關于Linux Kernel非對稱密碼算法的實現
作者簡介:
baron (csdn:代碼改變世界ctw),九年手機安全/SOC底層安全開發經驗。擅長trustzone/tee安全產品的設計和開發。
在默認情況下,本文講述的都是ARMV8-aarch64架構,linux kernel 5.14
目錄
1、RSA 開關
2、RSA 實現
3、其它非對稱密碼
4、非對稱密碼算法的使用示例
5、總結
1、RSA 開關
RSA的實現由 CONFIG_CRYPTO_RSA 宏控制,該宏依賴于:
CONFIG_CRYPTO_AKCIPHER
CONFIG_CRYPTO_MANAGER
CONFIG_MPILIB
CONFIG_ASN1
(linux/crypto/Kconfig) config CRYPTO_RSA tristate "RSA algorithm" select CRYPTO_AKCIPHER select CRYPTO_MANAGER select MPILIB select ASN1 helpGenericimplementationoftheRSApublickeyalgorithm.
2、RSA 實現
(linux/crypto/rsa.c)
static struct akcipher_alg rsa = { .encrypt = rsa_enc, .decrypt = rsa_dec, .set_priv_key = rsa_set_priv_key, .set_pub_key = rsa_set_pub_key, .max_size = rsa_max_size, .exit = rsa_exit_tfm, .base = { .cra_name = "rsa", .cra_driver_name = "rsa-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct rsa_mpi_key), },};
主要實現了4個功能:
rsasetpriv_key
rsasetpub_key
rsa_enc
rsa_dec
其中 rsa_set_priv_key和 rsa_set_pub_key的實現,主要就是接受raw格式的密鑰(DER格密鑰),將其轉換成nddpq等因子填充到密碼學結構體中。rsa_enc和 rsa_dec ,主要就是 公鑰加密、私鑰解密的這種用法。
此類密碼學具體算法的實現,都是由 linux/lib/mpi 第三方libary實現的,是一種C語言的實現方式。
3、其它非對稱密碼
(1)、實現了3個ecdsa的密碼算法
ecdsanistp192
ecdsanistp256
ecdsanistp384
以為ecdsanistp192 為例:
(linux/crypto/ecdsa.c)
static struct akcipher_alg ecdsa_nist_p192 = { .verify = ecdsa_verify, .set_pub_key = ecdsa_set_pub_key, .max_size = ecdsa_max_size, .init = ecdsa_nist_p192_init_tfm, .exit = ecdsa_exit_tfm, .base = { .cra_name = "ecdsa-nist-p192", .cra_driver_name = "ecdsa-nist-p192-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct ecc_ctx), },};
僅僅實現了兩個接口函數:
ecdsa_verify : 公鑰驗簽
ecdsasetpub_key :導入公鑰
(2)、實現了1個sm2的密碼算法
(linux/crypto/sm2.c)
static struct akcipher_alg sm2 = { .verify = sm2_verify, .set_pub_key = sm2_set_pub_key, .max_size = sm2_max_size, .init = sm2_init_tfm, .exit = sm2_exit_tfm, .base = { .cra_name = "sm2", .cra_driver_name = "sm2-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct mpi_ec_ctx), },};
僅僅實現了兩個接口函數:
sm2_verify : 公鑰驗簽
sm2setpub_key :導入公鑰
(3)、實現了1個ecr的密碼算法
(linux/crypto/ecrdsa.c)
static struct akcipher_alg ecrdsa_alg = { .verify = ecrdsa_verify, .set_pub_key = ecrdsa_set_pub_key, .max_size = ecrdsa_max_size, .exit = ecrdsa_exit_tfm, .base = { .cra_name = "ecrdsa", .cra_driver_name = "ecrdsa-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct ecrdsa_ctx), },};
僅僅實現了兩個接口函數:
ecrdsa_verify : 公鑰驗簽
ecrdsasetpub_key :導入公鑰
4、非對稱密碼算法的使用示例
如下所示,實現了 public_key_verify_signature(key,signature), 這個函數的實現,也被export出來,相當于又封裝了一層。另外其它模塊如果有對非對稱密碼學算法的需求,也可以直接調用非對稱密碼學算法的API,例如直接調用如下這樣的函數:
crypto_akcipher_verify()
crypto_akcipher_set_pub_key()
如下是 public_key_verify_signature(key,signature)的實現,也可以當作非對稱密碼學算法的使用示例:
(linux/crypto/asymmetric_keys/public_key.c)
/* * Verify a signature using a public key. */int public_key_verify_signature(const struct public_key *pkey, const struct public_key_signature *sig){ struct crypto_wait cwait; struct crypto_akcipher *tfm; struct akcipher_request *req; struct scatterlist src_sg[2]; char alg_name[CRYPTO_MAX_ALG_NAME]; char *key, *ptr; int ret;
pr_devel("==>%s()
", __func__);
BUG_ON(!pkey); BUG_ON(!sig); BUG_ON(!sig->s);
ret = software_key_determine_akcipher(sig->encoding, sig->hash_algo, pkey, alg_name); if (ret < 0) return ret;
tfm = crypto_alloc_akcipher(alg_name, 0, 0); if (IS_ERR(tfm)) return PTR_ERR(tfm);
ret = -ENOMEM; req = akcipher_request_alloc(tfm, GFP_KERNEL); if (!req) goto error_free_tfm;
key = kmalloc(pkey->keylen + sizeof(u32) * 2 + pkey->paramlen, GFP_KERNEL); if (!key) goto error_free_req;
memcpy(key, pkey->key, pkey->keylen); ptr = key + pkey->keylen; ptr = pkey_pack_u32(ptr, pkey->algo); ptr = pkey_pack_u32(ptr, pkey->paramlen); memcpy(ptr, pkey->params, pkey->paramlen);
if (pkey->key_is_private) ret = crypto_akcipher_set_priv_key(tfm, key, pkey->keylen); else ret = crypto_akcipher_set_pub_key(tfm, key, pkey->keylen); if (ret) goto error_free_key;
if (sig->pkey_algo && strcmp(sig->pkey_algo, "sm2") == 0 && sig->data_size) { ret = cert_sig_digest_update(sig, tfm); if (ret) goto error_free_key; }
sg_init_table(src_sg, 2); sg_set_buf(&src_sg[0], sig->s, sig->s_size); sg_set_buf(&src_sg[1], sig->digest, sig->digest_size); akcipher_request_set_crypt(req, src_sg, NULL, sig->s_size, sig->digest_size); crypto_init_wait(&cwait); akcipher_request_set_callback(req, CRYPTO_TFM_REQ_MAY_BACKLOG | CRYPTO_TFM_REQ_MAY_SLEEP, crypto_req_done, &cwait); ret = crypto_wait_req(crypto_akcipher_verify(req), &cwait);
error_free_key: kfree(key);error_free_req: akcipher_request_free(req);error_free_tfm: crypto_free_akcipher(tfm); pr_devel("<==%s() = %d
", __func__, ret); if (WARN_ON_ONCE(ret > 0)) ret = -EINVAL; return ret;}EXPORT_SYMBOL_GPL(public_key_verify_signature);
5、總結
Linux Kernel非對稱密碼算法的實現總結如下:
實現了RSA的:“導入公鑰、導入私鑰、公鑰加密私鑰解密” 功能
實現了ecdsa的:”導入公鑰、公鑰驗簽” 功能
實現了sm2的:”導入公鑰、公鑰驗簽” 功能
實現了ecr的:”導入公鑰、公鑰驗簽” 功能
原文標題:Linux Kernel中非對稱密碼算法的實現
文章出處:【微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。
-
Linux
+關注
關注
87文章
11230瀏覽量
208933 -
函數
+關注
關注
3文章
4307瀏覽量
62433 -
RSA
+關注
關注
0文章
59瀏覽量
18864 -
密碼算法
+關注
關注
0文章
18瀏覽量
7379
原文標題:Linux Kernel中非對稱密碼算法的實現
文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
“雙系統”出爐!瑞芯微RK3562J非對稱AMP:Linux+RTOS/裸機
密碼學系列 - 國密算法 精選資料分享
“國產雙系統”出爐,RK3568J非對稱AMP:Linux+RTOS/裸機
什么是非對稱加密?非對稱加密概念
java實現非對稱加密算法的過程
如何理解區塊鏈密碼學中的非對稱加密
利用EVPN實現子網間路由的非對稱或對稱模型
密碼學:如何使用非對稱密鑰算法來交換共享私鑰
“國產雙系統”出爐,RK3568J非對稱AMP:Linux+RTOS/裸機
工商網監
評論