LCOV - code coverage report
Current view: top level - extmod - modtls_mbedtls.c (source / functions) Hit Total Coverage
Test: unix_coverage_v1.24.0-161-gc73204128.info Lines: 255 304 83.9 %
Date: 2024-12-23 07:29:41 Functions: 20 22 90.9 %
Branches: 94 130 72.3 %

           Branch data     Line data    Source code
       1                 :            : /*
       2                 :            :  * This file is part of the MicroPython project, http://micropython.org/
       3                 :            :  *
       4                 :            :  * The MIT License (MIT)
       5                 :            :  *
       6                 :            :  * Copyright (c) 2016 Linaro Ltd.
       7                 :            :  * Copyright (c) 2019 Paul Sokolovsky
       8                 :            :  * Copyright (c) 2023 Damien P. George
       9                 :            :  *
      10                 :            :  * Permission is hereby granted, free of charge, to any person obtaining a copy
      11                 :            :  * of this software and associated documentation files (the "Software"), to deal
      12                 :            :  * in the Software without restriction, including without limitation the rights
      13                 :            :  * to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
      14                 :            :  * copies of the Software, and to permit persons to whom the Software is
      15                 :            :  * furnished to do so, subject to the following conditions:
      16                 :            :  *
      17                 :            :  * The above copyright notice and this permission notice shall be included in
      18                 :            :  * all copies or substantial portions of the Software.
      19                 :            :  *
      20                 :            :  * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
      21                 :            :  * IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
      22                 :            :  * FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
      23                 :            :  * AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
      24                 :            :  * LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
      25                 :            :  * OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
      26                 :            :  * THE SOFTWARE.
      27                 :            :  */
      28                 :            : 
      29                 :            : #include "py/mpconfig.h"
      30                 :            : #if MICROPY_PY_SSL && MICROPY_SSL_MBEDTLS
      31                 :            : 
      32                 :            : #include <stdio.h>
      33                 :            : #include <string.h>
      34                 :            : #include <errno.h> // needed because mp_is_nonblocking_error uses system error codes
      35                 :            : 
      36                 :            : #include "py/runtime.h"
      37                 :            : #include "py/stream.h"
      38                 :            : #include "py/objstr.h"
      39                 :            : #include "py/reader.h"
      40                 :            : #include "extmod/vfs.h"
      41                 :            : 
      42                 :            : // mbedtls_time_t
      43                 :            : #include "mbedtls/platform.h"
      44                 :            : #include "mbedtls/ssl.h"
      45                 :            : #include "mbedtls/x509_crt.h"
      46                 :            : #include "mbedtls/pk.h"
      47                 :            : #include "mbedtls/entropy.h"
      48                 :            : #include "mbedtls/ctr_drbg.h"
      49                 :            : #include "mbedtls/debug.h"
      50                 :            : #include "mbedtls/error.h"
      51                 :            : #if MBEDTLS_VERSION_NUMBER >= 0x03000000
      52                 :            : #include "mbedtls/build_info.h"
      53                 :            : #else
      54                 :            : #include "mbedtls/version.h"
      55                 :            : #endif
      56                 :            : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
      57                 :            : #include "mbedtls/ecdsa.h"
      58                 :            : #include "mbedtls/asn1.h"
      59                 :            : #endif
      60                 :            : 
      61                 :            : #define MP_STREAM_POLL_RDWR (MP_STREAM_POLL_RD | MP_STREAM_POLL_WR)
      62                 :            : 
      63                 :            : // This corresponds to an SSLContext object.
      64                 :            : typedef struct _mp_obj_ssl_context_t {
      65                 :            :     mp_obj_base_t base;
      66                 :            :     mbedtls_entropy_context entropy;
      67                 :            :     mbedtls_ctr_drbg_context ctr_drbg;
      68                 :            :     mbedtls_ssl_config conf;
      69                 :            :     mbedtls_x509_crt cacert;
      70                 :            :     mbedtls_x509_crt cert;
      71                 :            :     mbedtls_pk_context pkey;
      72                 :            :     int authmode;
      73                 :            :     int *ciphersuites;
      74                 :            :     mp_obj_t handler;
      75                 :            :     #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
      76                 :            :     mp_obj_t ecdsa_sign_callback;
      77                 :            :     #endif
      78                 :            : } mp_obj_ssl_context_t;
      79                 :            : 
      80                 :            : // This corresponds to an SSLSocket object.
      81                 :            : typedef struct _mp_obj_ssl_socket_t {
      82                 :            :     mp_obj_base_t base;
      83                 :            :     mp_obj_ssl_context_t *ssl_context;
      84                 :            :     mp_obj_t sock;
      85                 :            :     mbedtls_ssl_context ssl;
      86                 :            : 
      87                 :            :     uintptr_t poll_mask; // Indicates which read or write operations the protocol needs next
      88                 :            :     int last_error; // The last error code, if any
      89                 :            : } mp_obj_ssl_socket_t;
      90                 :            : 
      91                 :            : static const mp_obj_type_t ssl_context_type;
      92                 :            : static const mp_obj_type_t ssl_socket_type;
      93                 :            : 
      94                 :            : static const MP_DEFINE_STR_OBJ(mbedtls_version_obj, MBEDTLS_VERSION_STRING_FULL);
      95                 :            : 
      96                 :            : static mp_obj_t ssl_socket_make_new(mp_obj_ssl_context_t *ssl_context, mp_obj_t sock,
      97                 :            :     bool server_side, bool do_handshake_on_connect, mp_obj_t server_hostname);
      98                 :            : 
      99                 :            : /******************************************************************************/
     100                 :            : // Helper functions.
     101                 :            : 
     102                 :            : #ifdef MBEDTLS_DEBUG_C
     103                 :            : static void mbedtls_debug(void *ctx, int level, const char *file, int line, const char *str) {
     104                 :            :     (void)ctx;
     105                 :            :     (void)level;
     106                 :            :     mp_printf(&mp_plat_print, "DBG:%s:%04d: %s\n", file, line, str);
     107                 :            : }
     108                 :            : #endif
     109                 :            : 
     110                 :            : // Given a string-like object holding PEM or DER formatted ASN.1 data, return a
     111                 :            : // pointer to its buffer and the correct length for mbedTLS APIs.
     112                 :            : //
     113                 :            : // (mbedTLS >= 3.5 rejects DER formatted data with trailing bytes within keylen,
     114                 :            : // but PEM must include a terminating NUL byte in the keylen...)
     115                 :         20 : static const unsigned char *asn1_get_data(mp_obj_t obj, size_t *out_len) {
     116                 :         20 :     size_t len;
     117                 :         20 :     const char *str = mp_obj_str_get_data(obj, &len);
     118                 :            :     #if defined(MBEDTLS_PEM_PARSE_C)
     119                 :            :     if (strstr(str, "-----BEGIN ") != NULL) {
     120                 :            :         ++len;
     121                 :            :     }
     122                 :            :     #endif
     123                 :         18 :     *out_len = len;
     124                 :         18 :     return (const unsigned char *)str;
     125                 :            : }
     126                 :            : 
     127                 :         14 : static NORETURN void mbedtls_raise_error(int err) {
     128                 :            :     // Handle special cases.
     129         [ -  + ]:         14 :     if (err == MBEDTLS_ERR_SSL_ALLOC_FAILED) {
     130                 :          0 :         mp_raise_OSError(MP_ENOMEM);
     131         [ +  + ]:         14 :     } else if (err == MBEDTLS_ERR_PK_BAD_INPUT_DATA) {
     132                 :          2 :         mp_raise_ValueError(MP_ERROR_TEXT("invalid key"));
     133         [ +  + ]:         12 :     } else if (err == MBEDTLS_ERR_X509_BAD_INPUT_DATA) {
     134                 :          6 :         mp_raise_ValueError(MP_ERROR_TEXT("invalid cert"));
     135                 :            :     }
     136                 :            : 
     137                 :            :     // _mbedtls_ssl_send and _mbedtls_ssl_recv (below) turn positive error codes from the
     138                 :            :     // underlying socket into negative codes to pass them through mbedtls. Here we turn them
     139                 :            :     // positive again so they get interpreted as the OSError they really are. The
     140                 :            :     // cut-off of -256 is a bit hacky, sigh.
     141         [ -  + ]:          6 :     if (err < 0 && err > -256) {
     142                 :          0 :         mp_raise_OSError(-err);
     143                 :            :     }
     144                 :            : 
     145                 :            :     #if defined(MBEDTLS_ERROR_C)
     146                 :            :     // Including mbedtls_strerror takes about 1.5KB due to the error strings.
     147                 :            :     // MBEDTLS_ERROR_C is the define used by mbedtls to conditionally include mbedtls_strerror.
     148                 :            :     // It is set/unset in the MBEDTLS_CONFIG_FILE which is defined in the Makefile.
     149                 :            : 
     150                 :            :     // Try to allocate memory for the message
     151                 :            :     #define ERR_STR_MAX 80  // mbedtls_strerror truncates if it doesn't fit
     152                 :          6 :     mp_obj_str_t *o_str = m_new_obj_maybe(mp_obj_str_t);
     153                 :          6 :     byte *o_str_buf = m_new_maybe(byte, ERR_STR_MAX);
     154         [ -  + ]:          6 :     if (o_str == NULL || o_str_buf == NULL) {
     155                 :          0 :         mp_raise_OSError(err);
     156                 :            :     }
     157                 :            : 
     158                 :            :     // print the error message into the allocated buffer
     159                 :          6 :     mbedtls_strerror(err, (char *)o_str_buf, ERR_STR_MAX);
     160                 :          6 :     size_t len = strlen((char *)o_str_buf);
     161                 :            : 
     162                 :            :     // Put the exception object together
     163                 :          6 :     o_str->base.type = &mp_type_str;
     164                 :          6 :     o_str->data = o_str_buf;
     165                 :          6 :     o_str->len = len;
     166                 :          6 :     o_str->hash = qstr_compute_hash(o_str->data, o_str->len);
     167                 :            :     // raise
     168                 :          6 :     mp_obj_t args[2] = { MP_OBJ_NEW_SMALL_INT(err), MP_OBJ_FROM_PTR(o_str)};
     169                 :          6 :     nlr_raise(mp_obj_exception_make_new(&mp_type_OSError, 2, 0, args));
     170                 :            :     #else
     171                 :            :     // mbedtls is compiled without error strings so we simply return the err number
     172                 :            :     mp_raise_OSError(err); // err is typically a large negative number
     173                 :            :     #endif
     174                 :            : }
     175                 :            : 
     176                 :            : // Stores the current SSLContext for use in mbedtls callbacks where the current state is not passed.
     177                 :            : static inline void store_active_context(mp_obj_ssl_context_t *ssl_context) {
     178                 :            :     #if MICROPY_PY_SSL_MBEDTLS_NEED_ACTIVE_CONTEXT
     179                 :            :     MP_STATE_THREAD(tls_ssl_context) = ssl_context;
     180                 :            :     #endif
     181                 :            : }
     182                 :            : 
     183                 :         18 : static void ssl_check_async_handshake_failure(mp_obj_ssl_socket_t *sslsock, int *errcode) {
     184                 :         18 :     if (
     185                 :            :         #if MBEDTLS_VERSION_NUMBER >= 0x03000000
     186   [ +  +  +  -  :         18 :         (*errcode < 0) && (mbedtls_ssl_is_handshake_over(&sslsock->ssl) == 0) && (*errcode != MBEDTLS_ERR_SSL_CONN_EOF)
                   +  + ]
     187                 :            :         #else
     188                 :            :         (*errcode < 0) && (*errcode != MBEDTLS_ERR_SSL_CONN_EOF)
     189                 :            :         #endif
     190                 :            :         ) {
     191                 :            :         // Asynchronous handshake is done by mbdetls_ssl_read/write.  If the return code is
     192                 :            :         // MBEDTLS_ERR_XX (i.e < 0) and the handshake is not done due to a handshake failure,
     193                 :            :         // then notify peer with proper error code and raise local error with mbedtls_raise_error.
     194                 :            : 
     195         [ -  + ]:          2 :         if (*errcode == MBEDTLS_ERR_SSL_NO_CLIENT_CERTIFICATE) {
     196                 :            :             // Check if TLSv1.3 and use proper alert for this case (to be implemented)
     197                 :            :             // uint8_t alert = MBEDTLS_SSL_ALERT_MSG_CERT_REQUIRED; tlsv1.3
     198                 :            :             // uint8_t alert = MBEDTLS_SSL_ALERT_MSG_HANDSHAKE_FAILURE; tlsv1.2
     199                 :          0 :             mbedtls_ssl_send_alert_message(&sslsock->ssl, MBEDTLS_SSL_ALERT_LEVEL_FATAL,
     200                 :            :                 MBEDTLS_SSL_ALERT_MSG_HANDSHAKE_FAILURE);
     201                 :            :         }
     202                 :            : 
     203         [ -  + ]:          2 :         if (*errcode == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
     204                 :            :             // The certificate may have been rejected for several reasons.
     205                 :          0 :             char xcbuf[256];
     206                 :          0 :             uint32_t flags = mbedtls_ssl_get_verify_result(&sslsock->ssl);
     207                 :          0 :             int ret = mbedtls_x509_crt_verify_info(xcbuf, sizeof(xcbuf), "\n", flags);
     208                 :            :             // The length of the string written (not including the terminated nul byte),
     209                 :            :             // or a negative err code.
     210         [ #  # ]:          0 :             if (ret > 0) {
     211                 :          0 :                 sslsock->sock = MP_OBJ_NULL;
     212                 :          0 :                 mbedtls_ssl_free(&sslsock->ssl);
     213                 :          0 :                 mp_raise_msg_varg(&mp_type_ValueError, MP_ERROR_TEXT("%s"), xcbuf);
     214                 :            :             }
     215                 :            :         }
     216                 :            : 
     217                 :          2 :         sslsock->sock = MP_OBJ_NULL;
     218                 :          2 :         mbedtls_ssl_free(&sslsock->ssl);
     219                 :          2 :         mbedtls_raise_error(*errcode);
     220                 :            :     }
     221                 :         16 : }
     222                 :            : 
     223                 :          0 : static int ssl_sock_cert_verify(void *ptr, mbedtls_x509_crt *crt, int depth, uint32_t *flags) {
     224                 :          0 :     mp_obj_ssl_context_t *o = ptr;
     225         [ #  # ]:          0 :     if (o->handler == mp_const_none) {
     226                 :            :         return 0;
     227                 :            :     }
     228                 :          0 :     mp_obj_array_t cert;
     229                 :          0 :     mp_obj_memoryview_init(&cert, 'B', 0, crt->raw.len, crt->raw.p);
     230                 :          0 :     return mp_obj_get_int(mp_call_function_2(o->handler, MP_OBJ_FROM_PTR(&cert), MP_OBJ_NEW_SMALL_INT(depth)));
     231                 :            : }
     232                 :            : 
     233                 :            : /******************************************************************************/
     234                 :            : // SSLContext type.
     235                 :            : 
     236                 :         42 : static mp_obj_t ssl_context_make_new(const mp_obj_type_t *type_in, size_t n_args, size_t n_kw, const mp_obj_t *args) {
     237                 :         42 :     mp_arg_check_num(n_args, n_kw, 1, 1, false);
     238                 :            : 
     239                 :            :     // This is the "protocol" argument.
     240                 :         40 :     mp_int_t endpoint = mp_obj_get_int(args[0]);
     241                 :            : 
     242                 :            :     // Create SSLContext object.
     243                 :            :     #if MICROPY_PY_SSL_FINALISER
     244                 :         40 :     mp_obj_ssl_context_t *self = mp_obj_malloc_with_finaliser(mp_obj_ssl_context_t, type_in);
     245                 :            :     #else
     246                 :            :     mp_obj_ssl_context_t *self = mp_obj_malloc(mp_obj_ssl_context_t, type_in);
     247                 :            :     #endif
     248                 :            : 
     249                 :            :     // Initialise mbedTLS state.
     250                 :         40 :     mbedtls_ssl_config_init(&self->conf);
     251                 :         40 :     mbedtls_entropy_init(&self->entropy);
     252                 :         40 :     mbedtls_ctr_drbg_init(&self->ctr_drbg);
     253                 :         40 :     mbedtls_x509_crt_init(&self->cacert);
     254                 :         40 :     mbedtls_x509_crt_init(&self->cert);
     255                 :         40 :     mbedtls_pk_init(&self->pkey);
     256                 :         40 :     self->ciphersuites = NULL;
     257                 :         40 :     self->handler = mp_const_none;
     258                 :            :     #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
     259                 :            :     self->ecdsa_sign_callback = mp_const_none;
     260                 :            :     #endif
     261                 :            : 
     262                 :            :     #ifdef MBEDTLS_DEBUG_C
     263                 :            :     // Debug level (0-4) 1=warning, 2=info, 3=debug, 4=verbose
     264                 :            :     mbedtls_debug_set_threshold(3);
     265                 :            :     #endif
     266                 :            : 
     267                 :            :     // Whenever the PSA interface is used (if MBEDTLS_PSA_CRYPTO), psa_crypto_init() needs to be called before any TLS related operations.
     268                 :            :     // TLSv1.3 depends on the PSA interface, TLSv1.2 only uses the PSA stack if MBEDTLS_USE_PSA_CRYPTO is defined.
     269                 :            :     #if defined(MBEDTLS_SSL_PROTO_TLS1_3) || defined(MBEDTLS_USE_PSA_CRYPTO)
     270                 :            :     psa_crypto_init();
     271                 :            :     #endif
     272                 :            : 
     273                 :         40 :     const byte seed[] = "upy";
     274                 :         40 :     int ret = mbedtls_ctr_drbg_seed(&self->ctr_drbg, mbedtls_entropy_func, &self->entropy, seed, sizeof(seed));
     275         [ -  + ]:         40 :     if (ret != 0) {
     276                 :          0 :         mbedtls_raise_error(ret);
     277                 :            :     }
     278                 :            : 
     279                 :         40 :     ret = mbedtls_ssl_config_defaults(&self->conf, endpoint,
     280                 :            :         MBEDTLS_SSL_TRANSPORT_STREAM, MBEDTLS_SSL_PRESET_DEFAULT);
     281         [ -  + ]:         40 :     if (ret != 0) {
     282                 :          0 :         mbedtls_raise_error(ret);
     283                 :            :     }
     284                 :            : 
     285         [ +  + ]:         40 :     if (endpoint == MBEDTLS_SSL_IS_CLIENT) {
     286                 :         28 :         self->authmode = MBEDTLS_SSL_VERIFY_REQUIRED;
     287                 :            :     } else {
     288                 :         12 :         self->authmode = MBEDTLS_SSL_VERIFY_NONE;
     289                 :            :     }
     290                 :         40 :     mbedtls_ssl_conf_authmode(&self->conf, self->authmode);
     291                 :         40 :     mbedtls_ssl_conf_verify(&self->conf, &ssl_sock_cert_verify, self);
     292                 :         40 :     mbedtls_ssl_conf_rng(&self->conf, mbedtls_ctr_drbg_random, &self->ctr_drbg);
     293                 :            :     #ifdef MBEDTLS_DEBUG_C
     294                 :            :     mbedtls_ssl_conf_dbg(&self->conf, mbedtls_debug, NULL);
     295                 :            :     #endif
     296                 :            : 
     297                 :         40 :     return MP_OBJ_FROM_PTR(self);
     298                 :            : }
     299                 :            : 
     300                 :        148 : static void ssl_context_attr(mp_obj_t self_in, qstr attr, mp_obj_t *dest) {
     301                 :        148 :     mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
     302         [ +  + ]:        148 :     if (dest[0] == MP_OBJ_NULL) {
     303                 :            :         // Load attribute.
     304         [ +  + ]:         88 :         if (attr == MP_QSTR_verify_mode) {
     305                 :          8 :             dest[0] = MP_OBJ_NEW_SMALL_INT(self->authmode);
     306         [ -  + ]:         80 :         } else if (attr == MP_QSTR_verify_callback) {
     307                 :          0 :             dest[0] = self->handler;
     308                 :            :         #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
     309                 :            :         } else if (attr == MP_QSTR_ecdsa_sign_callback) {
     310                 :            :             dest[0] = self->ecdsa_sign_callback;
     311                 :            :         #endif
     312                 :            :         } else {
     313                 :            :             // Continue lookup in locals_dict.
     314                 :         80 :             dest[1] = MP_OBJ_SENTINEL;
     315                 :            :         }
     316         [ +  + ]:         60 :     } else if (dest[1] != MP_OBJ_NULL) {
     317                 :            :         // Store attribute.
     318         [ +  + ]:         58 :         if (attr == MP_QSTR_verify_mode) {
     319                 :         56 :             self->authmode = mp_obj_get_int(dest[1]);
     320                 :         56 :             dest[0] = MP_OBJ_NULL;
     321                 :         56 :             mbedtls_ssl_conf_authmode(&self->conf, self->authmode);
     322                 :            :         #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
     323                 :            :         } else if (attr == MP_QSTR_ecdsa_sign_callback) {
     324                 :            :             dest[0] = MP_OBJ_NULL;
     325                 :            :             self->ecdsa_sign_callback = dest[1];
     326                 :            :         #endif
     327         [ -  + ]:          2 :         } else if (attr == MP_QSTR_verify_callback) {
     328                 :          0 :             dest[0] = MP_OBJ_NULL;
     329                 :          0 :             self->handler = dest[1];
     330                 :            :         }
     331                 :            :     }
     332                 :        148 : }
     333                 :            : 
     334                 :            : #if MICROPY_PY_SSL_FINALISER
     335                 :         40 : static mp_obj_t ssl_context___del__(mp_obj_t self_in) {
     336                 :         40 :     mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
     337                 :         40 :     mbedtls_pk_free(&self->pkey);
     338                 :         40 :     mbedtls_x509_crt_free(&self->cert);
     339                 :         40 :     mbedtls_x509_crt_free(&self->cacert);
     340                 :         40 :     mbedtls_ctr_drbg_free(&self->ctr_drbg);
     341                 :         40 :     mbedtls_entropy_free(&self->entropy);
     342                 :         40 :     mbedtls_ssl_config_free(&self->conf);
     343                 :         40 :     return mp_const_none;
     344                 :            : }
     345                 :            : static MP_DEFINE_CONST_FUN_OBJ_1(ssl_context___del___obj, ssl_context___del__);
     346                 :            : #endif
     347                 :            : 
     348                 :            : // SSLContext.get_ciphers()
     349                 :          2 : static mp_obj_t ssl_context_get_ciphers(mp_obj_t self_in) {
     350                 :          2 :     mp_obj_t list = mp_obj_new_list(0, NULL);
     351         [ +  + ]:         38 :     for (const int *cipher_list = mbedtls_ssl_list_ciphersuites(); *cipher_list; ++cipher_list) {
     352                 :         36 :         const char *cipher_name = mbedtls_ssl_get_ciphersuite_name(*cipher_list);
     353                 :         36 :         mp_obj_list_append(list, MP_OBJ_FROM_PTR(mp_obj_new_str_from_cstr(cipher_name)));
     354                 :            :     }
     355                 :          2 :     return list;
     356                 :            : }
     357                 :            : static MP_DEFINE_CONST_FUN_OBJ_1(ssl_context_get_ciphers_obj, ssl_context_get_ciphers);
     358                 :            : 
     359                 :            : // SSLContext.set_ciphers(ciphersuite)
     360                 :          6 : static mp_obj_t ssl_context_set_ciphers(mp_obj_t self_in, mp_obj_t ciphersuite) {
     361                 :          6 :     mp_obj_ssl_context_t *ssl_context = MP_OBJ_TO_PTR(self_in);
     362                 :            : 
     363                 :            :     // Check that ciphersuite is a list or tuple.
     364                 :          6 :     size_t len = 0;
     365                 :          6 :     mp_obj_t *ciphers;
     366                 :          6 :     mp_obj_get_array(ciphersuite, &len, &ciphers);
     367         [ -  + ]:          4 :     if (len == 0) {
     368                 :          0 :         mbedtls_raise_error(MBEDTLS_ERR_SSL_BAD_CONFIG);
     369                 :            :     }
     370                 :            : 
     371                 :            :     // Parse list of ciphers.
     372                 :          4 :     ssl_context->ciphersuites = m_new(int, len + 1);
     373         [ +  + ]:          6 :     for (size_t i = 0; i < len; ++i) {
     374                 :          4 :         const char *ciphername = mp_obj_str_get_str(ciphers[i]);
     375                 :          4 :         const int id = mbedtls_ssl_get_ciphersuite_id(ciphername);
     376         [ +  + ]:          4 :         if (id == 0) {
     377                 :          2 :             mbedtls_raise_error(MBEDTLS_ERR_SSL_BAD_CONFIG);
     378                 :            :         }
     379                 :          2 :         ssl_context->ciphersuites[i] = id;
     380                 :            :     }
     381                 :          2 :     ssl_context->ciphersuites[len] = 0;
     382                 :            : 
     383                 :            :     // Configure ciphersuite.
     384                 :          2 :     mbedtls_ssl_conf_ciphersuites(&ssl_context->conf, (const int *)ssl_context->ciphersuites);
     385                 :            : 
     386                 :          2 :     return mp_const_none;
     387                 :            : }
     388                 :            : static MP_DEFINE_CONST_FUN_OBJ_2(ssl_context_set_ciphers_obj, ssl_context_set_ciphers);
     389                 :            : 
     390                 :         10 : static void ssl_context_load_key(mp_obj_ssl_context_t *self, mp_obj_t key_obj, mp_obj_t cert_obj) {
     391                 :         10 :     size_t key_len;
     392                 :         10 :     const unsigned char *key = asn1_get_data(key_obj, &key_len);
     393                 :         10 :     int ret;
     394                 :            :     #if MBEDTLS_VERSION_NUMBER >= 0x03000000
     395                 :         10 :     ret = mbedtls_pk_parse_key(&self->pkey, key, key_len, NULL, 0, mbedtls_ctr_drbg_random, &self->ctr_drbg);
     396                 :            :     #else
     397                 :            :     ret = mbedtls_pk_parse_key(&self->pkey, key, key_len, NULL, 0);
     398                 :            :     #endif
     399         [ +  + ]:         10 :     if (ret != 0) {
     400                 :          2 :         mbedtls_raise_error(MBEDTLS_ERR_PK_BAD_INPUT_DATA); // use general error for all key errors
     401                 :            :     }
     402                 :            : 
     403                 :          8 :     size_t cert_len;
     404                 :          8 :     const unsigned char *cert = asn1_get_data(cert_obj, &cert_len);
     405                 :          6 :     ret = mbedtls_x509_crt_parse(&self->cert, cert, cert_len);
     406         [ +  + ]:          6 :     if (ret != 0) {
     407                 :          4 :         mbedtls_raise_error(MBEDTLS_ERR_X509_BAD_INPUT_DATA); // use general error for all cert errors
     408                 :            :     }
     409                 :            : 
     410                 :          2 :     ret = mbedtls_ssl_conf_own_cert(&self->conf, &self->cert, &self->pkey);
     411         [ -  + ]:          2 :     if (ret != 0) {
     412                 :          0 :         mbedtls_raise_error(ret);
     413                 :            :     }
     414                 :          2 : }
     415                 :            : 
     416                 :            : // SSLContext.load_cert_chain(certfile, keyfile)
     417                 :         10 : static mp_obj_t ssl_context_load_cert_chain(mp_obj_t self_in, mp_obj_t cert, mp_obj_t pkey) {
     418                 :         10 :     mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
     419                 :         10 :     ssl_context_load_key(self, pkey, cert);
     420                 :          2 :     return mp_const_none;
     421                 :            : }
     422                 :            : static MP_DEFINE_CONST_FUN_OBJ_3(ssl_context_load_cert_chain_obj, ssl_context_load_cert_chain);
     423                 :            : 
     424                 :          2 : static void ssl_context_load_cadata(mp_obj_ssl_context_t *self, mp_obj_t cadata_obj) {
     425                 :          2 :     size_t cacert_len;
     426                 :          2 :     const unsigned char *cacert = asn1_get_data(cadata_obj, &cacert_len);
     427                 :          2 :     int ret = mbedtls_x509_crt_parse(&self->cacert, cacert, cacert_len);
     428         [ +  - ]:          2 :     if (ret != 0) {
     429                 :          2 :         mbedtls_raise_error(MBEDTLS_ERR_X509_BAD_INPUT_DATA); // use general error for all cert errors
     430                 :            :     }
     431                 :            : 
     432                 :          0 :     mbedtls_ssl_conf_ca_chain(&self->conf, &self->cacert, NULL);
     433                 :          0 : }
     434                 :            : 
     435                 :            : // SSLContext.load_verify_locations(cadata)
     436                 :          2 : static mp_obj_t ssl_context_load_verify_locations(mp_obj_t self_in, mp_obj_t cadata) {
     437                 :            : 
     438                 :          2 :     mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
     439                 :          2 :     ssl_context_load_cadata(self, cadata);
     440                 :          0 :     return mp_const_none;
     441                 :            : }
     442                 :            : static MP_DEFINE_CONST_FUN_OBJ_2(ssl_context_load_verify_locations_obj, ssl_context_load_verify_locations);
     443                 :            : 
     444                 :         18 : static mp_obj_t ssl_context_wrap_socket(size_t n_args, const mp_obj_t *pos_args, mp_map_t *kw_args) {
     445                 :         18 :     enum { ARG_server_side, ARG_do_handshake_on_connect, ARG_server_hostname };
     446                 :         18 :     static const mp_arg_t allowed_args[] = {
     447                 :            :         { MP_QSTR_server_side, MP_ARG_KW_ONLY | MP_ARG_BOOL, {.u_bool = false} },
     448                 :            :         { MP_QSTR_do_handshake_on_connect, MP_ARG_KW_ONLY | MP_ARG_BOOL, {.u_bool = true} },
     449                 :            :         { MP_QSTR_server_hostname, MP_ARG_KW_ONLY | MP_ARG_OBJ, {.u_rom_obj = MP_ROM_NONE} },
     450                 :            :     };
     451                 :            : 
     452                 :            :     // Parse arguments.
     453                 :         18 :     mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(pos_args[0]);
     454                 :         18 :     mp_obj_t sock = pos_args[1];
     455                 :         18 :     mp_arg_val_t args[MP_ARRAY_SIZE(allowed_args)];
     456                 :         18 :     mp_arg_parse_all(n_args - 2, pos_args + 2, kw_args, MP_ARRAY_SIZE(allowed_args), allowed_args, args);
     457                 :            : 
     458                 :            :     // Create and return the new SSLSocket object.
     459                 :         34 :     return ssl_socket_make_new(self, sock, args[ARG_server_side].u_bool,
     460                 :         18 :         args[ARG_do_handshake_on_connect].u_bool, args[ARG_server_hostname].u_obj);
     461                 :            : }
     462                 :            : static MP_DEFINE_CONST_FUN_OBJ_KW(ssl_context_wrap_socket_obj, 2, ssl_context_wrap_socket);
     463                 :            : 
     464                 :            : static const mp_rom_map_elem_t ssl_context_locals_dict_table[] = {
     465                 :            :     #if MICROPY_PY_SSL_FINALISER
     466                 :            :     { MP_ROM_QSTR(MP_QSTR___del__), MP_ROM_PTR(&ssl_context___del___obj) },
     467                 :            :     #endif
     468                 :            :     { MP_ROM_QSTR(MP_QSTR_get_ciphers), MP_ROM_PTR(&ssl_context_get_ciphers_obj)},
     469                 :            :     { MP_ROM_QSTR(MP_QSTR_set_ciphers), MP_ROM_PTR(&ssl_context_set_ciphers_obj)},
     470                 :            :     { MP_ROM_QSTR(MP_QSTR_load_cert_chain), MP_ROM_PTR(&ssl_context_load_cert_chain_obj)},
     471                 :            :     { MP_ROM_QSTR(MP_QSTR_load_verify_locations), MP_ROM_PTR(&ssl_context_load_verify_locations_obj)},
     472                 :            :     { MP_ROM_QSTR(MP_QSTR_wrap_socket), MP_ROM_PTR(&ssl_context_wrap_socket_obj) },
     473                 :            : };
     474                 :            : static MP_DEFINE_CONST_DICT(ssl_context_locals_dict, ssl_context_locals_dict_table);
     475                 :            : 
     476                 :            : static MP_DEFINE_CONST_OBJ_TYPE(
     477                 :            :     ssl_context_type,
     478                 :            :     MP_QSTR_SSLContext,
     479                 :            :     MP_TYPE_FLAG_NONE,
     480                 :            :     make_new, ssl_context_make_new,
     481                 :            :     attr, ssl_context_attr,
     482                 :            :     locals_dict, &ssl_context_locals_dict
     483                 :            :     );
     484                 :            : 
     485                 :            : /******************************************************************************/
     486                 :            : // SSLSocket type.
     487                 :            : 
     488                 :         30 : static int _mbedtls_ssl_send(void *ctx, const byte *buf, size_t len) {
     489                 :         30 :     mp_obj_t sock = *(mp_obj_t *)ctx;
     490                 :            : 
     491                 :         30 :     const mp_stream_p_t *sock_stream = mp_get_stream(sock);
     492                 :         30 :     int err;
     493                 :            : 
     494                 :         30 :     mp_uint_t out_sz = sock_stream->write(sock, buf, len, &err);
     495         [ +  + ]:         30 :     if (out_sz == MP_STREAM_ERROR) {
     496         [ -  + ]:          2 :         if (mp_is_nonblocking_error(err)) {
     497                 :            :             return MBEDTLS_ERR_SSL_WANT_WRITE;
     498                 :            :         }
     499                 :          0 :         return -err; // convert an MP_ERRNO to something mbedtls passes through as error
     500                 :            :     } else {
     501                 :         28 :         return out_sz;
     502                 :            :     }
     503                 :            : }
     504                 :            : 
     505                 :            : // _mbedtls_ssl_recv is called by mbedtls to receive bytes from the underlying socket
     506                 :         66 : static int _mbedtls_ssl_recv(void *ctx, byte *buf, size_t len) {
     507                 :         66 :     mp_obj_t sock = *(mp_obj_t *)ctx;
     508                 :            : 
     509                 :         66 :     const mp_stream_p_t *sock_stream = mp_get_stream(sock);
     510                 :         66 :     int err;
     511                 :            : 
     512                 :         66 :     mp_uint_t out_sz = sock_stream->read(sock, buf, len, &err);
     513         [ +  + ]:         66 :     if (out_sz == MP_STREAM_ERROR) {
     514         [ -  + ]:         12 :         if (mp_is_nonblocking_error(err)) {
     515                 :            :             return MBEDTLS_ERR_SSL_WANT_READ;
     516                 :            :         }
     517                 :          0 :         return -err;
     518                 :            :     } else {
     519                 :         54 :         return out_sz;
     520                 :            :     }
     521                 :            : }
     522                 :            : 
     523                 :         18 : static mp_obj_t ssl_socket_make_new(mp_obj_ssl_context_t *ssl_context, mp_obj_t sock,
     524                 :            :     bool server_side, bool do_handshake_on_connect, mp_obj_t server_hostname) {
     525                 :            : 
     526                 :            :     // Store the current SSL context.
     527                 :         18 :     store_active_context(ssl_context);
     528                 :            : 
     529                 :            :     // Verify the socket object has the full stream protocol
     530                 :         18 :     mp_get_stream_raise(sock, MP_STREAM_OP_READ | MP_STREAM_OP_WRITE | MP_STREAM_OP_IOCTL);
     531                 :            : 
     532                 :            :     #if MICROPY_PY_SSL_FINALISER
     533                 :         18 :     mp_obj_ssl_socket_t *o = mp_obj_malloc_with_finaliser(mp_obj_ssl_socket_t, &ssl_socket_type);
     534                 :            :     #else
     535                 :            :     mp_obj_ssl_socket_t *o = mp_obj_malloc(mp_obj_ssl_socket_t, &ssl_socket_type);
     536                 :            :     #endif
     537                 :         18 :     o->ssl_context = ssl_context;
     538                 :         18 :     o->sock = sock;
     539                 :         18 :     o->poll_mask = 0;
     540                 :         18 :     o->last_error = 0;
     541                 :            : 
     542                 :         18 :     int ret;
     543                 :         18 :     uint32_t flags = 0;
     544                 :            : 
     545                 :         18 :     mbedtls_ssl_init(&o->ssl);
     546                 :            : 
     547                 :         18 :     ret = mbedtls_ssl_setup(&o->ssl, &ssl_context->conf);
     548         [ -  + ]:         18 :     if (ret != 0) {
     549                 :          0 :         goto cleanup;
     550                 :            :     }
     551                 :            : 
     552         [ +  + ]:         18 :     if (server_hostname != mp_const_none) {
     553                 :          2 :         const char *sni = mp_obj_str_get_str(server_hostname);
     554                 :          2 :         ret = mbedtls_ssl_set_hostname(&o->ssl, sni);
     555         [ -  + ]:          2 :         if (ret != 0) {
     556                 :          0 :             goto cleanup;
     557                 :            :         }
     558   [ -  +  -  - ]:         16 :     } else if (ssl_context->authmode == MBEDTLS_SSL_VERIFY_REQUIRED && server_side == false) {
     559                 :            : 
     560                 :          0 :         o->sock = MP_OBJ_NULL;
     561                 :          0 :         mbedtls_ssl_free(&o->ssl);
     562                 :          0 :         mp_raise_ValueError(MP_ERROR_TEXT("CERT_REQUIRED requires server_hostname"));
     563                 :            :     }
     564                 :            : 
     565                 :         18 :     mbedtls_ssl_set_bio(&o->ssl, &o->sock, _mbedtls_ssl_send, _mbedtls_ssl_recv, NULL);
     566                 :            : 
     567         [ +  + ]:         18 :     if (do_handshake_on_connect) {
     568         [ +  - ]:          2 :         while ((ret = mbedtls_ssl_handshake(&o->ssl)) != 0) {
     569         [ +  - ]:          2 :             if (ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE) {
     570                 :          2 :                 goto cleanup;
     571                 :            :             }
     572                 :          0 :             mp_event_wait_ms(1);
     573                 :            :         }
     574                 :            :     }
     575                 :            : 
     576                 :         16 :     return MP_OBJ_FROM_PTR(o);
     577                 :            : 
     578                 :          2 : cleanup:
     579         [ -  + ]:          2 :     if (ret == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
     580                 :          0 :         flags = mbedtls_ssl_get_verify_result(&o->ssl);
     581                 :            :     }
     582                 :            : 
     583                 :          2 :     o->sock = MP_OBJ_NULL;
     584                 :          2 :     mbedtls_ssl_free(&o->ssl);
     585                 :            : 
     586         [ -  + ]:          2 :     if (ret == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
     587                 :          0 :         char xcbuf[256];
     588                 :          0 :         int ret_info = mbedtls_x509_crt_verify_info(xcbuf, sizeof(xcbuf), "\n", flags);
     589                 :            :         // The length of the string written (not including the terminated nul byte),
     590                 :            :         // or a negative err code.
     591         [ #  # ]:          0 :         if (ret_info > 0) {
     592                 :          0 :             mp_raise_msg_varg(&mp_type_ValueError, MP_ERROR_TEXT("%s"), xcbuf);
     593                 :            :         }
     594                 :            :     }
     595                 :            : 
     596                 :          2 :     mbedtls_raise_error(ret);
     597                 :            : }
     598                 :            : 
     599                 :            : #if defined(MBEDTLS_SSL_KEEP_PEER_CERTIFICATE)
     600                 :            : static mp_obj_t mod_ssl_getpeercert(mp_obj_t o_in, mp_obj_t binary_form) {
     601                 :            :     mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
     602                 :            :     if (!mp_obj_is_true(binary_form)) {
     603                 :            :         mp_raise_NotImplementedError(NULL);
     604                 :            :     }
     605                 :            :     const mbedtls_x509_crt *peer_cert = mbedtls_ssl_get_peer_cert(&o->ssl);
     606                 :            :     if (peer_cert == NULL) {
     607                 :            :         return mp_const_none;
     608                 :            :     }
     609                 :            :     return mp_obj_new_bytes(peer_cert->raw.p, peer_cert->raw.len);
     610                 :            : }
     611                 :            : static MP_DEFINE_CONST_FUN_OBJ_2(mod_ssl_getpeercert_obj, mod_ssl_getpeercert);
     612                 :            : #endif
     613                 :            : 
     614                 :          0 : static mp_obj_t mod_ssl_cipher(mp_obj_t o_in) {
     615                 :          0 :     mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
     616                 :          0 :     const char *cipher_suite = mbedtls_ssl_get_ciphersuite(&o->ssl);
     617                 :          0 :     const char *tls_version = mbedtls_ssl_get_version(&o->ssl);
     618                 :          0 :     mp_obj_t tuple[2] = {mp_obj_new_str_from_cstr(cipher_suite),
     619                 :          0 :                          mp_obj_new_str_from_cstr(tls_version)};
     620                 :            : 
     621                 :          0 :     return mp_obj_new_tuple(2, tuple);
     622                 :            : }
     623                 :            : static MP_DEFINE_CONST_FUN_OBJ_1(mod_ssl_cipher_obj, mod_ssl_cipher);
     624                 :            : 
     625                 :         24 : static mp_uint_t socket_read(mp_obj_t o_in, void *buf, mp_uint_t size, int *errcode) {
     626                 :         24 :     mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
     627                 :         24 :     o->poll_mask = 0;
     628                 :            : 
     629         [ +  + ]:         24 :     if (o->last_error) {
     630                 :          4 :         *errcode = o->last_error;
     631                 :          4 :         return MP_STREAM_ERROR;
     632                 :            :     }
     633                 :            : 
     634                 :            :     // Store the current SSL context.
     635                 :         20 :     store_active_context(o->ssl_context);
     636                 :            : 
     637                 :         20 :     int ret = mbedtls_ssl_read(&o->ssl, buf, size);
     638         [ +  - ]:         20 :     if (ret == MBEDTLS_ERR_SSL_PEER_CLOSE_NOTIFY) {
     639                 :            :         // end of stream
     640                 :            :         return 0;
     641                 :            :     }
     642         [ +  + ]:         20 :     if (ret >= 0) {
     643                 :          6 :         return ret;
     644                 :            :     }
     645         [ +  + ]:         14 :     if (ret == MBEDTLS_ERR_SSL_WANT_READ) {
     646                 :         10 :         ret = MP_EWOULDBLOCK;
     647         [ +  + ]:          4 :     } else if (ret == MBEDTLS_ERR_SSL_WANT_WRITE) {
     648                 :            :         // If handshake is not finished, read attempt may end up in protocol
     649                 :            :         // wanting to write next handshake message. The same may happen with
     650                 :            :         // renegotiation.
     651                 :          2 :         ret = MP_EWOULDBLOCK;
     652                 :          2 :         o->poll_mask = MP_STREAM_POLL_WR;
     653                 :            :     #if defined(MBEDTLS_SSL_PROTO_TLS1_3)
     654                 :            :     } else if (ret == MBEDTLS_ERR_SSL_RECEIVED_NEW_SESSION_TICKET) {
     655                 :            :         // It appears a new session ticket being issued by the server right after
     656                 :            :         // completed handshake is not uncommon and shouldn't be treated as fatal.
     657                 :            :         // mbedtls itself states "This error code is experimental and may be
     658                 :            :         // changed or removed without notice."
     659                 :            :         ret = MP_EWOULDBLOCK;
     660                 :            :     #endif
     661                 :            :     } else {
     662                 :          2 :         o->last_error = ret;
     663                 :            :     }
     664                 :         14 :     ssl_check_async_handshake_failure(o, &ret);
     665                 :         12 :     *errcode = ret;
     666                 :         12 :     return MP_STREAM_ERROR;
     667                 :            : }
     668                 :            : 
     669                 :         10 : static mp_uint_t socket_write(mp_obj_t o_in, const void *buf, mp_uint_t size, int *errcode) {
     670                 :         10 :     mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
     671                 :         10 :     o->poll_mask = 0;
     672                 :            : 
     673         [ +  + ]:         10 :     if (o->last_error) {
     674                 :          2 :         *errcode = o->last_error;
     675                 :          2 :         return MP_STREAM_ERROR;
     676                 :            :     }
     677                 :            : 
     678                 :            :     // Store the current SSL context.
     679                 :          8 :     store_active_context(o->ssl_context);
     680                 :            : 
     681                 :          8 :     int ret = mbedtls_ssl_write(&o->ssl, buf, size);
     682         [ +  + ]:          8 :     if (ret >= 0) {
     683                 :          4 :         return ret;
     684                 :            :     }
     685         [ -  + ]:          4 :     if (ret == MBEDTLS_ERR_SSL_WANT_WRITE) {
     686                 :          0 :         ret = MP_EWOULDBLOCK;
     687         [ +  + ]:          4 :     } else if (ret == MBEDTLS_ERR_SSL_WANT_READ) {
     688                 :            :         // If handshake is not finished, write attempt may end up in protocol
     689                 :            :         // wanting to read next handshake message. The same may happen with
     690                 :            :         // renegotiation.
     691                 :          2 :         ret = MP_EWOULDBLOCK;
     692                 :          2 :         o->poll_mask = MP_STREAM_POLL_RD;
     693                 :            :     } else {
     694                 :          2 :         o->last_error = ret;
     695                 :            :     }
     696                 :          4 :     ssl_check_async_handshake_failure(o, &ret);
     697                 :          4 :     *errcode = ret;
     698                 :          4 :     return MP_STREAM_ERROR;
     699                 :            : }
     700                 :            : 
     701                 :          4 : static mp_obj_t socket_setblocking(mp_obj_t self_in, mp_obj_t flag_in) {
     702                 :          4 :     mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(self_in);
     703                 :          4 :     mp_obj_t sock = o->sock;
     704                 :          4 :     mp_obj_t dest[3];
     705                 :          4 :     mp_load_method(sock, MP_QSTR_setblocking, dest);
     706                 :          4 :     dest[2] = flag_in;
     707                 :          4 :     return mp_call_method_n_kw(1, 0, dest);
     708                 :            : }
     709                 :            : static MP_DEFINE_CONST_FUN_OBJ_2(socket_setblocking_obj, socket_setblocking);
     710                 :            : 
     711                 :         56 : static mp_uint_t socket_ioctl(mp_obj_t o_in, mp_uint_t request, uintptr_t arg, int *errcode) {
     712                 :         56 :     mp_obj_ssl_socket_t *self = MP_OBJ_TO_PTR(o_in);
     713                 :         56 :     mp_uint_t ret = 0;
     714                 :         56 :     uintptr_t saved_arg = 0;
     715                 :         56 :     mp_obj_t sock = self->sock;
     716                 :            : 
     717         [ +  + ]:         56 :     if (request == MP_STREAM_CLOSE) {
     718                 :            :         // Clear the SSL context.
     719                 :         28 :         store_active_context(NULL);
     720                 :            : 
     721         [ +  + ]:         28 :         if (sock == MP_OBJ_NULL) {
     722                 :            :             // Already closed socket, do nothing.
     723                 :            :             return 0;
     724                 :            :         }
     725                 :         14 :         self->sock = MP_OBJ_NULL;
     726                 :         14 :         mbedtls_ssl_free(&self->ssl);
     727         [ +  + ]:         28 :     } else if (request == MP_STREAM_POLL) {
     728   [ +  +  +  - ]:         22 :         if (sock == MP_OBJ_NULL || self->last_error != 0) {
     729                 :            :             // Closed or error socket, return NVAL flag.
     730                 :            :             return MP_STREAM_POLL_NVAL;
     731                 :            :         }
     732                 :            : 
     733                 :            :         // If the library signaled us that it needs reading or writing, only check that direction,
     734                 :            :         // but save what the caller asked because we need to restore it later
     735   [ +  +  +  - ]:         16 :         if (self->poll_mask && (arg & MP_STREAM_POLL_RDWR)) {
     736                 :          8 :             saved_arg = arg & MP_STREAM_POLL_RDWR;
     737                 :          8 :             arg = (arg & ~saved_arg) | self->poll_mask;
     738                 :            :         }
     739                 :            : 
     740                 :            :         // Take into account that the library might have buffered data already
     741                 :         16 :         int has_pending = 0;
     742         [ +  + ]:         16 :         if (arg & MP_STREAM_POLL_RD) {
     743                 :         10 :             has_pending = mbedtls_ssl_check_pending(&self->ssl);
     744         [ +  + ]:         10 :             if (has_pending) {
     745                 :          2 :                 ret |= MP_STREAM_POLL_RD;
     746         [ -  + ]:          2 :                 if (arg == MP_STREAM_POLL_RD) {
     747                 :            :                     // Shortcut if we only need to read and we have buffered data, no need to go to the underlying socket
     748                 :            :                     return MP_STREAM_POLL_RD;
     749                 :            :                 }
     750                 :            :             }
     751                 :            :         }
     752                 :            :     } else {
     753                 :            :         // Unsupported ioctl.
     754                 :          6 :         *errcode = MP_EINVAL;
     755                 :          6 :         return MP_STREAM_ERROR;
     756                 :            :     }
     757                 :            : 
     758                 :            :     // Pass all requests down to the underlying socket
     759                 :         28 :     ret |= mp_get_stream(sock)->ioctl(sock, request, arg, errcode);
     760                 :            : 
     761         [ +  + ]:         28 :     if (request == MP_STREAM_POLL) {
     762                 :            :         // The direction the library needed is available, return a fake result to the caller so that
     763                 :            :         // it reenters a read or a write to allow the handshake to progress
     764         [ -  + ]:         14 :         if (ret & self->poll_mask) {
     765                 :          0 :             ret |= saved_arg;
     766                 :            :         }
     767                 :            :     }
     768                 :            :     return ret;
     769                 :            : }
     770                 :            : 
     771                 :            : static const mp_rom_map_elem_t ssl_socket_locals_dict_table[] = {
     772                 :            :     { MP_ROM_QSTR(MP_QSTR_read), MP_ROM_PTR(&mp_stream_read_obj) },
     773                 :            :     { MP_ROM_QSTR(MP_QSTR_readinto), MP_ROM_PTR(&mp_stream_readinto_obj) },
     774                 :            :     { MP_ROM_QSTR(MP_QSTR_readline), MP_ROM_PTR(&mp_stream_unbuffered_readline_obj) },
     775                 :            :     { MP_ROM_QSTR(MP_QSTR_write), MP_ROM_PTR(&mp_stream_write_obj) },
     776                 :            :     { MP_ROM_QSTR(MP_QSTR_setblocking), MP_ROM_PTR(&socket_setblocking_obj) },
     777                 :            :     { MP_ROM_QSTR(MP_QSTR_close), MP_ROM_PTR(&mp_stream_close_obj) },
     778                 :            :     #if MICROPY_PY_SSL_FINALISER
     779                 :            :     { MP_ROM_QSTR(MP_QSTR___del__), MP_ROM_PTR(&mp_stream_close_obj) },
     780                 :            :     #endif
     781                 :            :     #if MICROPY_UNIX_COVERAGE
     782                 :            :     { MP_ROM_QSTR(MP_QSTR_ioctl), MP_ROM_PTR(&mp_stream_ioctl_obj) },
     783                 :            :     #endif
     784                 :            :     #if defined(MBEDTLS_SSL_KEEP_PEER_CERTIFICATE)
     785                 :            :     { MP_ROM_QSTR(MP_QSTR_getpeercert), MP_ROM_PTR(&mod_ssl_getpeercert_obj) },
     786                 :            :     #endif
     787                 :            :     { MP_ROM_QSTR(MP_QSTR_cipher), MP_ROM_PTR(&mod_ssl_cipher_obj) },
     788                 :            : };
     789                 :            : static MP_DEFINE_CONST_DICT(ssl_socket_locals_dict, ssl_socket_locals_dict_table);
     790                 :            : 
     791                 :            : static const mp_stream_p_t ssl_socket_stream_p = {
     792                 :            :     .read = socket_read,
     793                 :            :     .write = socket_write,
     794                 :            :     .ioctl = socket_ioctl,
     795                 :            : };
     796                 :            : 
     797                 :            : static MP_DEFINE_CONST_OBJ_TYPE(
     798                 :            :     ssl_socket_type,
     799                 :            :     MP_QSTR_SSLSocket,
     800                 :            :     MP_TYPE_FLAG_NONE,
     801                 :            :     protocol, &ssl_socket_stream_p,
     802                 :            :     locals_dict, &ssl_socket_locals_dict
     803                 :            :     );
     804                 :            : 
     805                 :            : /******************************************************************************/
     806                 :            : // ssl module.
     807                 :            : 
     808                 :            : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
     809                 :            : int micropy_mbedtls_ecdsa_sign_alt(const mbedtls_mpi *d, const unsigned char *hash, size_t hlen, unsigned char *sig, size_t sig_size, size_t *slen) {
     810                 :            :     uint8_t key[256];
     811                 :            : 
     812                 :            :     // Check if the current context has an alternative sign function.
     813                 :            :     mp_obj_ssl_context_t *ssl_ctx = MP_STATE_THREAD(tls_ssl_context);
     814                 :            :     if (ssl_ctx == NULL || ssl_ctx->ecdsa_sign_callback == mp_const_none) {
     815                 :            :         return MBEDTLS_ERR_PLATFORM_FEATURE_UNSUPPORTED;
     816                 :            :     }
     817                 :            : 
     818                 :            :     size_t klen = mbedtls_mpi_size(d);
     819                 :            :     if (klen > sizeof(key)) {
     820                 :            :         return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
     821                 :            :     }
     822                 :            : 
     823                 :            :     // Convert the MPI private key (d) to a binary array
     824                 :            :     if (mbedtls_mpi_write_binary(d, key, klen) != 0) {
     825                 :            :         return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
     826                 :            :     }
     827                 :            : 
     828                 :            :     nlr_buf_t nlr;
     829                 :            :     mp_buffer_info_t sig_buf;
     830                 :            :     if (nlr_push(&nlr) == 0) {
     831                 :            :         mp_obj_t ret = mp_call_function_2(ssl_ctx->ecdsa_sign_callback,
     832                 :            :             mp_obj_new_bytearray_by_ref(klen, (void *)key),
     833                 :            :             mp_obj_new_bytearray_by_ref(hlen, (void *)hash));
     834                 :            :         if (ret == mp_const_none) {
     835                 :            :             // key couldn't be used by the alternative implementation.
     836                 :            :             nlr_pop();
     837                 :            :             return MBEDTLS_ERR_PLATFORM_FEATURE_UNSUPPORTED;
     838                 :            :         }
     839                 :            :         mp_get_buffer_raise(ret, &sig_buf, MP_BUFFER_READ);
     840                 :            :         nlr_pop();
     841                 :            :     } else {
     842                 :            :         // The alternative implementation failed to sign.
     843                 :            :         mp_obj_print_exception(&mp_plat_print, MP_OBJ_FROM_PTR(nlr.ret_val));
     844                 :            :         return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
     845                 :            :     }
     846                 :            : 
     847                 :            :     // Check if the buffer fits.
     848                 :            :     if (sig_buf.len > sig_size) {
     849                 :            :         return MBEDTLS_ERR_ECP_BUFFER_TOO_SMALL;
     850                 :            :     }
     851                 :            : 
     852                 :            :     // Copy ASN.1 signature to buffer.
     853                 :            :     *slen = sig_buf.len;
     854                 :            :     memcpy(sig, sig_buf.buf, sig_buf.len);
     855                 :            :     return 0;
     856                 :            : }
     857                 :            : #endif
     858                 :            : 
     859                 :            : static const mp_rom_map_elem_t mp_module_tls_globals_table[] = {
     860                 :            :     { MP_ROM_QSTR(MP_QSTR___name__), MP_ROM_QSTR(MP_QSTR_tls) },
     861                 :            : 
     862                 :            :     // Classes.
     863                 :            :     { MP_ROM_QSTR(MP_QSTR_SSLContext), MP_ROM_PTR(&ssl_context_type) },
     864                 :            : 
     865                 :            :     // Constants.
     866                 :            :     { MP_ROM_QSTR(MP_QSTR_MBEDTLS_VERSION), MP_ROM_PTR(&mbedtls_version_obj)},
     867                 :            :     { MP_ROM_QSTR(MP_QSTR_PROTOCOL_TLS_CLIENT), MP_ROM_INT(MBEDTLS_SSL_IS_CLIENT) },
     868                 :            :     { MP_ROM_QSTR(MP_QSTR_PROTOCOL_TLS_SERVER), MP_ROM_INT(MBEDTLS_SSL_IS_SERVER) },
     869                 :            :     { MP_ROM_QSTR(MP_QSTR_CERT_NONE), MP_ROM_INT(MBEDTLS_SSL_VERIFY_NONE) },
     870                 :            :     { MP_ROM_QSTR(MP_QSTR_CERT_OPTIONAL), MP_ROM_INT(MBEDTLS_SSL_VERIFY_OPTIONAL) },
     871                 :            :     { MP_ROM_QSTR(MP_QSTR_CERT_REQUIRED), MP_ROM_INT(MBEDTLS_SSL_VERIFY_REQUIRED) },
     872                 :            : };
     873                 :            : static MP_DEFINE_CONST_DICT(mp_module_tls_globals, mp_module_tls_globals_table);
     874                 :            : 
     875                 :            : const mp_obj_module_t mp_module_tls = {
     876                 :            :     .base = { &mp_type_module },
     877                 :            :     .globals = (mp_obj_dict_t *)&mp_module_tls_globals,
     878                 :            : };
     879                 :            : 
     880                 :            : MP_REGISTER_MODULE(MP_QSTR_tls, mp_module_tls);
     881                 :            : 
     882                 :            : #endif // MICROPY_PY_SSL && MICROPY_SSL_MBEDTLS

Generated by: LCOV version 1.15-5-g462f71d