libcfs/libcfs/crypto/policy.c

   1 // SPDX-License-Identifier: GPL-2.0
   2 /*
   3  * Encryption policy functions for per-file encryption support.
   4  *
   5  * Copyright (C) 2015, Google, Inc.
   6  * Copyright (C) 2015, Motorola Mobility.
   7  *
   8  * Originally written by Michael Halcrow, 2015.
   9  * Modified by Jaegeuk Kim, 2015.
  10  * Modified by Eric Biggers, 2019 for v2 policy support.
  11  */
  12 /*
  13  * Linux commit 219d54332a09
  14  * tags/v5.4
  15  */
  16
  17 #include <linux/random.h>
  18 #include <linux/string.h>
  19 #include <linux/mount.h>
  20 #include "llcrypt_private.h"
  21
  22 /**
  23  * llcrypt_policies_equal - check whether two encryption policies are the same
  24  *
  25  * Return: %true if equal, else %false
  26  */
  27 bool llcrypt_policies_equal(const union llcrypt_policy *policy1,
  28                             const union llcrypt_policy *policy2)
  29 {
  30         if (policy1->version != policy2->version)
  31                 return false;
  32
  33         return !memcmp(policy1, policy2, llcrypt_policy_size(policy1));
  34 }
  35
  36 /**
  37  * llcrypt_supported_policy - check whether an encryption policy is supported
  38  *
  39  * Given an encryption policy, check whether all its encryption modes and other
  40  * settings are supported by this kernel.  (But we don't currently don't check
  41  * for crypto API support here, so attempting to use an algorithm not configured
  42  * into the crypto API will still fail later.)
  43  *
  44  * Return: %true if supported, else %false
  45  */
  46 bool llcrypt_supported_policy(const union llcrypt_policy *policy_u,
  47                               const struct inode *inode)
  48 {
  49         switch (policy_u->version) {
  50         case LLCRYPT_POLICY_V1: {
  51                 const struct llcrypt_policy_v1 *policy = &policy_u->v1;
  52
  53                 if (!llcrypt_valid_enc_modes(policy->contents_encryption_mode,
  54                                              policy->filenames_encryption_mode)) {
  55                         llcrypt_warn(inode,
  56                                      "Unsupported encryption modes (contents %d, filenames %d)",
  57                                      policy->contents_encryption_mode,
  58                                      policy->filenames_encryption_mode);
  59                         return false;
  60                 }
  61
  62                 if (policy->flags & ~LLCRYPT_POLICY_FLAGS_VALID) {
  63                         llcrypt_warn(inode,
  64                                      "Unsupported encryption flags (0x%02x)",
  65                                      policy->flags);
  66                         return false;
  67                 }
  68
  69                 return true;
  70         }
  71         case LLCRYPT_POLICY_V2: {
  72                 const struct llcrypt_policy_v2 *policy = &policy_u->v2;
  73
  74                 if (!llcrypt_valid_enc_modes(policy->contents_encryption_mode,
  75                                              policy->filenames_encryption_mode)) {
  76                         llcrypt_warn(inode,
  77                                      "Unsupported encryption modes (contents %d, filenames %d)",
  78                                      policy->contents_encryption_mode,
  79                                      policy->filenames_encryption_mode);
  80                         return false;
  81                 }
  82
  83                 if (policy->flags & ~LLCRYPT_POLICY_FLAGS_VALID) {
  84                         llcrypt_warn(inode,
  85                                      "Unsupported encryption flags (0x%02x)",
  86                                      policy->flags);
  87                         return false;
  88                 }
  89
  90                 if (memchr_inv(policy->__reserved, 0,
  91                                sizeof(policy->__reserved))) {
  92                         llcrypt_warn(inode,
  93                                      "Reserved bits set in encryption policy");
  94                         return false;
  95                 }
  96
  97                 return true;
  98         }
  99         }
 100         return false;
 101 }
 102
 103 /**
 104  * llcrypt_new_context_from_policy - create a new llcrypt_context from a policy
 105  *
 106  * Create an llcrypt_context for an inode that is being assigned the given
 107  * encryption policy.  A new nonce is randomly generated.
 108  *
 109  * Return: the size of the new context in bytes.
 110  */
 111 static int llcrypt_new_context_from_policy(union llcrypt_context *ctx_u,
 112                                            const union llcrypt_policy *policy_u)
 113 {
 114         memset(ctx_u, 0, sizeof(*ctx_u));
 115
 116         switch (policy_u->version) {
 117         case LLCRYPT_POLICY_V1: {
 118                 const struct llcrypt_policy_v1 *policy = &policy_u->v1;
 119                 struct llcrypt_context_v1 *ctx = &ctx_u->v1;
 120
 121                 ctx->version = LLCRYPT_CONTEXT_V1;
 122                 ctx->contents_encryption_mode =
 123                         policy->contents_encryption_mode;
 124                 ctx->filenames_encryption_mode =
 125                         policy->filenames_encryption_mode;
 126                 ctx->flags = policy->flags;
 127                 memcpy(ctx->master_key_descriptor,
 128                        policy->master_key_descriptor,
 129                        sizeof(ctx->master_key_descriptor));
 130                 get_random_bytes(ctx->nonce, sizeof(ctx->nonce));
 131                 return sizeof(*ctx);
 132         }
 133         case LLCRYPT_POLICY_V2: {
 134                 const struct llcrypt_policy_v2 *policy = &policy_u->v2;
 135                 struct llcrypt_context_v2 *ctx = &ctx_u->v2;
 136
 137                 ctx->version = LLCRYPT_CONTEXT_V2;
 138                 ctx->contents_encryption_mode =
 139                         policy->contents_encryption_mode;
 140                 ctx->filenames_encryption_mode =
 141                         policy->filenames_encryption_mode;
 142                 ctx->flags = policy->flags;
 143                 memcpy(ctx->master_key_identifier,
 144                        policy->master_key_identifier,
 145                        sizeof(ctx->master_key_identifier));
 146                 get_random_bytes(ctx->nonce, sizeof(ctx->nonce));
 147                 return sizeof(*ctx);
 148         }
 149         }
 150         BUG();
 151 }
 152
 153 /**
 154  * llcrypt_policy_from_context - convert an llcrypt_context to an llcrypt_policy
 155  *
 156  * Given an llcrypt_context, build the corresponding llcrypt_policy.
 157  *
 158  * Return: 0 on success, or -EINVAL if the llcrypt_context has an unrecognized
 159  * version number or size.
 160  *
 161  * This does *not* validate the settings within the policy itself, e.g. the
 162  * modes, flags, and reserved bits.  Use llcrypt_supported_policy() for that.
 163  */
 164 int llcrypt_policy_from_context(union llcrypt_policy *policy_u,
 165                                 const union llcrypt_context *ctx_u,
 166                                 int ctx_size)
 167 {
 168         memset(policy_u, 0, sizeof(*policy_u));
 169
 170         if (ctx_size <= 0 || ctx_size != llcrypt_context_size(ctx_u))
 171                 return -EINVAL;
 172
 173         switch (ctx_u->version) {
 174         case LLCRYPT_CONTEXT_V1: {
 175                 const struct llcrypt_context_v1 *ctx = &ctx_u->v1;
 176                 struct llcrypt_policy_v1 *policy = &policy_u->v1;
 177
 178                 policy->version = LLCRYPT_POLICY_V1;
 179                 policy->contents_encryption_mode =
 180                         ctx->contents_encryption_mode;
 181                 policy->filenames_encryption_mode =
 182                         ctx->filenames_encryption_mode;
 183                 policy->flags = ctx->flags;
 184                 memcpy(policy->master_key_descriptor,
 185                        ctx->master_key_descriptor,
 186                        sizeof(policy->master_key_descriptor));
 187                 return 0;
 188         }
 189         case LLCRYPT_CONTEXT_V2: {
 190                 const struct llcrypt_context_v2 *ctx = &ctx_u->v2;
 191                 struct llcrypt_policy_v2 *policy = &policy_u->v2;
 192
 193                 policy->version = LLCRYPT_POLICY_V2;
 194                 policy->contents_encryption_mode =
 195                         ctx->contents_encryption_mode;
 196                 policy->filenames_encryption_mode =
 197                         ctx->filenames_encryption_mode;
 198                 policy->flags = ctx->flags;
 199                 memcpy(policy->__reserved, ctx->__reserved,
 200                        sizeof(policy->__reserved));
 201                 memcpy(policy->master_key_identifier,
 202                        ctx->master_key_identifier,
 203                        sizeof(policy->master_key_identifier));
 204                 return 0;
 205         }
 206         }
 207         /* unreachable */
 208         return -EINVAL;
 209 }
 210
 211 /* Retrieve an inode's encryption policy */
 212 static int llcrypt_get_policy(struct inode *inode, union llcrypt_policy *policy)
 213 {
 214         const struct llcrypt_info *ci;
 215         union llcrypt_context ctx;
 216         struct lustre_sb_info *lsi = s2lsi(inode->i_sb);
 217         int ret;
 218
 219         ci = (struct llcrypt_info *)READ_ONCE(llcrypt_info_nocast(inode));
 220         if (ci) {
 221                 /* key available, use the cached policy */
 222                 *policy = ci->ci_policy;
 223                 return 0;
 224         }
 225
 226         if (!IS_ENCRYPTED(inode))
 227                 return -ENODATA;
 228
 229         if (!lsi)
 230                 return -ENODATA;
 231
 232         ret = lsi->lsi_cop->get_context(inode, &ctx, sizeof(ctx));
 233         if (ret < 0)
 234                 return (ret == -ERANGE) ? -EINVAL : ret;
 235
 236         return llcrypt_policy_from_context(policy, &ctx, ret);
 237 }
 238
 239 static int set_encryption_policy(struct inode *inode,
 240                                  const union llcrypt_policy *policy)
 241 {
 242         union llcrypt_context ctx;
 243         int ctxsize;
 244         struct lustre_sb_info *lsi = s2lsi(inode->i_sb);
 245         int err;
 246
 247         if (!llcrypt_supported_policy(policy, inode))
 248                 return -EINVAL;
 249
 250         switch (policy->version) {
 251         case LLCRYPT_POLICY_V1:
 252                 /*
 253                  * The original encryption policy version provided no way of
 254                  * verifying that the correct master key was supplied, which was
 255                  * insecure in scenarios where multiple users have access to the
 256                  * same encrypted files (even just read-only access).  The new
 257                  * encryption policy version fixes this and also implies use of
 258                  * an improved key derivation function and allows non-root users
 259                  * to securely remove keys.  So as long as compatibility with
 260                  * old kernels isn't required, it is recommended to use the new
 261                  * policy version for all new encrypted directories.
 262                  */
 263                 pr_warn_once("%s (pid %d) is setting deprecated v1 encryption policy; recommend upgrading to v2.\n",
 264                              current->comm, current->pid);
 265                 break;
 266         case LLCRYPT_POLICY_V2:
 267                 err = llcrypt_verify_key_added(inode->i_sb,
 268                                                policy->v2.master_key_identifier);
 269                 if (err)
 270                         return err;
 271                 break;
 272         default:
 273                 WARN_ON(1);
 274                 return -EINVAL;
 275         }
 276
 277         ctxsize = llcrypt_new_context_from_policy(&ctx, policy);
 278
 279         if (!lsi)
 280                 return -EINVAL;
 281
 282         return lsi->lsi_cop->set_context(inode, &ctx, ctxsize, NULL);
 283 }
 284
 285 int llcrypt_ioctl_set_policy(struct file *filp, const void __user *arg)
 286 {
 287         union llcrypt_policy policy;
 288         union llcrypt_policy existing_policy;
 289         struct inode *inode = file_inode(filp);
 290         u8 version;
 291         int size;
 292         int ret;
 293
 294         if (get_user(policy.version, (const u8 __user *)arg))
 295                 return -EFAULT;
 296
 297         size = llcrypt_policy_size(&policy);
 298         if (size <= 0)
 299                 return -EINVAL;
 300
 301         /*
 302          * We should just copy the remaining 'size - 1' bytes here, but a
 303          * bizarre bug in gcc 7 and earlier (fixed by gcc r255731) causes gcc to
 304          * think that size can be 0 here (despite the check above!) *and* that
 305          * it's a compile-time constant.  Thus it would think copy_from_user()
 306          * is passed compile-time constant ULONG_MAX, causing the compile-time
 307          * buffer overflow check to fail, breaking the build. This only occurred
 308          * when building an i386 kernel with -Os and branch profiling enabled.
 309          *
 310          * Work around it by just copying the first byte again...
 311          */
 312         version = policy.version;
 313         if (copy_from_user(&policy, arg, size))
 314                 return -EFAULT;
 315         policy.version = version;
 316
 317         if (!inode_owner_or_capable(inode))
 318                 return -EACCES;
 319
 320         ret = mnt_want_write_file(filp);
 321         if (ret)
 322                 return ret;
 323
 324         inode_lock(inode);
 325
 326         ret = llcrypt_get_policy(inode, &existing_policy);
 327         if (ret == -ENODATA) {
 328                 struct lustre_sb_info *lsi = s2lsi(inode->i_sb);
 329
 330                 if (!S_ISDIR(inode->i_mode))
 331                         ret = -ENOTDIR;
 332                 else if (IS_DEADDIR(inode))
 333                         ret = -ENOENT;
 334                 else if (lsi && !lsi->lsi_cop->empty_dir(inode))
 335                         ret = -ENOTEMPTY;
 336                 else
 337                         ret = set_encryption_policy(inode, &policy);
 338         } else if (ret == -EINVAL ||
 339                    (ret == 0 && !llcrypt_policies_equal(&policy,
 340                                                         &existing_policy))) {
 341                 /* The file already uses a different encryption policy. */
 342                 ret = -EEXIST;
 343         }
 344
 345         inode_unlock(inode);
 346
 347         mnt_drop_write_file(filp);
 348         return ret;
 349 }
 350 EXPORT_SYMBOL(llcrypt_ioctl_set_policy);
 351
 352 /* Original ioctl version; can only get the original policy version */
 353 int llcrypt_ioctl_get_policy(struct file *filp, void __user *arg)
 354 {
 355         union llcrypt_policy policy;
 356         int err;
 357
 358         err = llcrypt_get_policy(file_inode(filp), &policy);
 359         if (err)
 360                 return err;
 361
 362         if (policy.version != LLCRYPT_POLICY_V1)
 363                 return -EINVAL;
 364
 365         if (copy_to_user(arg, &policy, sizeof(policy.v1)))
 366                 return -EFAULT;
 367         return 0;
 368 }
 369 EXPORT_SYMBOL(llcrypt_ioctl_get_policy);
 370
 371 /* Valid filenames_encryption_mode associated with contents_encryption_mode,
 372  * as imposed by llcrypt_valid_enc_modes()
 373  */
 374 static inline u8 contents2filenames_encmode(u8 contents_encryption_mode)
 375 {
 376         if (contents_encryption_mode == LLCRYPT_MODE_AES_128_CBC)
 377                 return LLCRYPT_MODE_AES_128_CTS;
 378         if (contents_encryption_mode == LLCRYPT_MODE_AES_256_XTS)
 379                 return LLCRYPT_MODE_AES_256_CTS;
 380         if (contents_encryption_mode == LLCRYPT_MODE_ADIANTUM)
 381                 return LLCRYPT_MODE_ADIANTUM;
 382         return LLCRYPT_MODE_NULL;
 383 }
 384
 385 /* Extended ioctl version; can get policies of any version */
 386 int llcrypt_ioctl_get_policy_ex(struct file *filp, void __user *uarg)
 387 {
 388         struct llcrypt_get_policy_ex_arg arg;
 389         union llcrypt_policy *policy = (union llcrypt_policy *)&arg.policy;
 390         size_t policy_size;
 391         struct inode *inode = file_inode(filp);
 392         int err;
 393
 394         /* arg is policy_size, then policy */
 395         BUILD_BUG_ON(offsetof(typeof(arg), policy_size) != 0);
 396         BUILD_BUG_ON(offsetofend(typeof(arg), policy_size) !=
 397                      offsetof(typeof(arg), policy));
 398         BUILD_BUG_ON(sizeof(arg.policy) != sizeof(*policy));
 399
 400         err = llcrypt_get_policy(file_inode(filp), policy);
 401         if (err)
 402                 return err;
 403         policy_size = llcrypt_policy_size(policy);
 404
 405         if (copy_from_user(&arg, uarg, sizeof(arg.policy_size)))
 406                 return -EFAULT;
 407
 408         if (policy_size > arg.policy_size)
 409                 return -EOVERFLOW;
 410         arg.policy_size = policy_size;
 411
 412         /* Do not return null filenames_encryption_mode to userspace, as it is
 413          * unknown. Instead, return valid mode associated with
 414          * contents_encryption_mode, as imposed by llcrypt_valid_enc_modes().
 415          */
 416         switch (policy->version) {
 417         case LLCRYPT_POLICY_V1:
 418                 if (policy->v1.filenames_encryption_mode == LLCRYPT_MODE_NULL) {
 419                         policy->v1.filenames_encryption_mode =
 420                                 contents2filenames_encmode(
 421                                         policy->v1.contents_encryption_mode);
 422                         CWARN("inode %lu: returning policy filenames_encryption_mode as %d, but is in fact null\n",
 423                               inode->i_ino,
 424                               policy->v1.filenames_encryption_mode);
 425                 }
 426                 break;
 427         case LLCRYPT_POLICY_V2:
 428                 if (policy->v2.filenames_encryption_mode == LLCRYPT_MODE_NULL) {
 429                         policy->v2.filenames_encryption_mode =
 430                                 contents2filenames_encmode(
 431                                         policy->v2.contents_encryption_mode);
 432                         CWARN("inode %lu: returning policy filenames_encryption_mode as %d, but is in fact null\n",
 433                               inode->i_ino,
 434                               policy->v2.filenames_encryption_mode);
 435                 }
 436                 break;
 437         }
 438
 439         if (copy_to_user(uarg, &arg, sizeof(arg.policy_size) + policy_size))
 440                 return -EFAULT;
 441         return 0;
 442 }
 443 EXPORT_SYMBOL_GPL(llcrypt_ioctl_get_policy_ex);
 444
 445 /**
 446  * llcrypt_has_permitted_context() - is a file's encryption policy permitted
 447  *                                   within its directory?
 448  *
 449  * @parent: inode for parent directory
 450  * @child: inode for file being looked up, opened, or linked into @parent
 451  *
 452  * Filesystems must call this before permitting access to an inode in a
 453  * situation where the parent directory is encrypted (either before allowing
 454  * ->lookup() to succeed, or for a regular file before allowing it to be opened)
 455  * and before any operation that involves linking an inode into an encrypted
 456  * directory, including link, rename, and cross rename.  It enforces the
 457  * constraint that within a given encrypted directory tree, all files use the
 458  * same encryption policy.  The pre-access check is needed to detect potentially
 459  * malicious offline violations of this constraint, while the link and rename
 460  * checks are needed to prevent online violations of this constraint.
 461  *
 462  * Return: 1 if permitted, 0 if forbidden.
 463  */
 464 int llcrypt_has_permitted_context(struct inode *parent, struct inode *child)
 465 {
 466         union llcrypt_policy parent_policy, child_policy;
 467         int err;
 468
 469         /* No restrictions on file types which are never encrypted */
 470         if (!S_ISREG(child->i_mode) && !S_ISDIR(child->i_mode) &&
 471             !S_ISLNK(child->i_mode))
 472                 return 1;
 473
 474         /* No restrictions if the parent directory is unencrypted */
 475         if (!IS_ENCRYPTED(parent))
 476                 return 1;
 477
 478         /* Encrypted directories must not contain unencrypted files */
 479         if (!IS_ENCRYPTED(child))
 480                 return 0;
 481
 482         /*
 483          * Both parent and child are encrypted, so verify they use the same
 484          * encryption policy.  Compare the llcrypt_info structs if the keys are
 485          * available, otherwise retrieve and compare the llcrypt_contexts.
 486          *
 487          * Note that the llcrypt_context retrieval will be required frequently
 488          * when accessing an encrypted directory tree without the key.
 489          * Performance-wise this is not a big deal because we already don't
 490          * really optimize for file access without the key (to the extent that
 491          * such access is even possible), given that any attempted access
 492          * already causes a llcrypt_context retrieval and keyring search.
 493          *
 494          * In any case, if an unexpected error occurs, fall back to "forbidden".
 495          */
 496
 497         err = llcrypt_get_encryption_info(parent);
 498         if (err)
 499                 return 0;
 500         err = llcrypt_get_encryption_info(child);
 501         if (err)
 502                 return 0;
 503
 504         err = llcrypt_get_policy(parent, &parent_policy);
 505         if (err)
 506                 return 0;
 507
 508         err = llcrypt_get_policy(child, &child_policy);
 509         if (err)
 510                 return 0;
 511
 512         return llcrypt_policies_equal(&parent_policy, &child_policy);
 513 }
 514 EXPORT_SYMBOL(llcrypt_has_permitted_context);
 515
 516 /**
 517  * llcrypt_inherit_context() - Sets a child context from its parent
 518  * @parent: Parent inode from which the context is inherited.
 519  * @child:  Child inode that inherits the context from @parent.
 520  * @fs_data:  private data given by FS.
 521  * @preload:  preload child crypt info if true
 522  *
 523  * Return: 0 on success, -errno on failure
 524  */
 525 int llcrypt_inherit_context(struct inode *parent, struct inode *child,
 526                                                 void *fs_data, bool preload)
 527 {
 528         union llcrypt_context ctx;
 529         int ctxsize;
 530         struct llcrypt_info *ci;
 531         struct lustre_sb_info *lsi = s2lsi(parent->i_sb);
 532         int res;
 533
 534         res = llcrypt_get_encryption_info(parent);
 535         if (res < 0)
 536                 return res;
 537
 538         ci = (struct llcrypt_info *)READ_ONCE(llcrypt_info_nocast(parent));
 539         if (ci == NULL)
 540                 return -ENOKEY;
 541
 542         if (!lsi)
 543                 return -ENOKEY;
 544
 545         ctxsize = llcrypt_new_context_from_policy(&ctx, &ci->ci_policy);
 546
 547         BUILD_BUG_ON(sizeof(ctx) != LLCRYPT_SET_CONTEXT_MAX_SIZE);
 548         res = lsi->lsi_cop->set_context(child, &ctx, ctxsize, fs_data);
 549         if (res)
 550                 return res;
 551         return preload ? llcrypt_get_encryption_info(child): 0;
 552 }
 553 EXPORT_SYMBOL(llcrypt_inherit_context);