Comment utiliser Cryptoapi dans le noyau Linux 2.6

Le meilleur endroit pour commencer est la documentation / crytpo dans les sources du noyau. DM-CRYPT est l'un des nombreux composants qui utilise probablement l'API du noyau Crypto et vous pouvez en parler pour avoir une idée de l'utilisation.

Il y a quelques endroits dans le noyau qui utilise le module Crypto: le système de fichiers Ecryptfs (Linux / fs / Ecryptfs /) et la pile sans fil 802.11 (Linux / pilotes / Stalging / RTL8187SE / IEEEE80211 /). Ces deux utilisent des AES, mais vous pourrez peut-être extrapoler ce que vous trouverez à MD5.

Comment faire SHA1 / MD5 et Blowfish / AES dans l'espace du noyau uniquement.

Exemple de données de hachage utilisant une dérivelle de deux éléments: xxx

Un autre bon exemple est de la source de noyau 2.6.18 dans Security / Seclvl.c

Remarque: vous pouvez modifier Crypto_tfm_req_may_sleep si nécessaire P>

static int
plaintext_to_sha1(unsigned char *hash, const char *plaintext, unsigned int len)
{
  struct crypto_tfm *tfm;
  struct scatterlist sg;
  if (len > PAGE_SIZE) {
    seclvl_printk(0, KERN_ERR, "Plaintext password too large (%d "
            "characters).  Largest possible is %lu "
            "bytes.\n", len, PAGE_SIZE);
    return -EINVAL;
  }
  tfm = crypto_alloc_tfm("sha1", CRYPTO_TFM_REQ_MAY_SLEEP);
  if (tfm == NULL) {
    seclvl_printk(0, KERN_ERR,
            "Failed to load transform for SHA1\n");
    return -EINVAL;
  }
  sg_init_one(&sg, (u8 *)plaintext, len);
  crypto_digest_init(tfm);
  crypto_digest_update(tfm, &sg, 1);
  crypto_digest_final(tfm, hash);
  crypto_free_tfm(tfm);
  return 0;
}

#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/module.h>
#include <linux/crypto.h>
#include <linux/err.h>
#include <linux/scatterlist.h>

#define SHA1_LENGTH     20

static int __init sha1_init(void)
{
    struct scatterlist sg;
    struct crypto_hash *tfm;
    struct hash_desc desc;
    unsigned char output[SHA1_LENGTH];
    unsigned char buf[10];
    int i;

    printk(KERN_INFO "sha1: %s\n", __FUNCTION__);

    memset(buf, 'A', 10);
    memset(output, 0x00, SHA1_LENGTH);

    tfm = crypto_alloc_hash("sha1", 0, CRYPTO_ALG_ASYNC);

    desc.tfm = tfm;
    desc.flags = 0;

    sg_init_one(&sg, buf, 10);
    crypto_hash_init(&desc);

    crypto_hash_update(&desc, &sg, 10);
    crypto_hash_final(&desc, output);

    for (i = 0; i < 20; i++) {
        printk(KERN_ERR "%d-%d\n", output[i], i);
    }

    crypto_free_hash(tfm);

    return 0;
}

static void __exit sha1_exit(void)
{
    printk(KERN_INFO "sha1: %s\n", __FUNCTION__);
}

module_init(sha1_init);
module_exit(sha1_exit);

MODULE_LICENSE("Dual MIT/GPL");
MODULE_AUTHOR("Me");

une note critique:

Ne comparez jamais la valeur de retour de Crypto_alloc_hash fonction à NULL pour détecter l'échec.

Étapes:

Toujours utiliser is_err fonction à cet effet. La comparaison de null ne capture pas l'erreur, vous obtenez donc des défauts de segmentation plus tard.

Si Is_err retourne échouer, vous avez éventuellement un algorithme de crypto manquant compilé dans votre image de noyau (ou comme module). Assurez-vous d'avoir sélectionné l'algo crypto approprié. formulaire faire menoncefig .