Added RSA/OAEP implementation.
authorThomas Pornin <pornin@bolet.org>
Wed, 23 May 2018 21:16:31 +0000 (23:16 +0200)
committerThomas Pornin <pornin@bolet.org>
Wed, 23 May 2018 21:16:31 +0000 (23:16 +0200)
18 files changed:
inc/bearssl_rsa.h
mk/Rules.mk
mk/mkrules.sh
src/hash/mgf1.c [new file with mode: 0644]
src/inner.h
src/rsa/rsa_default_oaep_decrypt.c [new file with mode: 0644]
src/rsa/rsa_default_oaep_encrypt.c [new file with mode: 0644]
src/rsa/rsa_i15_oaep_decrypt.c [new file with mode: 0644]
src/rsa/rsa_i15_oaep_encrypt.c [new file with mode: 0644]
src/rsa/rsa_i31_oaep_decrypt.c [new file with mode: 0644]
src/rsa/rsa_i31_oaep_encrypt.c [new file with mode: 0644]
src/rsa/rsa_i32_oaep_decrypt.c [new file with mode: 0644]
src/rsa/rsa_i32_oaep_encrypt.c [new file with mode: 0644]
src/rsa/rsa_i62_oaep_decrypt.c [new file with mode: 0644]
src/rsa/rsa_i62_oaep_encrypt.c [new file with mode: 0644]
src/rsa/rsa_oaep_pad.c [new file with mode: 0644]
src/rsa/rsa_oaep_unpad.c [new file with mode: 0644]
test/test_crypto.c

index 3d5c26a..ac0415f 100644 (file)
@@ -277,6 +277,57 @@ typedef uint32_t (*br_rsa_pkcs1_vrfy)(const unsigned char *x, size_t xlen,
        const unsigned char *hash_oid, size_t hash_len,
        const br_rsa_public_key *pk, unsigned char *hash_out);
 
+/**
+ * \brief Type for a RSA encryption engine (OAEP).
+ *
+ * Parameters are:
+ *
+ *   - A source of random bytes. The source must be already initialized.
+ *
+ *   - A hash function, used internally with the mask generation function
+ *     (MGF1).
+ *
+ *   - A label. The `label` pointer may be `NULL` if `label_len` is zero
+ *     (an empty label, which is the default in PKCS#1 v2.2).
+ *
+ *   - The public key.
+ *
+ *   - The destination buffer. Its maximum length (in bytes) is provided;
+ *     if that length is lower than the public key length, then an error
+ *     is reported.
+ *
+ *   - The source message.
+ *
+ * The encrypted message output has exactly the same length as the modulus
+ * (mathematical length, in bytes, not counting extra leading zeros in the
+ * modulus representation in the public key).
+ *
+ * The source message (`src`, length `src_len`) may overlap with the
+ * destination buffer (`dst`, length `dst_max_len`).
+ *
+ * This function returns the actual encrypted message length, in bytes;
+ * on error, zero is returned. An error is reported if the output buffer
+ * is not large enough, or the public is invalid, or the public key
+ * modulus exceeds the maximum supported RSA size.
+ *
+ * \param rnd           source of random bytes.
+ * \param dig           hash function to use with MGF1.
+ * \param label         label value (may be `NULL` if `label_len` is zero).
+ * \param label_len     label length, in bytes.
+ * \param pk            RSA public key.
+ * \param dst           destination buffer.
+ * \param dst_max_len   destination buffer length (maximum encrypted data size).
+ * \param src           message to encrypt.
+ * \param src_len       source message length (in bytes).
+ * \return  encrypted message length (in bytes), or 0 on error.
+ */
+typedef size_t (*br_rsa_oaep_encrypt)(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len);
+
 /**
  * \brief Type for a RSA private key engine.
  *
@@ -362,6 +413,47 @@ typedef uint32_t (*br_rsa_pkcs1_sign)(const unsigned char *hash_oid,
 #define BR_HASH_OID_SHA512   \
        ((const unsigned char *)"\x09\x60\x86\x48\x01\x65\x03\x04\x02\x03")
 
+/**
+ * \brief Type for a RSA decryption engine (OAEP).
+ *
+ * Parameters are:
+ *
+ *   - A hash function, used internally with the mask generation function
+ *     (MGF1).
+ *
+ *   - A label. The `label` pointer may be `NULL` if `label_len` is zero
+ *     (an empty label, which is the default in PKCS#1 v2.2).
+ *
+ *   - The private key.
+ *
+ *   - The source and destination buffer. The buffer initially contains
+ *     the encrypted message; the buffer contents are altered, and the
+ *     decrypted message is written at the start of that buffer
+ *     (decrypted message is always shorter than the encrypted message).
+ *
+ * If decryption fails in any way, then `*len` is unmodified, and the
+ * function returns 0. Otherwise, `*len` is set to the decrypted message
+ * length, and 1 is returned. The implementation is responsible for
+ * checking that the input message length matches the key modulus length,
+ * and that the padding is correct.
+ *
+ * Implementations MUST use constant-time check of the validity of the
+ * OAEP padding, at least until the leading byte and hash value have
+ * been checked. Whether overall decryption worked, and the length of
+ * the decrypted message, may leak.
+ *
+ * \param dig         hash function to use with MGF1.
+ * \param label       label value (may be `NULL` if `label_len` is zero).
+ * \param label_len   label length, in bytes.
+ * \param sk          RSA private key.
+ * \param data        input/output buffer.
+ * \param len         encrypted/decrypted message length.
+ * \return  1 on success, 0 on error.
+ */
+typedef uint32_t (*br_rsa_oaep_decrypt)(
+       const br_hash_class *dig, const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len);
+
 /*
  * RSA "i32" engine. Integers are internally represented as arrays of
  * 32-bit integers, and the core multiplication primitive is the
@@ -501,7 +593,7 @@ uint32_t br_rsa_i31_pkcs1_sign(const unsigned char *hash_oid,
  *
  * This function is defined only on architecture that offer a 64x64->128
  * opcode. Use `br_rsa_i62_public_get()` to dynamically obtain a pointer
- * to that functiom.
+ * to that function.
  *
  * \see br_rsa_public
  *
@@ -518,7 +610,7 @@ uint32_t br_rsa_i62_public(unsigned char *x, size_t xlen,
  *
  * This function is defined only on architecture that offer a 64x64->128
  * opcode. Use `br_rsa_i62_pkcs1_vrfy_get()` to dynamically obtain a pointer
- * to that functiom.
+ * to that function.
  *
  * \see br_rsa_pkcs1_vrfy
  *
@@ -539,7 +631,7 @@ uint32_t br_rsa_i62_pkcs1_vrfy(const unsigned char *x, size_t xlen,
  *
  * This function is defined only on architecture that offer a 64x64->128
  * opcode. Use `br_rsa_i62_private_get()` to dynamically obtain a pointer
- * to that functiom.
+ * to that function.
  *
  * \see br_rsa_private
  *
@@ -555,7 +647,7 @@ uint32_t br_rsa_i62_private(unsigned char *x,
  *
  * This function is defined only on architecture that offer a 64x64->128
  * opcode. Use `br_rsa_i62_pkcs1_sign_get()` to dynamically obtain a pointer
- * to that functiom.
+ * to that function.
  *
  * \see br_rsa_pkcs1_sign
  *
@@ -602,6 +694,22 @@ br_rsa_private br_rsa_i62_private_get(void);
  */
 br_rsa_pkcs1_sign br_rsa_i62_pkcs1_sign_get(void);
 
+/**
+ * \brief Get the RSA "i62" implementation (OAEP encryption),
+ * if available.
+ *
+ * \return  the implementation, or 0.
+ */
+br_rsa_oaep_encrypt br_rsa_i62_oaep_encrypt_get(void);
+
+/**
+ * \brief Get the RSA "i62" implementation (OAEP decryption),
+ * if available.
+ *
+ * \return  the implementation, or 0.
+ */
+br_rsa_oaep_decrypt br_rsa_i62_oaep_decrypt_get(void);
+
 /*
  * RSA "i15" engine. Integers are represented as 15-bit integers, so
  * the code uses only 32-bit multiplication (no 64-bit result), which
@@ -706,6 +814,26 @@ br_rsa_pkcs1_vrfy br_rsa_pkcs1_vrfy_get_default(void);
  */
 br_rsa_pkcs1_sign br_rsa_pkcs1_sign_get_default(void);
 
+/**
+ * \brief Get "default" RSA implementation (OAEP encryption).
+ *
+ * This returns the preferred implementation of RSA (OAEP encryption)
+ * on the current system.
+ *
+ * \return  the default implementation.
+ */
+br_rsa_oaep_encrypt br_rsa_oaep_encrypt_get_default(void);
+
+/**
+ * \brief Get "default" RSA implementation (OAEP decryption).
+ *
+ * This returns the preferred implementation of RSA (OAEP decryption)
+ * on the current system.
+ *
+ * \return  the default implementation.
+ */
+br_rsa_oaep_decrypt br_rsa_oaep_decrypt_get_default(void);
+
 /**
  * \brief RSA decryption helper, for SSL/TLS.
  *
@@ -736,6 +864,174 @@ br_rsa_pkcs1_sign br_rsa_pkcs1_sign_get_default(void);
 uint32_t br_rsa_ssl_decrypt(br_rsa_private core, const br_rsa_private_key *sk,
        unsigned char *data, size_t len);
 
+/**
+ * \brief RSA encryption (OAEP) with the "i15" engine.
+ *
+ * \see br_rsa_oaep_encrypt
+ *
+ * \param rnd           source of random bytes.
+ * \param dig           hash function to use with MGF1.
+ * \param label         label value (may be `NULL` if `label_len` is zero).
+ * \param label_len     label length, in bytes.
+ * \param pk            RSA public key.
+ * \param dst           destination buffer.
+ * \param dst_max_len   destination buffer length (maximum encrypted data size).
+ * \param src           message to encrypt.
+ * \param src_len       source message length (in bytes).
+ * \return  encrypted message length (in bytes), or 0 on error.
+ */
+size_t br_rsa_i15_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len);
+
+/**
+ * \brief RSA decryption (OAEP) with the "i15" engine.
+ *
+ * \see br_rsa_oaep_decrypt
+ *
+ * \param dig         hash function to use with MGF1.
+ * \param label       label value (may be `NULL` if `label_len` is zero).
+ * \param label_len   label length, in bytes.
+ * \param sk          RSA private key.
+ * \param data        input/output buffer.
+ * \param len         encrypted/decrypted message length.
+ * \return  1 on success, 0 on error.
+ */
+uint32_t br_rsa_i15_oaep_decrypt(
+       const br_hash_class *dig, const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len);
+
+/**
+ * \brief RSA encryption (OAEP) with the "i31" engine.
+ *
+ * \see br_rsa_oaep_encrypt
+ *
+ * \param rnd           source of random bytes.
+ * \param dig           hash function to use with MGF1.
+ * \param label         label value (may be `NULL` if `label_len` is zero).
+ * \param label_len     label length, in bytes.
+ * \param pk            RSA public key.
+ * \param dst           destination buffer.
+ * \param dst_max_len   destination buffer length (maximum encrypted data size).
+ * \param src           message to encrypt.
+ * \param src_len       source message length (in bytes).
+ * \return  encrypted message length (in bytes), or 0 on error.
+ */
+size_t br_rsa_i31_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len);
+
+/**
+ * \brief RSA decryption (OAEP) with the "i31" engine.
+ *
+ * \see br_rsa_oaep_decrypt
+ *
+ * \param dig         hash function to use with MGF1.
+ * \param label       label value (may be `NULL` if `label_len` is zero).
+ * \param label_len   label length, in bytes.
+ * \param sk          RSA private key.
+ * \param data        input/output buffer.
+ * \param len         encrypted/decrypted message length.
+ * \return  1 on success, 0 on error.
+ */
+uint32_t br_rsa_i31_oaep_decrypt(
+       const br_hash_class *dig, const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len);
+
+/**
+ * \brief RSA encryption (OAEP) with the "i32" engine.
+ *
+ * \see br_rsa_oaep_encrypt
+ *
+ * \param rnd           source of random bytes.
+ * \param dig           hash function to use with MGF1.
+ * \param label         label value (may be `NULL` if `label_len` is zero).
+ * \param label_len     label length, in bytes.
+ * \param pk            RSA public key.
+ * \param dst           destination buffer.
+ * \param dst_max_len   destination buffer length (maximum encrypted data size).
+ * \param src           message to encrypt.
+ * \param src_len       source message length (in bytes).
+ * \return  encrypted message length (in bytes), or 0 on error.
+ */
+size_t br_rsa_i32_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len);
+
+/**
+ * \brief RSA decryption (OAEP) with the "i32" engine.
+ *
+ * \see br_rsa_oaep_decrypt
+ *
+ * \param dig         hash function to use with MGF1.
+ * \param label       label value (may be `NULL` if `label_len` is zero).
+ * \param label_len   label length, in bytes.
+ * \param sk          RSA private key.
+ * \param data        input/output buffer.
+ * \param len         encrypted/decrypted message length.
+ * \return  1 on success, 0 on error.
+ */
+uint32_t br_rsa_i32_oaep_decrypt(
+       const br_hash_class *dig, const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len);
+
+/**
+ * \brief RSA encryption (OAEP) with the "i62" engine.
+ *
+ * This function is defined only on architecture that offer a 64x64->128
+ * opcode. Use `br_rsa_i62_oaep_encrypt_get()` to dynamically obtain a pointer
+ * to that function.
+ *
+ * \see br_rsa_oaep_encrypt
+ *
+ * \param rnd           source of random bytes.
+ * \param dig           hash function to use with MGF1.
+ * \param label         label value (may be `NULL` if `label_len` is zero).
+ * \param label_len     label length, in bytes.
+ * \param pk            RSA public key.
+ * \param dst           destination buffer.
+ * \param dst_max_len   destination buffer length (maximum encrypted data size).
+ * \param src           message to encrypt.
+ * \param src_len       source message length (in bytes).
+ * \return  encrypted message length (in bytes), or 0 on error.
+ */
+size_t br_rsa_i62_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len);
+
+/**
+ * \brief RSA decryption (OAEP) with the "i62" engine.
+ *
+ * This function is defined only on architecture that offer a 64x64->128
+ * opcode. Use `br_rsa_i62_oaep_decrypt_get()` to dynamically obtain a pointer
+ * to that function.
+ *
+ * \see br_rsa_oaep_decrypt
+ *
+ * \param dig         hash function to use with MGF1.
+ * \param label       label value (may be `NULL` if `label_len` is zero).
+ * \param label_len   label length, in bytes.
+ * \param sk          RSA private key.
+ * \param data        input/output buffer.
+ * \param len         encrypted/decrypted message length.
+ * \return  1 on success, 0 on error.
+ */
+uint32_t br_rsa_i62_oaep_decrypt(
+       const br_hash_class *dig, const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len);
+
 #ifdef __cplusplus
 }
 #endif
index 15a95b3..dd1b99a 100644 (file)
@@ -59,6 +59,7 @@ OBJ = \
  $(OBJDIR)$Pghash_pwr8$O \
  $(OBJDIR)$Pmd5$O \
  $(OBJDIR)$Pmd5sha1$O \
+ $(OBJDIR)$Pmgf1$O \
  $(OBJDIR)$Pmultihash$O \
  $(OBJDIR)$Psha1$O \
  $(OBJDIR)$Psha2big$O \
@@ -121,26 +122,38 @@ OBJ = \
  $(OBJDIR)$Phmac_ct$O \
  $(OBJDIR)$Phmac_drbg$O \
  $(OBJDIR)$Psysrng$O \
+ $(OBJDIR)$Prsa_default_oaep_decrypt$O \
+ $(OBJDIR)$Prsa_default_oaep_encrypt$O \
  $(OBJDIR)$Prsa_default_pkcs1_sign$O \
  $(OBJDIR)$Prsa_default_pkcs1_vrfy$O \
  $(OBJDIR)$Prsa_default_priv$O \
  $(OBJDIR)$Prsa_default_pub$O \
+ $(OBJDIR)$Prsa_i15_oaep_decrypt$O \
+ $(OBJDIR)$Prsa_i15_oaep_encrypt$O \
  $(OBJDIR)$Prsa_i15_pkcs1_sign$O \
  $(OBJDIR)$Prsa_i15_pkcs1_vrfy$O \
  $(OBJDIR)$Prsa_i15_priv$O \
  $(OBJDIR)$Prsa_i15_pub$O \
+ $(OBJDIR)$Prsa_i31_oaep_decrypt$O \
+ $(OBJDIR)$Prsa_i31_oaep_encrypt$O \
  $(OBJDIR)$Prsa_i31_pkcs1_sign$O \
  $(OBJDIR)$Prsa_i31_pkcs1_vrfy$O \
  $(OBJDIR)$Prsa_i31_priv$O \
  $(OBJDIR)$Prsa_i31_pub$O \
+ $(OBJDIR)$Prsa_i32_oaep_decrypt$O \
+ $(OBJDIR)$Prsa_i32_oaep_encrypt$O \
  $(OBJDIR)$Prsa_i32_pkcs1_sign$O \
  $(OBJDIR)$Prsa_i32_pkcs1_vrfy$O \
  $(OBJDIR)$Prsa_i32_priv$O \
  $(OBJDIR)$Prsa_i32_pub$O \
+ $(OBJDIR)$Prsa_i62_oaep_decrypt$O \
+ $(OBJDIR)$Prsa_i62_oaep_encrypt$O \
  $(OBJDIR)$Prsa_i62_pkcs1_sign$O \
  $(OBJDIR)$Prsa_i62_pkcs1_vrfy$O \
  $(OBJDIR)$Prsa_i62_priv$O \
  $(OBJDIR)$Prsa_i62_pub$O \
+ $(OBJDIR)$Prsa_oaep_pad$O \
+ $(OBJDIR)$Prsa_oaep_unpad$O \
  $(OBJDIR)$Prsa_pkcs1_sig_pad$O \
  $(OBJDIR)$Prsa_pkcs1_sig_unpad$O \
  $(OBJDIR)$Prsa_ssl_decrypt$O \
@@ -490,6 +503,9 @@ $(OBJDIR)$Pmd5$O: src$Phash$Pmd5.c $(HEADERSPRIV)
 $(OBJDIR)$Pmd5sha1$O: src$Phash$Pmd5sha1.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Pmd5sha1$O src$Phash$Pmd5sha1.c
 
+$(OBJDIR)$Pmgf1$O: src$Phash$Pmgf1.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Pmgf1$O src$Phash$Pmgf1.c
+
 $(OBJDIR)$Pmultihash$O: src$Phash$Pmultihash.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Pmultihash$O src$Phash$Pmultihash.c
 
@@ -676,6 +692,12 @@ $(OBJDIR)$Phmac_drbg$O: src$Prand$Phmac_drbg.c $(HEADERSPRIV)
 $(OBJDIR)$Psysrng$O: src$Prand$Psysrng.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Psysrng$O src$Prand$Psysrng.c
 
+$(OBJDIR)$Prsa_default_oaep_decrypt$O: src$Prsa$Prsa_default_oaep_decrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_default_oaep_decrypt$O src$Prsa$Prsa_default_oaep_decrypt.c
+
+$(OBJDIR)$Prsa_default_oaep_encrypt$O: src$Prsa$Prsa_default_oaep_encrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_default_oaep_encrypt$O src$Prsa$Prsa_default_oaep_encrypt.c
+
 $(OBJDIR)$Prsa_default_pkcs1_sign$O: src$Prsa$Prsa_default_pkcs1_sign.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_default_pkcs1_sign$O src$Prsa$Prsa_default_pkcs1_sign.c
 
@@ -688,6 +710,12 @@ $(OBJDIR)$Prsa_default_priv$O: src$Prsa$Prsa_default_priv.c $(HEADERSPRIV)
 $(OBJDIR)$Prsa_default_pub$O: src$Prsa$Prsa_default_pub.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_default_pub$O src$Prsa$Prsa_default_pub.c
 
+$(OBJDIR)$Prsa_i15_oaep_decrypt$O: src$Prsa$Prsa_i15_oaep_decrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i15_oaep_decrypt$O src$Prsa$Prsa_i15_oaep_decrypt.c
+
+$(OBJDIR)$Prsa_i15_oaep_encrypt$O: src$Prsa$Prsa_i15_oaep_encrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i15_oaep_encrypt$O src$Prsa$Prsa_i15_oaep_encrypt.c
+
 $(OBJDIR)$Prsa_i15_pkcs1_sign$O: src$Prsa$Prsa_i15_pkcs1_sign.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i15_pkcs1_sign$O src$Prsa$Prsa_i15_pkcs1_sign.c
 
@@ -700,6 +728,12 @@ $(OBJDIR)$Prsa_i15_priv$O: src$Prsa$Prsa_i15_priv.c $(HEADERSPRIV)
 $(OBJDIR)$Prsa_i15_pub$O: src$Prsa$Prsa_i15_pub.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i15_pub$O src$Prsa$Prsa_i15_pub.c
 
+$(OBJDIR)$Prsa_i31_oaep_decrypt$O: src$Prsa$Prsa_i31_oaep_decrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i31_oaep_decrypt$O src$Prsa$Prsa_i31_oaep_decrypt.c
+
+$(OBJDIR)$Prsa_i31_oaep_encrypt$O: src$Prsa$Prsa_i31_oaep_encrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i31_oaep_encrypt$O src$Prsa$Prsa_i31_oaep_encrypt.c
+
 $(OBJDIR)$Prsa_i31_pkcs1_sign$O: src$Prsa$Prsa_i31_pkcs1_sign.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i31_pkcs1_sign$O src$Prsa$Prsa_i31_pkcs1_sign.c
 
@@ -712,6 +746,12 @@ $(OBJDIR)$Prsa_i31_priv$O: src$Prsa$Prsa_i31_priv.c $(HEADERSPRIV)
 $(OBJDIR)$Prsa_i31_pub$O: src$Prsa$Prsa_i31_pub.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i31_pub$O src$Prsa$Prsa_i31_pub.c
 
+$(OBJDIR)$Prsa_i32_oaep_decrypt$O: src$Prsa$Prsa_i32_oaep_decrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i32_oaep_decrypt$O src$Prsa$Prsa_i32_oaep_decrypt.c
+
+$(OBJDIR)$Prsa_i32_oaep_encrypt$O: src$Prsa$Prsa_i32_oaep_encrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i32_oaep_encrypt$O src$Prsa$Prsa_i32_oaep_encrypt.c
+
 $(OBJDIR)$Prsa_i32_pkcs1_sign$O: src$Prsa$Prsa_i32_pkcs1_sign.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i32_pkcs1_sign$O src$Prsa$Prsa_i32_pkcs1_sign.c
 
@@ -724,6 +764,12 @@ $(OBJDIR)$Prsa_i32_priv$O: src$Prsa$Prsa_i32_priv.c $(HEADERSPRIV)
 $(OBJDIR)$Prsa_i32_pub$O: src$Prsa$Prsa_i32_pub.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i32_pub$O src$Prsa$Prsa_i32_pub.c
 
+$(OBJDIR)$Prsa_i62_oaep_decrypt$O: src$Prsa$Prsa_i62_oaep_decrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i62_oaep_decrypt$O src$Prsa$Prsa_i62_oaep_decrypt.c
+
+$(OBJDIR)$Prsa_i62_oaep_encrypt$O: src$Prsa$Prsa_i62_oaep_encrypt.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i62_oaep_encrypt$O src$Prsa$Prsa_i62_oaep_encrypt.c
+
 $(OBJDIR)$Prsa_i62_pkcs1_sign$O: src$Prsa$Prsa_i62_pkcs1_sign.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i62_pkcs1_sign$O src$Prsa$Prsa_i62_pkcs1_sign.c
 
@@ -736,6 +782,12 @@ $(OBJDIR)$Prsa_i62_priv$O: src$Prsa$Prsa_i62_priv.c $(HEADERSPRIV)
 $(OBJDIR)$Prsa_i62_pub$O: src$Prsa$Prsa_i62_pub.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_i62_pub$O src$Prsa$Prsa_i62_pub.c
 
+$(OBJDIR)$Prsa_oaep_pad$O: src$Prsa$Prsa_oaep_pad.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_oaep_pad$O src$Prsa$Prsa_oaep_pad.c
+
+$(OBJDIR)$Prsa_oaep_unpad$O: src$Prsa$Prsa_oaep_unpad.c $(HEADERSPRIV)
+       $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_oaep_unpad$O src$Prsa$Prsa_oaep_unpad.c
+
 $(OBJDIR)$Prsa_pkcs1_sig_pad$O: src$Prsa$Prsa_pkcs1_sig_pad.c $(HEADERSPRIV)
        $(CC) $(CFLAGS) $(INCFLAGS) $(CCOUT)$(OBJDIR)$Prsa_pkcs1_sig_pad$O src$Prsa$Prsa_pkcs1_sig_pad.c
 
index 8df63f4..86ed176 100755 (executable)
@@ -107,6 +107,7 @@ coresrc=" \
        src/hash/ghash_pwr8.c \
        src/hash/md5.c \
        src/hash/md5sha1.c \
+       src/hash/mgf1.c \
        src/hash/multihash.c \
        src/hash/sha1.c \
        src/hash/sha2big.c \
@@ -169,26 +170,38 @@ coresrc=" \
        src/mac/hmac_ct.c \
        src/rand/hmac_drbg.c \
        src/rand/sysrng.c \
+       src/rsa/rsa_default_oaep_decrypt.c \
+       src/rsa/rsa_default_oaep_encrypt.c \
        src/rsa/rsa_default_pkcs1_sign.c \
        src/rsa/rsa_default_pkcs1_vrfy.c \
        src/rsa/rsa_default_priv.c \
        src/rsa/rsa_default_pub.c \
+       src/rsa/rsa_i15_oaep_decrypt.c \
+       src/rsa/rsa_i15_oaep_encrypt.c \
        src/rsa/rsa_i15_pkcs1_sign.c \
        src/rsa/rsa_i15_pkcs1_vrfy.c \
        src/rsa/rsa_i15_priv.c \
        src/rsa/rsa_i15_pub.c \
+       src/rsa/rsa_i31_oaep_decrypt.c \
+       src/rsa/rsa_i31_oaep_encrypt.c \
        src/rsa/rsa_i31_pkcs1_sign.c \
        src/rsa/rsa_i31_pkcs1_vrfy.c \
        src/rsa/rsa_i31_priv.c \
        src/rsa/rsa_i31_pub.c \
+       src/rsa/rsa_i32_oaep_decrypt.c \
+       src/rsa/rsa_i32_oaep_encrypt.c \
        src/rsa/rsa_i32_pkcs1_sign.c \
        src/rsa/rsa_i32_pkcs1_vrfy.c \
        src/rsa/rsa_i32_priv.c \
        src/rsa/rsa_i32_pub.c \
+       src/rsa/rsa_i62_oaep_decrypt.c \
+       src/rsa/rsa_i62_oaep_encrypt.c \
        src/rsa/rsa_i62_pkcs1_sign.c \
        src/rsa/rsa_i62_pkcs1_vrfy.c \
        src/rsa/rsa_i62_priv.c \
        src/rsa/rsa_i62_pub.c \
+       src/rsa/rsa_oaep_pad.c \
+       src/rsa/rsa_oaep_unpad.c \
        src/rsa/rsa_pkcs1_sig_pad.c \
        src/rsa/rsa_pkcs1_sig_unpad.c \
        src/rsa/rsa_ssl_decrypt.c \
diff --git a/src/hash/mgf1.c b/src/hash/mgf1.c
new file mode 100644 (file)
index 0000000..7a23588
--- /dev/null
@@ -0,0 +1,56 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see inner.h */
+void
+br_mgf1_xor(void *data, size_t len,
+       const br_hash_class *dig, const void *seed, size_t seed_len)
+{
+       unsigned char *buf;
+       size_t u, hlen;
+       uint32_t c;
+
+       buf = data;
+       hlen = br_digest_size(dig);
+       for (u = 0, c = 0; u < len; u += hlen, c ++) {
+               br_hash_compat_context hc;
+               unsigned char tmp[64];
+               size_t v;
+
+               hc.vtable = dig;
+               dig->init(&hc.vtable);
+               dig->update(&hc.vtable, seed, seed_len);
+               br_enc32be(tmp, c);
+               dig->update(&hc.vtable, tmp, 4);
+               dig->out(&hc.vtable, tmp);
+               for (v = 0; v < hlen; v ++) {
+                       if ((u + v) >= len) {
+                               break;
+                       }
+                       buf[u + v] ^= tmp[v];
+               }
+       }
+}
index fb49d0e..5f596a1 100644 (file)
@@ -1887,6 +1887,31 @@ uint32_t br_rsa_pkcs1_sig_unpad(const unsigned char *sig, size_t sig_len,
        const unsigned char *hash_oid, size_t hash_len,
        unsigned char *hash_out);
 
+/*
+ * Apply OAEP padding. Returned value is the actual padded string length,
+ * or zero on error.
+ */
+size_t br_rsa_oaep_pad(const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len, const br_rsa_public_key *pk,
+       void *dst, size_t dst_nax_len, const void *src, size_t src_len);
+
+/*
+ * Unravel and check OAEP padding. If the padding is correct, then 1 is
+ * returned, '*len' is adjusted to the length of the message, and the
+ * data is moved to the start of the 'data' buffer. If the padding is
+ * incorrect, then 0 is returned and '*len' is untouched. Either way,
+ * the complete buffer contents are altered.
+ */
+uint32_t br_rsa_oaep_unpad(const br_hash_class *dig,
+       const void *label, size_t label_len, void *data, size_t *len);
+
+/*
+ * Compute MGF1 for a given seed, and XOR the output into the provided
+ * buffer.
+ */
+void br_mgf1_xor(void *data, size_t len,
+       const br_hash_class *dig, const void *seed, size_t seed_len);
+
 /* ==================================================================== */
 /*
  * Elliptic curves.
diff --git a/src/rsa/rsa_default_oaep_decrypt.c b/src/rsa/rsa_default_oaep_decrypt.c
new file mode 100644 (file)
index 0000000..7345d64
--- /dev/null
@@ -0,0 +1,38 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_decrypt
+br_rsa_oaep_decrypt_get_default(void)
+{
+#if BR_INT128 || BR_UMUL128
+       return &br_rsa_i62_oaep_decrypt;
+#elif BR_LOMUL
+       return &br_rsa_i15_oaep_decrypt;
+#else
+       return &br_rsa_i31_oaep_decrypt;
+#endif
+}
diff --git a/src/rsa/rsa_default_oaep_encrypt.c b/src/rsa/rsa_default_oaep_encrypt.c
new file mode 100644 (file)
index 0000000..ae33fcc
--- /dev/null
@@ -0,0 +1,38 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_encrypt
+br_rsa_oaep_encrypt_get_default(void)
+{
+#if BR_INT128 || BR_UMUL128
+       return &br_rsa_i62_oaep_encrypt;
+#elif BR_LOMUL
+       return &br_rsa_i15_oaep_encrypt;
+#else
+       return &br_rsa_i31_oaep_encrypt;
+#endif
+}
diff --git a/src/rsa/rsa_i15_oaep_decrypt.c b/src/rsa/rsa_i15_oaep_decrypt.c
new file mode 100644 (file)
index 0000000..927eecd
--- /dev/null
@@ -0,0 +1,41 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+uint32_t
+br_rsa_i15_oaep_decrypt(const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len)
+{
+       uint32_t r;
+
+       if (*len != ((sk->n_bitlen + 7) >> 3)) {
+               return 0;
+       }
+       r = br_rsa_i15_private(data, sk);
+       r &= br_rsa_oaep_unpad(dig, label, label_len, data, len);
+       return r;
+}
diff --git a/src/rsa/rsa_i15_oaep_encrypt.c b/src/rsa/rsa_i15_oaep_encrypt.c
new file mode 100644 (file)
index 0000000..b9a6cfa
--- /dev/null
@@ -0,0 +1,44 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+size_t
+br_rsa_i15_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len)
+{
+       size_t dlen;
+
+       dlen = br_rsa_oaep_pad(rnd, dig, label, label_len,
+               pk, dst, dst_max_len, src, src_len);
+       if (dlen == 0) {
+               return 0;
+       }
+       return dlen & -(size_t)br_rsa_i15_public(dst, dlen, pk);
+}
diff --git a/src/rsa/rsa_i31_oaep_decrypt.c b/src/rsa/rsa_i31_oaep_decrypt.c
new file mode 100644 (file)
index 0000000..06fdd93
--- /dev/null
@@ -0,0 +1,41 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+uint32_t
+br_rsa_i31_oaep_decrypt(const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len)
+{
+       uint32_t r;
+
+       if (*len != ((sk->n_bitlen + 7) >> 3)) {
+               return 0;
+       }
+       r = br_rsa_i31_private(data, sk);
+       r &= br_rsa_oaep_unpad(dig, label, label_len, data, len);
+       return r;
+}
diff --git a/src/rsa/rsa_i31_oaep_encrypt.c b/src/rsa/rsa_i31_oaep_encrypt.c
new file mode 100644 (file)
index 0000000..367008c
--- /dev/null
@@ -0,0 +1,44 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+size_t
+br_rsa_i31_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len)
+{
+       size_t dlen;
+
+       dlen = br_rsa_oaep_pad(rnd, dig, label, label_len,
+               pk, dst, dst_max_len, src, src_len);
+       if (dlen == 0) {
+               return 0;
+       }
+       return dlen & -(size_t)br_rsa_i31_public(dst, dlen, pk);
+}
diff --git a/src/rsa/rsa_i32_oaep_decrypt.c b/src/rsa/rsa_i32_oaep_decrypt.c
new file mode 100644 (file)
index 0000000..ecfd92b
--- /dev/null
@@ -0,0 +1,41 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+uint32_t
+br_rsa_i32_oaep_decrypt(const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len)
+{
+       uint32_t r;
+
+       if (*len != ((sk->n_bitlen + 7) >> 3)) {
+               return 0;
+       }
+       r = br_rsa_i32_private(data, sk);
+       r &= br_rsa_oaep_unpad(dig, label, label_len, data, len);
+       return r;
+}
diff --git a/src/rsa/rsa_i32_oaep_encrypt.c b/src/rsa/rsa_i32_oaep_encrypt.c
new file mode 100644 (file)
index 0000000..dc17f3f
--- /dev/null
@@ -0,0 +1,44 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/* see bearssl_rsa.h */
+size_t
+br_rsa_i32_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len)
+{
+       size_t dlen;
+
+       dlen = br_rsa_oaep_pad(rnd, dig, label, label_len,
+               pk, dst, dst_max_len, src, src_len);
+       if (dlen == 0) {
+               return 0;
+       }
+       return dlen & -(size_t)br_rsa_i32_public(dst, dlen, pk);
+}
diff --git a/src/rsa/rsa_i62_oaep_decrypt.c b/src/rsa/rsa_i62_oaep_decrypt.c
new file mode 100644 (file)
index 0000000..38470dd
--- /dev/null
@@ -0,0 +1,61 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+#if BR_INT128 || BR_UMUL128
+
+/* see bearssl_rsa.h */
+uint32_t
+br_rsa_i62_oaep_decrypt(const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_private_key *sk, void *data, size_t *len)
+{
+       uint32_t r;
+
+       if (*len != ((sk->n_bitlen + 7) >> 3)) {
+               return 0;
+       }
+       r = br_rsa_i62_private(data, sk);
+       r &= br_rsa_oaep_unpad(dig, label, label_len, data, len);
+       return r;
+}
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_decrypt
+br_rsa_i62_oaep_decrypt_get(void)
+{
+       return &br_rsa_i62_oaep_decrypt;
+}
+
+#else
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_decrypt
+br_rsa_i62_oaep_decrypt_get(void)
+{
+       return 0;
+}
+
+#endif
diff --git a/src/rsa/rsa_i62_oaep_encrypt.c b/src/rsa/rsa_i62_oaep_encrypt.c
new file mode 100644 (file)
index 0000000..cf41ecb
--- /dev/null
@@ -0,0 +1,64 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+#if BR_INT128 || BR_UMUL128
+
+/* see bearssl_rsa.h */
+size_t
+br_rsa_i62_oaep_encrypt(
+       const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len)
+{
+       size_t dlen;
+
+       dlen = br_rsa_oaep_pad(rnd, dig, label, label_len,
+               pk, dst, dst_max_len, src, src_len);
+       if (dlen == 0) {
+               return 0;
+       }
+       return dlen & -(size_t)br_rsa_i62_public(dst, dlen, pk);
+}
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_encrypt
+br_rsa_i62_oaep_encrypt_get(void)
+{
+       return &br_rsa_i62_oaep_encrypt;
+}
+
+#else
+
+/* see bearssl_rsa.h */
+br_rsa_oaep_encrypt
+br_rsa_i62_oaep_encrypt_get(void)
+{
+       return 0;
+}
+
+#endif
diff --git a/src/rsa/rsa_oaep_pad.c b/src/rsa/rsa_oaep_pad.c
new file mode 100644 (file)
index 0000000..5327dc2
--- /dev/null
@@ -0,0 +1,112 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/*
+ * Hash some data. This is put as a separate function so that stack
+ * allocation of the hash function context is done only for the duration
+ * of the hash.
+ */
+static void
+hash_data(const br_hash_class *dig, void *dst, const void *src, size_t len)
+{
+       br_hash_compat_context hc;
+
+       hc.vtable = dig;
+       dig->init(&hc.vtable);
+       dig->update(&hc.vtable, src, len);
+       dig->out(&hc.vtable, dst);
+}
+
+/* see inner.h */
+size_t
+br_rsa_oaep_pad(const br_prng_class **rnd, const br_hash_class *dig,
+       const void *label, size_t label_len,
+       const br_rsa_public_key *pk,
+       void *dst, size_t dst_max_len,
+       const void *src, size_t src_len)
+{
+       size_t k, hlen;
+       unsigned char *buf;
+
+       hlen = br_digest_size(dig);
+
+       /*
+        * Compute actual modulus length (in bytes).
+        */
+       k = pk->nlen;
+       while (k > 0 && pk->n[k - 1] == 0) {
+               k --;
+       }
+
+       /*
+        * An error is reported if:
+        *  - the modulus is too short;
+        *  - the source message length is too long;
+        *  - the destination buffer is too short.
+        */
+       if (k < ((hlen << 1) + 2)
+               || src_len > (k - (hlen << 1) - 2)
+               || dst_max_len < k)
+       {
+               return 0;
+       }
+
+       /*
+        * Apply padding. At this point, things cannot fail.
+        */
+       buf = dst;
+
+       /*
+        * Assemble: DB = lHash || PS || 0x01 || M
+        * We first place the source message M with memmove(), so that
+        * overlaps between source and destination buffers are supported.
+        */
+       memmove(buf + k - src_len, src, src_len);
+       hash_data(dig, buf + 1 + hlen, label, label_len);
+       memset(buf + 1 + (hlen << 1), 0, k - src_len - (hlen << 1) - 2);
+       buf[k - src_len - 1] = 0x01;
+
+       /*
+        * Make the random seed.
+        */
+       (*rnd)->generate(rnd, buf + 1, hlen);
+
+       /*
+        * Mask DB with the mask generated from the seed.
+        */
+       br_mgf1_xor(buf + 1 + hlen, k - hlen - 1, dig, buf + 1, hlen);
+
+       /*
+        * Mask the seed with the mask generated from the masked DB.
+        */
+       br_mgf1_xor(buf + 1, hlen, dig, buf + 1 + hlen, k - hlen - 1);
+
+       /*
+        * Padding result: EM = 0x00 || maskedSeed || maskedDB.
+        */
+       buf[0] = 0x00;
+       return k;
+}
diff --git a/src/rsa/rsa_oaep_unpad.c b/src/rsa/rsa_oaep_unpad.c
new file mode 100644 (file)
index 0000000..e172a35
--- /dev/null
@@ -0,0 +1,145 @@
+/*
+ * Copyright (c) 2018 Thomas Pornin <pornin@bolet.org>
+ *
+ * Permission is hereby granted, free of charge, to any person obtaining 
+ * a copy of this software and associated documentation files (the
+ * "Software"), to deal in the Software without restriction, including
+ * without limitation the rights to use, copy, modify, merge, publish,
+ * distribute, sublicense, and/or sell copies of the Software, and to
+ * permit persons to whom the Software is furnished to do so, subject to
+ * the following conditions:
+ *
+ * The above copyright notice and this permission notice shall be 
+ * included in all copies or substantial portions of the Software.
+ *
+ * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, 
+ * EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
+ * MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND 
+ * NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS
+ * BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN
+ * ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN
+ * CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+ * SOFTWARE.
+ */
+
+#include "inner.h"
+
+/*
+ * Hash some data and XOR the result into the provided buffer. This is put
+ * as a separate function so that stack allocation of the hash function
+ * context is done only for the duration of the hash.
+ */
+static void
+xor_hash_data(const br_hash_class *dig, void *dst, const void *src, size_t len)
+{
+       br_hash_compat_context hc;
+       unsigned char tmp[64];
+       unsigned char *buf;
+       size_t u, hlen;
+
+       hc.vtable = dig;
+       dig->init(&hc.vtable);
+       dig->update(&hc.vtable, src, len);
+       dig->out(&hc.vtable, tmp);
+       buf = dst;
+       hlen = br_digest_size(dig);
+       for (u = 0; u < hlen; u ++) {
+               buf[u] ^= tmp[u];
+       }
+}
+
+/* see inner.h */
+uint32_t
+br_rsa_oaep_unpad(const br_hash_class *dig,
+       const void *label, size_t label_len,
+       void *data, size_t *len)
+{
+       size_t u, k, hlen;
+       unsigned char *buf;
+       uint32_t r, s, zlen;
+
+       hlen = br_digest_size(dig);
+       k = *len;
+       buf = data;
+
+       /*
+        * There must be room for the padding.
+        */
+       if (k < ((hlen << 1) + 2)) {
+               return 0;
+       }
+
+       /*
+        * Unmask the seed, then the DB value.
+        */
+       br_mgf1_xor(buf + 1, hlen, dig, buf + 1 + hlen, k - hlen - 1);
+       br_mgf1_xor(buf + 1 + hlen, k - hlen - 1, dig, buf + 1, hlen);
+
+       /*
+        * Hash the label and XOR it with the value in the array; if
+        * they are equal then these should yield only zeros.
+        */
+       xor_hash_data(dig, buf + 1 + hlen, label, label_len);
+
+       /*
+        * At that point, if the padding was correct, when we should
+        * have: 0x00 || seed || 0x00 ... 0x00 0x01 || M
+        * Padding is valid as long as:
+        *  - There is at least hlen+1 leading bytes of value 0x00.
+        *  - There is at least one non-zero byte.
+        *  - The first (leftmost) non-zero byte has value 0x01.
+        *
+        * Ultimately, we may leak the resulting message length, i.e.
+        * the position of the byte of value 0x01, but we must take care
+        * to do so only if the number of zero bytes has been verified
+        * to be at least hlen+1.
+        *
+        * The loop below counts the number of bytes of value 0x00, and
+        * checks that the next byte has value 0x01, in constant-time.
+        *
+        *  - If the initial byte (before the seed) is not 0x00, then
+        *    r and s are set to 0, and stay there.
+        *  - Value r is 1 until the first non-zero byte is reached
+        *    (after the seed); it switches to 0 at that point.
+        *  - Value s is set to 1 if and only if the data encountered
+        *    at the time of the transition of r from 1 to 0 has value
+        *    exactly 0x01.
+        *  - Value zlen counts the number of leading bytes of value zero
+        *    (after the seed).
+        */
+       r = 1 - ((buf[0] + 0xFF) >> 8);
+       s = 0;
+       zlen = 0;
+       for (u = hlen + 1; u < k; u ++) {
+               uint32_t w, nz;
+
+               w = buf[u];
+
+               /*
+                * nz == 1 only for the first non-zero byte.
+                */
+               nz = r & ((w + 0xFF) >> 8);
+               s |= nz & EQ(w, 0x01);
+               r &= NOT(nz);
+               zlen += r;
+       }
+
+       /*
+        * Padding is correct only if s == 1, _and_ zlen >= hlen.
+        */
+       s &= GE(zlen, (uint32_t)hlen);
+
+       /*
+        * At that point, padding was verified, and we are now allowed
+        * to make conditional jumps.
+        */
+       if (s) {
+               size_t plen;
+
+               plen = 2 + hlen + zlen;
+               k -= plen;
+               memmove(data, data + plen, k);
+               *len = k;
+       }
+       return s;
+}
index 41f7612..acefde1 100644 (file)
@@ -5344,12 +5344,355 @@ test_RSA_sign(const char *name, br_rsa_private fpriv,
        fflush(stdout);
 }
 
+/*
+ * Test vectors from pkcs-1v2-1d2-vec.zip (originally from ftp.rsa.com).
+ * There are ten RSA keys, and for each RSA key, there are 6 messages,
+ * each with an explicit seed.
+ *
+ * Field order:
+ *    modulus (n)
+ *    public exponent (e)
+ *    first factor (p)
+ *    second factor (q)
+ *    first private exponent (dp)
+ *    second private exponent (dq)
+ *    CRT coefficient (iq)
+ *    cleartext 1
+ *    seed 1 (20-byte random value)
+ *    ciphertext 1
+ *    cleartext 2
+ *    seed 2 (20-byte random value)
+ *    ciphertext 2
+ *    ...
+ *    cleartext 6
+ *    seed 6 (20-byte random value)
+ *    ciphertext 6
+ *
+ * This pattern is repeated for all keys. The array stops on a NULL.
+ */
+static const char *KAT_RSA_OAEP[] = {
+       /* 1024-bit key, from oeap-int.txt */
+       "BBF82F090682CE9C2338AC2B9DA871F7368D07EED41043A440D6B6F07454F51FB8DFBAAF035C02AB61EA48CEEB6FCD4876ED520D60E1EC4619719D8A5B8B807FAFB8E0A3DFC737723EE6B4B7D93A2584EE6A649D060953748834B2454598394EE0AAB12D7B61A51F527A9A41F6C1687FE2537298CA2A8F5946F8E5FD091DBDCB",
+       "11",
+       "EECFAE81B1B9B3C908810B10A1B5600199EB9F44AEF4FDA493B81A9E3D84F632124EF0236E5D1E3B7E28FAE7AA040A2D5B252176459D1F397541BA2A58FB6599",
+       "C97FB1F027F453F6341233EAAAD1D9353F6C42D08866B1D05A0F2035028B9D869840B41666B42E92EA0DA3B43204B5CFCE3352524D0416A5A441E700AF461503",
+       "54494CA63EBA0337E4E24023FCD69A5AEB07DDDC0183A4D0AC9B54B051F2B13ED9490975EAB77414FF59C1F7692E9A2E202B38FC910A474174ADC93C1F67C981",
+       "471E0290FF0AF0750351B7F878864CA961ADBD3A8A7E991C5C0556A94C3146A7F9803F8F6F8AE342E931FD8AE47A220D1B99A495849807FE39F9245A9836DA3D",
+       "B06C4FDABB6301198D265BDBAE9423B380F271F73453885093077FCD39E2119FC98632154F5883B167A967BF402B4E9E2E0F9656E698EA3666EDFB25798039F7",
+
+       /* oaep-int.txt contains only one message, so we repeat it six
+          times to respect our array format. */
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       "D436E99569FD32A7C8A05BBC90D32C49",
+       "AAFD12F659CAE63489B479E5076DDEC2F06CB58F",
+       "1253E04DC0A5397BB44A7AB87E9BF2A039A33D1E996FC82A94CCD30074C95DF763722017069E5268DA5D1C0B4F872CF653C11DF82314A67968DFEAE28DEF04BB6D84B1C31D654A1970E5783BD6EB96A024C2CA2F4A90FE9F2EF5C9C140E5BB48DA9536AD8700C84FC9130ADEA74E558D51A74DDF85D8B50DE96838D6063E0955",
+
+       /* 1024-bit key */
+       "A8B3B284AF8EB50B387034A860F146C4919F318763CD6C5598C8AE4811A1E0ABC4C7E0B082D693A5E7FCED675CF4668512772C0CBC64A742C6C630F533C8CC72F62AE833C40BF25842E984BB78BDBF97C0107D55BDB662F5C4E0FAB9845CB5148EF7392DD3AAFF93AE1E6B667BB3D4247616D4F5BA10D4CFD226DE88D39F16FB",
+       "010001",
+       "D32737E7267FFE1341B2D5C0D150A81B586FB3132BED2F8D5262864A9CB9F30AF38BE448598D413A172EFB802C21ACF1C11C520C2F26A471DCAD212EAC7CA39D",
+       "CC8853D1D54DA630FAC004F471F281C7B8982D8224A490EDBEB33D3E3D5CC93C4765703D1DD791642F1F116A0DD852BE2419B2AF72BFE9A030E860B0288B5D77",
+       "0E12BF1718E9CEF5599BA1C3882FE8046A90874EEFCE8F2CCC20E4F2741FB0A33A3848AEC9C9305FBECBD2D76819967D4671ACC6431E4037968DB37878E695C1",
+       "95297B0F95A2FA67D00707D609DFD4FC05C89DAFC2EF6D6EA55BEC771EA333734D9251E79082ECDA866EFEF13C459E1A631386B7E354C899F5F112CA85D71583",
+       "4F456C502493BDC0ED2AB756A3A6ED4D67352A697D4216E93212B127A63D5411CE6FA98D5DBEFD73263E3728142743818166ED7DD63687DD2A8CA1D2F4FBD8E1",
+
+       "6628194E12073DB03BA94CDA9EF9532397D50DBA79B987004AFEFE34",
+       "18B776EA21069D69776A33E96BAD48E1DDA0A5EF",
+       "354FE67B4A126D5D35FE36C777791A3F7BA13DEF484E2D3908AFF722FAD468FB21696DE95D0BE911C2D3174F8AFCC201035F7B6D8E69402DE5451618C21A535FA9D7BFC5B8DD9FC243F8CF927DB31322D6E881EAA91A996170E657A05A266426D98C88003F8477C1227094A0D9FA1E8C4024309CE1ECCCB5210035D47AC72E8A",
+
+       "750C4047F547E8E41411856523298AC9BAE245EFAF1397FBE56F9DD5",
+       "0CC742CE4A9B7F32F951BCB251EFD925FE4FE35F",
+       "640DB1ACC58E0568FE5407E5F9B701DFF8C3C91E716C536FC7FCEC6CB5B71C1165988D4A279E1577D730FC7A29932E3F00C81515236D8D8E31017A7A09DF4352D904CDEB79AA583ADCC31EA698A4C05283DABA9089BE5491F67C1A4EE48DC74BBBE6643AEF846679B4CB395A352D5ED115912DF696FFE0702932946D71492B44",
+
+       "D94AE0832E6445CE42331CB06D531A82B1DB4BAAD30F746DC916DF24D4E3C2451FFF59A6423EB0E1D02D4FE646CF699DFD818C6E97B051",
+       "2514DF4695755A67B288EAF4905C36EEC66FD2FD",
+       "423736ED035F6026AF276C35C0B3741B365E5F76CA091B4E8C29E2F0BEFEE603595AA8322D602D2E625E95EB81B2F1C9724E822ECA76DB8618CF09C5343503A4360835B5903BC637E3879FB05E0EF32685D5AEC5067CD7CC96FE4B2670B6EAC3066B1FCF5686B68589AAFB7D629B02D8F8625CA3833624D4800FB081B1CF94EB",
+
+       "52E650D98E7F2A048B4F86852153B97E01DD316F346A19F67A85",
+       "C4435A3E1A18A68B6820436290A37CEFB85DB3FB",
+       "45EAD4CA551E662C9800F1ACA8283B0525E6ABAE30BE4B4ABA762FA40FD3D38E22ABEFC69794F6EBBBC05DDBB11216247D2F412FD0FBA87C6E3ACD888813646FD0E48E785204F9C3F73D6D8239562722DDDD8771FEC48B83A31EE6F592C4CFD4BC88174F3B13A112AAE3B9F7B80E0FC6F7255BA880DC7D8021E22AD6A85F0755",
+
+       "8DA89FD9E5F974A29FEFFB462B49180F6CF9E802",
+       "B318C42DF3BE0F83FEA823F5A7B47ED5E425A3B5",
+       "36F6E34D94A8D34DAACBA33A2139D00AD85A9345A86051E73071620056B920E219005855A213A0F23897CDCD731B45257C777FE908202BEFDD0B58386B1244EA0CF539A05D5D10329DA44E13030FD760DCD644CFEF2094D1910D3F433E1C7C6DD18BC1F2DF7F643D662FB9DD37EAD9059190F4FA66CA39E869C4EB449CBDC439",
+
+       "26521050844271",
+       "E4EC0982C2336F3A677F6A356174EB0CE887ABC2",
+       "42CEE2617B1ECEA4DB3F4829386FBD61DAFBF038E180D837C96366DF24C097B4AB0FAC6BDF590D821C9F10642E681AD05B8D78B378C0F46CE2FAD63F74E0AD3DF06B075D7EB5F5636F8D403B9059CA761B5C62BB52AA45002EA70BAACE08DED243B9D8CBD62A68ADE265832B56564E43A6FA42ED199A099769742DF1539E8255",
+
+       /* 1025-bit key */
+       "01947C7FCE90425F47279E70851F25D5E62316FE8A1DF19371E3E628E260543E4901EF6081F68C0B8141190D2AE8DABA7D1250EC6DB636E944EC3722877C7C1D0A67F14B1694C5F0379451A43E49A32DDE83670B73DA91A1C99BC23B436A60055C610F0BAF99C1A079565B95A3F1526632D1D4DA60F20EDA25E653C4F002766F45",
+       "010001",
+       "0159DBDE04A33EF06FB608B80B190F4D3E22BCC13AC8E4A081033ABFA416EDB0B338AA08B57309EA5A5240E7DC6E54378C69414C31D97DDB1F406DB3769CC41A43",
+       "012B652F30403B38B40995FD6FF41A1ACC8ADA70373236B7202D39B2EE30CFB46DB09511F6F307CC61CC21606C18A75B8A62F822DF031BA0DF0DAFD5506F568BD7",
+       "436EF508DE736519C2DA4C580D98C82CB7452A3FB5EFADC3B9C7789A1BC6584F795ADDBBD32439C74686552ECB6C2C307A4D3AF7F539EEC157248C7B31F1A255",
+       "012B15A89F3DFB2B39073E73F02BDD0C1A7B379DD435F05CDDE2EFF9E462948B7CEC62EE9050D5E0816E0785A856B49108DCB75F3683874D1CA6329A19013066FF",
+       "0270DB17D5914B018D76118B24389A7350EC836B0063A21721236FD8EDB6D89B51E7EEB87B611B7132CB7EA7356C23151C1E7751507C786D9EE1794170A8C8E8",
+
+       "8FF00CAA605C702830634D9A6C3D42C652B58CF1D92FEC570BEEE7",
+       "8C407B5EC2899E5099C53E8CE793BF94E71B1782",
+       "0181AF8922B9FCB4D79D92EBE19815992FC0C1439D8BCD491398A0F4AD3A329A5BD9385560DB532683C8B7DA04E4B12AED6AACDF471C34C9CDA891ADDCC2DF3456653AA6382E9AE59B54455257EB099D562BBE10453F2B6D13C59C02E10F1F8ABB5DA0D0570932DACF2D0901DB729D0FEFCC054E70968EA540C81B04BCAEFE720E",
+
+       "2D",
+       "B600CF3C2E506D7F16778C910D3A8B003EEE61D5",
+       "018759FF1DF63B2792410562314416A8AEAF2AC634B46F940AB82D64DBF165EEE33011DA749D4BAB6E2FCD18129C9E49277D8453112B429A222A8471B070993998E758861C4D3F6D749D91C4290D332C7A4AB3F7EA35FF3A07D497C955FF0FFC95006B62C6D296810D9BFAB024196C7934012C2DF978EF299ABA239940CBA10245",
+
+       "74FC88C51BC90F77AF9D5E9A4A70133D4B4E0B34DA3C37C7EF8E",
+       "A73768AEEAA91F9D8C1ED6F9D2B63467F07CCAE3",
+       "018802BAB04C60325E81C4962311F2BE7C2ADCE93041A00719C88F957575F2C79F1B7BC8CED115C706B311C08A2D986CA3B6A9336B147C29C6F229409DDEC651BD1FDD5A0B7F610C9937FDB4A3A762364B8B3206B4EA485FD098D08F63D4AA8BB2697D027B750C32D7F74EAF5180D2E9B66B17CB2FA55523BC280DA10D14BE2053",
+
+       "A7EB2A5036931D27D4E891326D99692FFADDA9BF7EFD3E34E622C4ADC085F721DFE885072C78A203B151739BE540FA8C153A10F00A",
+       "9A7B3B0E708BD96F8190ECAB4FB9B2B3805A8156",
+       "00A4578CBC176318A638FBA7D01DF15746AF44D4F6CD96D7E7C495CBF425B09C649D32BF886DA48FBAF989A2117187CAFB1FB580317690E3CCD446920B7AF82B31DB5804D87D01514ACBFA9156E782F867F6BED9449E0E9A2C09BCECC6AA087636965E34B3EC766F2FE2E43018A2FDDEB140616A0E9D82E5331024EE0652FC7641",
+
+       "2EF2B066F854C33F3BDCBB5994A435E73D6C6C",
+       "EB3CEBBC4ADC16BB48E88C8AEC0E34AF7F427FD3",
+       "00EBC5F5FDA77CFDAD3C83641A9025E77D72D8A6FB33A810F5950F8D74C73E8D931E8634D86AB1246256AE07B6005B71B7F2FB98351218331CE69B8FFBDC9DA08BBC9C704F876DEB9DF9FC2EC065CAD87F9090B07ACC17AA7F997B27ACA48806E897F771D95141FE4526D8A5301B678627EFAB707FD40FBEBD6E792A25613E7AEC",
+
+       "8A7FB344C8B6CB2CF2EF1F643F9A3218F6E19BBA89C0",
+       "4C45CF4D57C98E3D6D2095ADC51C489EB50DFF84",
+       "010839EC20C27B9052E55BEFB9B77E6FC26E9075D7A54378C646ABDF51E445BD5715DE81789F56F1803D9170764A9E93CB78798694023EE7393CE04BC5D8F8C5A52C171D43837E3ACA62F609EB0AA5FFB0960EF04198DD754F57F7FBE6ABF765CF118B4CA443B23B5AAB266F952326AC4581100644325F8B721ACD5D04FF14EF3A",
+
+       /* 2048-bit key */
+       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
+       "010001",
+       "ECF5AECD1E5515FFFACBD75A2816C6EBF49018CDFB4638E185D66A7396B6F8090F8018C7FD95CC34B857DC17F0CC6516BB1346AB4D582CADAD7B4103352387B70338D084047C9D9539B6496204B3DD6EA442499207BEC01F964287FF6336C3984658336846F56E46861881C10233D2176BF15A5E96DDC780BC868AA77D3CE769",
+       "BC46C464FC6AC4CA783B0EB08A3C841B772F7E9B2F28BABD588AE885E1A0C61E4858A0FB25AC299990F35BE85164C259BA1175CDD7192707135184992B6C29B746DD0D2CABE142835F7D148CC161524B4A09946D48B828473F1CE76B6CB6886C345C03E05F41D51B5C3A90A3F24073C7D74A4FE25D9CF21C75960F3FC3863183",
+       "C73564571D00FB15D08A3DE9957A50915D7126E9442DACF42BC82E862E5673FF6A008ED4D2E374617DF89F17A160B43B7FDA9CB6B6B74218609815F7D45CA263C159AA32D272D127FAF4BC8CA2D77378E8AEB19B0AD7DA3CB3DE0AE7314980F62B6D4B0A875D1DF03C1BAE39CCD833EF6CD7E2D9528BF084D1F969E794E9F6C1",
+       "2658B37F6DF9C1030BE1DB68117FA9D87E39EA2B693B7E6D3A2F70947413EEC6142E18FB8DFCB6AC545D7C86A0AD48F8457170F0EFB26BC48126C53EFD1D16920198DC2A1107DC282DB6A80CD3062360BA3FA13F70E4312FF1A6CD6B8FC4CD9C5C3DB17C6D6A57212F73AE29F619327BAD59B153858585BA4E28B60A62A45E49",
+       "6F38526B3925085534EF3E415A836EDE8B86158A2C7CBFECCB0BD834304FEC683BA8D4F479C433D43416E63269623CEA100776D85AFF401D3FFF610EE65411CE3B1363D63A9709EEDE42647CEA561493D54570A879C18682CD97710B96205EC31117D73B5F36223FADD6E8BA90DD7C0EE61D44E163251E20C7F66EB305117CB8",
+
+       "8BBA6BF82A6C0F86D5F1756E97956870B08953B06B4EB205BC1694EE",
+       "47E1AB7119FEE56C95EE5EAAD86F40D0AA63BD33",
+       "53EA5DC08CD260FB3B858567287FA91552C30B2FEBFBA213F0AE87702D068D19BAB07FE574523DFB42139D68C3C5AFEEE0BFE4CB7969CBF382B804D6E61396144E2D0E60741F8993C3014B58B9B1957A8BABCD23AF854F4C356FB1662AA72BFCC7E586559DC4280D160C126785A723EBEEBEFF71F11594440AAEF87D10793A8774A239D4A04C87FE1467B9DAF85208EC6C7255794A96CC29142F9A8BD418E3C1FD67344B0CD0829DF3B2BEC60253196293C6B34D3F75D32F213DD45C6273D505ADF4CCED1057CB758FC26AEEFA441255ED4E64C199EE075E7F16646182FDB464739B68AB5DAFF0E63E9552016824F054BF4D3C8C90A97BB6B6553284EB429FCC",
+
+       "E6AD181F053B58A904F2457510373E57",
+       "6D17F5B4C1FFAC351D195BF7B09D09F09A4079CF",
+       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
+
+       "510A2CF60E866FA2340553C94EA39FBC256311E83E94454B4124",
+       "385387514DECCC7C740DD8CDF9DAEE49A1CBFD54",
+       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
+
+       "BCDD190DA3B7D300DF9A06E22CAAE2A75F10C91FF667B7C16BDE8B53064A2649A94045C9",
+       "5CACA6A0F764161A9684F85D92B6E0EF37CA8B65",
+       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
+
+       "A7DD6C7DC24B46F9DD5F1E91ADA4C3B3DF947E877232A9",
+       "95BCA9E3859894B3DD869FA7ECD5BBC6401BF3E4",
+       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
+
+       "EAF1A73A1B0C4609537DE69CD9228BBCFB9A8CA8C6C3EFAF056FE4A7F4634ED00B7C39EC6922D7B8EA2C04EBAC",
+       "9F47DDF42E97EEA856A9BDBC714EB3AC22F6EB32",
+       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
+
+       NULL
+};
+
+/*
+ * Fake RNG that returns exactly the provided bytes.
+ */
+typedef struct {
+       const br_prng_class *vtable;
+       unsigned char buf[128];
+       size_t ptr, len;
+} rng_oaep_ctx;
+
+static void rng_oaep_init(rng_oaep_ctx *cc,
+       const void *params, const void *seed, size_t len);
+static void rng_oaep_generate(rng_oaep_ctx *cc, void *dst, size_t len);
+static void rng_oaep_update(rng_oaep_ctx *cc, const void *src, size_t len);
+
+static const br_prng_class rng_oaep_vtable = {
+       sizeof(rng_oaep_ctx),
+       (void (*)(const br_prng_class **,
+               const void *, const void *, size_t))&rng_oaep_init,
+       (void (*)(const br_prng_class **,
+               void *, size_t))&rng_oaep_generate,
+       (void (*)(const br_prng_class **,
+               const void *, size_t))&rng_oaep_update
+};
+
+static void
+rng_oaep_init(rng_oaep_ctx *cc, const void *params,
+       const void *seed, size_t len)
+{
+       (void)params;
+       if (len > sizeof cc->buf) {
+               fprintf(stderr, "seed is too large (%lu bytes)\n",
+                       (unsigned long)len);
+               exit(EXIT_FAILURE);
+       }
+       cc->vtable = &rng_oaep_vtable;
+       memcpy(cc->buf, seed, len);
+       cc->ptr = 0;
+       cc->len = len;
+}
+
+static void
+rng_oaep_generate(rng_oaep_ctx *cc, void *dst, size_t len)
+{
+       if (len > (cc->len - cc->ptr)) {
+               fprintf(stderr, "asking for more data than expected\n");
+               exit(EXIT_FAILURE);
+       }
+       memcpy(dst, cc->buf + cc->ptr, len);
+       cc->ptr += len;
+}
+
+static void
+rng_oaep_update(rng_oaep_ctx *cc, const void *src, size_t len)
+{
+       (void)cc;
+       (void)src;
+       (void)len;
+       fprintf(stderr, "unexpected update\n");
+       exit(EXIT_FAILURE);
+}
+
+static void
+test_RSA_OAEP(const char *name,
+       br_rsa_oaep_encrypt menc, br_rsa_oaep_decrypt mdec)
+{
+       size_t u;
+
+       printf("Test %s: ", name);
+       fflush(stdout);
+
+       u = 0;
+       while (KAT_RSA_OAEP[u] != NULL) {
+               unsigned char n[512];
+               unsigned char e[8];
+               unsigned char p[256];
+               unsigned char q[256];
+               unsigned char dp[256];
+               unsigned char dq[256];
+               unsigned char iq[256];
+               br_rsa_public_key pk;
+               br_rsa_private_key sk;
+               size_t v;
+
+               pk.n = n;
+               pk.nlen = hextobin(n, KAT_RSA_OAEP[u ++]);
+               pk.e = e;
+               pk.elen = hextobin(e, KAT_RSA_OAEP[u ++]);
+
+               for (v = 0; n[v] == 0; v ++);
+               sk.n_bitlen = BIT_LENGTH(n[v]) + ((pk.nlen - 1 - v) << 3);
+               sk.p = p;
+               sk.plen = hextobin(p, KAT_RSA_OAEP[u ++]);
+               sk.q = q;
+               sk.qlen = hextobin(q, KAT_RSA_OAEP[u ++]);
+               sk.dp = dp;
+               sk.dplen = hextobin(dp, KAT_RSA_OAEP[u ++]);
+               sk.dq = dq;
+               sk.dqlen = hextobin(dq, KAT_RSA_OAEP[u ++]);
+               sk.iq = iq;
+               sk.iqlen = hextobin(iq, KAT_RSA_OAEP[u ++]);
+
+               for (v = 0; v < 6; v ++) {
+                       unsigned char plain[512], seed[128], cipher[512];
+                       size_t plain_len, seed_len, cipher_len;
+                       rng_oaep_ctx rng;
+                       unsigned char tmp[513];
+                       size_t len;
+
+                       plain_len = hextobin(plain, KAT_RSA_OAEP[u ++]);
+                       seed_len = hextobin(seed, KAT_RSA_OAEP[u ++]);
+                       cipher_len = hextobin(cipher, KAT_RSA_OAEP[u ++]);
+                       rng_oaep_init(&rng, NULL, seed, seed_len);
+
+                       len = menc(&rng.vtable, &br_sha1_vtable, NULL, 0, &pk,
+                               tmp, sizeof tmp, plain, plain_len);
+                       if (len != cipher_len) {
+                               fprintf(stderr,
+                                       "wrong encrypted length: %lu vs %lu\n",
+                                       (unsigned long)len,
+                                       (unsigned long)cipher_len);
+                       }
+                       if (rng.ptr != rng.len) {
+                               fprintf(stderr, "seed not fully consumed\n");
+                               exit(EXIT_FAILURE);
+                       }
+                       check_equals("KAT RSA/OAEP encrypt", tmp, cipher, len);
+
+                       if (mdec(&br_sha1_vtable, NULL, 0,
+                               &sk, tmp, &len) != 1)
+                       {
+                               fprintf(stderr, "decryption failed\n");
+                               exit(EXIT_FAILURE);
+                       }
+                       if (len != plain_len) {
+                               fprintf(stderr,
+                                       "wrong decrypted length: %lu vs %lu\n",
+                                       (unsigned long)len,
+                                       (unsigned long)plain_len);
+                       }
+                       check_equals("KAT RSA/OAEP decrypt", tmp, plain, len);
+
+                       /*
+                        * Try with a different label; it should fail.
+                        */
+                       memcpy(tmp, cipher, cipher_len);
+                       len = cipher_len;
+                       if (mdec(&br_sha1_vtable, "T", 1,
+                               &sk, tmp, &len) != 0)
+                       {
+                               fprintf(stderr, "decryption should have failed"
+                                       " (wrong label)\n");
+                               exit(EXIT_FAILURE);
+                       }
+
+                       /*
+                        * Try with a the wrong length; it should fail.
+                        */
+                       tmp[0] = 0x00;
+                       memcpy(tmp + 1, cipher, cipher_len);
+                       len = cipher_len + 1;
+                       if (mdec(&br_sha1_vtable, "T", 1,
+                               &sk, tmp, &len) != 0)
+                       {
+                               fprintf(stderr, "decryption should have failed"
+                                       " (wrong length)\n");
+                               exit(EXIT_FAILURE);
+                       }
+
+                       printf(".");
+                       fflush(stdout);
+               }
+       }
+
+       printf(" done.\n");
+       fflush(stdout);
+}
+
 static void
 test_RSA_i15(void)
 {
        test_RSA_core("RSA i15 core", &br_rsa_i15_public, &br_rsa_i15_private);
        test_RSA_sign("RSA i15 sign", &br_rsa_i15_private,
                &br_rsa_i15_pkcs1_sign, &br_rsa_i15_pkcs1_vrfy);
+       test_RSA_OAEP("RSA i15 OAEP",
+               &br_rsa_i15_oaep_encrypt, &br_rsa_i15_oaep_decrypt);
 }
 
 static void
@@ -5358,6 +5701,8 @@ test_RSA_i31(void)
        test_RSA_core("RSA i31 core", &br_rsa_i31_public, &br_rsa_i31_private);
        test_RSA_sign("RSA i31 sign", &br_rsa_i31_private,
                &br_rsa_i31_pkcs1_sign, &br_rsa_i31_pkcs1_vrfy);
+       test_RSA_OAEP("RSA i31 OAEP",
+               &br_rsa_i31_oaep_encrypt, &br_rsa_i31_oaep_decrypt);
 }
 
 static void
@@ -5366,6 +5711,8 @@ test_RSA_i32(void)
        test_RSA_core("RSA i32 core", &br_rsa_i32_public, &br_rsa_i32_private);
        test_RSA_sign("RSA i32 sign", &br_rsa_i32_private,
                &br_rsa_i32_pkcs1_sign, &br_rsa_i32_pkcs1_vrfy);
+       test_RSA_OAEP("RSA i32 OAEP",
+               &br_rsa_i32_oaep_encrypt, &br_rsa_i32_oaep_decrypt);
 }
 
 static void
@@ -5375,20 +5722,25 @@ test_RSA_i62(void)
        br_rsa_private priv;
        br_rsa_pkcs1_sign sign;
        br_rsa_pkcs1_vrfy vrfy;
+       br_rsa_oaep_encrypt menc;
+       br_rsa_oaep_decrypt mdec;
 
        pub = br_rsa_i62_public_get();
        priv = br_rsa_i62_private_get();
        sign = br_rsa_i62_pkcs1_sign_get();
        vrfy = br_rsa_i62_pkcs1_vrfy_get();
+       menc = br_rsa_i62_oaep_encrypt_get();
+       mdec = br_rsa_i62_oaep_decrypt_get();
        if (pub) {
-               if (!priv || !sign || !vrfy) {
+               if (!priv || !sign || !vrfy || !menc || !mdec) {
                        fprintf(stderr, "Inconsistent i62 availability\n");
                        exit(EXIT_FAILURE);
                }
                test_RSA_core("RSA i62 core", pub, priv);
                test_RSA_sign("RSA i62 sign", priv, sign, vrfy);
+               test_RSA_OAEP("RSA i62 OAEP", menc, mdec);
        } else {
-               if (priv || sign || vrfy) {
+               if (priv || sign || vrfy || menc || mdec) {
                        fprintf(stderr, "Inconsistent i62 availability\n");
                        exit(EXIT_FAILURE);
                }