lib/srutils: removed svn ids
[sip-router] / src / lib / srutils / sha256.c
1 /*
2  * FILE:        sha256.c
3  * AUTHOR:      Aaron D. Gifford - http://www.aarongifford.com/
4  *
5  * Copyright (c) 2000-2001, Aaron D. Gifford
6  * All rights reserved.
7  *
8  * Redistribution and use in source and binary forms, with or without
9  * modification, are permitted provided that the following conditions
10  * are met:
11  * 1. Redistributions of source code must retain the above copyright
12  *    notice, this list of conditions and the following disclaimer.
13  * 2. Redistributions in binary form must reproduce the above copyright
14  *    notice, this list of conditions and the following disclaimer in the
15  *    documentation and/or other materials provided w627ith the distribution.
16  * 3. Neither the name of the copyright holder nor the names of contributors
17  *    may be used to endorse or promote products derived from this software
18  *    without specific prior written permission.
19  *
20  * THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTOR(S) ``AS IS'' AND
21  * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
22  * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
23  * ARE DISCLAIMED.  IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTOR(S) BE LIABLE
24  * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
25  * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
26  * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
27  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
28  * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
29  * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
30  * SUCH DAMAGE.
31  *
32  */
33
34 #include <string.h>     /* memcpy()/memset() or bcopy()/bzero() */
35 #include <assert.h>     /* assert() */
36 #include "sha256.h"
37
38 /* discover byte order on solaris */
39 #if defined(__SVR4) || defined(__sun)
40        #include <sys/isa_defs.h>
41        #define BYTE_ORDER _BYTE_ORDER
42 #endif
43
44 /*
45  * ASSERT NOTE:
46  * Some sanity checking code is included using assert().  On my FreeBSD
47  * system, this additional code can be removed by compiling with NDEBUG
48  * defined.  Check your own systems manpage on assert() to see how to
49  * compile WITHOUT the sanity checking code on your system.
50  *
51  * UNROLLED TRANSFORM LOOP NOTE:
52  * You can define SHA2_UNROLL_TRANSFORM to use the unrolled transform
53  * loop version for the hash transform rounds (defined using macros
54  * later in this file).  Either define on the command line, for example:
55  *
56  *   cc -DSHA2_UNROLL_TRANSFORM -o sha2 sha2.c sha2prog.c
57  *
58  * or define below:
59  *
60  *   #define SHA2_UNROLL_TRANSFORM
61  *
62  */
63
64
65 /*** SHA-256/384/512 Machine Architecture Definitions *****************/
66 /*
67  * BYTE_ORDER NOTE:
68  *
69  * Please make sure that your system defines BYTE_ORDER.  If your
70  * architecture is little-endian, make sure it also defines
71  * LITTLE_ENDIAN and that the two (BYTE_ORDER and LITTLE_ENDIAN) are
72  * equivilent.
73  *
74  * If your system does not define the above, then you can do so by
75  * hand like this:
76  *
77  *   #define LITTLE_ENDIAN 1234
78  *   #define BIG_ENDIAN    4321
79  *
80  * And for little-endian machines, add:
81  *
82  *   #define BYTE_ORDER LITTLE_ENDIAN
83  *
84  * Or for big-endian machines:
85  *
86  *   #define BYTE_ORDER BIG_ENDIAN
87  *
88  * The FreeBSD machine this was written on defines BYTE_ORDER
89  * appropriately by including <sys/types.h> (which in turn includes
90  * <machine/endian.h> where the appropriate definitions are actually
91  * made).
92  */
93 #if !defined(BYTE_ORDER) || (BYTE_ORDER != LITTLE_ENDIAN && BYTE_ORDER != BIG_ENDIAN)
94 #error Define BYTE_ORDER to be equal to either LITTLE_ENDIAN or BIG_ENDIAN
95 #endif
96
97 /*
98  * Define the followingsha2_* types to types of the correct length on
99  * the native archtecture.   Most BSD systems and Linux define u_intXX_t
100  * types.  Machines with very recent ANSI C headers, can use the
101  * uintXX_t definintions from inttypes.h by defining SHA2_USE_INTTYPES_H
102  * during compile or in the sha.h header file.
103  *
104  * Machines that support neither u_intXX_t nor inttypes.h's uintXX_t
105  * will need to define these three typedefs below (and the appropriate
106  * ones in sha.h too) by hand according to their system architecture.
107  *
108  * Thank you, Jun-ichiro itojun Hagino, for suggesting using u_intXX_t
109  * types and pointing out recent ANSI C support for uintXX_t in inttypes.h.
110  */
111 #ifdef SHA2_USE_INTTYPES_H
112
113 typedef uint8_t  sha2_byte;     /* Exactly 1 byte */
114 typedef uint32_t sha2_word32;   /* Exactly 4 bytes */
115 typedef uint64_t sha2_word64;   /* Exactly 8 bytes */
116
117 #else /* SHA2_USE_INTTYPES_H */
118
119 typedef u_int8_t  sha2_byte;    /* Exactly 1 byte */
120 typedef u_int32_t sha2_word32;  /* Exactly 4 bytes */
121 typedef u_int64_t sha2_word64;  /* Exactly 8 bytes */
122
123 #endif /* SHA2_USE_INTTYPES_H */
124
125
126 /*** SHA-256/384/512 Various Length Definitions ***********************/
127 /* NOTE: Most of these are in sha2.h */
128 #define SHA256_SHORT_BLOCK_LENGTH       (SHA256_BLOCK_LENGTH - 8)
129 #define SHA384_SHORT_BLOCK_LENGTH       (SHA384_BLOCK_LENGTH - 16)
130 #define SHA512_SHORT_BLOCK_LENGTH       (SHA512_BLOCK_LENGTH - 16)
131
132
133 /*** ENDIAN REVERSAL MACROS *******************************************/
134 #if BYTE_ORDER == LITTLE_ENDIAN
135 #define REVERSE32(w,x)  { \
136         sha2_word32 tmp = (w); \
137         tmp = (tmp >> 16) | (tmp << 16); \
138         (x) = ((tmp & 0xff00ff00UL) >> 8) | ((tmp & 0x00ff00ffUL) << 8); \
139 }
140 #define REVERSE64(w,x)  { \
141         sha2_word64 tmp = (w); \
142         tmp = (tmp >> 32) | (tmp << 32); \
143         tmp = ((tmp & 0xff00ff00ff00ff00ULL) >> 8) | \
144               ((tmp & 0x00ff00ff00ff00ffULL) << 8); \
145         (x) = ((tmp & 0xffff0000ffff0000ULL) >> 16) | \
146               ((tmp & 0x0000ffff0000ffffULL) << 16); \
147 }
148 #endif /* BYTE_ORDER == LITTLE_ENDIAN */
149
150 /*
151  * Macro for incrementally adding the unsigned 64-bit integer n to the
152  * unsigned 128-bit integer (represented using a two-element array of
153  * 64-bit words):
154  */
155 #define ADDINC128(w,n)  { \
156         (w)[0] += (sha2_word64)(n); \
157         if ((w)[0] < (n)) { \
158                 (w)[1]++; \
159         } \
160 }
161
162 /*
163  * Macros for copying blocks of memory and for zeroing out ranges
164  * of memory.  Using these macros makes it easy to switch from
165  * using memset()/memcpy() and using bzero()/bcopy().
166  *
167  * Please define either SHA2_USE_MEMSET_MEMCPY or define
168  * SHA2_USE_BZERO_BCOPY depending on which function set you
169  * choose to use:
170  */
171 #if !defined(SHA2_USE_MEMSET_MEMCPY) && !defined(SHA2_USE_BZERO_BCOPY)
172 /* Default to memset()/memcpy() if no option is specified */
173 #define SHA2_USE_MEMSET_MEMCPY  1
174 #endif
175 #if defined(SHA2_USE_MEMSET_MEMCPY) && defined(SHA2_USE_BZERO_BCOPY)
176 /* Abort with an error if BOTH options are defined */
177 #error Define either SHA2_USE_MEMSET_MEMCPY or SHA2_USE_BZERO_BCOPY, not both!
178 #endif
179
180 #ifdef SHA2_USE_MEMSET_MEMCPY
181 #define MEMSET_BZERO(p,l)       memset((p), 0, (l))
182 #define MEMCPY_BCOPY(d,s,l)     memcpy((d), (s), (l))
183 #endif
184 #ifdef SHA2_USE_BZERO_BCOPY
185 #define MEMSET_BZERO(p,l)       bzero((p), (l))
186 #define MEMCPY_BCOPY(d,s,l)     bcopy((s), (d), (l))
187 #endif
188
189
190 /*** THE SIX LOGICAL FUNCTIONS ****************************************/
191 /*
192  * Bit shifting and rotation (used by the six SHA-XYZ logical functions:
193  *
194  *   NOTE:  The naming of R and S appears backwards here (R is a SHIFT and
195  *   S is a ROTATION) because the SHA-256/384/512 description document
196  *   (see http://csrc.nist.gov/cryptval/shs/sha256-384-512.pdf) uses this
197  *   same "backwards" definition.
198  */
199 /* Shift-right (used in SHA-256, SHA-384, and SHA-512): */
200 #define R(b,x)          ((x) >> (b))
201 /* 32-bit Rotate-right (used in SHA-256): */
202 #define S32(b,x)        (((x) >> (b)) | ((x) << (32 - (b))))
203 /* 64-bit Rotate-right (used in SHA-384 and SHA-512): */
204 #define S64(b,x)        (((x) >> (b)) | ((x) << (64 - (b))))
205
206 /* Two of six logical functions used in SHA-256, SHA-384, and SHA-512: */
207 #define Ch(x,y,z)       (((x) & (y)) ^ ((~(x)) & (z)))
208 #define Maj(x,y,z)      (((x) & (y)) ^ ((x) & (z)) ^ ((y) & (z)))
209
210 /* Four of six logical functions used in SHA-256: */
211 #define Sigma0_256(x)   (S32(2,  (x)) ^ S32(13, (x)) ^ S32(22, (x)))
212 #define Sigma1_256(x)   (S32(6,  (x)) ^ S32(11, (x)) ^ S32(25, (x)))
213 #define sigma0_256(x)   (S32(7,  (x)) ^ S32(18, (x)) ^ R(3 ,   (x)))
214 #define sigma1_256(x)   (S32(17, (x)) ^ S32(19, (x)) ^ R(10,   (x)))
215
216 /* Four of six logical functions used in SHA-384 and SHA-512: */
217 #define Sigma0_512(x)   (S64(28, (x)) ^ S64(34, (x)) ^ S64(39, (x)))
218 #define Sigma1_512(x)   (S64(14, (x)) ^ S64(18, (x)) ^ S64(41, (x)))
219 #define sigma0_512(x)   (S64( 1, (x)) ^ S64( 8, (x)) ^ R( 7,   (x)))
220 #define sigma1_512(x)   (S64(19, (x)) ^ S64(61, (x)) ^ R( 6,   (x)))
221
222 /*** INTERNAL FUNCTION PROTOTYPES *************************************/
223 /* NOTE: These should not be accessed directly from outside this
224  * library -- they are intended for private internal visibility/use
225  * only.
226  */
227 void SHA512_Last(SHA512_CTX*);
228 void SHA256_Transform(SHA256_CTX*, const sha2_word32*);
229 void SHA512_Transform(SHA512_CTX*, const sha2_word64*);
230
231
232 /*** SHA-XYZ INITIAL HASH VALUES AND CONSTANTS ************************/
233 /* Hash constant words K for SHA-256: */
234 const static sha2_word32 K256[64] = {
235         0x428a2f98UL, 0x71374491UL, 0xb5c0fbcfUL, 0xe9b5dba5UL,
236         0x3956c25bUL, 0x59f111f1UL, 0x923f82a4UL, 0xab1c5ed5UL,
237         0xd807aa98UL, 0x12835b01UL, 0x243185beUL, 0x550c7dc3UL,
238         0x72be5d74UL, 0x80deb1feUL, 0x9bdc06a7UL, 0xc19bf174UL,
239         0xe49b69c1UL, 0xefbe4786UL, 0x0fc19dc6UL, 0x240ca1ccUL,
240         0x2de92c6fUL, 0x4a7484aaUL, 0x5cb0a9dcUL, 0x76f988daUL,
241         0x983e5152UL, 0xa831c66dUL, 0xb00327c8UL, 0xbf597fc7UL,
242         0xc6e00bf3UL, 0xd5a79147UL, 0x06ca6351UL, 0x14292967UL,
243         0x27b70a85UL, 0x2e1b2138UL, 0x4d2c6dfcUL, 0x53380d13UL,
244         0x650a7354UL, 0x766a0abbUL, 0x81c2c92eUL, 0x92722c85UL,
245         0xa2bfe8a1UL, 0xa81a664bUL, 0xc24b8b70UL, 0xc76c51a3UL,
246         0xd192e819UL, 0xd6990624UL, 0xf40e3585UL, 0x106aa070UL,
247         0x19a4c116UL, 0x1e376c08UL, 0x2748774cUL, 0x34b0bcb5UL,
248         0x391c0cb3UL, 0x4ed8aa4aUL, 0x5b9cca4fUL, 0x682e6ff3UL,
249         0x748f82eeUL, 0x78a5636fUL, 0x84c87814UL, 0x8cc70208UL,
250         0x90befffaUL, 0xa4506cebUL, 0xbef9a3f7UL, 0xc67178f2UL
251 };
252
253 /* Initial hash value H for SHA-256: */
254 const static sha2_word32 sha256_initial_hash_value[8] = {
255         0x6a09e667UL,
256         0xbb67ae85UL,
257         0x3c6ef372UL,
258         0xa54ff53aUL,
259         0x510e527fUL,
260         0x9b05688cUL,
261         0x1f83d9abUL,
262         0x5be0cd19UL
263 };
264
265 /* Hash constant words K for SHA-384 and SHA-512: */
266 const static sha2_word64 K512[80] = {
267         0x428a2f98d728ae22ULL, 0x7137449123ef65cdULL,
268         0xb5c0fbcfec4d3b2fULL, 0xe9b5dba58189dbbcULL,
269         0x3956c25bf348b538ULL, 0x59f111f1b605d019ULL,
270         0x923f82a4af194f9bULL, 0xab1c5ed5da6d8118ULL,
271         0xd807aa98a3030242ULL, 0x12835b0145706fbeULL,
272         0x243185be4ee4b28cULL, 0x550c7dc3d5ffb4e2ULL,
273         0x72be5d74f27b896fULL, 0x80deb1fe3b1696b1ULL,
274         0x9bdc06a725c71235ULL, 0xc19bf174cf692694ULL,
275         0xe49b69c19ef14ad2ULL, 0xefbe4786384f25e3ULL,
276         0x0fc19dc68b8cd5b5ULL, 0x240ca1cc77ac9c65ULL,
277         0x2de92c6f592b0275ULL, 0x4a7484aa6ea6e483ULL,
278         0x5cb0a9dcbd41fbd4ULL, 0x76f988da831153b5ULL,
279         0x983e5152ee66dfabULL, 0xa831c66d2db43210ULL,
280         0xb00327c898fb213fULL, 0xbf597fc7beef0ee4ULL,
281         0xc6e00bf33da88fc2ULL, 0xd5a79147930aa725ULL,
282         0x06ca6351e003826fULL, 0x142929670a0e6e70ULL,
283         0x27b70a8546d22ffcULL, 0x2e1b21385c26c926ULL,
284         0x4d2c6dfc5ac42aedULL, 0x53380d139d95b3dfULL,
285         0x650a73548baf63deULL, 0x766a0abb3c77b2a8ULL,
286         0x81c2c92e47edaee6ULL, 0x92722c851482353bULL,
287         0xa2bfe8a14cf10364ULL, 0xa81a664bbc423001ULL,
288         0xc24b8b70d0f89791ULL, 0xc76c51a30654be30ULL,
289         0xd192e819d6ef5218ULL, 0xd69906245565a910ULL,
290         0xf40e35855771202aULL, 0x106aa07032bbd1b8ULL,
291         0x19a4c116b8d2d0c8ULL, 0x1e376c085141ab53ULL,
292         0x2748774cdf8eeb99ULL, 0x34b0bcb5e19b48a8ULL,
293         0x391c0cb3c5c95a63ULL, 0x4ed8aa4ae3418acbULL,
294         0x5b9cca4f7763e373ULL, 0x682e6ff3d6b2b8a3ULL,
295         0x748f82ee5defb2fcULL, 0x78a5636f43172f60ULL,
296         0x84c87814a1f0ab72ULL, 0x8cc702081a6439ecULL,
297         0x90befffa23631e28ULL, 0xa4506cebde82bde9ULL,
298         0xbef9a3f7b2c67915ULL, 0xc67178f2e372532bULL,
299         0xca273eceea26619cULL, 0xd186b8c721c0c207ULL,
300         0xeada7dd6cde0eb1eULL, 0xf57d4f7fee6ed178ULL,
301         0x06f067aa72176fbaULL, 0x0a637dc5a2c898a6ULL,
302         0x113f9804bef90daeULL, 0x1b710b35131c471bULL,
303         0x28db77f523047d84ULL, 0x32caab7b40c72493ULL,
304         0x3c9ebe0a15c9bebcULL, 0x431d67c49c100d4cULL,
305         0x4cc5d4becb3e42b6ULL, 0x597f299cfc657e2aULL,
306         0x5fcb6fab3ad6faecULL, 0x6c44198c4a475817ULL
307 };
308
309 /* Initial hash value H for SHA-384 */
310 const static sha2_word64 sha384_initial_hash_value[8] = {
311         0xcbbb9d5dc1059ed8ULL,
312         0x629a292a367cd507ULL,
313         0x9159015a3070dd17ULL,
314         0x152fecd8f70e5939ULL,
315         0x67332667ffc00b31ULL,
316         0x8eb44a8768581511ULL,
317         0xdb0c2e0d64f98fa7ULL,
318         0x47b5481dbefa4fa4ULL
319 };
320
321 /* Initial hash value H for SHA-512 */
322 const static sha2_word64 sha512_initial_hash_value[8] = {
323         0x6a09e667f3bcc908ULL,
324         0xbb67ae8584caa73bULL,
325         0x3c6ef372fe94f82bULL,
326         0xa54ff53a5f1d36f1ULL,
327         0x510e527fade682d1ULL,
328         0x9b05688c2b3e6c1fULL,
329         0x1f83d9abfb41bd6bULL,
330         0x5be0cd19137e2179ULL
331 };
332
333 /*
334  * Constant used by SHA256/384/512_End() functions for converting the
335  * digest to a readable hexadecimal character string:
336  */
337 static const char *sha2_hex_digits = "0123456789abcdef";
338
339
340 /*** SHA-256: *********************************************************/
341 void sr_SHA256_Init(SHA256_CTX* context) {
342         if (context == (SHA256_CTX*)0) {
343                 return;
344         }
345         MEMCPY_BCOPY(context->state, sha256_initial_hash_value, SHA256_DIGEST_LENGTH);
346         MEMSET_BZERO(context->buffer, SHA256_BLOCK_LENGTH);
347         context->bitcount = 0;
348 }
349
350 #ifdef SHA2_UNROLL_TRANSFORM
351
352 /* Unrolled SHA-256 round macros: */
353
354 #if BYTE_ORDER == LITTLE_ENDIAN
355
356 #define ROUND256_0_TO_15(a,b,c,d,e,f,g,h)       \
357         REVERSE32(*data++, W256[j]); \
358         T1 = (h) + Sigma1_256(e) + Ch((e), (f), (g)) + \
359              K256[j] + W256[j]; \
360         (d) += T1; \
361         (h) = T1 + Sigma0_256(a) + Maj((a), (b), (c)); \
362         j++
363
364
365 #else /* BYTE_ORDER == LITTLE_ENDIAN */
366
367 #define ROUND256_0_TO_15(a,b,c,d,e,f,g,h)       \
368         T1 = (h) + Sigma1_256(e) + Ch((e), (f), (g)) + \
369              K256[j] + (W256[j] = *data++); \
370         (d) += T1; \
371         (h) = T1 + Sigma0_256(a) + Maj((a), (b), (c)); \
372         j++
373
374 #endif /* BYTE_ORDER == LITTLE_ENDIAN */
375
376 #define ROUND256(a,b,c,d,e,f,g,h)       \
377         s0 = W256[(j+1)&0x0f]; \
378         s0 = sigma0_256(s0); \
379         s1 = W256[(j+14)&0x0f]; \
380         s1 = sigma1_256(s1); \
381         T1 = (h) + Sigma1_256(e) + Ch((e), (f), (g)) + K256[j] + \
382              (W256[j&0x0f] += s1 + W256[(j+9)&0x0f] + s0); \
383         (d) += T1; \
384         (h) = T1 + Sigma0_256(a) + Maj((a), (b), (c)); \
385         j++
386
387 void SHA256_Transform(SHA256_CTX* context, const sha2_word32* data) {
388         sha2_word32     a, b, c, d, e, f, g, h, s0, s1;
389         sha2_word32     T1, *W256;
390         int             j;
391
392         W256 = (sha2_word32*)context->buffer;
393
394         /* Initialize registers with the prev. intermediate value */
395         a = context->state[0];
396         b = context->state[1];
397         c = context->state[2];
398         d = context->state[3];
399         e = context->state[4];
400         f = context->state[5];
401         g = context->state[6];
402         h = context->state[7];
403
404         j = 0;
405         do {
406                 /* Rounds 0 to 15 (unrolled): */
407                 ROUND256_0_TO_15(a,b,c,d,e,f,g,h);
408                 ROUND256_0_TO_15(h,a,b,c,d,e,f,g);
409                 ROUND256_0_TO_15(g,h,a,b,c,d,e,f);
410                 ROUND256_0_TO_15(f,g,h,a,b,c,d,e);
411                 ROUND256_0_TO_15(e,f,g,h,a,b,c,d);
412                 ROUND256_0_TO_15(d,e,f,g,h,a,b,c);
413                 ROUND256_0_TO_15(c,d,e,f,g,h,a,b);
414                 ROUND256_0_TO_15(b,c,d,e,f,g,h,a);
415         } while (j < 16);
416
417         /* Now for the remaining rounds to 64: */
418         do {
419                 ROUND256(a,b,c,d,e,f,g,h);
420                 ROUND256(h,a,b,c,d,e,f,g);
421                 ROUND256(g,h,a,b,c,d,e,f);
422                 ROUND256(f,g,h,a,b,c,d,e);
423                 ROUND256(e,f,g,h,a,b,c,d);
424                 ROUND256(d,e,f,g,h,a,b,c);
425                 ROUND256(c,d,e,f,g,h,a,b);
426                 ROUND256(b,c,d,e,f,g,h,a);
427         } while (j < 64);
428
429         /* Compute the current intermediate hash value */
430         context->state[0] += a;
431         context->state[1] += b;
432         context->state[2] += c;
433         context->state[3] += d;
434         context->state[4] += e;
435         context->state[5] += f;
436         context->state[6] += g;
437         context->state[7] += h;
438
439         /* Clean up */
440         a = b = c = d = e = f = g = h = T1 = 0;
441 }
442
443 #else /* SHA2_UNROLL_TRANSFORM */
444
445 void SHA256_Transform(SHA256_CTX* context, const sha2_word32* data) {
446         sha2_word32     a, b, c, d, e, f, g, h, s0, s1;
447         sha2_word32     T1, T2, *W256;
448         int             j;
449
450         W256 = (sha2_word32*)context->buffer;
451
452         /* Initialize registers with the prev. intermediate value */
453         a = context->state[0];
454         b = context->state[1];
455         c = context->state[2];
456         d = context->state[3];
457         e = context->state[4];
458         f = context->state[5];
459         g = context->state[6];
460         h = context->state[7];
461
462         j = 0;
463         do {
464 #if BYTE_ORDER == LITTLE_ENDIAN
465                 /* Copy data while converting to host byte order */
466                 REVERSE32(*data++,W256[j]);
467                 /* Apply the SHA-256 compression function to update a..h */
468                 T1 = h + Sigma1_256(e) + Ch(e, f, g) + K256[j] + W256[j];
469 #else /* BYTE_ORDER == LITTLE_ENDIAN */
470                 /* Apply the SHA-256 compression function to update a..h with copy */
471                 T1 = h + Sigma1_256(e) + Ch(e, f, g) + K256[j] + (W256[j] = *data++);
472 #endif /* BYTE_ORDER == LITTLE_ENDIAN */
473                 T2 = Sigma0_256(a) + Maj(a, b, c);
474                 h = g;
475                 g = f;
476                 f = e;
477                 e = d + T1;
478                 d = c;
479                 c = b;
480                 b = a;
481                 a = T1 + T2;
482
483                 j++;
484         } while (j < 16);
485
486         do {
487                 /* Part of the message block expansion: */
488                 s0 = W256[(j+1)&0x0f];
489                 s0 = sigma0_256(s0);
490                 s1 = W256[(j+14)&0x0f];
491                 s1 = sigma1_256(s1);
492
493                 /* Apply the SHA-256 compression function to update a..h */
494                 T1 = h + Sigma1_256(e) + Ch(e, f, g) + K256[j] +
495                      (W256[j&0x0f] += s1 + W256[(j+9)&0x0f] + s0);
496                 T2 = Sigma0_256(a) + Maj(a, b, c);
497                 h = g;
498                 g = f;
499                 f = e;
500                 e = d + T1;
501                 d = c;
502                 c = b;
503                 b = a;
504                 a = T1 + T2;
505
506                 j++;
507         } while (j < 64);
508
509         /* Compute the current intermediate hash value */
510         context->state[0] += a;
511         context->state[1] += b;
512         context->state[2] += c;
513         context->state[3] += d;
514         context->state[4] += e;
515         context->state[5] += f;
516         context->state[6] += g;
517         context->state[7] += h;
518
519         /* Clean up */
520         a = b = c = d = e = f = g = h = T1 = T2 = 0;
521 }
522
523 #endif /* SHA2_UNROLL_TRANSFORM */
524
525 void sr_SHA256_Update(SHA256_CTX* context, const sha2_byte *data, size_t len) {
526         unsigned int    freespace, usedspace;
527
528         if (len == 0) {
529                 /* Calling with no data is valid - we do nothing */
530                 return;
531         }
532
533         /* Sanity check: */
534         assert(context != (SHA256_CTX*)0 && data != (sha2_byte*)0);
535
536         usedspace = (context->bitcount >> 3) % SHA256_BLOCK_LENGTH;
537         if (usedspace > 0) {
538                 /* Calculate how much free space is available in the buffer */
539                 freespace = SHA256_BLOCK_LENGTH - usedspace;
540
541                 if (len >= freespace) {
542                         /* Fill the buffer completely and process it */
543                         MEMCPY_BCOPY(&context->buffer[usedspace], data, freespace);
544                         context->bitcount += freespace << 3;
545                         len -= freespace;
546                         data += freespace;
547                         SHA256_Transform(context, (sha2_word32*)context->buffer);
548                 } else {
549                         /* The buffer is not yet full */
550                         MEMCPY_BCOPY(&context->buffer[usedspace], data, len);
551                         context->bitcount += len << 3;
552                         /* Clean up: */
553                         usedspace = freespace = 0;
554                         return;
555                 }
556         }
557         while (len >= SHA256_BLOCK_LENGTH) {
558                 /* Process as many complete blocks as we can */
559                 SHA256_Transform(context, (sha2_word32*)data);
560                 context->bitcount += SHA256_BLOCK_LENGTH << 3;
561                 len -= SHA256_BLOCK_LENGTH;
562                 data += SHA256_BLOCK_LENGTH;
563         }
564         if (len > 0) {
565                 /* There's left-overs, so save 'em */
566                 MEMCPY_BCOPY(context->buffer, data, len);
567                 context->bitcount += len << 3;
568         }
569         /* Clean up: */
570         usedspace = freespace = 0;
571 }
572
573 void sr_SHA256_Final(sha2_byte digest[], SHA256_CTX* context) {
574         sha2_word32     *d = (sha2_word32*)digest;
575         unsigned int    usedspace;
576
577         /* Sanity check: */
578         assert(context != (SHA256_CTX*)0);
579
580         /* If no digest buffer is passed, we don't bother doing this: */
581         if (digest != (sha2_byte*)0) {
582                 usedspace = (context->bitcount >> 3) % SHA256_BLOCK_LENGTH;
583 #if BYTE_ORDER == LITTLE_ENDIAN
584                 /* Convert FROM host byte order */
585                 REVERSE64(context->bitcount,context->bitcount);
586 #endif
587                 if (usedspace > 0) {
588                         /* Begin padding with a 1 bit: */
589                         context->buffer[usedspace++] = 0x80;
590
591                         if (usedspace <= SHA256_SHORT_BLOCK_LENGTH) {
592                                 /* Set-up for the last transform: */
593                                 MEMSET_BZERO(&context->buffer[usedspace], SHA256_SHORT_BLOCK_LENGTH - usedspace);
594                         } else {
595                                 if (usedspace < SHA256_BLOCK_LENGTH) {
596                                         MEMSET_BZERO(&context->buffer[usedspace], SHA256_BLOCK_LENGTH - usedspace);
597                                 }
598                                 /* Do second-to-last transform: */
599                                 SHA256_Transform(context, (sha2_word32*)context->buffer);
600
601                                 /* And set-up for the last transform: */
602                                 MEMSET_BZERO(context->buffer, SHA256_SHORT_BLOCK_LENGTH);
603                         }
604                 } else {
605                         /* Set-up for the last transform: */
606                         MEMSET_BZERO(context->buffer, SHA256_SHORT_BLOCK_LENGTH);
607
608                         /* Begin padding with a 1 bit: */
609                         *context->buffer = 0x80;
610                 }
611                 /* Set the bit count: */
612                 MEMCPY_BCOPY(&(context->buffer[SHA256_SHORT_BLOCK_LENGTH]), &(context->bitcount), sizeof(sha2_word64));
613
614                 /* Final transform: */
615                 SHA256_Transform(context, (sha2_word32*)context->buffer);
616
617 #if BYTE_ORDER == LITTLE_ENDIAN
618                 {
619                         /* Convert TO host byte order */
620                         int     j;
621                         for (j = 0; j < 8; j++) {
622                                 REVERSE32(context->state[j],context->state[j]);
623                                 *d++ = context->state[j];
624                         }
625                 }
626 #else
627                 MEMCPY_BCOPY(d, context->state, SHA256_DIGEST_LENGTH);
628 #endif
629         }
630
631         /* Clean up state data: */
632         MEMSET_BZERO(context, sizeof(*context));
633         usedspace = 0;
634 }
635
636 char *sr_SHA256_End(SHA256_CTX* context, char buffer[]) {
637         sha2_byte       digest[SHA256_DIGEST_LENGTH], *d = digest;
638         int             i;
639
640         /* Sanity check: */
641         assert(context != (SHA256_CTX*)0);
642
643         if (buffer != (char*)0) {
644                 sr_SHA256_Final(digest, context);
645
646                 for (i = 0; i < SHA256_DIGEST_LENGTH; i++) {
647                         *buffer++ = sha2_hex_digits[(*d & 0xf0) >> 4];
648                         *buffer++ = sha2_hex_digits[*d & 0x0f];
649                         d++;
650                 }
651                 *buffer = (char)0;
652         } else {
653                 MEMSET_BZERO(context, sizeof(*context));
654         }
655         MEMSET_BZERO(digest, SHA256_DIGEST_LENGTH);
656         return buffer;
657 }
658
659 char* sr_SHA256_Data(const sha2_byte* data, size_t len, char digest[SHA256_DIGEST_STRING_LENGTH]) {
660         SHA256_CTX      context;
661
662         sr_SHA256_Init(&context);
663         sr_SHA256_Update(&context, data, len);
664         return sr_SHA256_End(&context, digest);
665 }
666
667
668 /*** SHA-512: *********************************************************/
669 void sr_SHA512_Init(SHA512_CTX* context) {
670         if (context == (SHA512_CTX*)0) {
671                 return;
672         }
673         MEMCPY_BCOPY(context->state, sha512_initial_hash_value, SHA512_DIGEST_LENGTH);
674         MEMSET_BZERO(context->buffer, SHA512_BLOCK_LENGTH);
675         context->bitcount[0] = context->bitcount[1] =  0;
676 }
677
678 #ifdef SHA2_UNROLL_TRANSFORM
679
680 /* Unrolled SHA-512 round macros: */
681 #if BYTE_ORDER == LITTLE_ENDIAN
682
683 #define ROUND512_0_TO_15(a,b,c,d,e,f,g,h)       \
684         REVERSE64(*data++, W512[j]); \
685         T1 = (h) + Sigma1_512(e) + Ch((e), (f), (g)) + \
686              K512[j] + W512[j]; \
687         (d) += T1, \
688         (h) = T1 + Sigma0_512(a) + Maj((a), (b), (c)), \
689         j++
690
691
692 #else /* BYTE_ORDER == LITTLE_ENDIAN */
693
694 #define ROUND512_0_TO_15(a,b,c,d,e,f,g,h)       \
695         T1 = (h) + Sigma1_512(e) + Ch((e), (f), (g)) + \
696              K512[j] + (W512[j] = *data++); \
697         (d) += T1; \
698         (h) = T1 + Sigma0_512(a) + Maj((a), (b), (c)); \
699         j++
700
701 #endif /* BYTE_ORDER == LITTLE_ENDIAN */
702
703 #define ROUND512(a,b,c,d,e,f,g,h)       \
704         s0 = W512[(j+1)&0x0f]; \
705         s0 = sigma0_512(s0); \
706         s1 = W512[(j+14)&0x0f]; \
707         s1 = sigma1_512(s1); \
708         T1 = (h) + Sigma1_512(e) + Ch((e), (f), (g)) + K512[j] + \
709              (W512[j&0x0f] += s1 + W512[(j+9)&0x0f] + s0); \
710         (d) += T1; \
711         (h) = T1 + Sigma0_512(a) + Maj((a), (b), (c)); \
712         j++
713
714 void SHA512_Transform(SHA512_CTX* context, const sha2_word64* data) {
715         sha2_word64     a, b, c, d, e, f, g, h, s0, s1;
716         sha2_word64     T1, *W512 = (sha2_word64*)context->buffer;
717         int             j;
718
719         /* Initialize registers with the prev. intermediate value */
720         a = context->state[0];
721         b = context->state[1];
722         c = context->state[2];
723         d = context->state[3];
724         e = context->state[4];
725         f = context->state[5];
726         g = context->state[6];
727         h = context->state[7];
728
729         j = 0;
730         do {
731                 ROUND512_0_TO_15(a,b,c,d,e,f,g,h);
732                 ROUND512_0_TO_15(h,a,b,c,d,e,f,g);
733                 ROUND512_0_TO_15(g,h,a,b,c,d,e,f);
734                 ROUND512_0_TO_15(f,g,h,a,b,c,d,e);
735                 ROUND512_0_TO_15(e,f,g,h,a,b,c,d);
736                 ROUND512_0_TO_15(d,e,f,g,h,a,b,c);
737                 ROUND512_0_TO_15(c,d,e,f,g,h,a,b);
738                 ROUND512_0_TO_15(b,c,d,e,f,g,h,a);
739         } while (j < 16);
740
741         /* Now for the remaining rounds up to 79: */
742         do {
743                 ROUND512(a,b,c,d,e,f,g,h);
744                 ROUND512(h,a,b,c,d,e,f,g);
745                 ROUND512(g,h,a,b,c,d,e,f);
746                 ROUND512(f,g,h,a,b,c,d,e);
747                 ROUND512(e,f,g,h,a,b,c,d);
748                 ROUND512(d,e,f,g,h,a,b,c);
749                 ROUND512(c,d,e,f,g,h,a,b);
750                 ROUND512(b,c,d,e,f,g,h,a);
751         } while (j < 80);
752
753         /* Compute the current intermediate hash value */
754         context->state[0] += a;
755         context->state[1] += b;
756         context->state[2] += c;
757         context->state[3] += d;
758         context->state[4] += e;
759         context->state[5] += f;
760         context->state[6] += g;
761         context->state[7] += h;
762
763         /* Clean up */
764         a = b = c = d = e = f = g = h = T1 = 0;
765 }
766
767 #else /* SHA2_UNROLL_TRANSFORM */
768
769 void SHA512_Transform(SHA512_CTX* context, const sha2_word64* data) {
770         sha2_word64     a, b, c, d, e, f, g, h, s0, s1;
771         sha2_word64     T1, T2, *W512 = (sha2_word64*)context->buffer;
772         int             j;
773
774         /* Initialize registers with the prev. intermediate value */
775         a = context->state[0];
776         b = context->state[1];
777         c = context->state[2];
778         d = context->state[3];
779         e = context->state[4];
780         f = context->state[5];
781         g = context->state[6];
782         h = context->state[7];
783
784         j = 0;
785         do {
786 #if BYTE_ORDER == LITTLE_ENDIAN
787                 /* Convert TO host byte order */
788                 REVERSE64(*data++, W512[j]);
789                 /* Apply the SHA-512 compression function to update a..h */
790                 T1 = h + Sigma1_512(e) + Ch(e, f, g) + K512[j] + W512[j];
791 #else /* BYTE_ORDER == LITTLE_ENDIAN */
792                 /* Apply the SHA-512 compression function to update a..h with copy */
793                 T1 = h + Sigma1_512(e) + Ch(e, f, g) + K512[j] + (W512[j] = *data++);
794 #endif /* BYTE_ORDER == LITTLE_ENDIAN */
795                 T2 = Sigma0_512(a) + Maj(a, b, c);
796                 h = g;
797                 g = f;
798                 f = e;
799                 e = d + T1;
800                 d = c;
801                 c = b;
802                 b = a;
803                 a = T1 + T2;
804
805                 j++;
806         } while (j < 16);
807
808         do {
809                 /* Part of the message block expansion: */
810                 s0 = W512[(j+1)&0x0f];
811                 s0 = sigma0_512(s0);
812                 s1 = W512[(j+14)&0x0f];
813                 s1 =  sigma1_512(s1);
814
815                 /* Apply the SHA-512 compression function to update a..h */
816                 T1 = h + Sigma1_512(e) + Ch(e, f, g) + K512[j] +
817                      (W512[j&0x0f] += s1 + W512[(j+9)&0x0f] + s0);
818                 T2 = Sigma0_512(a) + Maj(a, b, c);
819                 h = g;
820                 g = f;
821                 f = e;
822                 e = d + T1;
823                 d = c;
824                 c = b;
825                 b = a;
826                 a = T1 + T2;
827
828                 j++;
829         } while (j < 80);
830
831         /* Compute the current intermediate hash value */
832         context->state[0] += a;
833         context->state[1] += b;
834         context->state[2] += c;
835         context->state[3] += d;
836         context->state[4] += e;
837         context->state[5] += f;
838         context->state[6] += g;
839         context->state[7] += h;
840
841         /* Clean up */
842         a = b = c = d = e = f = g = h = T1 = T2 = 0;
843 }
844
845 #endif /* SHA2_UNROLL_TRANSFORM */
846
847 void sr_SHA512_Update(SHA512_CTX* context, const sha2_byte *data, size_t len) {
848         unsigned int    freespace, usedspace;
849
850         if (len == 0) {
851                 /* Calling with no data is valid - we do nothing */
852                 return;
853         }
854
855         /* Sanity check: */
856         assert(context != (SHA512_CTX*)0 && data != (sha2_byte*)0);
857
858         usedspace = (context->bitcount[0] >> 3) % SHA512_BLOCK_LENGTH;
859         if (usedspace > 0) {
860                 /* Calculate how much free space is available in the buffer */
861                 freespace = SHA512_BLOCK_LENGTH - usedspace;
862
863                 if (len >= freespace) {
864                         /* Fill the buffer completely and process it */
865                         MEMCPY_BCOPY(&context->buffer[usedspace], data, freespace);
866                         ADDINC128(context->bitcount, freespace << 3);
867                         len -= freespace;
868                         data += freespace;
869                         SHA512_Transform(context, (sha2_word64*)context->buffer);
870                 } else {
871                         /* The buffer is not yet full */
872                         MEMCPY_BCOPY(&context->buffer[usedspace], data, len);
873                         ADDINC128(context->bitcount, len << 3);
874                         /* Clean up: */
875                         usedspace = freespace = 0;
876                         return;
877                 }
878         }
879         while (len >= SHA512_BLOCK_LENGTH) {
880                 /* Process as many complete blocks as we can */
881                 SHA512_Transform(context, (sha2_word64*)data);
882                 ADDINC128(context->bitcount, SHA512_BLOCK_LENGTH << 3);
883                 len -= SHA512_BLOCK_LENGTH;
884                 data += SHA512_BLOCK_LENGTH;
885         }
886         if (len > 0) {
887                 /* There's left-overs, so save 'em */
888                 MEMCPY_BCOPY(context->buffer, data, len);
889                 ADDINC128(context->bitcount, len << 3);
890         }
891         /* Clean up: */
892         usedspace = freespace = 0;
893 }
894
895 void SHA512_Last(SHA512_CTX* context) {
896         unsigned int    usedspace;
897
898         usedspace = (context->bitcount[0] >> 3) % SHA512_BLOCK_LENGTH;
899 #if BYTE_ORDER == LITTLE_ENDIAN
900         /* Convert FROM host byte order */
901         REVERSE64(context->bitcount[0],context->bitcount[0]);
902         REVERSE64(context->bitcount[1],context->bitcount[1]);
903 #endif
904         if (usedspace > 0) {
905                 /* Begin padding with a 1 bit: */
906                 context->buffer[usedspace++] = 0x80;
907
908                 if (usedspace <= SHA512_SHORT_BLOCK_LENGTH) {
909                         /* Set-up for the last transform: */
910                         MEMSET_BZERO(&context->buffer[usedspace], SHA512_SHORT_BLOCK_LENGTH - usedspace);
911                 } else {
912                         if (usedspace < SHA512_BLOCK_LENGTH) {
913                                 MEMSET_BZERO(&context->buffer[usedspace], SHA512_BLOCK_LENGTH - usedspace);
914                         }
915                         /* Do second-to-last transform: */
916                         SHA512_Transform(context, (sha2_word64*)context->buffer);
917
918                         /* And set-up for the last transform: */
919                         MEMSET_BZERO(context->buffer, SHA512_BLOCK_LENGTH - 2);
920                 }
921         } else {
922                 /* Prepare for final transform: */
923                 MEMSET_BZERO(context->buffer, SHA512_SHORT_BLOCK_LENGTH);
924
925                 /* Begin padding with a 1 bit: */
926                 *context->buffer = 0x80;
927         }
928         /* Store the length of input data (in bits): */
929         MEMCPY_BCOPY(&(context->buffer[SHA512_SHORT_BLOCK_LENGTH+0]), &(context->bitcount[1]), sizeof(sha2_word64));
930         MEMCPY_BCOPY(&(context->buffer[SHA512_SHORT_BLOCK_LENGTH+8]), &(context->bitcount[0]), sizeof(sha2_word64));
931
932         /* Final transform: */
933         SHA512_Transform(context, (sha2_word64*)context->buffer);
934 }
935
936 void sr_SHA512_Final(sha2_byte digest[], SHA512_CTX* context) {
937         sha2_word64     *d = (sha2_word64*)digest;
938
939         /* Sanity check: */
940         assert(context != (SHA512_CTX*)0);
941
942         /* If no digest buffer is passed, we don't bother doing this: */
943         if (digest != (sha2_byte*)0) {
944                 SHA512_Last(context);
945
946                 /* Save the hash data for output: */
947 #if BYTE_ORDER == LITTLE_ENDIAN
948                 {
949                         /* Convert TO host byte order */
950                         int     j;
951                         for (j = 0; j < 8; j++) {
952                                 REVERSE64(context->state[j],context->state[j]);
953                                 *d++ = context->state[j];
954                         }
955                 }
956 #else
957                 MEMCPY_BCOPY(d, context->state, SHA512_DIGEST_LENGTH);
958 #endif
959         }
960
961         /* Zero out state data */
962         MEMSET_BZERO(context, sizeof(*context));
963 }
964
965 char *sr_SHA512_End(SHA512_CTX* context, char buffer[]) {
966         sha2_byte       digest[SHA512_DIGEST_LENGTH], *d = digest;
967         int             i;
968
969         /* Sanity check: */
970         assert(context != (SHA512_CTX*)0);
971
972         if (buffer != (char*)0) {
973                 sr_SHA512_Final(digest, context);
974
975                 for (i = 0; i < SHA512_DIGEST_LENGTH; i++) {
976                         *buffer++ = sha2_hex_digits[(*d & 0xf0) >> 4];
977                         *buffer++ = sha2_hex_digits[*d & 0x0f];
978                         d++;
979                 }
980                 *buffer = (char)0;
981         } else {
982                 MEMSET_BZERO(context, sizeof(*context));
983         }
984         MEMSET_BZERO(digest, SHA512_DIGEST_LENGTH);
985         return buffer;
986 }
987
988 char* sr_SHA512_Data(const sha2_byte* data, size_t len, char digest[SHA512_DIGEST_STRING_LENGTH]) {
989         SHA512_CTX      context;
990
991         sr_SHA512_Init(&context);
992         sr_SHA512_Update(&context, data, len);
993         return sr_SHA512_End(&context, digest);
994 }
995
996
997 /*** SHA-384: *********************************************************/
998 void sr_SHA384_Init(SHA384_CTX* context) {
999         if (context == (SHA384_CTX*)0) {
1000                 return;
1001         }
1002         MEMCPY_BCOPY(context->state, sha384_initial_hash_value, SHA512_DIGEST_LENGTH);
1003         MEMSET_BZERO(context->buffer, SHA384_BLOCK_LENGTH);
1004         context->bitcount[0] = context->bitcount[1] = 0;
1005 }
1006
1007 void sr_SHA384_Update(SHA384_CTX* context, const sha2_byte* data, size_t len) {
1008         sr_SHA512_Update((SHA512_CTX*)context, data, len);
1009 }
1010
1011 void sr_SHA384_Final(sha2_byte digest[], SHA384_CTX* context) {
1012         sha2_word64     *d = (sha2_word64*)digest;
1013
1014         /* Sanity check: */
1015         assert(context != (SHA384_CTX*)0);
1016
1017         /* If no digest buffer is passed, we don't bother doing this: */
1018         if (digest != (sha2_byte*)0) {
1019                 SHA512_Last((SHA512_CTX*)context);
1020
1021                 /* Save the hash data for output: */
1022 #if BYTE_ORDER == LITTLE_ENDIAN
1023                 {
1024                         /* Convert TO host byte order */
1025                         int     j;
1026                         for (j = 0; j < 6; j++) {
1027                                 REVERSE64(context->state[j],context->state[j]);
1028                                 *d++ = context->state[j];
1029                         }
1030                 }
1031 #else
1032                 MEMCPY_BCOPY(d, context->state, SHA384_DIGEST_LENGTH);
1033 #endif
1034         }
1035
1036         /* Zero out state data */
1037         MEMSET_BZERO(context, sizeof(*context));
1038 }
1039
1040 char *sr_SHA384_End(SHA384_CTX* context, char buffer[]) {
1041         sha2_byte       digest[SHA384_DIGEST_LENGTH], *d = digest;
1042         int             i;
1043
1044         /* Sanity check: */
1045         assert(context != (SHA384_CTX*)0);
1046
1047         if (buffer != (char*)0) {
1048                 sr_SHA384_Final(digest, context);
1049
1050                 for (i = 0; i < SHA384_DIGEST_LENGTH; i++) {
1051                         *buffer++ = sha2_hex_digits[(*d & 0xf0) >> 4];
1052                         *buffer++ = sha2_hex_digits[*d & 0x0f];
1053                         d++;
1054                 }
1055                 *buffer = (char)0;
1056         } else {
1057                 MEMSET_BZERO(context, sizeof(*context));
1058         }
1059         MEMSET_BZERO(digest, SHA384_DIGEST_LENGTH);
1060         return buffer;
1061 }
1062
1063 char* sr_SHA384_Data(const sha2_byte* data, size_t len, char digest[SHA384_DIGEST_STRING_LENGTH]) {
1064         SHA384_CTX      context;
1065
1066         sr_SHA384_Init(&context);
1067         sr_SHA384_Update(&context, data, len);
1068         return sr_SHA384_End(&context, digest);
1069 }