KEYS: Add KEYCTL_DH_COMPUTE command
authorMat Martineau <mathew.j.martineau@linux.intel.com>
Tue, 12 Apr 2016 18:54:58 +0000 (19:54 +0100)
committerDavid Howells <dhowells@redhat.com>
Tue, 12 Apr 2016 18:54:58 +0000 (19:54 +0100)
This adds userspace access to Diffie-Hellman computations through a
new keyctl() syscall command to calculate shared secrets or public
keys using input parameters stored in the keyring.

Input key ids are provided in a struct due to the current 5-arg limit
for the keyctl syscall. Only user keys are supported in order to avoid
exposing the content of logon or encrypted keys.

The output is written to the provided buffer, based on the assumption
that the values are only needed in userspace.

Future support for other types of key derivation would involve a new
command, like KEYCTL_ECDH_COMPUTE.

Once Diffie-Hellman support is included in the crypto API, this code
can be converted to use the crypto API to take advantage of possible
hardware acceleration and reduce redundant code.

Signed-off-by: Mat Martineau <mathew.j.martineau@linux.intel.com>
Signed-off-by: David Howells <dhowells@redhat.com>
Documentation/security/keys.txt
include/uapi/linux/keyctl.h
security/keys/Kconfig
security/keys/Makefile
security/keys/compat.c
security/keys/dh.c [new file with mode: 0644]
security/keys/internal.h
security/keys/keyctl.c

index 8c183873b2b77f771deb13dd74c21c49e19ec5ed..a2f70cf6763a39f43e7fc9eb0fb89a7fb2183d80 100644 (file)
@@ -823,6 +823,36 @@ The keyctl syscall functions are:
      A process must have search permission on the key for this function to be
      successful.
 
+ (*) Compute a Diffie-Hellman shared secret or public key
+
+       long keyctl(KEYCTL_DH_COMPUTE, struct keyctl_dh_params *params,
+                  char *buffer, size_t buflen);
+
+     The params struct contains serial numbers for three keys:
+
+        - The prime, p, known to both parties
+        - The local private key
+        - The base integer, which is either a shared generator or the
+          remote public key
+
+     The value computed is:
+
+       result = base ^ private (mod prime)
+
+     If the base is the shared generator, the result is the local
+     public key.  If the base is the remote public key, the result is
+     the shared secret.
+
+     The buffer length must be at least the length of the prime, or zero.
+
+     If the buffer length is nonzero, the length of the result is
+     returned when it is successfully calculated and copied in to the
+     buffer. When the buffer length is zero, the minimum required
+     buffer length is returned.
+
+     This function will return error EOPNOTSUPP if the key type is not
+     supported, error ENOKEY if the key could not be found, or error
+     EACCES if the key is not readable by the caller.
 
 ===============
 KERNEL SERVICES
index 840cb990abe2e7147ec89c92ef143e86a35ce0f8..86eddd6241f36eb21897d65c6bb51f15bbb4ec58 100644 (file)
@@ -12,6 +12,8 @@
 #ifndef _LINUX_KEYCTL_H
 #define _LINUX_KEYCTL_H
 
+#include <linux/types.h>
+
 /* special process keyring shortcut IDs */
 #define KEY_SPEC_THREAD_KEYRING                -1      /* - key ID for thread-specific keyring */
 #define KEY_SPEC_PROCESS_KEYRING       -2      /* - key ID for process-specific keyring */
 #define KEYCTL_INSTANTIATE_IOV         20      /* instantiate a partially constructed key */
 #define KEYCTL_INVALIDATE              21      /* invalidate a key */
 #define KEYCTL_GET_PERSISTENT          22      /* get a user's persistent keyring */
+#define KEYCTL_DH_COMPUTE              23      /* Compute Diffie-Hellman values */
+
+/* keyctl structures */
+struct keyctl_dh_params {
+       __s32 private;
+       __s32 prime;
+       __s32 base;
+};
 
 #endif /*  _LINUX_KEYCTL_H */
index 45828095080d660bf3b23a257e0e288126261bd8..f826e87390233c1cfddb87e969642ab44219d84f 100644 (file)
@@ -85,3 +85,14 @@ config ENCRYPTED_KEYS
          Userspace only ever sees/stores encrypted blobs.
 
          If you are unsure as to whether this is required, answer N.
+
+config KEY_DH_OPERATIONS
+       bool "Diffie-Hellman operations on retained keys"
+       depends on KEYS
+       select MPILIB
+       help
+        This option provides support for calculating Diffie-Hellman
+        public keys and shared secrets using values stored as keys
+        in the kernel.
+
+        If you are unsure as to whether this is required, answer N.
index dfb3a7bededf548ac1eed24b094de858e7a07df6..1fd4a16e6dafb6779f770690319918ad4341b9c7 100644 (file)
@@ -19,6 +19,7 @@ obj-$(CONFIG_KEYS_COMPAT) += compat.o
 obj-$(CONFIG_PROC_FS) += proc.o
 obj-$(CONFIG_SYSCTL) += sysctl.o
 obj-$(CONFIG_PERSISTENT_KEYRINGS) += persistent.o
+obj-$(CONFIG_KEY_DH_OPERATIONS) += dh.o
 
 #
 # Key types
index 25430a3aa7f7b9d6e6b4d10ae9bc72c8669c00fe..c8783b3b628ca6282bd59597eb1a7f685f1e48cc 100644 (file)
@@ -132,6 +132,10 @@ COMPAT_SYSCALL_DEFINE5(keyctl, u32, option,
        case KEYCTL_GET_PERSISTENT:
                return keyctl_get_persistent(arg2, arg3);
 
+       case KEYCTL_DH_COMPUTE:
+               return keyctl_dh_compute(compat_ptr(arg2), compat_ptr(arg3),
+                                        arg4);
+
        default:
                return -EOPNOTSUPP;
        }
diff --git a/security/keys/dh.c b/security/keys/dh.c
new file mode 100644 (file)
index 0000000..880505a
--- /dev/null
@@ -0,0 +1,160 @@
+/* Crypto operations using stored keys
+ *
+ * Copyright (c) 2016, Intel Corporation
+ *
+ * This program is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU General Public License
+ * as published by the Free Software Foundation; either version
+ * 2 of the License, or (at your option) any later version.
+ */
+
+#include <linux/mpi.h>
+#include <linux/slab.h>
+#include <linux/uaccess.h>
+#include <keys/user-type.h>
+#include "internal.h"
+
+/*
+ * Public key or shared secret generation function [RFC2631 sec 2.1.1]
+ *
+ * ya = g^xa mod p;
+ * or
+ * ZZ = yb^xa mod p;
+ *
+ * where xa is the local private key, ya is the local public key, g is
+ * the generator, p is the prime, yb is the remote public key, and ZZ
+ * is the shared secret.
+ *
+ * Both are the same calculation, so g or yb are the "base" and ya or
+ * ZZ are the "result".
+ */
+static int do_dh(MPI result, MPI base, MPI xa, MPI p)
+{
+       return mpi_powm(result, base, xa, p);
+}
+
+static ssize_t mpi_from_key(key_serial_t keyid, size_t maxlen, MPI *mpi)
+{
+       struct key *key;
+       key_ref_t key_ref;
+       long status;
+       ssize_t ret;
+
+       key_ref = lookup_user_key(keyid, 0, KEY_NEED_READ);
+       if (IS_ERR(key_ref)) {
+               ret = -ENOKEY;
+               goto error;
+       }
+
+       key = key_ref_to_ptr(key_ref);
+
+       ret = -EOPNOTSUPP;
+       if (key->type == &key_type_user) {
+               down_read(&key->sem);
+               status = key_validate(key);
+               if (status == 0) {
+                       const struct user_key_payload *payload;
+
+                       payload = user_key_payload(key);
+
+                       if (maxlen == 0) {
+                               *mpi = NULL;
+                               ret = payload->datalen;
+                       } else if (payload->datalen <= maxlen) {
+                               *mpi = mpi_read_raw_data(payload->data,
+                                                        payload->datalen);
+                               if (*mpi)
+                                       ret = payload->datalen;
+                       } else {
+                               ret = -EINVAL;
+                       }
+               }
+               up_read(&key->sem);
+       }
+
+       key_put(key);
+error:
+       return ret;
+}
+
+long keyctl_dh_compute(struct keyctl_dh_params __user *params,
+                      char __user *buffer, size_t buflen)
+{
+       long ret;
+       MPI base, private, prime, result;
+       unsigned nbytes;
+       struct keyctl_dh_params pcopy;
+       uint8_t *kbuf;
+       ssize_t keylen;
+       size_t resultlen;
+
+       if (!params || (!buffer && buflen)) {
+               ret = -EINVAL;
+               goto out;
+       }
+       if (copy_from_user(&pcopy, params, sizeof(pcopy)) != 0) {
+               ret = -EFAULT;
+               goto out;
+       }
+
+       keylen = mpi_from_key(pcopy.prime, buflen, &prime);
+       if (keylen < 0 || !prime) {
+               /* buflen == 0 may be used to query the required buffer size,
+                * which is the prime key length.
+                */
+               ret = keylen;
+               goto out;
+       }
+
+       /* The result is never longer than the prime */
+       resultlen = keylen;
+
+       keylen = mpi_from_key(pcopy.base, SIZE_MAX, &base);
+       if (keylen < 0 || !base) {
+               ret = keylen;
+               goto error1;
+       }
+
+       keylen = mpi_from_key(pcopy.private, SIZE_MAX, &private);
+       if (keylen < 0 || !private) {
+               ret = keylen;
+               goto error2;
+       }
+
+       result = mpi_alloc(0);
+       if (!result) {
+               ret = -ENOMEM;
+               goto error3;
+       }
+
+       kbuf = kmalloc(resultlen, GFP_KERNEL);
+       if (!kbuf) {
+               ret = -ENOMEM;
+               goto error4;
+       }
+
+       ret = do_dh(result, base, private, prime);
+       if (ret)
+               goto error5;
+
+       ret = mpi_read_buffer(result, kbuf, resultlen, &nbytes, NULL);
+       if (ret != 0)
+               goto error5;
+
+       ret = nbytes;
+       if (copy_to_user(buffer, kbuf, nbytes) != 0)
+               ret = -EFAULT;
+
+error5:
+       kfree(kbuf);
+error4:
+       mpi_free(result);
+error3:
+       mpi_free(private);
+error2:
+       mpi_free(base);
+error1:
+       mpi_free(prime);
+out:
+       return ret;
+}
index 5105c2c2da75b0e13dec1196be67c88f4d789e72..8ec7a528365d967b8c82a97ded54c20df2459ce6 100644 (file)
@@ -15,6 +15,7 @@
 #include <linux/sched.h>
 #include <linux/key-type.h>
 #include <linux/task_work.h>
+#include <linux/keyctl.h>
 
 struct iovec;
 
@@ -257,6 +258,17 @@ static inline long keyctl_get_persistent(uid_t uid, key_serial_t destring)
 }
 #endif
 
+#ifdef CONFIG_KEY_DH_OPERATIONS
+extern long keyctl_dh_compute(struct keyctl_dh_params __user *, char __user *,
+                             size_t);
+#else
+static inline long keyctl_dh_compute(struct keyctl_dh_params __user *params,
+                                    char __user *buffer, size_t buflen)
+{
+       return -EOPNOTSUPP;
+}
+#endif
+
 /*
  * Debugging key validation
  */
index ed73c6c1c326c02bf0f4f80923e4792f292ec2fd..3b135a0af34406a52dc8019f664fd855c5ad0068 100644 (file)
@@ -1686,6 +1686,11 @@ SYSCALL_DEFINE5(keyctl, int, option, unsigned long, arg2, unsigned long, arg3,
        case KEYCTL_GET_PERSISTENT:
                return keyctl_get_persistent((uid_t)arg2, (key_serial_t)arg3);
 
+       case KEYCTL_DH_COMPUTE:
+               return keyctl_dh_compute((struct keyctl_dh_params __user *) arg2,
+                                        (char __user *) arg3,
+                                        (size_t) arg4);
+
        default:
                return -EOPNOTSUPP;
        }