fs/crypto/crypto.c

   1 /*
   2  * This contains encryption functions for per-file encryption.
   3  *
   4  * Copyright (C) 2015, Google, Inc.
   5  * Copyright (C) 2015, Motorola Mobility
   6  *
   7  * Written by Michael Halcrow, 2014.
   8  *
   9  * Filename encryption additions
  10  *      Uday Savagaonkar, 2014
  11  * Encryption policy handling additions
  12  *      Ildar Muslukhov, 2014
  13  * Add fscrypt_pullback_bio_page()
  14  *      Jaegeuk Kim, 2015.
  15  *
  16  * This has not yet undergone a rigorous security audit.
  17  *
  18  * The usage of AES-XTS should conform to recommendations in NIST
  19  * Special Publication 800-38E and IEEE P1619/D16.
  20  */
  21
  22 #include <linux/pagemap.h>
  23 #include <linux/mempool.h>
  24 #include <linux/module.h>
  25 #include <linux/scatterlist.h>
  26 #include <linux/ratelimit.h>
  27 #include <linux/bio.h>
  28 #include <linux/dcache.h>
  29 #include <linux/namei.h>
  30 #include <linux/fscrypto.h>
  31
  32 static unsigned int num_prealloc_crypto_pages = 32;
  33 static unsigned int num_prealloc_crypto_ctxs = 128;
  34
  35 module_param(num_prealloc_crypto_pages, uint, 0444);
  36 MODULE_PARM_DESC(num_prealloc_crypto_pages,
  37                 "Number of crypto pages to preallocate");
  38 module_param(num_prealloc_crypto_ctxs, uint, 0444);
  39 MODULE_PARM_DESC(num_prealloc_crypto_ctxs,
  40                 "Number of crypto contexts to preallocate");
  41
  42 static mempool_t *fscrypt_bounce_page_pool = NULL;
  43
  44 static LIST_HEAD(fscrypt_free_ctxs);
  45 static DEFINE_SPINLOCK(fscrypt_ctx_lock);
  46
  47 static struct workqueue_struct *fscrypt_read_workqueue;
  48 static DEFINE_MUTEX(fscrypt_init_mutex);
  49
  50 static struct kmem_cache *fscrypt_ctx_cachep;
  51 struct kmem_cache *fscrypt_info_cachep;
  52
  53 /**
  54  * fscrypt_release_ctx() - Releases an encryption context
  55  * @ctx: The encryption context to release.
  56  *
  57  * If the encryption context was allocated from the pre-allocated pool, returns
  58  * it to that pool. Else, frees it.
  59  *
  60  * If there's a bounce page in the context, this frees that.
  61  */
  62 void fscrypt_release_ctx(struct fscrypt_ctx *ctx)
  63 {
  64         unsigned long flags;
  65
  66         if (ctx->flags & FS_WRITE_PATH_FL && ctx->w.bounce_page) {
  67                 mempool_free(ctx->w.bounce_page, fscrypt_bounce_page_pool);
  68                 ctx->w.bounce_page = NULL;
  69         }
  70         ctx->w.control_page = NULL;
  71         if (ctx->flags & FS_CTX_REQUIRES_FREE_ENCRYPT_FL) {
  72                 kmem_cache_free(fscrypt_ctx_cachep, ctx);
  73         } else {
  74                 spin_lock_irqsave(&fscrypt_ctx_lock, flags);
  75                 list_add(&ctx->free_list, &fscrypt_free_ctxs);
  76                 spin_unlock_irqrestore(&fscrypt_ctx_lock, flags);
  77         }
  78 }
  79 EXPORT_SYMBOL(fscrypt_release_ctx);
  80
  81 /**
  82  * fscrypt_get_ctx() - Gets an encryption context
  83  * @inode:       The inode for which we are doing the crypto
  84  * @gfp_flags:   The gfp flag for memory allocation
  85  *
  86  * Allocates and initializes an encryption context.
  87  *
  88  * Return: An allocated and initialized encryption context on success; error
  89  * value or NULL otherwise.
  90  */
  91 struct fscrypt_ctx *fscrypt_get_ctx(struct inode *inode, gfp_t gfp_flags)
  92 {
  93         struct fscrypt_ctx *ctx = NULL;
  94         struct fscrypt_info *ci = inode->i_crypt_info;
  95         unsigned long flags;
  96
  97         if (ci == NULL)
  98                 return ERR_PTR(-ENOKEY);
  99
 100         /*
 101          * We first try getting the ctx from a free list because in
 102          * the common case the ctx will have an allocated and
 103          * initialized crypto tfm, so it's probably a worthwhile
 104          * optimization. For the bounce page, we first try getting it
 105          * from the kernel allocator because that's just about as fast
 106          * as getting it from a list and because a cache of free pages
 107          * should generally be a "last resort" option for a filesystem
 108          * to be able to do its job.
 109          */
 110         spin_lock_irqsave(&fscrypt_ctx_lock, flags);
 111         ctx = list_first_entry_or_null(&fscrypt_free_ctxs,
 112                                         struct fscrypt_ctx, free_list);
 113         if (ctx)
 114                 list_del(&ctx->free_list);
 115         spin_unlock_irqrestore(&fscrypt_ctx_lock, flags);
 116         if (!ctx) {
 117                 ctx = kmem_cache_zalloc(fscrypt_ctx_cachep, gfp_flags);
 118                 if (!ctx)
 119                         return ERR_PTR(-ENOMEM);
 120                 ctx->flags |= FS_CTX_REQUIRES_FREE_ENCRYPT_FL;
 121         } else {
 122                 ctx->flags &= ~FS_CTX_REQUIRES_FREE_ENCRYPT_FL;
 123         }
 124         ctx->flags &= ~FS_WRITE_PATH_FL;
 125         return ctx;
 126 }
 127 EXPORT_SYMBOL(fscrypt_get_ctx);
 128
 129 /**
 130  * page_crypt_complete() - completion callback for page crypto
 131  * @req: The asynchronous cipher request context
 132  * @res: The result of the cipher operation
 133  */
 134 static void page_crypt_complete(struct crypto_async_request *req, int res)
 135 {
 136         struct fscrypt_completion_result *ecr = req->data;
 137
 138         if (res == -EINPROGRESS)
 139                 return;
 140         ecr->res = res;
 141         complete(&ecr->completion);
 142 }
 143
 144 typedef enum {
 145         FS_DECRYPT = 0,
 146         FS_ENCRYPT,
 147 } fscrypt_direction_t;
 148
 149 static int do_page_crypto(struct inode *inode,
 150                         fscrypt_direction_t rw, pgoff_t index,
 151                         struct page *src_page, struct page *dest_page,
 152                         unsigned int src_len, unsigned int src_offset,
 153                         gfp_t gfp_flags)
 154 {
 155         struct {
 156                 __le64 index;
 157                 u8 padding[FS_XTS_TWEAK_SIZE - sizeof(__le64)];
 158         } xts_tweak;
 159         struct skcipher_request *req = NULL;
 160         DECLARE_FS_COMPLETION_RESULT(ecr);
 161         struct scatterlist dst, src;
 162         struct fscrypt_info *ci = inode->i_crypt_info;
 163         struct crypto_skcipher *tfm = ci->ci_ctfm;
 164         int res = 0;
 165
 166         req = skcipher_request_alloc(tfm, gfp_flags);
 167         if (!req) {
 168                 printk_ratelimited(KERN_ERR
 169                                 "%s: crypto_request_alloc() failed\n",
 170                                 __func__);
 171                 return -ENOMEM;
 172         }
 173
 174         skcipher_request_set_callback(
 175                 req, CRYPTO_TFM_REQ_MAY_BACKLOG | CRYPTO_TFM_REQ_MAY_SLEEP,
 176                 page_crypt_complete, &ecr);
 177
 178         BUILD_BUG_ON(sizeof(xts_tweak) != FS_XTS_TWEAK_SIZE);
 179         xts_tweak.index = cpu_to_le64(index);
 180         memset(xts_tweak.padding, 0, sizeof(xts_tweak.padding));
 181
 182         sg_init_table(&dst, 1);
 183         sg_set_page(&dst, dest_page, src_len, src_offset);
 184         sg_init_table(&src, 1);
 185         sg_set_page(&src, src_page, src_len, src_offset);
 186         skcipher_request_set_crypt(req, &src, &dst, src_len, &xts_tweak);
 187         if (rw == FS_DECRYPT)
 188                 res = crypto_skcipher_decrypt(req);
 189         else
 190                 res = crypto_skcipher_encrypt(req);
 191         if (res == -EINPROGRESS || res == -EBUSY) {
 192                 BUG_ON(req->base.data != &ecr);
 193                 wait_for_completion(&ecr.completion);
 194                 res = ecr.res;
 195         }
 196         skcipher_request_free(req);
 197         if (res) {
 198                 printk_ratelimited(KERN_ERR
 199                         "%s: crypto_skcipher_encrypt() returned %d\n",
 200                         __func__, res);
 201                 return res;
 202         }
 203         return 0;
 204 }
 205
 206 static struct page *alloc_bounce_page(struct fscrypt_ctx *ctx, gfp_t gfp_flags)
 207 {
 208         ctx->w.bounce_page = mempool_alloc(fscrypt_bounce_page_pool, gfp_flags);
 209         if (ctx->w.bounce_page == NULL)
 210                 return ERR_PTR(-ENOMEM);
 211         ctx->flags |= FS_WRITE_PATH_FL;
 212         return ctx->w.bounce_page;
 213 }
 214
 215 /**
 216  * fscypt_encrypt_page() - Encrypts a page
 217  * @inode:            The inode for which the encryption should take place
 218  * @plaintext_page:   The page to encrypt. Must be locked.
 219  * @plaintext_len:    Length of plaintext within page
 220  * @plaintext_offset: Offset of plaintext within page
 221  * @gfp_flags:        The gfp flag for memory allocation
 222  *
 223  * Encrypts plaintext_page using the ctx encryption context. If
 224  * the filesystem supports it, encryption is performed in-place, otherwise a
 225  * new ciphertext_page is allocated and returned.
 226  *
 227  * Called on the page write path.  The caller must call
 228  * fscrypt_restore_control_page() on the returned ciphertext page to
 229  * release the bounce buffer and the encryption context.
 230  *
 231  * Return: An allocated page with the encrypted content on success. Else, an
 232  * error value or NULL.
 233  */
 234 struct page *fscrypt_encrypt_page(struct inode *inode,
 235                                 struct page *plaintext_page,
 236                                 unsigned int plaintext_len,
 237                                 unsigned int plaintext_offset,
 238                                 gfp_t gfp_flags)
 239
 240 {
 241         struct fscrypt_ctx *ctx;
 242         struct page *ciphertext_page = plaintext_page;
 243         int err;
 244
 245         BUG_ON(plaintext_len % FS_CRYPTO_BLOCK_SIZE != 0);
 246
 247         ctx = fscrypt_get_ctx(inode, gfp_flags);
 248         if (IS_ERR(ctx))
 249                 return (struct page *)ctx;
 250
 251         if (!(inode->i_sb->s_cop->flags & FS_CFLG_INPLACE_ENCRYPTION)) {
 252                 /* The encryption operation will require a bounce page. */
 253                 ciphertext_page = alloc_bounce_page(ctx, gfp_flags);
 254                 if (IS_ERR(ciphertext_page))
 255                         goto errout;
 256         }
 257
 258         ctx->w.control_page = plaintext_page;
 259         err = do_page_crypto(inode, FS_ENCRYPT, plaintext_page->index,
 260                                         plaintext_page, ciphertext_page,
 261                                         plaintext_len, plaintext_offset,
 262                                         gfp_flags);
 263         if (err) {
 264                 ciphertext_page = ERR_PTR(err);
 265                 goto errout;
 266         }
 267         if (!(inode->i_sb->s_cop->flags & FS_CFLG_INPLACE_ENCRYPTION)) {
 268                 SetPagePrivate(ciphertext_page);
 269                 set_page_private(ciphertext_page, (unsigned long)ctx);
 270                 lock_page(ciphertext_page);
 271         }
 272         return ciphertext_page;
 273
 274 errout:
 275         fscrypt_release_ctx(ctx);
 276         return ciphertext_page;
 277 }
 278 EXPORT_SYMBOL(fscrypt_encrypt_page);
 279
 280 /**
 281  * fscrypt_decrypt_page() - Decrypts a page in-place
 282  * @inode: Encrypted inode to decrypt.
 283  * @page:  The page to decrypt. Must be locked.
 284  * @len:   Number of bytes in @page to be decrypted.
 285  * @offs:  Start of data in @page.
 286  *
 287  * Decrypts page in-place using the ctx encryption context.
 288  *
 289  * Called from the read completion callback.
 290  *
 291  * Return: Zero on success, non-zero otherwise.
 292  */
 293 int fscrypt_decrypt_page(struct inode *inode, struct page *page,
 294                         unsigned int len, unsigned int offs)
 295 {
 296         return do_page_crypto(inode, FS_DECRYPT, page->index, page, page, len, offs,
 297                         GFP_NOFS);
 298 }
 299 EXPORT_SYMBOL(fscrypt_decrypt_page);
 300
 301 int fscrypt_zeroout_range(struct inode *inode, pgoff_t lblk,
 302                                 sector_t pblk, unsigned int len)
 303 {
 304         struct fscrypt_ctx *ctx;
 305         struct page *ciphertext_page = NULL;
 306         struct bio *bio;
 307         int ret, err = 0;
 308
 309         BUG_ON(inode->i_sb->s_blocksize != PAGE_SIZE);
 310
 311         ctx = fscrypt_get_ctx(inode, GFP_NOFS);
 312         if (IS_ERR(ctx))
 313                 return PTR_ERR(ctx);
 314
 315         ciphertext_page = alloc_bounce_page(ctx, GFP_NOWAIT);
 316         if (IS_ERR(ciphertext_page)) {
 317                 err = PTR_ERR(ciphertext_page);
 318                 goto errout;
 319         }
 320
 321         while (len--) {
 322                 err = do_page_crypto(inode, FS_ENCRYPT, lblk,
 323                                         ZERO_PAGE(0), ciphertext_page,
 324                                         PAGE_SIZE, 0, GFP_NOFS);
 325                 if (err)
 326                         goto errout;
 327
 328                 bio = bio_alloc(GFP_NOWAIT, 1);
 329                 if (!bio) {
 330                         err = -ENOMEM;
 331                         goto errout;
 332                 }
 333                 bio->bi_bdev = inode->i_sb->s_bdev;
 334                 bio->bi_iter.bi_sector =
 335                         pblk << (inode->i_sb->s_blocksize_bits - 9);
 336                 bio_set_op_attrs(bio, REQ_OP_WRITE, 0);
 337                 ret = bio_add_page(bio, ciphertext_page,
 338                                         inode->i_sb->s_blocksize, 0);
 339                 if (ret != inode->i_sb->s_blocksize) {
 340                         /* should never happen! */
 341                         WARN_ON(1);
 342                         bio_put(bio);
 343                         err = -EIO;
 344                         goto errout;
 345                 }
 346                 err = submit_bio_wait(bio);
 347                 if ((err == 0) && bio->bi_error)
 348                         err = -EIO;
 349                 bio_put(bio);
 350                 if (err)
 351                         goto errout;
 352                 lblk++;
 353                 pblk++;
 354         }
 355         err = 0;
 356 errout:
 357         fscrypt_release_ctx(ctx);
 358         return err;
 359 }
 360 EXPORT_SYMBOL(fscrypt_zeroout_range);
 361
 362 /*
 363  * Validate dentries for encrypted directories to make sure we aren't
 364  * potentially caching stale data after a key has been added or
 365  * removed.
 366  */
 367 static int fscrypt_d_revalidate(struct dentry *dentry, unsigned int flags)
 368 {
 369         struct dentry *dir;
 370         struct fscrypt_info *ci;
 371         int dir_has_key, cached_with_key;
 372
 373         if (flags & LOOKUP_RCU)
 374                 return -ECHILD;
 375
 376         dir = dget_parent(dentry);
 377         if (!d_inode(dir)->i_sb->s_cop->is_encrypted(d_inode(dir))) {
 378                 dput(dir);
 379                 return 0;
 380         }
 381
 382         ci = d_inode(dir)->i_crypt_info;
 383         if (ci && ci->ci_keyring_key &&
 384             (ci->ci_keyring_key->flags & ((1 << KEY_FLAG_INVALIDATED) |
 385                                           (1 << KEY_FLAG_REVOKED) |
 386                                           (1 << KEY_FLAG_DEAD))))
 387                 ci = NULL;
 388
 389         /* this should eventually be an flag in d_flags */
 390         spin_lock(&dentry->d_lock);
 391         cached_with_key = dentry->d_flags & DCACHE_ENCRYPTED_WITH_KEY;
 392         spin_unlock(&dentry->d_lock);
 393         dir_has_key = (ci != NULL);
 394         dput(dir);
 395
 396         /*
 397          * If the dentry was cached without the key, and it is a
 398          * negative dentry, it might be a valid name.  We can't check
 399          * if the key has since been made available due to locking
 400          * reasons, so we fail the validation so ext4_lookup() can do
 401          * this check.
 402          *
 403          * We also fail the validation if the dentry was created with
 404          * the key present, but we no longer have the key, or vice versa.
 405          */
 406         if ((!cached_with_key && d_is_negative(dentry)) ||
 407                         (!cached_with_key && dir_has_key) ||
 408                         (cached_with_key && !dir_has_key))
 409                 return 0;
 410         return 1;
 411 }
 412
 413 const struct dentry_operations fscrypt_d_ops = {
 414         .d_revalidate = fscrypt_d_revalidate,
 415 };
 416 EXPORT_SYMBOL(fscrypt_d_ops);
 417
 418 /*
 419  * Call fscrypt_decrypt_page on every single page, reusing the encryption
 420  * context.
 421  */
 422 static void completion_pages(struct work_struct *work)
 423 {
 424         struct fscrypt_ctx *ctx =
 425                 container_of(work, struct fscrypt_ctx, r.work);
 426         struct bio *bio = ctx->r.bio;
 427         struct bio_vec *bv;
 428         int i;
 429
 430         bio_for_each_segment_all(bv, bio, i) {
 431                 struct page *page = bv->bv_page;
 432                 int ret = fscrypt_decrypt_page(page->mapping->host, page,
 433                                 PAGE_SIZE, 0);
 434
 435                 if (ret) {
 436                         WARN_ON_ONCE(1);
 437                         SetPageError(page);
 438                 } else {
 439                         SetPageUptodate(page);
 440                 }
 441                 unlock_page(page);
 442         }
 443         fscrypt_release_ctx(ctx);
 444         bio_put(bio);
 445 }
 446
 447 void fscrypt_decrypt_bio_pages(struct fscrypt_ctx *ctx, struct bio *bio)
 448 {
 449         INIT_WORK(&ctx->r.work, completion_pages);
 450         ctx->r.bio = bio;
 451         queue_work(fscrypt_read_workqueue, &ctx->r.work);
 452 }
 453 EXPORT_SYMBOL(fscrypt_decrypt_bio_pages);
 454
 455 void fscrypt_pullback_bio_page(struct page **page, bool restore)
 456 {
 457         struct fscrypt_ctx *ctx;
 458         struct page *bounce_page;
 459
 460         /* The bounce data pages are unmapped. */
 461         if ((*page)->mapping)
 462                 return;
 463
 464         /* The bounce data page is unmapped. */
 465         bounce_page = *page;
 466         ctx = (struct fscrypt_ctx *)page_private(bounce_page);
 467
 468         /* restore control page */
 469         *page = ctx->w.control_page;
 470
 471         if (restore)
 472                 fscrypt_restore_control_page(bounce_page);
 473 }
 474 EXPORT_SYMBOL(fscrypt_pullback_bio_page);
 475
 476 void fscrypt_restore_control_page(struct page *page)
 477 {
 478         struct fscrypt_ctx *ctx;
 479
 480         ctx = (struct fscrypt_ctx *)page_private(page);
 481         set_page_private(page, (unsigned long)NULL);
 482         ClearPagePrivate(page);
 483         unlock_page(page);
 484         fscrypt_release_ctx(ctx);
 485 }
 486 EXPORT_SYMBOL(fscrypt_restore_control_page);
 487
 488 static void fscrypt_destroy(void)
 489 {
 490         struct fscrypt_ctx *pos, *n;
 491
 492         list_for_each_entry_safe(pos, n, &fscrypt_free_ctxs, free_list)
 493                 kmem_cache_free(fscrypt_ctx_cachep, pos);
 494         INIT_LIST_HEAD(&fscrypt_free_ctxs);
 495         mempool_destroy(fscrypt_bounce_page_pool);
 496         fscrypt_bounce_page_pool = NULL;
 497 }
 498
 499 /**
 500  * fscrypt_initialize() - allocate major buffers for fs encryption.
 501  *
 502  * We only call this when we start accessing encrypted files, since it
 503  * results in memory getting allocated that wouldn't otherwise be used.
 504  *
 505  * Return: Zero on success, non-zero otherwise.
 506  */
 507 int fscrypt_initialize(void)
 508 {
 509         int i, res = -ENOMEM;
 510
 511         if (fscrypt_bounce_page_pool)
 512                 return 0;
 513
 514         mutex_lock(&fscrypt_init_mutex);
 515         if (fscrypt_bounce_page_pool)
 516                 goto already_initialized;
 517
 518         for (i = 0; i < num_prealloc_crypto_ctxs; i++) {
 519                 struct fscrypt_ctx *ctx;
 520
 521                 ctx = kmem_cache_zalloc(fscrypt_ctx_cachep, GFP_NOFS);
 522                 if (!ctx)
 523                         goto fail;
 524                 list_add(&ctx->free_list, &fscrypt_free_ctxs);
 525         }
 526
 527         fscrypt_bounce_page_pool =
 528                 mempool_create_page_pool(num_prealloc_crypto_pages, 0);
 529         if (!fscrypt_bounce_page_pool)
 530                 goto fail;
 531
 532 already_initialized:
 533         mutex_unlock(&fscrypt_init_mutex);
 534         return 0;
 535 fail:
 536         fscrypt_destroy();
 537         mutex_unlock(&fscrypt_init_mutex);
 538         return res;
 539 }
 540 EXPORT_SYMBOL(fscrypt_initialize);
 541
 542 /**
 543  * fscrypt_init() - Set up for fs encryption.
 544  */
 545 static int __init fscrypt_init(void)
 546 {
 547         fscrypt_read_workqueue = alloc_workqueue("fscrypt_read_queue",
 548                                                         WQ_HIGHPRI, 0);
 549         if (!fscrypt_read_workqueue)
 550                 goto fail;
 551
 552         fscrypt_ctx_cachep = KMEM_CACHE(fscrypt_ctx, SLAB_RECLAIM_ACCOUNT);
 553         if (!fscrypt_ctx_cachep)
 554                 goto fail_free_queue;
 555
 556         fscrypt_info_cachep = KMEM_CACHE(fscrypt_info, SLAB_RECLAIM_ACCOUNT);
 557         if (!fscrypt_info_cachep)
 558                 goto fail_free_ctx;
 559
 560         return 0;
 561
 562 fail_free_ctx:
 563         kmem_cache_destroy(fscrypt_ctx_cachep);
 564 fail_free_queue:
 565         destroy_workqueue(fscrypt_read_workqueue);
 566 fail:
 567         return -ENOMEM;
 568 }
 569 module_init(fscrypt_init)
 570
 571 /**
 572  * fscrypt_exit() - Shutdown the fs encryption system
 573  */
 574 static void __exit fscrypt_exit(void)
 575 {
 576         fscrypt_destroy();
 577
 578         if (fscrypt_read_workqueue)
 579                 destroy_workqueue(fscrypt_read_workqueue);
 580         kmem_cache_destroy(fscrypt_ctx_cachep);
 581         kmem_cache_destroy(fscrypt_info_cachep);
 582 }
 583 module_exit(fscrypt_exit);
 584
 585 MODULE_LICENSE("GPL");