *out, int outlen)
240 : {
241 6 : uint8_t iv[16] = { 0 }, hmac[20];
242 : uint64_t index;
243 : uint32_t ssrc;
244 : int rtcp, hmac_size, padding;
245 : uint8_t *buf;
246 :
247 6 : if (len < 8)
248 0 : return AVERROR_INVALIDDATA;
249 :
250 6 : rtcp = RTP_PT_IS_RTCP(in[1]);
251 6 : hmac_size = rtcp ? s->rtcp_hmac_size : s->rtp_hmac_size;
252 6 : padding = hmac_size;
253 6 : if (rtcp)
254 3 : padding += 4; // For the RTCP index
255 :
256 6 : if (len + padding > outlen)
257 0 : return 0;
258 :
259 6 : memcpy(out, in, len);
260 6 : buf = out;
261 :
262 6 : if (rtcp) {
263 3 : ssrc = AV_RB32(buf + 4);
264 3 : index = s->rtcp_index++;
265 :
266 3 : buf += 8;
267 3 : len -= 8;
268 : } else {
269 : int ext, csrc;
270 3 : int seq = AV_RB16(buf + 2);
271 :
272 3 : if (len < 12)
273 0 : return AVERROR_INVALIDDATA;
274 :
275 3 : ssrc = AV_RB32(buf + 8);
276 :
277 3 : if (seq < s->seq_largest)
278 0 : s->roc++;
279 3 : s->seq_largest = seq;
280 3 : index = seq + (((uint64_t)s->roc) << 16);
281 :
282 3 : csrc = buf[0] & 0x0f;
283 3 : ext = buf[0] & 0x10;
284 :
285 3 : buf += 12;
286 3 : len -= 12;
287 :
288 3 : buf += 4 * csrc;
289 3 : len -= 4 * csrc;
290 3 : if (len < 0)
291 0 : return AVERROR_INVALIDDATA;
292 :
293 3 : if (ext) {
294 0 : if (len < 4)
295 0 : return AVERROR_INVALIDDATA;
296 0 : ext = (AV_RB16(buf + 2) + 1) * 4;
297 0 : if (len < ext)
298 0 : return AVERROR_INVALIDDATA;
299 0 : len -= ext;
300 0 : buf += ext;
301 : }
302 : }
303 :
304 6 : create_iv(iv, rtcp ? s->rtcp_salt : s->rtp_salt, index, ssrc);
305 6 : av_aes_init(s->aes, rtcp ? s->rtcp_key : s->rtp_key, 128, 0);
306 6 : encrypt_counter(s->aes, iv, buf, len);
307 :
308 6 : if (rtcp) {
309 3 : AV_WB32(buf + len, 0x80000000 | index);
310 3 : len += 4;
311 : }
312 :
313 6 : av_hmac_init(s->hmac, rtcp ? s->rtcp_auth : s->rtp_auth, sizeof(s->rtp_auth));
314 6 : av_hmac_update(s->hmac, out, buf + len - out);
315 6 : if (!rtcp) {
316 : uint8_t rocbuf[4];
317 3 : AV_WB32(rocbuf, s->roc);
318 3 : av_hmac_update(s->hmac, rocbuf, 4);
319 : }
320 6 : av_hmac_final(s->hmac, hmac, sizeof(hmac));
321 :
322 6 : memcpy(buf + len, hmac, hmac_size);
323 6 : len += hmac_size;
324 6 : return buf + len - out;
325 : }
|