使用Netlink AF_ALG调用内核态密码模块

已于 2022-02-28 14:57:36 修改
阅读量2.6k 收藏 14
点赞数 1
分类专栏: 信息安全 文章标签: git node.js 自然语言处理
于 2021-10-14 14:10:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq897387/article/details/120762957
版权

目录

检查当前socket是否支持AF_ALG协议

实现自己的内核态密码模块接口

模仿内核源代码linux/crypto/aes_generic.c实现自己的算法

实现Netlink AF_ALG协议调用内核态密码模块里的对称加密

使用libkcapi库完成内核态密码模块的调用

 OpenSSL支持AF_ALG引擎

检查当前socket是否支持AF_ALG协议

af_alg_check.c

#include <stdio.h>
#include <unistd.h>
#include <errno.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <linux/if_alg.h>

int main()
{
    int sockfd = socket(AF_ALG, SOCK_SEQPACKET, 0);
    if(sockfd == -1)
    {
        if(errno == EAFNOSUPPORT)
        {
            printf("#define AF_ALG_UNAVAILABLE\n");
        } else {
            printf("socket api occurs other errors\n");
        }
    } else {
        printf("#define AF_ALG_AVAILABLE\n");
    }

    close(sockfd);
    return 0;
}

 编译并运行

# gcc af_alg_check.c -o af_alg_check
# ./af_alg_check
 #define AF_ALG_AVAILABLE

打印 “#define AF_ALG_AVAILABLE” 说明socket 支持AF_ALG 协议;

打印 “#define AF_ALG_UNAVAILABLE” 说明socket 不支持AF_ALG 协议。

实现自己的内核态密码模块接口

使用github上示例代码完成内核态密码模块

# git clone https://github.com/Ed-Yang/crypto-examples.git
# cd crypto-examples/
# cd aes-example
# make
# sudo dmesg -C
# sudo insmod aes-example.ko
# sudo rmmod aes-example.ko
# sudo dmesg

模仿内核源代码linux/crypto/aes_generic.c实现自己的算法

my_aes_generic.c  (只是替换了算法名称,修改部分如下)

static struct crypto_alg aes_alg = {
	.cra_name		=	"my_aes",
	.cra_driver_name	=	"my_aes-generic",
	.cra_priority		=	100,
	.cra_flags		=	CRYPTO_ALG_TYPE_CIPHER,
	.cra_blocksize		=	AES_BLOCK_SIZE,
	.cra_ctxsize		=	sizeof(struct crypto_aes_ctx),
	.cra_module		=	THIS_MODULE,
	.cra_u			=	{
		.cipher = {
			.cia_min_keysize	=	AES_MIN_KEY_SIZE,
			.cia_max_keysize	=	AES_MAX_KEY_SIZE,
			.cia_setkey		=	crypto_aes_set_key,
			.cia_encrypt		=	crypto_aes_encrypt,
			.cia_decrypt		=	crypto_aes_decrypt
		}
	}
};

static int __init aes_init(void)
{
	return crypto_register_alg(&aes_alg);
}

static void __exit aes_fini(void)
{
	crypto_unregister_alg(&aes_alg);
}

module_init(aes_init);
module_exit(aes_fini);

MODULE_DESCRIPTION("Test my-aes-generic");
MODULE_LICENSE("GPL");

Makefile

obj-m += my_aes_generic.o

KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)

all:
	$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
	$(MAKE) -C $(KDIR) M=$(PWD) clean

 编译并加载驱动

# make
make -C /lib/modules/5.11.0-37-generic/build M=/home/my/Project/my_afalg modules
make[1]: Entering directory '/usr/src/linux-headers-5.11.0-37-generic'
  CC [M]  /home/my/Project/my_afalg/my_aes_generic.o
  MODPOST /home/my/Project/my_afalg/Module.symvers
  CC [M]  /home/my/Project/my_afalg/my_aes_generic.mod.o
  LD [M]  /home/my/Project/my_afalg/my_aes_generic.ko
make[1]: Leaving directory '/usr/src/linux-headers-5.11.0-37-generic'
# ls
Makefile       Module.symvers    my_aes_generic.dwo  my_aes_generic.mod    my_aes_generic.mod.dwo  my_aes_generic.o
modules.order  my_aes_generic.c  my_aes_generic.ko   my_aes_generic.mod.c  my_aes_generic.mod.o
# sudo insmod my_aes_generic.ko 
# lsmod | grep my_aes_generic
my_aes_generic         36864  0

执行# cat /proc/crypto 命令查看内核是否已经支持自定义算法

# cat /proc/crypto

name         : my_aes
driver       : my_aes-generic
module       : my_aes_generic
priority     : 100
refcnt       : 1
selftest     : passed
internal     : no
type         : cipher
blocksize    : 16
min keysize  : 16
max keysize  : 32

实现Netlink AF_ALG协议调用内核态密码模块里的对称加密

 使用github上示例代码完成加密算法的调用

# git clone https://github.com/nibrunie/af_alg-examples.git
# cd af_alg-examples
# make
cc -Wall -Werror  -o basic_cipher examples/basic_cipher.c -lcrypto
# ./basic_cipher
e353779c1079aeb82708942dbe77181a

 修改demo程序examples/basic_cipher.c里算法内容为自定义算法

#include <stdio.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/if_alg.h>
#include <linux/socket.h>
#include <string.h>

#ifndef SOL_ALG
#define SOL_ALG 279
#endif

int main(void)
{
  int opfd;
  int tfmfd;
  struct sockaddr_alg sa = {
    .salg_family = AF_ALG,
    .salg_type = "skcipher",
    .salg_name = "cbc(my_aes)"
  };
  struct msghdr msg = {};
  struct cmsghdr *cmsg;
  char cbuf[CMSG_SPACE(4) + CMSG_SPACE(20)] = {0};
  char buf[16];
  struct af_alg_iv *iv;
  struct iovec iov;
  int i;

  tfmfd = socket(AF_ALG, SOCK_SEQPACKET, 0);

  bind(tfmfd, (struct sockaddr *)&sa, sizeof(sa));

  setsockopt(tfmfd, SOL_ALG, ALG_SET_KEY,
       "\x06\xa9\x21\x40\x36\xb8\xa1\x5b"
       "\x51\x2e\x03\xd5\x34\x12\x00\x06", 16);

  opfd = accept(tfmfd, NULL, 0);

  msg.msg_control = cbuf;
  msg.msg_controllen = sizeof(cbuf);

  cmsg = CMSG_FIRSTHDR(&msg);
  cmsg->cmsg_level = SOL_ALG;
  cmsg->cmsg_type = ALG_SET_OP;
  cmsg->cmsg_len = CMSG_LEN(4);
  *(__u32 *)CMSG_DATA(cmsg) = ALG_OP_ENCRYPT;

  cmsg = CMSG_NXTHDR(&msg, cmsg);
  cmsg->cmsg_level = SOL_ALG;
  cmsg->cmsg_type = ALG_SET_IV;
  cmsg->cmsg_len = CMSG_LEN(20);
  iv = (void *)CMSG_DATA(cmsg);
  iv->ivlen = 16;
  memcpy(iv->iv, "\x3d\xaf\xba\x42\x9d\x9e\xb4\x30"
           "\xb4\x22\xda\x80\x2c\x9f\xac\x41", 16);

  iov.iov_base = "Single block msg";
  iov.iov_len = 16;

  msg.msg_iov = &iov;
  msg.msg_iovlen = 1;

  sendmsg(opfd, &msg, 0);
  read(opfd, buf, 16);

  for (i = 0; i < 16; i++) {
    printf("%02x", (unsigned char)buf[i]);
  }
  printf("\n");

  close(opfd);
  close(tfmfd);

  return 0;
}

 重新编译并运行demo

# make clean
rm -f ./basic_cipher
rm -f ./stream_hash
rm -f ./multi_connections
# make
cc -Wall -Werror  -o basic_cipher examples/basic_cipher.c -lcrypto
# ./basic_cipher 
e353779c1079aeb82708942dbe77181a

使用libkcapi库完成内核态密码模块的调用

libkcapi - Linux Kernel Crypto API User Space Interface Library. The Linux kernel exports a Netlink interface of type AF_ALG to allow user space to utilize the kernel crypto API. libkcapi uses this Netlink interface and exports easy to use APIs so that a developer does not need to consider the low-level Netlink interface handling.

# git clone https://github.com/smuellerDD/libkcapi.git
# cd libkcapi
# ./configure
# make
# make install

 OpenSSL支持AF_ALG引擎

OpenSSL 1.1.0以上版本才支持afalg引擎。

配置并编译安装

# ./config enable-engine enable-dso enable-afalgeng
# make
# make install

在编译安装完成后,可发现afalg.so文件

# pwd
/root/openssl/engines
# ls *.so
afalg.so  capi.so  dasync.so  ossltest.so  padlock.so
# pwd
/usr/lib64/engines-1.1
# ls
afalg.so  capi.so  libpkcs11.so  padlock.so  pkcs11.so

使用openssl speed测试afalg引擎

# openssl speed -evp aes-128-cbc -engine afalg -elapsed

风流网民
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netlink.rar_netlink_内核
07-14
Linux 下netlink应用与内核交互方式
SWAN测试用例af-alg/rw-cert
redwingz的博客
10-28 1023
本测试中远程用户(roadwarrior) carol与网关moon使用内核的加密套接口af_alg(代码位于内核文件crypto/af_alg.c)进行所有的对称加密和哈希计算,另外远程用户dave使用strongswan默认的加密插件:aes、des、sha1、sha2、md5或gmp进行相应操作。 远程用户carol和dave分别建立到网关moon的连接,认证使用X.509证书方式。连接成功...
嵌入式安全实验---密码算法
qq_40695381的博客
05-24 828
嵌入式安全实验—密码算法 创建一个新密码算法的内核模块,生成该模块的 .ko文件。 将新 .ko文件插入内核 通过算法接口使用密码算法,如加密,解密文件,验证其有效性。 将新算法用在加密存储和加密通信中 内核模块密码算法 embcipher.c #include <linux/types.h> #include <linux/crypto.h> #include <linux/module.h> #include <linux/init.h> #
openssl AF_ALG引擎使用
junjun5156的博客
03-26 395
AF_ALG是Linux提供的一种虚拟接口,用于访问内核中的加密算法。在Linux中,可以使用AF_ALG接口配合加密算法框架(Crypto API)来进行加密操作。在这个例子中,我们首先加载AF_ALG加密引擎。然后,我们设置会话使用的加密算法为AES-128-CBC。最后,我们使用openssl的enc命令进行加密操作,指定输入文件input.txt和输出文件output.txt,并使用密钥mysecretkey进行加密。
在linux kernel中netlink使用示例
baron-周贺贺-代码改变世界ctw
07-13 3057
文章目录1、在socket.h中,INET协议族的定义2、以PF_ALG为例,注册一个netlink驱动,在af_alg.c中:3、以PF_ALG为例,写一个userspace调用程序 1、在socket.h中,INET协议族的定义 /* Supported address families. */ #define AF_UNSPEC 0 #define AF_UNIX 1 /* Unix domain sockets */ #define AF_LOCAL 1 /* POSIX name for A
一文了解Linux Kernel中密码学算法的设计与应用
baron-周贺贺-代码改变世界ctw
05-08 2142
1、Linux Kernel中支持哪些密码学算法?分别都是怎么实现的?哪些是C语言实现?哪些是Neon指令实现?哪些是ARM Cryptography Extension硬件实现? 这些不同的实现方式,他们之间的关系是怎样的? 并列关系?多选一?多选多? 2、应用程序的密码学算法一般又是怎样实现的?应用程序的密码学算法实现,是否依赖Kernel底层的密码学算法? 3、应用程序是如何调用到Kernel底层的密码学算法? Kernel底层的其它模块,如何调用密码学算法? 4、如何在Kernel底层增加一种密码
linux内核与用户通信-netlink实例解析
07-24
linux内核与用户通信机制-netlink,有实例解析+源码,推荐~
利用netlink内核与用户交互信息的范例
08-13
linux内核版本2.6以上的使用netlink内核与用户之间传递信息的小范例。 内核每次升级netlink都有很大变化,郁闷无比。 这个是根据2.6改的一个版本,希望对大家有用
afnetlink:一个命令行工具(示例),显示来自内核AF_NETLINK数据
05-16
一个命令行工具(示例),显示来自内核AF_NETLINK数据 一个非常简单的源代码,显示了如何完成此工作。 我在实现Firefox功能来检测网络何时更改时使用了此功能: 麻省理工学院许可的代码。 请参阅源代码的标题。 ...
xt_NFQUEUE.rar_netfilter queue_netlink_nfqueue
09-19
linux iptables module for using new netfilter netlink queue
NSSCTF | [第五空间 2021]WebFTP
2302_80946742的博客
05-13 205
注意看这里的题目标签,目录扫描,.git泄露。那么这道题虽然打开是一个登录的界面,但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件,最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描,我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件,但我试了试,没能成功下载。
Git系列:git commit 被忽视的高级用法
stormsha
05-09 885
Git commit 是软件开发中不可或缺的一部分。通过掌握高级提交技巧,开发者可以更高效地管理代码变更,提高团队协作的效率。记住,良好的提交习惯不仅有助于当前的项目,还能为未来的维护工作打下坚实的基础。本文旨在为中高级开发者提供 Git commit 的深入理解和实践指导。希望读者能够从中获得启发,并将这些技巧应用到实际工作中,以提升代码质量和团队协作的效率。如果你有任何问题或想要进一步讨论,欢迎在评论区留下你的想法。
小白git
最新发布
sinat_38992528的博客
05-15 167
如果没有.git文件的话:git init。克隆 :git clone 链接地址。切换分支:cd 目录。
idea连接远程仓库
m0_74462339的博客
05-14 233
url为远程仓库的地址,输入好后,选择项目存放目录,再点击克隆。
一篇详解Git版本控制工具
huaz_md的博客
05-10 1304
修改。
git仓库使用
2301_76908811的博客
05-14 163
如果要使用请务必把文件复制到别的空间去再在这个别的空间更改文件和程序。使用 git clone命令把后面连接的地址的文件拉取到本地。从那个最原始的地方拉取(从gitbub更新文件到本地)电脑左下角搜索git打开GitBash.exe。因为你在本地目录更改文件会使文件无法更新。git是用于管理github的工具。git仓库是会限制空间大小限制的。下载到本地的文件不要更改!进入到要下载到本地的目录。
AI 图像生成-环境配置
weixin_42294510的博客
05-13 374
环境配置
面试题-实例
qq_69325307的博客
05-12 465
ComponentScan注解就是包扫描,不重写的话,默认就是当前类下及其子包下都会扫描到,扫描哪些@Component注解的类,交给容器来管理。接着走A的逻辑,因为B已经初始化完成,所以A就可以直接引用B,来完成初始化,接着把A放入一级缓存中。,B又需要依赖A,这时候就会到三级缓存中,由beanFactory生产A对象,此时可以是代理对象,接着把A放入二级缓存中。线程池就是事先将创建好的线程进行整合,当需要使用的时候,直接拿出来进行使用,不用现去创建,可以节约开辟的时间,提高效率。
讲一下AF_NETLINK是怎么监视内核到应用层的信息
06-10
AF_NETLINK是一种Linux内核与用户空间之间通信的机制,它允许应用程序通过Netlink套接字与内核通信。AF_NETLINK提供了一种可扩展的机制,允许内核向用户空间发送消息,并允许用户空间向内核发送请求。 AF_NETLINK的监视内核到应用层的信息的过程如下: 1. 应用程序创建一个Netlink套接字,并通过指定协议族为AF_NETLINK来告诉内核它要使用的通信协议。 2. 应用程序使用setsockopt()函数将套接字绑定到指定的Netlink组,以便接收内核发送的消息。 3. 内核通过Netlink套接字向应用程序发送消息,这些消息包含有关内核和事件的信息。 4. 应用程序通过recvmsg()函数从Netlink套接字中读取消息,并根据消息类型和内容采取相应的措施。 通过上述过程,应用程序可以轻松地监视内核到应用层的信息,并采取相应的措施。例如,应用程序可以通过监视内核发送的网络事件来实时更新网络配置,或者监视内核发送的进程事件来实时更新进程状

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值