Linux块设备加密之dm-crypt分析

最新推荐文章于 2024-07-20 18:38:43 发布
最新推荐文章于 2024-07-20 18:38:43 发布
阅读量1.4w 收藏 27
点赞数 3
分类专栏: Linux 文章标签: 加密 linux struct 算法 数据结构 linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sonicling/article/details/6275898
版权

相关的分析工作一年前就做完了,一直懒得写下来。现在觉得还是写下来,以来怕自己忘记了,二来可以给大家分享一下自己的研究经验。

 

这篇文章算是《Device Mapper代码分析》的后续篇,因为dm-crypt是基于dm框架的,因此与上一篇一样,也以2.6.33内核代码为基础来讲述代码的分析过程。但是本文侧重点不同在于着重分析一下三个方面:

1、Linux密码管理

2、dm-crypt到与Linux密码的关联

3、dm-crypt的异步处理

一、Linux密码管理

Linux内核中,密码相关的头文件在<srcdir>/include/crypto/下,实现文件在<srcdir>/crypto/下。相关的概念大致有加密、块加密、异步块加密、哈希、分组加密模式(ECB/CBC/CFB/OFB/CTR)等。接下来一一进行简单分析。

1.1 加密算法

我们可以从内核代码中挑一个简单而普通的加密算法来研究一下,例如<srcdir>/crypto/aes_generic.c描述的AES算法。

 

所有加密算法都是以内核模块方式编写的。所有内核模块的代码都是先看关键数据结构,再看算法。aes先声明了一个叫做crypto_alg的结构体,如下:

 

alg是algorithm的缩写。所有的加密、哈希等算法注册用数据结构都叫做xxx_alg,crypto_alg的完整定义在<srcdir>/include/linux/crypto.h中:

 

alg的关键成员有name(算法名)、driver_name(驱动名)、flags(算法类型、同步or异步)、blocksize(分组大小,单位:字节)、ctxsize(上下文大小/字节)、alignmask(ctx的对齐)、min/max-keysize(最小or最大密钥长度/字节)、init/exit(tfm的初始化和销毁)、destroy(alg的销毁)、set_key/encrypt/decrypt(设置密钥/加密/解密的函数)。有些算法可能还有iv_size之类的,后面再讲。

 

这里有个ctx(算法上下文)的概念要解释一下。所谓上下文,就是算法执行过程中所要贯穿始终的数据结构,由每个算法自己定义。set_key/encrypt/decrypt这几个函数都可以从参数获得算法上下文的指针。算法上下文所占的内存空间由密码管理器来分配,注册alg的时候指定ctx大小和对齐即可。ctx的对齐又是什么呢?在密码管理器分配ctx内存的时候,需要进行内存对齐。对于一些硬件加解密或者特殊要求的算法,ctx的首地址可能需要在内存中4字节或者16字节对齐,这个cra_alignmask就是指定这个。aes使用的是3(0x11),就是将首地址低二位清零,即4字节对齐,如果要求N字节对齐(N是2的某个指数),那么alignmask就可以指定为N-1。

 

那么ctx被分配到哪里了呢?这个跟另外一个数据结构有关,就是接下来要讲的struct crypto_tfm。我们先来看crypto_alg对应的set_key、encrypt、decrypt这三个函数的函数原型(注意这里的表述哦,是crypto_alg对应的三大函数)。

 

int  set_key(struct crypto_tfm *tfm, const u8 *in_key, unsigned int key_len);

void encrypt(struct crypto_tfm *tfm, u8 *out, const u8 *in);

void decrypt(struct crypto_tfm *tfm, u8 *out, const u8 *in);

 

in和out参数就是加解密之前和之后的传入传出数据,长度就是alg中的blocksize。这三个函数都有类型为struct crypto_tfm *的参数。tfm是transform的缩写。所有加密、哈希算法的set_key、encrypt、decrypt都带有这个参数。crypto_tfm的定义在<srcdir>/include/linux/crypto.h中:

从中间那个union和上面的一堆#define可以看出,从这个结构又可以分散出一组xxx_tfm。crypto_alg对应cipher_tfm。最后那个参数__crt_ctx[]就是上面说到的算法上下文。也就是说,算法上下文是跟随tfm一起分配的。从tfm,我们就可以得到ctx。Linux提供了一个函数inline void *crypto_tfm_ctx(struct crypto_tfm *tfm);来进行转换,该函数也在<srcdir>/include/linux/crypto.h中。

 

现在可以梳理一下alg、crypto_tfm、xxx_tfm、ctx的关系了。alg是注册用的;crypto_tfm是每个算法实例对应的结构;xxx_tfm包含在crypto_tfm中,是每类算法对应的结构,ctx在crypto_tfm的最后。当你的算法拿到一个crypto_tfm指针时,可以通过__crt_alg指针访

最低0.47元/天 解锁文章
SonicLing
关注
  • 3
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 24
    评论
专栏目录
linux开放源码dm-crypt.pdf
11-04
"Linux dm-crypt 加密文件系统" dm-crypt 是一个基于 Linux 内核加密文件系统解决方案,它可以提供高级的加密保护和灵活的存储管理。本文将详细介绍如何使用 dm-crypt 创建加密文件系统,包括配置内核、加载 dm-...
dm-crypt——多功能 Linux 磁盘加密工具
geotiger的博客
06-07 2943
dm-crypt——多功能 Linux 磁盘加密工具★“dm-crypt/cryptsetup”是啥玩意儿?在某些技术文章中,“dm-crypt”和“cryptsetup”经常被混用或并用。或者说,这两者常常被用来指代同一个东西。如果要细说的话,“dm-crypt”是 Linux 内核提供的一个磁盘加密功能,而“cryptsetup”是一个命令行的前端(通过它来操作“dm-crypt”)。...
dm-crypt详解
weixin_33785972的博客
11-13 488
http://www.saout.de/misc/dm-crypt/ dm-crypt: a device-mapper crypto target About Device-mapper is a new infrastructure in the Linux 2.6 kernel that provides a generic way to create ...
利用dm-crypt来创建加密文件系统
柏图
09-03 6955
linux kernelcrypto api学习
baron-周贺贺-代码改变世界ctw
11-06 1670
struct blkcipher_walk { union { struct { struct page *page; unsigned long offset; } phys; struct { u8 *page; u8 *addr; } virt; } src, dst; struct scatter_walk in; unsigned in...
Linux内核中的dm-crypt模块的异步IO改造---blog9
qq_51946537的博客
11-14 627
2021SC@SUDSC
2021SC@SDUSC Linux内核中的dm-crypt模块的异步IO改造
Bulin_的博客
09-30 179
一、项目背景 某公司研发了一款高速加密卡(对称加密10Gbit/s以上),可以配合Linux内核中的密码子系统和dm-crypt模块实现磁盘分区加密等应用,做企业保密存储服务器。实际使用中发现:由于dm-crypt模块的循环结构每次处理512个字节(一个sector),导致无法发挥加密卡的全部性能,分析发现需要在dm中使用scatter/gather高速IO技术以提高性能。在Linux内核中修改代码,具有极大挑战性。这是本项目一期工作,已经完成,实现了IO速度从80M字节提高到约1G字节每秒的跃进,达到了
linux4.14 加密框架 —— 算法上下文(1)——tfm简介
yangguoyu8023的博客
02-17 1442
算法上下文
利用dm-crypt内核模块对磁盘数据加密的尝试
android 分析
12-11 1942
如果当初冠希哥有用dm-crypt硬盘进行加密意识的话,广大人民群众无疑要少了很多的乐趣:)最近在ChinaUnix论坛上,一个自称买了我书的读者向网友求助,如何用dm-crypt对ramdisk中的数据进行加解密,当然他的需求不仅仅这么简单。说实话,关于dm-crypt这东西我还是第一次听说,虽然并没有为读者解决现实问题的义务,不过好在磁盘数据加密这种事情还不算太枯燥。我先google了一把,通
Linux加密文件系统:Crypt-FS.pdf
09-07
总的来说,Linux加密文件系统如Crypt-FS是应对物理安全威胁的有效手段,它通过数据加密确保了在设备丢失或被盗情况下的数据安全。随着技术的发展,这类系统不断得到优化,兼顾了安全性和效率,成为了现代操作系统中...
tc-play:基于dm-crypt的免费和简单的TrueCryptVeraCrypt实现
04-13
由于tcplay使用dm-crypt(或DragonFly上的dm_target_crypt),因此一旦映射了卷,它将充分利用任何可用的硬件加密/解密支持。 它仅基于TrueCrypt网站上提供的文档,数小时的反复试验以及Linux的TrueCrypt客户端的...
cryptmount:Linux加密文件系统管理工具-开源
05-08
cryptmount允许在GNU / Linux系统上管理和归档加密文件系统的用户模式。 文件系统和加密交换可以在原始块设备或普通文件上,并具有自动设置的设备映射器(dm-crypt)和回送设备。
Linux内核中的dm-crypt模块的异步IO改造---blog14
qq_51946537的博客
12-12 589
2021SC@SUDSC
Android安全之DM-verity中的Device Mapper机制分析
马叔叔的专栏
09-15 9157
我们想法: 能不能将多个硬盘,映射成一个逻辑的硬盘,那样我们程序就不用关心复杂的地址问题了,也不用关系是哪个device了? DM-raid技术RAID全称为独立磁盘冗余阵列(Redundant Array of Independent Disks) 将某个地址段的数据进行加密,只有授权方式才可访问,比如FDE。 DM-crypt技术 访问存储介质上的数据时,校验下是否被篡改过
android 取消系统默认手机加密(全盘加密
蚁人日记
07-14 1万+
在android6.0系统上设置 --安全界面中有一个选项是【手机加密】,如下图 在android原生系统中该选项显示是:已加密,但在小米,华为等手机上该选项并是一定是显示:已加密,因为google把该选项的权限放给了各手机厂家,各手机厂家可以根据自己的要求是否要默认加密手机,如果手机加密了(即显示手机已加密)用户是不办法取消的, 一客户要求手机出厂后手机默认不加密,因为之前没有处理这问题,在
Android加密之全盘加密
热门推荐
FamilyYuan的博客
08-03 3万+
Android加密之全盘加密前言Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在 Android 的安全性方面,有很多模块: 内核安全性 应用安全性 应用签名 身份验证 Trusty TEE SELinux 加密 等等
cryptFS加密LVM分区
Bekars涡轮增压的Blog ^_^
02-03 2576
安装需要安装的 sudo apt-get install cryptsetup 创建加密分区的密码 sudo cryptsetup --verbose --verify-passphrase -c aes-cbc-plain luksFormat /dev/mapper/debian-BUILD 输入密码 创建对加密分区的映射设备 sudo cry
Linux:基础命令学习
最新发布
qq_55038440的博客
07-20 1459
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
dm-crypt相比于cryptoloop优势
06-12
相比于Cryptoloop,dm-crypt有以下优势: 1. 更高的安全性:dm-crypt使用更强的加密算法,例如AES等,提供更高的安全性。 2. 更好的性能:dm-cryptCryptoloop更快,因为它使用内核加密API来执行加密和解密操作,而不是像Cryptoloop一样使用用户空间工具。 3. 更好的可扩展性:dm-crypt支持更多的加密和哈希算法,更好地支持多种密钥管理方案,可以更灵活地适应各种使用场景。 4. 更好的兼容性:dm-cryptLinux内核中的标准加密模块,因此在各种Linux系统中都可用,并且得到了广泛的支持和使用。 因此,总体来说,dm-cryptCryptoloop更为安全、更快、更灵活和更易于使用。
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值