關(guān)于Linux Kernel非對稱密碼算法的實現(xiàn)
作者簡介:
baron (csdn:代碼改變世界ctw),九年手機(jī)安全/SOC底層安全開發(fā)經(jīng)驗。擅長trustzone/tee安全產(chǎn)品的設(shè)計和開發(fā)。
在默認(rèn)情況下,本文講述的都是ARMV8-aarch64架構(gòu),linux kernel 5.14
目錄
1、RSA 開關(guān)
2、RSA 實現(xiàn)
3、其它非對稱密碼
4、非對稱密碼算法的使用示例
5、總結(jié)
1、RSA 開關(guān)
RSA的實現(xiàn)由 CONFIG_CRYPTO_RSA 宏控制,該宏依賴于:
CONFIG_CRYPTO_AKCIPHER
CONFIG_CRYPTO_MANAGER
CONFIG_MPILIB
CONFIG_ASN1
(linux/crypto/Kconfig) config CRYPTO_RSA tristate "RSA algorithm" select CRYPTO_AKCIPHER select CRYPTO_MANAGER select MPILIB select ASN1 helpGenericimplementationoftheRSApublickeyalgorithm.
2、RSA 實現(xiàn)
(linux/crypto/rsa.c)
static struct akcipher_alg rsa = { .encrypt = rsa_enc, .decrypt = rsa_dec, .set_priv_key = rsa_set_priv_key, .set_pub_key = rsa_set_pub_key, .max_size = rsa_max_size, .exit = rsa_exit_tfm, .base = { .cra_name = "rsa", .cra_driver_name = "rsa-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct rsa_mpi_key), },};
主要實現(xiàn)了4個功能:
rsasetpriv_key
rsasetpub_key
rsa_enc
rsa_dec
其中 rsa_set_priv_key和 rsa_set_pub_key的實現(xiàn),主要就是接受raw格式的密鑰(DER格密鑰),將其轉(zhuǎn)換成nddpq等因子填充到密碼學(xué)結(jié)構(gòu)體中。rsa_enc和 rsa_dec ,主要就是 公鑰加密、私鑰解密的這種用法。
此類密碼學(xué)具體算法的實現(xiàn),都是由 linux/lib/mpi 第三方libary實現(xiàn)的,是一種C語言的實現(xiàn)方式。
3、其它非對稱密碼
(1)、實現(xiàn)了3個ecdsa的密碼算法
ecdsanistp192
ecdsanistp256
ecdsanistp384
以為ecdsanistp192 為例:
(linux/crypto/ecdsa.c)
static struct akcipher_alg ecdsa_nist_p192 = { .verify = ecdsa_verify, .set_pub_key = ecdsa_set_pub_key, .max_size = ecdsa_max_size, .init = ecdsa_nist_p192_init_tfm, .exit = ecdsa_exit_tfm, .base = { .cra_name = "ecdsa-nist-p192", .cra_driver_name = "ecdsa-nist-p192-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct ecc_ctx), },};
僅僅實現(xiàn)了兩個接口函數(shù):
ecdsa_verify : 公鑰驗簽
ecdsasetpub_key :導(dǎo)入公鑰
(2)、實現(xiàn)了1個sm2的密碼算法
(linux/crypto/sm2.c)
static struct akcipher_alg sm2 = { .verify = sm2_verify, .set_pub_key = sm2_set_pub_key, .max_size = sm2_max_size, .init = sm2_init_tfm, .exit = sm2_exit_tfm, .base = { .cra_name = "sm2", .cra_driver_name = "sm2-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct mpi_ec_ctx), },};
僅僅實現(xiàn)了兩個接口函數(shù):
sm2_verify : 公鑰驗簽
sm2setpub_key :導(dǎo)入公鑰
(3)、實現(xiàn)了1個ecr的密碼算法
(linux/crypto/ecrdsa.c)
static struct akcipher_alg ecrdsa_alg = { .verify = ecrdsa_verify, .set_pub_key = ecrdsa_set_pub_key, .max_size = ecrdsa_max_size, .exit = ecrdsa_exit_tfm, .base = { .cra_name = "ecrdsa", .cra_driver_name = "ecrdsa-generic", .cra_priority = 100, .cra_module = THIS_MODULE, .cra_ctxsize = sizeof(struct ecrdsa_ctx), },};
僅僅實現(xiàn)了兩個接口函數(shù):
ecrdsa_verify : 公鑰驗簽
ecrdsasetpub_key :導(dǎo)入公鑰
4、非對稱密碼算法的使用示例
如下所示,實現(xiàn)了 public_key_verify_signature(key,signature), 這個函數(shù)的實現(xiàn),也被export出來,相當(dāng)于又封裝了一層。另外其它模塊如果有對非對稱密碼學(xué)算法的需求,也可以直接調(diào)用非對稱密碼學(xué)算法的API,例如直接調(diào)用如下這樣的函數(shù):
crypto_akcipher_verify()
crypto_akcipher_set_pub_key()
如下是 public_key_verify_signature(key,signature)的實現(xiàn),也可以當(dāng)作非對稱密碼學(xué)算法的使用示例:
(linux/crypto/asymmetric_keys/public_key.c)
/* * Verify a signature using a public key. */int public_key_verify_signature(const struct public_key *pkey, const struct public_key_signature *sig){ struct crypto_wait cwait; struct crypto_akcipher *tfm; struct akcipher_request *req; struct scatterlist src_sg[2]; char alg_name[CRYPTO_MAX_ALG_NAME]; char *key, *ptr; int ret;
pr_devel("==>%s()
", __func__);
BUG_ON(!pkey); BUG_ON(!sig); BUG_ON(!sig->s);
ret = software_key_determine_akcipher(sig->encoding, sig->hash_algo, pkey, alg_name); if (ret < 0) return ret;
tfm = crypto_alloc_akcipher(alg_name, 0, 0); if (IS_ERR(tfm)) return PTR_ERR(tfm);
ret = -ENOMEM; req = akcipher_request_alloc(tfm, GFP_KERNEL); if (!req) goto error_free_tfm;
key = kmalloc(pkey->keylen + sizeof(u32) * 2 + pkey->paramlen, GFP_KERNEL); if (!key) goto error_free_req;
memcpy(key, pkey->key, pkey->keylen); ptr = key + pkey->keylen; ptr = pkey_pack_u32(ptr, pkey->algo); ptr = pkey_pack_u32(ptr, pkey->paramlen); memcpy(ptr, pkey->params, pkey->paramlen);
if (pkey->key_is_private) ret = crypto_akcipher_set_priv_key(tfm, key, pkey->keylen); else ret = crypto_akcipher_set_pub_key(tfm, key, pkey->keylen); if (ret) goto error_free_key;
if (sig->pkey_algo && strcmp(sig->pkey_algo, "sm2") == 0 && sig->data_size) { ret = cert_sig_digest_update(sig, tfm); if (ret) goto error_free_key; }
sg_init_table(src_sg, 2); sg_set_buf(&src_sg[0], sig->s, sig->s_size); sg_set_buf(&src_sg[1], sig->digest, sig->digest_size); akcipher_request_set_crypt(req, src_sg, NULL, sig->s_size, sig->digest_size); crypto_init_wait(&cwait); akcipher_request_set_callback(req, CRYPTO_TFM_REQ_MAY_BACKLOG | CRYPTO_TFM_REQ_MAY_SLEEP, crypto_req_done, &cwait); ret = crypto_wait_req(crypto_akcipher_verify(req), &cwait);
error_free_key: kfree(key);error_free_req: akcipher_request_free(req);error_free_tfm: crypto_free_akcipher(tfm); pr_devel("<==%s() = %d
", __func__, ret); if (WARN_ON_ONCE(ret > 0)) ret = -EINVAL; return ret;}EXPORT_SYMBOL_GPL(public_key_verify_signature);
5、總結(jié)
Linux Kernel非對稱密碼算法的實現(xiàn)總結(jié)如下:
實現(xiàn)了RSA的:“導(dǎo)入公鑰、導(dǎo)入私鑰、公鑰加密私鑰解密” 功能
實現(xiàn)了ecdsa的:”導(dǎo)入公鑰、公鑰驗簽” 功能
實現(xiàn)了sm2的:”導(dǎo)入公鑰、公鑰驗簽” 功能
實現(xiàn)了ecr的:”導(dǎo)入公鑰、公鑰驗簽” 功能
原文標(biāo)題:Linux Kernel中非對稱密碼算法的實現(xiàn)
文章出處:【微信公眾號:Linux閱碼場】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
-
Linux
+關(guān)注
關(guān)注
88文章
11760瀏覽量
219035 -
函數(shù)
+關(guān)注
關(guān)注
3文章
4417瀏覽量
67511 -
RSA
+關(guān)注
關(guān)注
0文章
60瀏覽量
19692 -
密碼算法
+關(guān)注
關(guān)注
0文章
20瀏覽量
7531
原文標(biāo)題:Linux Kernel中非對稱密碼算法的實現(xiàn)
文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
“雙系統(tǒng)”出爐!瑞芯微RK3562J非對稱AMP:Linux+RTOS/裸機(jī)
非對稱密鑰生成和轉(zhuǎn)換規(guī)格詳解
密碼學(xué)系列 - 國密算法 精選資料分享
“國產(chǎn)雙系統(tǒng)”出爐,RK3568J非對稱AMP:Linux+RTOS/裸機(jī)
什么是非對稱加密?非對稱加密概念
java實現(xiàn)非對稱加密算法的過程
如何理解區(qū)塊鏈密碼學(xué)中的非對稱加密
利用EVPN實現(xiàn)子網(wǎng)間路由的非對稱或對稱模型
密碼學(xué):如何使用非對稱密鑰算法來交換共享私鑰
“國產(chǎn)雙系統(tǒng)”出爐,RK3568J非對稱AMP:Linux+RTOS/裸機(jī)
“國產(chǎn)雙系統(tǒng)”出爐!復(fù)旦微FMQL20SM非對稱AMP:Linux + 裸機(jī)
工商網(wǎng)監(jiān)
評論