Merge tag 'arm64-fixes' of git://git.kernel.org/pub/scm/linux/kernel/git/arm64/linux
[platform/kernel/linux-rpi.git] / drivers / md / dm-crypt.c
1 /*
2  * Copyright (C) 2003 Jana Saout <jana@saout.de>
3  * Copyright (C) 2004 Clemens Fruhwirth <clemens@endorphin.org>
4  * Copyright (C) 2006-2017 Red Hat, Inc. All rights reserved.
5  * Copyright (C) 2013-2017 Milan Broz <gmazyland@gmail.com>
6  *
7  * This file is released under the GPL.
8  */
9
10 #include <linux/completion.h>
11 #include <linux/err.h>
12 #include <linux/module.h>
13 #include <linux/init.h>
14 #include <linux/kernel.h>
15 #include <linux/key.h>
16 #include <linux/bio.h>
17 #include <linux/blkdev.h>
18 #include <linux/mempool.h>
19 #include <linux/slab.h>
20 #include <linux/crypto.h>
21 #include <linux/workqueue.h>
22 #include <linux/kthread.h>
23 #include <linux/backing-dev.h>
24 #include <linux/atomic.h>
25 #include <linux/scatterlist.h>
26 #include <linux/rbtree.h>
27 #include <linux/ctype.h>
28 #include <asm/page.h>
29 #include <asm/unaligned.h>
30 #include <crypto/hash.h>
31 #include <crypto/md5.h>
32 #include <crypto/algapi.h>
33 #include <crypto/skcipher.h>
34 #include <crypto/aead.h>
35 #include <crypto/authenc.h>
36 #include <linux/rtnetlink.h> /* for struct rtattr and RTA macros only */
37 #include <keys/user-type.h>
38
39 #include <linux/device-mapper.h>
40
41 #define DM_MSG_PREFIX "crypt"
42
43 /*
44  * context holding the current state of a multi-part conversion
45  */
46 struct convert_context {
47         struct completion restart;
48         struct bio *bio_in;
49         struct bio *bio_out;
50         struct bvec_iter iter_in;
51         struct bvec_iter iter_out;
52         u64 cc_sector;
53         atomic_t cc_pending;
54         union {
55                 struct skcipher_request *req;
56                 struct aead_request *req_aead;
57         } r;
58
59 };
60
61 /*
62  * per bio private data
63  */
64 struct dm_crypt_io {
65         struct crypt_config *cc;
66         struct bio *base_bio;
67         u8 *integrity_metadata;
68         bool integrity_metadata_from_pool;
69         struct work_struct work;
70
71         struct convert_context ctx;
72
73         atomic_t io_pending;
74         blk_status_t error;
75         sector_t sector;
76
77         struct rb_node rb_node;
78 } CRYPTO_MINALIGN_ATTR;
79
80 struct dm_crypt_request {
81         struct convert_context *ctx;
82         struct scatterlist sg_in[4];
83         struct scatterlist sg_out[4];
84         u64 iv_sector;
85 };
86
87 struct crypt_config;
88
89 struct crypt_iv_operations {
90         int (*ctr)(struct crypt_config *cc, struct dm_target *ti,
91                    const char *opts);
92         void (*dtr)(struct crypt_config *cc);
93         int (*init)(struct crypt_config *cc);
94         int (*wipe)(struct crypt_config *cc);
95         int (*generator)(struct crypt_config *cc, u8 *iv,
96                          struct dm_crypt_request *dmreq);
97         int (*post)(struct crypt_config *cc, u8 *iv,
98                     struct dm_crypt_request *dmreq);
99 };
100
101 struct iv_benbi_private {
102         int shift;
103 };
104
105 #define LMK_SEED_SIZE 64 /* hash + 0 */
106 struct iv_lmk_private {
107         struct crypto_shash *hash_tfm;
108         u8 *seed;
109 };
110
111 #define TCW_WHITENING_SIZE 16
112 struct iv_tcw_private {
113         struct crypto_shash *crc32_tfm;
114         u8 *iv_seed;
115         u8 *whitening;
116 };
117
118 /*
119  * Crypt: maps a linear range of a block device
120  * and encrypts / decrypts at the same time.
121  */
122 enum flags { DM_CRYPT_SUSPENDED, DM_CRYPT_KEY_VALID,
123              DM_CRYPT_SAME_CPU, DM_CRYPT_NO_OFFLOAD };
124
125 enum cipher_flags {
126         CRYPT_MODE_INTEGRITY_AEAD,      /* Use authenticated mode for cihper */
127         CRYPT_IV_LARGE_SECTORS,         /* Calculate IV from sector_size, not 512B sectors */
128 };
129
130 /*
131  * The fields in here must be read only after initialization.
132  */
133 struct crypt_config {
134         struct dm_dev *dev;
135         sector_t start;
136
137         struct percpu_counter n_allocated_pages;
138
139         struct workqueue_struct *io_queue;
140         struct workqueue_struct *crypt_queue;
141
142         spinlock_t write_thread_lock;
143         struct task_struct *write_thread;
144         struct rb_root write_tree;
145
146         char *cipher_string;
147         char *cipher_auth;
148         char *key_string;
149
150         const struct crypt_iv_operations *iv_gen_ops;
151         union {
152                 struct iv_benbi_private benbi;
153                 struct iv_lmk_private lmk;
154                 struct iv_tcw_private tcw;
155         } iv_gen_private;
156         u64 iv_offset;
157         unsigned int iv_size;
158         unsigned short int sector_size;
159         unsigned char sector_shift;
160
161         union {
162                 struct crypto_skcipher **tfms;
163                 struct crypto_aead **tfms_aead;
164         } cipher_tfm;
165         unsigned tfms_count;
166         unsigned long cipher_flags;
167
168         /*
169          * Layout of each crypto request:
170          *
171          *   struct skcipher_request
172          *      context
173          *      padding
174          *   struct dm_crypt_request
175          *      padding
176          *   IV
177          *
178          * The padding is added so that dm_crypt_request and the IV are
179          * correctly aligned.
180          */
181         unsigned int dmreq_start;
182
183         unsigned int per_bio_data_size;
184
185         unsigned long flags;
186         unsigned int key_size;
187         unsigned int key_parts;      /* independent parts in key buffer */
188         unsigned int key_extra_size; /* additional keys length */
189         unsigned int key_mac_size;   /* MAC key size for authenc(...) */
190
191         unsigned int integrity_tag_size;
192         unsigned int integrity_iv_size;
193         unsigned int on_disk_tag_size;
194
195         /*
196          * pool for per bio private data, crypto requests,
197          * encryption requeusts/buffer pages and integrity tags
198          */
199         unsigned tag_pool_max_sectors;
200         mempool_t tag_pool;
201         mempool_t req_pool;
202         mempool_t page_pool;
203
204         struct bio_set bs;
205         struct mutex bio_alloc_lock;
206
207         u8 *authenc_key; /* space for keys in authenc() format (if used) */
208         u8 key[0];
209 };
210
211 #define MIN_IOS         64
212 #define MAX_TAG_SIZE    480
213 #define POOL_ENTRY_SIZE 512
214
215 static DEFINE_SPINLOCK(dm_crypt_clients_lock);
216 static unsigned dm_crypt_clients_n = 0;
217 static volatile unsigned long dm_crypt_pages_per_client;
218 #define DM_CRYPT_MEMORY_PERCENT                 2
219 #define DM_CRYPT_MIN_PAGES_PER_CLIENT           (BIO_MAX_PAGES * 16)
220
221 static void clone_init(struct dm_crypt_io *, struct bio *);
222 static void kcryptd_queue_crypt(struct dm_crypt_io *io);
223 static struct scatterlist *crypt_get_sg_data(struct crypt_config *cc,
224                                              struct scatterlist *sg);
225
226 /*
227  * Use this to access cipher attributes that are independent of the key.
228  */
229 static struct crypto_skcipher *any_tfm(struct crypt_config *cc)
230 {
231         return cc->cipher_tfm.tfms[0];
232 }
233
234 static struct crypto_aead *any_tfm_aead(struct crypt_config *cc)
235 {
236         return cc->cipher_tfm.tfms_aead[0];
237 }
238
239 /*
240  * Different IV generation algorithms:
241  *
242  * plain: the initial vector is the 32-bit little-endian version of the sector
243  *        number, padded with zeros if necessary.
244  *
245  * plain64: the initial vector is the 64-bit little-endian version of the sector
246  *        number, padded with zeros if necessary.
247  *
248  * plain64be: the initial vector is the 64-bit big-endian version of the sector
249  *        number, padded with zeros if necessary.
250  *
251  * essiv: "encrypted sector|salt initial vector", the sector number is
252  *        encrypted with the bulk cipher using a salt as key. The salt
253  *        should be derived from the bulk cipher's key via hashing.
254  *
255  * benbi: the 64-bit "big-endian 'narrow block'-count", starting at 1
256  *        (needed for LRW-32-AES and possible other narrow block modes)
257  *
258  * null: the initial vector is always zero.  Provides compatibility with
259  *       obsolete loop_fish2 devices.  Do not use for new devices.
260  *
261  * lmk:  Compatible implementation of the block chaining mode used
262  *       by the Loop-AES block device encryption system
263  *       designed by Jari Ruusu. See http://loop-aes.sourceforge.net/
264  *       It operates on full 512 byte sectors and uses CBC
265  *       with an IV derived from the sector number, the data and
266  *       optionally extra IV seed.
267  *       This means that after decryption the first block
268  *       of sector must be tweaked according to decrypted data.
269  *       Loop-AES can use three encryption schemes:
270  *         version 1: is plain aes-cbc mode
271  *         version 2: uses 64 multikey scheme with lmk IV generator
272  *         version 3: the same as version 2 with additional IV seed
273  *                   (it uses 65 keys, last key is used as IV seed)
274  *
275  * tcw:  Compatible implementation of the block chaining mode used
276  *       by the TrueCrypt device encryption system (prior to version 4.1).
277  *       For more info see: https://gitlab.com/cryptsetup/cryptsetup/wikis/TrueCryptOnDiskFormat
278  *       It operates on full 512 byte sectors and uses CBC
279  *       with an IV derived from initial key and the sector number.
280  *       In addition, whitening value is applied on every sector, whitening
281  *       is calculated from initial key, sector number and mixed using CRC32.
282  *       Note that this encryption scheme is vulnerable to watermarking attacks
283  *       and should be used for old compatible containers access only.
284  *
285  * eboiv: Encrypted byte-offset IV (used in Bitlocker in CBC mode)
286  *        The IV is encrypted little-endian byte-offset (with the same key
287  *        and cipher as the volume).
288  */
289
290 static int crypt_iv_plain_gen(struct crypt_config *cc, u8 *iv,
291                               struct dm_crypt_request *dmreq)
292 {
293         memset(iv, 0, cc->iv_size);
294         *(__le32 *)iv = cpu_to_le32(dmreq->iv_sector & 0xffffffff);
295
296         return 0;
297 }
298
299 static int crypt_iv_plain64_gen(struct crypt_config *cc, u8 *iv,
300                                 struct dm_crypt_request *dmreq)
301 {
302         memset(iv, 0, cc->iv_size);
303         *(__le64 *)iv = cpu_to_le64(dmreq->iv_sector);
304
305         return 0;
306 }
307
308 static int crypt_iv_plain64be_gen(struct crypt_config *cc, u8 *iv,
309                                   struct dm_crypt_request *dmreq)
310 {
311         memset(iv, 0, cc->iv_size);
312         /* iv_size is at least of size u64; usually it is 16 bytes */
313         *(__be64 *)&iv[cc->iv_size - sizeof(u64)] = cpu_to_be64(dmreq->iv_sector);
314
315         return 0;
316 }
317
318 static int crypt_iv_essiv_gen(struct crypt_config *cc, u8 *iv,
319                               struct dm_crypt_request *dmreq)
320 {
321         /*
322          * ESSIV encryption of the IV is now handled by the crypto API,
323          * so just pass the plain sector number here.
324          */
325         memset(iv, 0, cc->iv_size);
326         *(__le64 *)iv = cpu_to_le64(dmreq->iv_sector);
327
328         return 0;
329 }
330
331 static int crypt_iv_benbi_ctr(struct crypt_config *cc, struct dm_target *ti,
332                               const char *opts)
333 {
334         unsigned bs = crypto_skcipher_blocksize(any_tfm(cc));
335         int log = ilog2(bs);
336
337         /* we need to calculate how far we must shift the sector count
338          * to get the cipher block count, we use this shift in _gen */
339
340         if (1 << log != bs) {
341                 ti->error = "cypher blocksize is not a power of 2";
342                 return -EINVAL;
343         }
344
345         if (log > 9) {
346                 ti->error = "cypher blocksize is > 512";
347                 return -EINVAL;
348         }
349
350         cc->iv_gen_private.benbi.shift = 9 - log;
351
352         return 0;
353 }
354
355 static void crypt_iv_benbi_dtr(struct crypt_config *cc)
356 {
357 }
358
359 static int crypt_iv_benbi_gen(struct crypt_config *cc, u8 *iv,
360                               struct dm_crypt_request *dmreq)
361 {
362         __be64 val;
363
364         memset(iv, 0, cc->iv_size - sizeof(u64)); /* rest is cleared below */
365
366         val = cpu_to_be64(((u64)dmreq->iv_sector << cc->iv_gen_private.benbi.shift) + 1);
367         put_unaligned(val, (__be64 *)(iv + cc->iv_size - sizeof(u64)));
368
369         return 0;
370 }
371
372 static int crypt_iv_null_gen(struct crypt_config *cc, u8 *iv,
373                              struct dm_crypt_request *dmreq)
374 {
375         memset(iv, 0, cc->iv_size);
376
377         return 0;
378 }
379
380 static void crypt_iv_lmk_dtr(struct crypt_config *cc)
381 {
382         struct iv_lmk_private *lmk = &cc->iv_gen_private.lmk;
383
384         if (lmk->hash_tfm && !IS_ERR(lmk->hash_tfm))
385                 crypto_free_shash(lmk->hash_tfm);
386         lmk->hash_tfm = NULL;
387
388         kzfree(lmk->seed);
389         lmk->seed = NULL;
390 }
391
392 static int crypt_iv_lmk_ctr(struct crypt_config *cc, struct dm_target *ti,
393                             const char *opts)
394 {
395         struct iv_lmk_private *lmk = &cc->iv_gen_private.lmk;
396
397         if (cc->sector_size != (1 << SECTOR_SHIFT)) {
398                 ti->error = "Unsupported sector size for LMK";
399                 return -EINVAL;
400         }
401
402         lmk->hash_tfm = crypto_alloc_shash("md5", 0, 0);
403         if (IS_ERR(lmk->hash_tfm)) {
404                 ti->error = "Error initializing LMK hash";
405                 return PTR_ERR(lmk->hash_tfm);
406         }
407
408         /* No seed in LMK version 2 */
409         if (cc->key_parts == cc->tfms_count) {
410                 lmk->seed = NULL;
411                 return 0;
412         }
413
414         lmk->seed = kzalloc(LMK_SEED_SIZE, GFP_KERNEL);
415         if (!lmk->seed) {
416                 crypt_iv_lmk_dtr(cc);
417                 ti->error = "Error kmallocing seed storage in LMK";
418                 return -ENOMEM;
419         }
420
421         return 0;
422 }
423
424 static int crypt_iv_lmk_init(struct crypt_config *cc)
425 {
426         struct iv_lmk_private *lmk = &cc->iv_gen_private.lmk;
427         int subkey_size = cc->key_size / cc->key_parts;
428
429         /* LMK seed is on the position of LMK_KEYS + 1 key */
430         if (lmk->seed)
431                 memcpy(lmk->seed, cc->key + (cc->tfms_count * subkey_size),
432                        crypto_shash_digestsize(lmk->hash_tfm));
433
434         return 0;
435 }
436
437 static int crypt_iv_lmk_wipe(struct crypt_config *cc)
438 {
439         struct iv_lmk_private *lmk = &cc->iv_gen_private.lmk;
440
441         if (lmk->seed)
442                 memset(lmk->seed, 0, LMK_SEED_SIZE);
443
444         return 0;
445 }
446
447 static int crypt_iv_lmk_one(struct crypt_config *cc, u8 *iv,
448                             struct dm_crypt_request *dmreq,
449                             u8 *data)
450 {
451         struct iv_lmk_private *lmk = &cc->iv_gen_private.lmk;
452         SHASH_DESC_ON_STACK(desc, lmk->hash_tfm);
453         struct md5_state md5state;
454         __le32 buf[4];
455         int i, r;
456
457         desc->tfm = lmk->hash_tfm;
458
459         r = crypto_shash_init(desc);
460         if (r)
461                 return r;
462
463         if (lmk->seed) {
464                 r = crypto_shash_update(desc, lmk->seed, LMK_SEED_SIZE);
465                 if (r)
466                         return r;
467         }
468
469         /* Sector is always 512B, block size 16, add data of blocks 1-31 */
470         r = crypto_shash_update(desc, data + 16, 16 * 31);
471         if (r)
472                 return r;
473
474         /* Sector is cropped to 56 bits here */
475         buf[0] = cpu_to_le32(dmreq->iv_sector & 0xFFFFFFFF);
476         buf[1] = cpu_to_le32((((u64)dmreq->iv_sector >> 32) & 0x00FFFFFF) | 0x80000000);
477         buf[2] = cpu_to_le32(4024);
478         buf[3] = 0;
479         r = crypto_shash_update(desc, (u8 *)buf, sizeof(buf));
480         if (r)
481                 return r;
482
483         /* No MD5 padding here */
484         r = crypto_shash_export(desc, &md5state);
485         if (r)
486                 return r;
487
488         for (i = 0; i < MD5_HASH_WORDS; i++)
489                 __cpu_to_le32s(&md5state.hash[i]);
490         memcpy(iv, &md5state.hash, cc->iv_size);
491
492         return 0;
493 }
494
495 static int crypt_iv_lmk_gen(struct crypt_config *cc, u8 *iv,
496                             struct dm_crypt_request *dmreq)
497 {
498         struct scatterlist *sg;
499         u8 *src;
500         int r = 0;
501
502         if (bio_data_dir(dmreq->ctx->bio_in) == WRITE) {
503                 sg = crypt_get_sg_data(cc, dmreq->sg_in);
504                 src = kmap_atomic(sg_page(sg));
505                 r = crypt_iv_lmk_one(cc, iv, dmreq, src + sg->offset);
506                 kunmap_atomic(src);
507         } else
508                 memset(iv, 0, cc->iv_size);
509
510         return r;
511 }
512
513 static int crypt_iv_lmk_post(struct crypt_config *cc, u8 *iv,
514                              struct dm_crypt_request *dmreq)
515 {
516         struct scatterlist *sg;
517         u8 *dst;
518         int r;
519
520         if (bio_data_dir(dmreq->ctx->bio_in) == WRITE)
521                 return 0;
522
523         sg = crypt_get_sg_data(cc, dmreq->sg_out);
524         dst = kmap_atomic(sg_page(sg));
525         r = crypt_iv_lmk_one(cc, iv, dmreq, dst + sg->offset);
526
527         /* Tweak the first block of plaintext sector */
528         if (!r)
529                 crypto_xor(dst + sg->offset, iv, cc->iv_size);
530
531         kunmap_atomic(dst);
532         return r;
533 }
534
535 static void crypt_iv_tcw_dtr(struct crypt_config *cc)
536 {
537         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
538
539         kzfree(tcw->iv_seed);
540         tcw->iv_seed = NULL;
541         kzfree(tcw->whitening);
542         tcw->whitening = NULL;
543
544         if (tcw->crc32_tfm && !IS_ERR(tcw->crc32_tfm))
545                 crypto_free_shash(tcw->crc32_tfm);
546         tcw->crc32_tfm = NULL;
547 }
548
549 static int crypt_iv_tcw_ctr(struct crypt_config *cc, struct dm_target *ti,
550                             const char *opts)
551 {
552         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
553
554         if (cc->sector_size != (1 << SECTOR_SHIFT)) {
555                 ti->error = "Unsupported sector size for TCW";
556                 return -EINVAL;
557         }
558
559         if (cc->key_size <= (cc->iv_size + TCW_WHITENING_SIZE)) {
560                 ti->error = "Wrong key size for TCW";
561                 return -EINVAL;
562         }
563
564         tcw->crc32_tfm = crypto_alloc_shash("crc32", 0, 0);
565         if (IS_ERR(tcw->crc32_tfm)) {
566                 ti->error = "Error initializing CRC32 in TCW";
567                 return PTR_ERR(tcw->crc32_tfm);
568         }
569
570         tcw->iv_seed = kzalloc(cc->iv_size, GFP_KERNEL);
571         tcw->whitening = kzalloc(TCW_WHITENING_SIZE, GFP_KERNEL);
572         if (!tcw->iv_seed || !tcw->whitening) {
573                 crypt_iv_tcw_dtr(cc);
574                 ti->error = "Error allocating seed storage in TCW";
575                 return -ENOMEM;
576         }
577
578         return 0;
579 }
580
581 static int crypt_iv_tcw_init(struct crypt_config *cc)
582 {
583         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
584         int key_offset = cc->key_size - cc->iv_size - TCW_WHITENING_SIZE;
585
586         memcpy(tcw->iv_seed, &cc->key[key_offset], cc->iv_size);
587         memcpy(tcw->whitening, &cc->key[key_offset + cc->iv_size],
588                TCW_WHITENING_SIZE);
589
590         return 0;
591 }
592
593 static int crypt_iv_tcw_wipe(struct crypt_config *cc)
594 {
595         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
596
597         memset(tcw->iv_seed, 0, cc->iv_size);
598         memset(tcw->whitening, 0, TCW_WHITENING_SIZE);
599
600         return 0;
601 }
602
603 static int crypt_iv_tcw_whitening(struct crypt_config *cc,
604                                   struct dm_crypt_request *dmreq,
605                                   u8 *data)
606 {
607         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
608         __le64 sector = cpu_to_le64(dmreq->iv_sector);
609         u8 buf[TCW_WHITENING_SIZE];
610         SHASH_DESC_ON_STACK(desc, tcw->crc32_tfm);
611         int i, r;
612
613         /* xor whitening with sector number */
614         crypto_xor_cpy(buf, tcw->whitening, (u8 *)&sector, 8);
615         crypto_xor_cpy(&buf[8], tcw->whitening + 8, (u8 *)&sector, 8);
616
617         /* calculate crc32 for every 32bit part and xor it */
618         desc->tfm = tcw->crc32_tfm;
619         for (i = 0; i < 4; i++) {
620                 r = crypto_shash_init(desc);
621                 if (r)
622                         goto out;
623                 r = crypto_shash_update(desc, &buf[i * 4], 4);
624                 if (r)
625                         goto out;
626                 r = crypto_shash_final(desc, &buf[i * 4]);
627                 if (r)
628                         goto out;
629         }
630         crypto_xor(&buf[0], &buf[12], 4);
631         crypto_xor(&buf[4], &buf[8], 4);
632
633         /* apply whitening (8 bytes) to whole sector */
634         for (i = 0; i < ((1 << SECTOR_SHIFT) / 8); i++)
635                 crypto_xor(data + i * 8, buf, 8);
636 out:
637         memzero_explicit(buf, sizeof(buf));
638         return r;
639 }
640
641 static int crypt_iv_tcw_gen(struct crypt_config *cc, u8 *iv,
642                             struct dm_crypt_request *dmreq)
643 {
644         struct scatterlist *sg;
645         struct iv_tcw_private *tcw = &cc->iv_gen_private.tcw;
646         __le64 sector = cpu_to_le64(dmreq->iv_sector);
647         u8 *src;
648         int r = 0;
649
650         /* Remove whitening from ciphertext */
651         if (bio_data_dir(dmreq->ctx->bio_in) != WRITE) {
652                 sg = crypt_get_sg_data(cc, dmreq->sg_in);
653                 src = kmap_atomic(sg_page(sg));
654                 r = crypt_iv_tcw_whitening(cc, dmreq, src + sg->offset);
655                 kunmap_atomic(src);
656         }
657
658         /* Calculate IV */
659         crypto_xor_cpy(iv, tcw->iv_seed, (u8 *)&sector, 8);
660         if (cc->iv_size > 8)
661                 crypto_xor_cpy(&iv[8], tcw->iv_seed + 8, (u8 *)&sector,
662                                cc->iv_size - 8);
663
664         return r;
665 }
666
667 static int crypt_iv_tcw_post(struct crypt_config *cc, u8 *iv,
668                              struct dm_crypt_request *dmreq)
669 {
670         struct scatterlist *sg;
671         u8 *dst;
672         int r;
673
674         if (bio_data_dir(dmreq->ctx->bio_in) != WRITE)
675                 return 0;
676
677         /* Apply whitening on ciphertext */
678         sg = crypt_get_sg_data(cc, dmreq->sg_out);
679         dst = kmap_atomic(sg_page(sg));
680         r = crypt_iv_tcw_whitening(cc, dmreq, dst + sg->offset);
681         kunmap_atomic(dst);
682
683         return r;
684 }
685
686 static int crypt_iv_random_gen(struct crypt_config *cc, u8 *iv,
687                                 struct dm_crypt_request *dmreq)
688 {
689         /* Used only for writes, there must be an additional space to store IV */
690         get_random_bytes(iv, cc->iv_size);
691         return 0;
692 }
693
694 static int crypt_iv_eboiv_ctr(struct crypt_config *cc, struct dm_target *ti,
695                             const char *opts)
696 {
697         if (test_bit(CRYPT_MODE_INTEGRITY_AEAD, &cc->cipher_flags)) {
698                 ti->error = "AEAD transforms not supported for EBOIV";
699                 return -EINVAL;
700         }
701
702         if (crypto_skcipher_blocksize(any_tfm(cc)) != cc->iv_size) {
703                 ti->error = "Block size of EBOIV cipher does "
704                             "not match IV size of block cipher";
705                 return -EINVAL;
706         }
707
708         return 0;
709 }
710
711 static int crypt_iv_eboiv_gen(struct crypt_config *cc, u8 *iv,
712                             struct dm_crypt_request *dmreq)
713 {
714         u8 buf[MAX_CIPHER_BLOCKSIZE] __aligned(__alignof__(__le64));
715         struct skcipher_request *req;
716         struct scatterlist src, dst;
717         struct crypto_wait wait;
718         int err;
719
720         req = skcipher_request_alloc(any_tfm(cc), GFP_KERNEL | GFP_NOFS);
721         if (!req)
722                 return -ENOMEM;
723
724         memset(buf, 0, cc->iv_size);
725         *(__le64 *)buf = cpu_to_le64(dmreq->iv_sector * cc->sector_size);
726
727         sg_init_one(&src, page_address(ZERO_PAGE(0)), cc->iv_size);
728         sg_init_one(&dst, iv, cc->iv_size);
729         skcipher_request_set_crypt(req, &src, &dst, cc->iv_size, buf);
730         skcipher_request_set_callback(req, 0, crypto_req_done, &wait);
731         err = crypto_wait_req(crypto_skcipher_encrypt(req), &wait);
732         skcipher_request_free(req);
733
734         return err;
735 }
736
737 static const struct crypt_iv_operations crypt_iv_plain_ops = {
738         .generator = crypt_iv_plain_gen
739 };
740
741 static const struct crypt_iv_operations crypt_iv_plain64_ops = {
742         .generator = crypt_iv_plain64_gen
743 };
744
745 static const struct crypt_iv_operations crypt_iv_plain64be_ops = {
746         .generator = crypt_iv_plain64be_gen
747 };
748
749 static const struct crypt_iv_operations crypt_iv_essiv_ops = {
750         .generator = crypt_iv_essiv_gen
751 };
752
753 static const struct crypt_iv_operations crypt_iv_benbi_ops = {
754         .ctr       = crypt_iv_benbi_ctr,
755         .dtr       = crypt_iv_benbi_dtr,
756         .generator = crypt_iv_benbi_gen
757 };
758
759 static const struct crypt_iv_operations crypt_iv_null_ops = {
760         .generator = crypt_iv_null_gen
761 };
762
763 static const struct crypt_iv_operations crypt_iv_lmk_ops = {
764         .ctr       = crypt_iv_lmk_ctr,
765         .dtr       = crypt_iv_lmk_dtr,
766         .init      = crypt_iv_lmk_init,
767         .wipe      = crypt_iv_lmk_wipe,
768         .generator = crypt_iv_lmk_gen,
769         .post      = crypt_iv_lmk_post
770 };
771
772 static const struct crypt_iv_operations crypt_iv_tcw_ops = {
773         .ctr       = crypt_iv_tcw_ctr,
774         .dtr       = crypt_iv_tcw_dtr,
775         .init      = crypt_iv_tcw_init,
776         .wipe      = crypt_iv_tcw_wipe,
777         .generator = crypt_iv_tcw_gen,
778         .post      = crypt_iv_tcw_post
779 };
780
781 static struct crypt_iv_operations crypt_iv_random_ops = {
782         .generator = crypt_iv_random_gen
783 };
784
785 static struct crypt_iv_operations crypt_iv_eboiv_ops = {
786         .ctr       = crypt_iv_eboiv_ctr,
787         .generator = crypt_iv_eboiv_gen
788 };
789
790 /*
791  * Integrity extensions
792  */
793 static bool crypt_integrity_aead(struct crypt_config *cc)
794 {
795         return test_bit(CRYPT_MODE_INTEGRITY_AEAD, &cc->cipher_flags);
796 }
797
798 static bool crypt_integrity_hmac(struct crypt_config *cc)
799 {
800         return crypt_integrity_aead(cc) && cc->key_mac_size;
801 }
802
803 /* Get sg containing data */
804 static struct scatterlist *crypt_get_sg_data(struct crypt_config *cc,
805                                              struct scatterlist *sg)
806 {
807         if (unlikely(crypt_integrity_aead(cc)))
808                 return &sg[2];
809
810         return sg;
811 }
812
813 static int dm_crypt_integrity_io_alloc(struct dm_crypt_io *io, struct bio *bio)
814 {
815         struct bio_integrity_payload *bip;
816         unsigned int tag_len;
817         int ret;
818
819         if (!bio_sectors(bio) || !io->cc->on_disk_tag_size)
820                 return 0;
821
822         bip = bio_integrity_alloc(bio, GFP_NOIO, 1);
823         if (IS_ERR(bip))
824                 return PTR_ERR(bip);
825
826         tag_len = io->cc->on_disk_tag_size * (bio_sectors(bio) >> io->cc->sector_shift);
827
828         bip->bip_iter.bi_size = tag_len;
829         bip->bip_iter.bi_sector = io->cc->start + io->sector;
830
831         ret = bio_integrity_add_page(bio, virt_to_page(io->integrity_metadata),
832                                      tag_len, offset_in_page(io->integrity_metadata));
833         if (unlikely(ret != tag_len))
834                 return -ENOMEM;
835
836         return 0;
837 }
838
839 static int crypt_integrity_ctr(struct crypt_config *cc, struct dm_target *ti)
840 {
841 #ifdef CONFIG_BLK_DEV_INTEGRITY
842         struct blk_integrity *bi = blk_get_integrity(cc->dev->bdev->bd_disk);
843         struct mapped_device *md = dm_table_get_md(ti->table);
844
845         /* From now we require underlying device with our integrity profile */
846         if (!bi || strcasecmp(bi->profile->name, "DM-DIF-EXT-TAG")) {
847                 ti->error = "Integrity profile not supported.";
848                 return -EINVAL;
849         }
850
851         if (bi->tag_size != cc->on_disk_tag_size ||
852             bi->tuple_size != cc->on_disk_tag_size) {
853                 ti->error = "Integrity profile tag size mismatch.";
854                 return -EINVAL;
855         }
856         if (1 << bi->interval_exp != cc->sector_size) {
857                 ti->error = "Integrity profile sector size mismatch.";
858                 return -EINVAL;
859         }
860
861         if (crypt_integrity_aead(cc)) {
862                 cc->integrity_tag_size = cc->on_disk_tag_size - cc->integrity_iv_size;
863                 DMDEBUG("%s: Integrity AEAD, tag size %u, IV size %u.", dm_device_name(md),
864                        cc->integrity_tag_size, cc->integrity_iv_size);
865
866                 if (crypto_aead_setauthsize(any_tfm_aead(cc), cc->integrity_tag_size)) {
867                         ti->error = "Integrity AEAD auth tag size is not supported.";
868                         return -EINVAL;
869                 }
870         } else if (cc->integrity_iv_size)
871                 DMDEBUG("%s: Additional per-sector space %u bytes for IV.", dm_device_name(md),
872                        cc->integrity_iv_size);
873
874         if ((cc->integrity_tag_size + cc->integrity_iv_size) != bi->tag_size) {
875                 ti->error = "Not enough space for integrity tag in the profile.";
876                 return -EINVAL;
877         }
878
879         return 0;
880 #else
881         ti->error = "Integrity profile not supported.";
882         return -EINVAL;
883 #endif
884 }
885
886 static void crypt_convert_init(struct crypt_config *cc,
887                                struct convert_context *ctx,
888                                struct bio *bio_out, struct bio *bio_in,
889                                sector_t sector)
890 {
891         ctx->bio_in = bio_in;
892         ctx->bio_out = bio_out;
893         if (bio_in)
894                 ctx->iter_in = bio_in->bi_iter;
895         if (bio_out)
896                 ctx->iter_out = bio_out->bi_iter;
897         ctx->cc_sector = sector + cc->iv_offset;
898         init_completion(&ctx->restart);
899 }
900
901 static struct dm_crypt_request *dmreq_of_req(struct crypt_config *cc,
902                                              void *req)
903 {
904         return (struct dm_crypt_request *)((char *)req + cc->dmreq_start);
905 }
906
907 static void *req_of_dmreq(struct crypt_config *cc, struct dm_crypt_request *dmreq)
908 {
909         return (void *)((char *)dmreq - cc->dmreq_start);
910 }
911
912 static u8 *iv_of_dmreq(struct crypt_config *cc,
913                        struct dm_crypt_request *dmreq)
914 {
915         if (crypt_integrity_aead(cc))
916                 return (u8 *)ALIGN((unsigned long)(dmreq + 1),
917                         crypto_aead_alignmask(any_tfm_aead(cc)) + 1);
918         else
919                 return (u8 *)ALIGN((unsigned long)(dmreq + 1),
920                         crypto_skcipher_alignmask(any_tfm(cc)) + 1);
921 }
922
923 static u8 *org_iv_of_dmreq(struct crypt_config *cc,
924                        struct dm_crypt_request *dmreq)
925 {
926         return iv_of_dmreq(cc, dmreq) + cc->iv_size;
927 }
928
929 static __le64 *org_sector_of_dmreq(struct crypt_config *cc,
930                        struct dm_crypt_request *dmreq)
931 {
932         u8 *ptr = iv_of_dmreq(cc, dmreq) + cc->iv_size + cc->iv_size;
933         return (__le64 *) ptr;
934 }
935
936 static unsigned int *org_tag_of_dmreq(struct crypt_config *cc,
937                        struct dm_crypt_request *dmreq)
938 {
939         u8 *ptr = iv_of_dmreq(cc, dmreq) + cc->iv_size +
940                   cc->iv_size + sizeof(uint64_t);
941         return (unsigned int*)ptr;
942 }
943
944 static void *tag_from_dmreq(struct crypt_config *cc,
945                                 struct dm_crypt_request *dmreq)
946 {
947         struct convert_context *ctx = dmreq->ctx;
948         struct dm_crypt_io *io = container_of(ctx, struct dm_crypt_io, ctx);
949
950         return &io->integrity_metadata[*org_tag_of_dmreq(cc, dmreq) *
951                 cc->on_disk_tag_size];
952 }
953
954 static void *iv_tag_from_dmreq(struct crypt_config *cc,
955                                struct dm_crypt_request *dmreq)
956 {
957         return tag_from_dmreq(cc, dmreq) + cc->integrity_tag_size;
958 }
959
960 static int crypt_convert_block_aead(struct crypt_config *cc,
961                                      struct convert_context *ctx,
962                                      struct aead_request *req,
963                                      unsigned int tag_offset)
964 {
965         struct bio_vec bv_in = bio_iter_iovec(ctx->bio_in, ctx->iter_in);
966         struct bio_vec bv_out = bio_iter_iovec(ctx->bio_out, ctx->iter_out);
967         struct dm_crypt_request *dmreq;
968         u8 *iv, *org_iv, *tag_iv, *tag;
969         __le64 *sector;
970         int r = 0;
971
972         BUG_ON(cc->integrity_iv_size && cc->integrity_iv_size != cc->iv_size);
973
974         /* Reject unexpected unaligned bio. */
975         if (unlikely(bv_in.bv_len & (cc->sector_size - 1)))
976                 return -EIO;
977
978         dmreq = dmreq_of_req(cc, req);
979         dmreq->iv_sector = ctx->cc_sector;
980         if (test_bit(CRYPT_IV_LARGE_SECTORS, &cc->cipher_flags))
981                 dmreq->iv_sector >>= cc->sector_shift;
982         dmreq->ctx = ctx;
983
984         *org_tag_of_dmreq(cc, dmreq) = tag_offset;
985
986         sector = org_sector_of_dmreq(cc, dmreq);
987         *sector = cpu_to_le64(ctx->cc_sector - cc->iv_offset);
988
989         iv = iv_of_dmreq(cc, dmreq);
990         org_iv = org_iv_of_dmreq(cc, dmreq);
991         tag = tag_from_dmreq(cc, dmreq);
992         tag_iv = iv_tag_from_dmreq(cc, dmreq);
993
994         /* AEAD request:
995          *  |----- AAD -------|------ DATA -------|-- AUTH TAG --|
996          *  | (authenticated) | (auth+encryption) |              |
997          *  | sector_LE |  IV |  sector in/out    |  tag in/out  |
998          */
999         sg_init_table(dmreq->sg_in, 4);
1000         sg_set_buf(&dmreq->sg_in[0], sector, sizeof(uint64_t));
1001         sg_set_buf(&dmreq->sg_in[1], org_iv, cc->iv_size);
1002         sg_set_page(&dmreq->sg_in[2], bv_in.bv_page, cc->sector_size, bv_in.bv_offset);
1003         sg_set_buf(&dmreq->sg_in[3], tag, cc->integrity_tag_size);
1004
1005         sg_init_table(dmreq->sg_out, 4);
1006         sg_set_buf(&dmreq->sg_out[0], sector, sizeof(uint64_t));
1007         sg_set_buf(&dmreq->sg_out[1], org_iv, cc->iv_size);
1008         sg_set_page(&dmreq->sg_out[2], bv_out.bv_page, cc->sector_size, bv_out.bv_offset);
1009         sg_set_buf(&dmreq->sg_out[3], tag, cc->integrity_tag_size);
1010
1011         if (cc->iv_gen_ops) {
1012                 /* For READs use IV stored in integrity metadata */
1013                 if (cc->integrity_iv_size && bio_data_dir(ctx->bio_in) != WRITE) {
1014                         memcpy(org_iv, tag_iv, cc->iv_size);
1015                 } else {
1016                         r = cc->iv_gen_ops->generator(cc, org_iv, dmreq);
1017                         if (r < 0)
1018                                 return r;
1019                         /* Store generated IV in integrity metadata */
1020                         if (cc->integrity_iv_size)
1021                                 memcpy(tag_iv, org_iv, cc->iv_size);
1022                 }
1023                 /* Working copy of IV, to be modified in crypto API */
1024                 memcpy(iv, org_iv, cc->iv_size);
1025         }
1026
1027         aead_request_set_ad(req, sizeof(uint64_t) + cc->iv_size);
1028         if (bio_data_dir(ctx->bio_in) == WRITE) {
1029                 aead_request_set_crypt(req, dmreq->sg_in, dmreq->sg_out,
1030                                        cc->sector_size, iv);
1031                 r = crypto_aead_encrypt(req);
1032                 if (cc->integrity_tag_size + cc->integrity_iv_size != cc->on_disk_tag_size)
1033                         memset(tag + cc->integrity_tag_size + cc->integrity_iv_size, 0,
1034                                cc->on_disk_tag_size - (cc->integrity_tag_size + cc->integrity_iv_size));
1035         } else {
1036                 aead_request_set_crypt(req, dmreq->sg_in, dmreq->sg_out,
1037                                        cc->sector_size + cc->integrity_tag_size, iv);
1038                 r = crypto_aead_decrypt(req);
1039         }
1040
1041         if (r == -EBADMSG) {
1042                 char b[BDEVNAME_SIZE];
1043                 DMERR_LIMIT("%s: INTEGRITY AEAD ERROR, sector %llu", bio_devname(ctx->bio_in, b),
1044                             (unsigned long long)le64_to_cpu(*sector));
1045         }
1046
1047         if (!r && cc->iv_gen_ops && cc->iv_gen_ops->post)
1048                 r = cc->iv_gen_ops->post(cc, org_iv, dmreq);
1049
1050         bio_advance_iter(ctx->bio_in, &ctx->iter_in, cc->sector_size);
1051         bio_advance_iter(ctx->bio_out, &ctx->iter_out, cc->sector_size);
1052
1053         return r;
1054 }
1055
1056 static int crypt_convert_block_skcipher(struct crypt_config *cc,
1057                                         struct convert_context *ctx,
1058                                         struct skcipher_request *req,
1059                                         unsigned int tag_offset)
1060 {
1061         struct bio_vec bv_in = bio_iter_iovec(ctx->bio_in, ctx->iter_in);
1062         struct bio_vec bv_out = bio_iter_iovec(ctx->bio_out, ctx->iter_out);
1063         struct scatterlist *sg_in, *sg_out;
1064         struct dm_crypt_request *dmreq;
1065         u8 *iv, *org_iv, *tag_iv;
1066         __le64 *sector;
1067         int r = 0;
1068
1069         /* Reject unexpected unaligned bio. */
1070         if (unlikely(bv_in.bv_len & (cc->sector_size - 1)))
1071                 return -EIO;
1072
1073         dmreq = dmreq_of_req(cc, req);
1074         dmreq->iv_sector = ctx->cc_sector;
1075         if (test_bit(CRYPT_IV_LARGE_SECTORS, &cc->cipher_flags))
1076                 dmreq->iv_sector >>= cc->sector_shift;
1077         dmreq->ctx = ctx;
1078
1079         *org_tag_of_dmreq(cc, dmreq) = tag_offset;
1080
1081         iv = iv_of_dmreq(cc, dmreq);
1082         org_iv = org_iv_of_dmreq(cc, dmreq);
1083         tag_iv = iv_tag_from_dmreq(cc, dmreq);
1084
1085         sector = org_sector_of_dmreq(cc, dmreq);
1086         *sector = cpu_to_le64(ctx->cc_sector - cc->iv_offset);
1087
1088         /* For skcipher we use only the first sg item */
1089         sg_in  = &dmreq->sg_in[0];
1090         sg_out = &dmreq->sg_out[0];
1091
1092         sg_init_table(sg_in, 1);
1093         sg_set_page(sg_in, bv_in.bv_page, cc->sector_size, bv_in.bv_offset);
1094
1095         sg_init_table(sg_out, 1);
1096         sg_set_page(sg_out, bv_out.bv_page, cc->sector_size, bv_out.bv_offset);
1097
1098         if (cc->iv_gen_ops) {
1099                 /* For READs use IV stored in integrity metadata */
1100                 if (cc->integrity_iv_size && bio_data_dir(ctx->bio_in) != WRITE) {
1101                         memcpy(org_iv, tag_iv, cc->integrity_iv_size);
1102                 } else {
1103                         r = cc->iv_gen_ops->generator(cc, org_iv, dmreq);
1104                         if (r < 0)
1105                                 return r;
1106                         /* Store generated IV in integrity metadata */
1107                         if (cc->integrity_iv_size)
1108                                 memcpy(tag_iv, org_iv, cc->integrity_iv_size);
1109                 }
1110                 /* Working copy of IV, to be modified in crypto API */
1111                 memcpy(iv, org_iv, cc->iv_size);
1112         }
1113
1114         skcipher_request_set_crypt(req, sg_in, sg_out, cc->sector_size, iv);
1115
1116         if (bio_data_dir(ctx->bio_in) == WRITE)
1117                 r = crypto_skcipher_encrypt(req);
1118         else
1119                 r = crypto_skcipher_decrypt(req);
1120
1121         if (!r && cc->iv_gen_ops && cc->iv_gen_ops->post)
1122                 r = cc->iv_gen_ops->post(cc, org_iv, dmreq);
1123
1124         bio_advance_iter(ctx->bio_in, &ctx->iter_in, cc->sector_size);
1125         bio_advance_iter(ctx->bio_out, &ctx->iter_out, cc->sector_size);
1126
1127         return r;
1128 }
1129
1130 static void kcryptd_async_done(struct crypto_async_request *async_req,
1131                                int error);
1132
1133 static void crypt_alloc_req_skcipher(struct crypt_config *cc,
1134                                      struct convert_context *ctx)
1135 {
1136         unsigned key_index = ctx->cc_sector & (cc->tfms_count - 1);
1137
1138         if (!ctx->r.req)
1139                 ctx->r.req = mempool_alloc(&cc->req_pool, GFP_NOIO);
1140
1141         skcipher_request_set_tfm(ctx->r.req, cc->cipher_tfm.tfms[key_index]);
1142
1143         /*
1144          * Use REQ_MAY_BACKLOG so a cipher driver internally backlogs
1145          * requests if driver request queue is full.
1146          */
1147         skcipher_request_set_callback(ctx->r.req,
1148             CRYPTO_TFM_REQ_MAY_BACKLOG,
1149             kcryptd_async_done, dmreq_of_req(cc, ctx->r.req));
1150 }
1151
1152 static void crypt_alloc_req_aead(struct crypt_config *cc,
1153                                  struct convert_context *ctx)
1154 {
1155         if (!ctx->r.req_aead)
1156                 ctx->r.req_aead = mempool_alloc(&cc->req_pool, GFP_NOIO);
1157
1158         aead_request_set_tfm(ctx->r.req_aead, cc->cipher_tfm.tfms_aead[0]);
1159
1160         /*
1161          * Use REQ_MAY_BACKLOG so a cipher driver internally backlogs
1162          * requests if driver request queue is full.
1163          */
1164         aead_request_set_callback(ctx->r.req_aead,
1165             CRYPTO_TFM_REQ_MAY_BACKLOG,
1166             kcryptd_async_done, dmreq_of_req(cc, ctx->r.req_aead));
1167 }
1168
1169 static void crypt_alloc_req(struct crypt_config *cc,
1170                             struct convert_context *ctx)
1171 {
1172         if (crypt_integrity_aead(cc))
1173                 crypt_alloc_req_aead(cc, ctx);
1174         else
1175                 crypt_alloc_req_skcipher(cc, ctx);
1176 }
1177
1178 static void crypt_free_req_skcipher(struct crypt_config *cc,
1179                                     struct skcipher_request *req, struct bio *base_bio)
1180 {
1181         struct dm_crypt_io *io = dm_per_bio_data(base_bio, cc->per_bio_data_size);
1182
1183         if ((struct skcipher_request *)(io + 1) != req)
1184                 mempool_free(req, &cc->req_pool);
1185 }
1186
1187 static void crypt_free_req_aead(struct crypt_config *cc,
1188                                 struct aead_request *req, struct bio *base_bio)
1189 {
1190         struct dm_crypt_io *io = dm_per_bio_data(base_bio, cc->per_bio_data_size);
1191
1192         if ((struct aead_request *)(io + 1) != req)
1193                 mempool_free(req, &cc->req_pool);
1194 }
1195
1196 static void crypt_free_req(struct crypt_config *cc, void *req, struct bio *base_bio)
1197 {
1198         if (crypt_integrity_aead(cc))
1199                 crypt_free_req_aead(cc, req, base_bio);
1200         else
1201                 crypt_free_req_skcipher(cc, req, base_bio);
1202 }
1203
1204 /*
1205  * Encrypt / decrypt data from one bio to another one (can be the same one)
1206  */
1207 static blk_status_t crypt_convert(struct crypt_config *cc,
1208                          struct convert_context *ctx)
1209 {
1210         unsigned int tag_offset = 0;
1211         unsigned int sector_step = cc->sector_size >> SECTOR_SHIFT;
1212         int r;
1213
1214         atomic_set(&ctx->cc_pending, 1);
1215
1216         while (ctx->iter_in.bi_size && ctx->iter_out.bi_size) {
1217
1218                 crypt_alloc_req(cc, ctx);
1219                 atomic_inc(&ctx->cc_pending);
1220
1221                 if (crypt_integrity_aead(cc))
1222                         r = crypt_convert_block_aead(cc, ctx, ctx->r.req_aead, tag_offset);
1223                 else
1224                         r = crypt_convert_block_skcipher(cc, ctx, ctx->r.req, tag_offset);
1225
1226                 switch (r) {
1227                 /*
1228                  * The request was queued by a crypto driver
1229                  * but the driver request queue is full, let's wait.
1230                  */
1231                 case -EBUSY:
1232                         wait_for_completion(&ctx->restart);
1233                         reinit_completion(&ctx->restart);
1234                         /* fall through */
1235                 /*
1236                  * The request is queued and processed asynchronously,
1237                  * completion function kcryptd_async_done() will be called.
1238                  */
1239                 case -EINPROGRESS:
1240                         ctx->r.req = NULL;
1241                         ctx->cc_sector += sector_step;
1242                         tag_offset++;
1243                         continue;
1244                 /*
1245                  * The request was already processed (synchronously).
1246                  */
1247                 case 0:
1248                         atomic_dec(&ctx->cc_pending);
1249                         ctx->cc_sector += sector_step;
1250                         tag_offset++;
1251                         cond_resched();
1252                         continue;
1253                 /*
1254                  * There was a data integrity error.
1255                  */
1256                 case -EBADMSG:
1257                         atomic_dec(&ctx->cc_pending);
1258                         return BLK_STS_PROTECTION;
1259                 /*
1260                  * There was an error while processing the request.
1261                  */
1262                 default:
1263                         atomic_dec(&ctx->cc_pending);
1264                         return BLK_STS_IOERR;
1265                 }
1266         }
1267
1268         return 0;
1269 }
1270
1271 static void crypt_free_buffer_pages(struct crypt_config *cc, struct bio *clone);
1272
1273 /*
1274  * Generate a new unfragmented bio with the given size
1275  * This should never violate the device limitations (but only because
1276  * max_segment_size is being constrained to PAGE_SIZE).
1277  *
1278  * This function may be called concurrently. If we allocate from the mempool
1279  * concurrently, there is a possibility of deadlock. For example, if we have
1280  * mempool of 256 pages, two processes, each wanting 256, pages allocate from
1281  * the mempool concurrently, it may deadlock in a situation where both processes
1282  * have allocated 128 pages and the mempool is exhausted.
1283  *
1284  * In order to avoid this scenario we allocate the pages under a mutex.
1285  *
1286  * In order to not degrade performance with excessive locking, we try
1287  * non-blocking allocations without a mutex first but on failure we fallback
1288  * to blocking allocations with a mutex.
1289  */
1290 static struct bio *crypt_alloc_buffer(struct dm_crypt_io *io, unsigned size)
1291 {
1292         struct crypt_config *cc = io->cc;
1293         struct bio *clone;
1294         unsigned int nr_iovecs = (size + PAGE_SIZE - 1) >> PAGE_SHIFT;
1295         gfp_t gfp_mask = GFP_NOWAIT | __GFP_HIGHMEM;
1296         unsigned i, len, remaining_size;
1297         struct page *page;
1298
1299 retry:
1300         if (unlikely(gfp_mask & __GFP_DIRECT_RECLAIM))
1301                 mutex_lock(&cc->bio_alloc_lock);
1302
1303         clone = bio_alloc_bioset(GFP_NOIO, nr_iovecs, &cc->bs);
1304         if (!clone)
1305                 goto out;
1306
1307         clone_init(io, clone);
1308
1309         remaining_size = size;
1310
1311         for (i = 0; i < nr_iovecs; i++) {
1312                 page = mempool_alloc(&cc->page_pool, gfp_mask);
1313                 if (!page) {
1314                         crypt_free_buffer_pages(cc, clone);
1315                         bio_put(clone);
1316                         gfp_mask |= __GFP_DIRECT_RECLAIM;
1317                         goto retry;
1318                 }
1319
1320                 len = (remaining_size > PAGE_SIZE) ? PAGE_SIZE : remaining_size;
1321
1322                 bio_add_page(clone, page, len, 0);
1323
1324                 remaining_size -= len;
1325         }
1326
1327         /* Allocate space for integrity tags */
1328         if (dm_crypt_integrity_io_alloc(io, clone)) {
1329                 crypt_free_buffer_pages(cc, clone);
1330                 bio_put(clone);
1331                 clone = NULL;
1332         }
1333 out:
1334         if (unlikely(gfp_mask & __GFP_DIRECT_RECLAIM))
1335                 mutex_unlock(&cc->bio_alloc_lock);
1336
1337         return clone;
1338 }
1339
1340 static void crypt_free_buffer_pages(struct crypt_config *cc, struct bio *clone)
1341 {
1342         struct bio_vec *bv;
1343         struct bvec_iter_all iter_all;
1344
1345         bio_for_each_segment_all(bv, clone, iter_all) {
1346                 BUG_ON(!bv->bv_page);
1347                 mempool_free(bv->bv_page, &cc->page_pool);
1348         }
1349 }
1350
1351 static void crypt_io_init(struct dm_crypt_io *io, struct crypt_config *cc,
1352                           struct bio *bio, sector_t sector)
1353 {
1354         io->cc = cc;
1355         io->base_bio = bio;
1356         io->sector = sector;
1357         io->error = 0;
1358         io->ctx.r.req = NULL;
1359         io->integrity_metadata = NULL;
1360         io->integrity_metadata_from_pool = false;
1361         atomic_set(&io->io_pending, 0);
1362 }
1363
1364 static void crypt_inc_pending(struct dm_crypt_io *io)
1365 {
1366         atomic_inc(&io->io_pending);
1367 }
1368
1369 /*
1370  * One of the bios was finished. Check for completion of
1371  * the whole request and correctly clean up the buffer.
1372  */
1373 static void crypt_dec_pending(struct dm_crypt_io *io)
1374 {
1375         struct crypt_config *cc = io->cc;
1376         struct bio *base_bio = io->base_bio;
1377         blk_status_t error = io->error;
1378
1379         if (!atomic_dec_and_test(&io->io_pending))
1380                 return;
1381
1382         if (io->ctx.r.req)
1383                 crypt_free_req(cc, io->ctx.r.req, base_bio);
1384
1385         if (unlikely(io->integrity_metadata_from_pool))
1386                 mempool_free(io->integrity_metadata, &io->cc->tag_pool);
1387         else
1388                 kfree(io->integrity_metadata);
1389
1390         base_bio->bi_status = error;
1391         bio_endio(base_bio);
1392 }
1393
1394 /*
1395  * kcryptd/kcryptd_io:
1396  *
1397  * Needed because it would be very unwise to do decryption in an
1398  * interrupt context.
1399  *
1400  * kcryptd performs the actual encryption or decryption.
1401  *
1402  * kcryptd_io performs the IO submission.
1403  *
1404  * They must be separated as otherwise the final stages could be
1405  * starved by new requests which can block in the first stages due
1406  * to memory allocation.
1407  *
1408  * The work is done per CPU global for all dm-crypt instances.
1409  * They should not depend on each other and do not block.
1410  */
1411 static void crypt_endio(struct bio *clone)
1412 {
1413         struct dm_crypt_io *io = clone->bi_private;
1414         struct crypt_config *cc = io->cc;
1415         unsigned rw = bio_data_dir(clone);
1416         blk_status_t error;
1417
1418         /*
1419          * free the processed pages
1420          */
1421         if (rw == WRITE)
1422                 crypt_free_buffer_pages(cc, clone);
1423
1424         error = clone->bi_status;
1425         bio_put(clone);
1426
1427         if (rw == READ && !error) {
1428                 kcryptd_queue_crypt(io);
1429                 return;
1430         }
1431
1432         if (unlikely(error))
1433                 io->error = error;
1434
1435         crypt_dec_pending(io);
1436 }
1437
1438 static void clone_init(struct dm_crypt_io *io, struct bio *clone)
1439 {
1440         struct crypt_config *cc = io->cc;
1441
1442         clone->bi_private = io;
1443         clone->bi_end_io  = crypt_endio;
1444         bio_set_dev(clone, cc->dev->bdev);
1445         clone->bi_opf     = io->base_bio->bi_opf;
1446 }
1447
1448 static int kcryptd_io_read(struct dm_crypt_io *io, gfp_t gfp)
1449 {
1450         struct crypt_config *cc = io->cc;
1451         struct bio *clone;
1452
1453         /*
1454          * We need the original biovec array in order to decrypt
1455          * the whole bio data *afterwards* -- thanks to immutable
1456          * biovecs we don't need to worry about the block layer
1457          * modifying the biovec array; so leverage bio_clone_fast().
1458          */
1459         clone = bio_clone_fast(io->base_bio, gfp, &cc->bs);
1460         if (!clone)
1461                 return 1;
1462
1463         crypt_inc_pending(io);
1464
1465         clone_init(io, clone);
1466         clone->bi_iter.bi_sector = cc->start + io->sector;
1467
1468         if (dm_crypt_integrity_io_alloc(io, clone)) {
1469                 crypt_dec_pending(io);
1470                 bio_put(clone);
1471                 return 1;
1472         }
1473
1474         generic_make_request(clone);
1475         return 0;
1476 }
1477
1478 static void kcryptd_io_read_work(struct work_struct *work)
1479 {
1480         struct dm_crypt_io *io = container_of(work, struct dm_crypt_io, work);
1481
1482         crypt_inc_pending(io);
1483         if (kcryptd_io_read(io, GFP_NOIO))
1484                 io->error = BLK_STS_RESOURCE;
1485         crypt_dec_pending(io);
1486 }
1487
1488 static void kcryptd_queue_read(struct dm_crypt_io *io)
1489 {
1490         struct crypt_config *cc = io->cc;
1491
1492         INIT_WORK(&io->work, kcryptd_io_read_work);
1493         queue_work(cc->io_queue, &io->work);
1494 }
1495
1496 static void kcryptd_io_write(struct dm_crypt_io *io)
1497 {
1498         struct bio *clone = io->ctx.bio_out;
1499
1500         generic_make_request(clone);
1501 }
1502
1503 #define crypt_io_from_node(node) rb_entry((node), struct dm_crypt_io, rb_node)
1504
1505 static int dmcrypt_write(void *data)
1506 {
1507         struct crypt_config *cc = data;
1508         struct dm_crypt_io *io;
1509
1510         while (1) {
1511                 struct rb_root write_tree;
1512                 struct blk_plug plug;
1513
1514                 spin_lock_irq(&cc->write_thread_lock);
1515 continue_locked:
1516
1517                 if (!RB_EMPTY_ROOT(&cc->write_tree))
1518                         goto pop_from_list;
1519
1520                 set_current_state(TASK_INTERRUPTIBLE);
1521
1522                 spin_unlock_irq(&cc->write_thread_lock);
1523
1524                 if (unlikely(kthread_should_stop())) {
1525                         set_current_state(TASK_RUNNING);
1526                         break;
1527                 }
1528
1529                 schedule();
1530
1531                 set_current_state(TASK_RUNNING);
1532                 spin_lock_irq(&cc->write_thread_lock);
1533                 goto continue_locked;
1534
1535 pop_from_list:
1536                 write_tree = cc->write_tree;
1537                 cc->write_tree = RB_ROOT;
1538                 spin_unlock_irq(&cc->write_thread_lock);
1539
1540                 BUG_ON(rb_parent(write_tree.rb_node));
1541
1542                 /*
1543                  * Note: we cannot walk the tree here with rb_next because
1544                  * the structures may be freed when kcryptd_io_write is called.
1545                  */
1546                 blk_start_plug(&plug);
1547                 do {
1548                         io = crypt_io_from_node(rb_first(&write_tree));
1549                         rb_erase(&io->rb_node, &write_tree);
1550                         kcryptd_io_write(io);
1551                 } while (!RB_EMPTY_ROOT(&write_tree));
1552                 blk_finish_plug(&plug);
1553         }
1554         return 0;
1555 }
1556
1557 static void kcryptd_crypt_write_io_submit(struct dm_crypt_io *io, int async)
1558 {
1559         struct bio *clone = io->ctx.bio_out;
1560         struct crypt_config *cc = io->cc;
1561         unsigned long flags;
1562         sector_t sector;
1563         struct rb_node **rbp, *parent;
1564
1565         if (unlikely(io->error)) {
1566                 crypt_free_buffer_pages(cc, clone);
1567                 bio_put(clone);
1568                 crypt_dec_pending(io);
1569                 return;
1570         }
1571
1572         /* crypt_convert should have filled the clone bio */
1573         BUG_ON(io->ctx.iter_out.bi_size);
1574
1575         clone->bi_iter.bi_sector = cc->start + io->sector;
1576
1577         if (likely(!async) && test_bit(DM_CRYPT_NO_OFFLOAD, &cc->flags)) {
1578                 generic_make_request(clone);
1579                 return;
1580         }
1581
1582         spin_lock_irqsave(&cc->write_thread_lock, flags);
1583         if (RB_EMPTY_ROOT(&cc->write_tree))
1584                 wake_up_process(cc->write_thread);
1585         rbp = &cc->write_tree.rb_node;
1586         parent = NULL;
1587         sector = io->sector;
1588         while (*rbp) {
1589                 parent = *rbp;
1590                 if (sector < crypt_io_from_node(parent)->sector)
1591                         rbp = &(*rbp)->rb_left;
1592                 else
1593                         rbp = &(*rbp)->rb_right;
1594         }
1595         rb_link_node(&io->rb_node, parent, rbp);
1596         rb_insert_color(&io->rb_node, &cc->write_tree);
1597         spin_unlock_irqrestore(&cc->write_thread_lock, flags);
1598 }
1599
1600 static void kcryptd_crypt_write_convert(struct dm_crypt_io *io)
1601 {
1602         struct crypt_config *cc = io->cc;
1603         struct bio *clone;
1604         int crypt_finished;
1605         sector_t sector = io->sector;
1606         blk_status_t r;
1607
1608         /*
1609          * Prevent io from disappearing until this function completes.
1610          */
1611         crypt_inc_pending(io);
1612         crypt_convert_init(cc, &io->ctx, NULL, io->base_bio, sector);
1613
1614         clone = crypt_alloc_buffer(io, io->base_bio->bi_iter.bi_size);
1615         if (unlikely(!clone)) {
1616                 io->error = BLK_STS_IOERR;
1617                 goto dec;
1618         }
1619
1620         io->ctx.bio_out = clone;
1621         io->ctx.iter_out = clone->bi_iter;
1622
1623         sector += bio_sectors(clone);
1624
1625         crypt_inc_pending(io);
1626         r = crypt_convert(cc, &io->ctx);
1627         if (r)
1628                 io->error = r;
1629         crypt_finished = atomic_dec_and_test(&io->ctx.cc_pending);
1630
1631         /* Encryption was already finished, submit io now */
1632         if (crypt_finished) {
1633                 kcryptd_crypt_write_io_submit(io, 0);
1634                 io->sector = sector;
1635         }
1636
1637 dec:
1638         crypt_dec_pending(io);
1639 }
1640
1641 static void kcryptd_crypt_read_done(struct dm_crypt_io *io)
1642 {
1643         crypt_dec_pending(io);
1644 }
1645
1646 static void kcryptd_crypt_read_convert(struct dm_crypt_io *io)
1647 {
1648         struct crypt_config *cc = io->cc;
1649         blk_status_t r;
1650
1651         crypt_inc_pending(io);
1652
1653         crypt_convert_init(cc, &io->ctx, io->base_bio, io->base_bio,
1654                            io->sector);
1655
1656         r = crypt_convert(cc, &io->ctx);
1657         if (r)
1658                 io->error = r;
1659
1660         if (atomic_dec_and_test(&io->ctx.cc_pending))
1661                 kcryptd_crypt_read_done(io);
1662
1663         crypt_dec_pending(io);
1664 }
1665
1666 static void kcryptd_async_done(struct crypto_async_request *async_req,
1667                                int error)
1668 {
1669         struct dm_crypt_request *dmreq = async_req->data;
1670         struct convert_context *ctx = dmreq->ctx;
1671         struct dm_crypt_io *io = container_of(ctx, struct dm_crypt_io, ctx);
1672         struct crypt_config *cc = io->cc;
1673
1674         /*
1675          * A request from crypto driver backlog is going to be processed now,
1676          * finish the completion and continue in crypt_convert().
1677          * (Callback will be called for the second time for this request.)
1678          */
1679         if (error == -EINPROGRESS) {
1680                 complete(&ctx->restart);
1681                 return;
1682         }
1683
1684         if (!error && cc->iv_gen_ops && cc->iv_gen_ops->post)
1685                 error = cc->iv_gen_ops->post(cc, org_iv_of_dmreq(cc, dmreq), dmreq);
1686
1687         if (error == -EBADMSG) {
1688                 char b[BDEVNAME_SIZE];
1689                 DMERR_LIMIT("%s: INTEGRITY AEAD ERROR, sector %llu", bio_devname(ctx->bio_in, b),
1690                             (unsigned long long)le64_to_cpu(*org_sector_of_dmreq(cc, dmreq)));
1691                 io->error = BLK_STS_PROTECTION;
1692         } else if (error < 0)
1693                 io->error = BLK_STS_IOERR;
1694
1695         crypt_free_req(cc, req_of_dmreq(cc, dmreq), io->base_bio);
1696
1697         if (!atomic_dec_and_test(&ctx->cc_pending))
1698                 return;
1699
1700         if (bio_data_dir(io->base_bio) == READ)
1701                 kcryptd_crypt_read_done(io);
1702         else
1703                 kcryptd_crypt_write_io_submit(io, 1);
1704 }
1705
1706 static void kcryptd_crypt(struct work_struct *work)
1707 {
1708         struct dm_crypt_io *io = container_of(work, struct dm_crypt_io, work);
1709
1710         if (bio_data_dir(io->base_bio) == READ)
1711                 kcryptd_crypt_read_convert(io);
1712         else
1713                 kcryptd_crypt_write_convert(io);
1714 }
1715
1716 static void kcryptd_queue_crypt(struct dm_crypt_io *io)
1717 {
1718         struct crypt_config *cc = io->cc;
1719
1720         INIT_WORK(&io->work, kcryptd_crypt);
1721         queue_work(cc->crypt_queue, &io->work);
1722 }
1723
1724 static void crypt_free_tfms_aead(struct crypt_config *cc)
1725 {
1726         if (!cc->cipher_tfm.tfms_aead)
1727                 return;
1728
1729         if (cc->cipher_tfm.tfms_aead[0] && !IS_ERR(cc->cipher_tfm.tfms_aead[0])) {
1730                 crypto_free_aead(cc->cipher_tfm.tfms_aead[0]);
1731                 cc->cipher_tfm.tfms_aead[0] = NULL;
1732         }
1733
1734         kfree(cc->cipher_tfm.tfms_aead);
1735         cc->cipher_tfm.tfms_aead = NULL;
1736 }
1737
1738 static void crypt_free_tfms_skcipher(struct crypt_config *cc)
1739 {
1740         unsigned i;
1741
1742         if (!cc->cipher_tfm.tfms)
1743                 return;
1744
1745         for (i = 0; i < cc->tfms_count; i++)
1746                 if (cc->cipher_tfm.tfms[i] && !IS_ERR(cc->cipher_tfm.tfms[i])) {
1747                         crypto_free_skcipher(cc->cipher_tfm.tfms[i]);
1748                         cc->cipher_tfm.tfms[i] = NULL;
1749                 }
1750
1751         kfree(cc->cipher_tfm.tfms);
1752         cc->cipher_tfm.tfms = NULL;
1753 }
1754
1755 static void crypt_free_tfms(struct crypt_config *cc)
1756 {
1757         if (crypt_integrity_aead(cc))
1758                 crypt_free_tfms_aead(cc);
1759         else
1760                 crypt_free_tfms_skcipher(cc);
1761 }
1762
1763 static int crypt_alloc_tfms_skcipher(struct crypt_config *cc, char *ciphermode)
1764 {
1765         unsigned i;
1766         int err;
1767
1768         cc->cipher_tfm.tfms = kcalloc(cc->tfms_count,
1769                                       sizeof(struct crypto_skcipher *),
1770                                       GFP_KERNEL);
1771         if (!cc->cipher_tfm.tfms)
1772                 return -ENOMEM;
1773
1774         for (i = 0; i < cc->tfms_count; i++) {
1775                 cc->cipher_tfm.tfms[i] = crypto_alloc_skcipher(ciphermode, 0, 0);
1776                 if (IS_ERR(cc->cipher_tfm.tfms[i])) {
1777                         err = PTR_ERR(cc->cipher_tfm.tfms[i]);
1778                         crypt_free_tfms(cc);
1779                         return err;
1780                 }
1781         }
1782
1783         /*
1784          * dm-crypt performance can vary greatly depending on which crypto
1785          * algorithm implementation is used.  Help people debug performance
1786          * problems by logging the ->cra_driver_name.
1787          */
1788         DMDEBUG_LIMIT("%s using implementation \"%s\"", ciphermode,
1789                crypto_skcipher_alg(any_tfm(cc))->base.cra_driver_name);
1790         return 0;
1791 }
1792
1793 static int crypt_alloc_tfms_aead(struct crypt_config *cc, char *ciphermode)
1794 {
1795         int err;
1796
1797         cc->cipher_tfm.tfms = kmalloc(sizeof(struct crypto_aead *), GFP_KERNEL);
1798         if (!cc->cipher_tfm.tfms)
1799                 return -ENOMEM;
1800
1801         cc->cipher_tfm.tfms_aead[0] = crypto_alloc_aead(ciphermode, 0, 0);
1802         if (IS_ERR(cc->cipher_tfm.tfms_aead[0])) {
1803                 err = PTR_ERR(cc->cipher_tfm.tfms_aead[0]);
1804                 crypt_free_tfms(cc);
1805                 return err;
1806         }
1807
1808         DMDEBUG_LIMIT("%s using implementation \"%s\"", ciphermode,
1809                crypto_aead_alg(any_tfm_aead(cc))->base.cra_driver_name);
1810         return 0;
1811 }
1812
1813 static int crypt_alloc_tfms(struct crypt_config *cc, char *ciphermode)
1814 {
1815         if (crypt_integrity_aead(cc))
1816                 return crypt_alloc_tfms_aead(cc, ciphermode);
1817         else
1818                 return crypt_alloc_tfms_skcipher(cc, ciphermode);
1819 }
1820
1821 static unsigned crypt_subkey_size(struct crypt_config *cc)
1822 {
1823         return (cc->key_size - cc->key_extra_size) >> ilog2(cc->tfms_count);
1824 }
1825
1826 static unsigned crypt_authenckey_size(struct crypt_config *cc)
1827 {
1828         return crypt_subkey_size(cc) + RTA_SPACE(sizeof(struct crypto_authenc_key_param));
1829 }
1830
1831 /*
1832  * If AEAD is composed like authenc(hmac(sha256),xts(aes)),
1833  * the key must be for some reason in special format.
1834  * This funcion converts cc->key to this special format.
1835  */
1836 static void crypt_copy_authenckey(char *p, const void *key,
1837                                   unsigned enckeylen, unsigned authkeylen)
1838 {
1839         struct crypto_authenc_key_param *param;
1840         struct rtattr *rta;
1841
1842         rta = (struct rtattr *)p;
1843         param = RTA_DATA(rta);
1844         param->enckeylen = cpu_to_be32(enckeylen);
1845         rta->rta_len = RTA_LENGTH(sizeof(*param));
1846         rta->rta_type = CRYPTO_AUTHENC_KEYA_PARAM;
1847         p += RTA_SPACE(sizeof(*param));
1848         memcpy(p, key + enckeylen, authkeylen);
1849         p += authkeylen;
1850         memcpy(p, key, enckeylen);
1851 }
1852
1853 static int crypt_setkey(struct crypt_config *cc)
1854 {
1855         unsigned subkey_size;
1856         int err = 0, i, r;
1857
1858         /* Ignore extra keys (which are used for IV etc) */
1859         subkey_size = crypt_subkey_size(cc);
1860
1861         if (crypt_integrity_hmac(cc)) {
1862                 if (subkey_size < cc->key_mac_size)
1863                         return -EINVAL;
1864
1865                 crypt_copy_authenckey(cc->authenc_key, cc->key,
1866                                       subkey_size - cc->key_mac_size,
1867                                       cc->key_mac_size);
1868         }
1869
1870         for (i = 0; i < cc->tfms_count; i++) {
1871                 if (crypt_integrity_hmac(cc))
1872                         r = crypto_aead_setkey(cc->cipher_tfm.tfms_aead[i],
1873                                 cc->authenc_key, crypt_authenckey_size(cc));
1874                 else if (crypt_integrity_aead(cc))
1875                         r = crypto_aead_setkey(cc->cipher_tfm.tfms_aead[i],
1876                                                cc->key + (i * subkey_size),
1877                                                subkey_size);
1878                 else
1879                         r = crypto_skcipher_setkey(cc->cipher_tfm.tfms[i],
1880                                                    cc->key + (i * subkey_size),
1881                                                    subkey_size);
1882                 if (r)
1883                         err = r;
1884         }
1885
1886         if (crypt_integrity_hmac(cc))
1887                 memzero_explicit(cc->authenc_key, crypt_authenckey_size(cc));
1888
1889         return err;
1890 }
1891
1892 #ifdef CONFIG_KEYS
1893
1894 static bool contains_whitespace(const char *str)
1895 {
1896         while (*str)
1897                 if (isspace(*str++))
1898                         return true;
1899         return false;
1900 }
1901
1902 static int crypt_set_keyring_key(struct crypt_config *cc, const char *key_string)
1903 {
1904         char *new_key_string, *key_desc;
1905         int ret;
1906         struct key *key;
1907         const struct user_key_payload *ukp;
1908
1909         /*
1910          * Reject key_string with whitespace. dm core currently lacks code for
1911          * proper whitespace escaping in arguments on DM_TABLE_STATUS path.
1912          */
1913         if (contains_whitespace(key_string)) {
1914                 DMERR("whitespace chars not allowed in key string");
1915                 return -EINVAL;
1916         }
1917
1918         /* look for next ':' separating key_type from key_description */
1919         key_desc = strpbrk(key_string, ":");
1920         if (!key_desc || key_desc == key_string || !strlen(key_desc + 1))
1921                 return -EINVAL;
1922
1923         if (strncmp(key_string, "logon:", key_desc - key_string + 1) &&
1924             strncmp(key_string, "user:", key_desc - key_string + 1))
1925                 return -EINVAL;
1926
1927         new_key_string = kstrdup(key_string, GFP_KERNEL);
1928         if (!new_key_string)
1929                 return -ENOMEM;
1930
1931         key = request_key(key_string[0] == 'l' ? &key_type_logon : &key_type_user,
1932                           key_desc + 1, NULL);
1933         if (IS_ERR(key)) {
1934                 kzfree(new_key_string);
1935                 return PTR_ERR(key);
1936         }
1937
1938         down_read(&key->sem);
1939
1940         ukp = user_key_payload_locked(key);
1941         if (!ukp) {
1942                 up_read(&key->sem);
1943                 key_put(key);
1944                 kzfree(new_key_string);
1945                 return -EKEYREVOKED;
1946         }
1947
1948         if (cc->key_size != ukp->datalen) {
1949                 up_read(&key->sem);
1950                 key_put(key);
1951                 kzfree(new_key_string);
1952                 return -EINVAL;
1953         }
1954
1955         memcpy(cc->key, ukp->data, cc->key_size);
1956
1957         up_read(&key->sem);
1958         key_put(key);
1959
1960         /* clear the flag since following operations may invalidate previously valid key */
1961         clear_bit(DM_CRYPT_KEY_VALID, &cc->flags);
1962
1963         ret = crypt_setkey(cc);
1964
1965         if (!ret) {
1966                 set_bit(DM_CRYPT_KEY_VALID, &cc->flags);
1967                 kzfree(cc->key_string);
1968                 cc->key_string = new_key_string;
1969         } else
1970                 kzfree(new_key_string);
1971
1972         return ret;
1973 }
1974
1975 static int get_key_size(char **key_string)
1976 {
1977         char *colon, dummy;
1978         int ret;
1979
1980         if (*key_string[0] != ':')
1981                 return strlen(*key_string) >> 1;
1982
1983         /* look for next ':' in key string */
1984         colon = strpbrk(*key_string + 1, ":");
1985         if (!colon)
1986                 return -EINVAL;
1987
1988         if (sscanf(*key_string + 1, "%u%c", &ret, &dummy) != 2 || dummy != ':')
1989                 return -EINVAL;
1990
1991         *key_string = colon;
1992
1993         /* remaining key string should be :<logon|user>:<key_desc> */
1994
1995         return ret;
1996 }
1997
1998 #else
1999
2000 static int crypt_set_keyring_key(struct crypt_config *cc, const char *key_string)
2001 {
2002         return -EINVAL;
2003 }
2004
2005 static int get_key_size(char **key_string)
2006 {
2007         return (*key_string[0] == ':') ? -EINVAL : strlen(*key_string) >> 1;
2008 }
2009
2010 #endif
2011
2012 static int crypt_set_key(struct crypt_config *cc, char *key)
2013 {
2014         int r = -EINVAL;
2015         int key_string_len = strlen(key);
2016
2017         /* Hyphen (which gives a key_size of zero) means there is no key. */
2018         if (!cc->key_size && strcmp(key, "-"))
2019                 goto out;
2020
2021         /* ':' means the key is in kernel keyring, short-circuit normal key processing */
2022         if (key[0] == ':') {
2023                 r = crypt_set_keyring_key(cc, key + 1);
2024                 goto out;
2025         }
2026
2027         /* clear the flag since following operations may invalidate previously valid key */
2028         clear_bit(DM_CRYPT_KEY_VALID, &cc->flags);
2029
2030         /* wipe references to any kernel keyring key */
2031         kzfree(cc->key_string);
2032         cc->key_string = NULL;
2033
2034         /* Decode key from its hex representation. */
2035         if (cc->key_size && hex2bin(cc->key, key, cc->key_size) < 0)
2036                 goto out;
2037
2038         r = crypt_setkey(cc);
2039         if (!r)
2040                 set_bit(DM_CRYPT_KEY_VALID, &cc->flags);
2041
2042 out:
2043         /* Hex key string not needed after here, so wipe it. */
2044         memset(key, '0', key_string_len);
2045
2046         return r;
2047 }
2048
2049 static int crypt_wipe_key(struct crypt_config *cc)
2050 {
2051         int r;
2052
2053         clear_bit(DM_CRYPT_KEY_VALID, &cc->flags);
2054         get_random_bytes(&cc->key, cc->key_size);
2055
2056         /* Wipe IV private keys */
2057         if (cc->iv_gen_ops && cc->iv_gen_ops->wipe) {
2058                 r = cc->iv_gen_ops->wipe(cc);
2059                 if (r)
2060                         return r;
2061         }
2062
2063         kzfree(cc->key_string);
2064         cc->key_string = NULL;
2065         r = crypt_setkey(cc);
2066         memset(&cc->key, 0, cc->key_size * sizeof(u8));
2067
2068         return r;
2069 }
2070
2071 static void crypt_calculate_pages_per_client(void)
2072 {
2073         unsigned long pages = (totalram_pages() - totalhigh_pages()) * DM_CRYPT_MEMORY_PERCENT / 100;
2074
2075         if (!dm_crypt_clients_n)
2076                 return;
2077
2078         pages /= dm_crypt_clients_n;
2079         if (pages < DM_CRYPT_MIN_PAGES_PER_CLIENT)
2080                 pages = DM_CRYPT_MIN_PAGES_PER_CLIENT;
2081         dm_crypt_pages_per_client = pages;
2082 }
2083
2084 static void *crypt_page_alloc(gfp_t gfp_mask, void *pool_data)
2085 {
2086         struct crypt_config *cc = pool_data;
2087         struct page *page;
2088
2089         if (unlikely(percpu_counter_compare(&cc->n_allocated_pages, dm_crypt_pages_per_client) >= 0) &&
2090             likely(gfp_mask & __GFP_NORETRY))
2091                 return NULL;
2092
2093         page = alloc_page(gfp_mask);
2094         if (likely(page != NULL))
2095                 percpu_counter_add(&cc->n_allocated_pages, 1);
2096
2097         return page;
2098 }
2099
2100 static void crypt_page_free(void *page, void *pool_data)
2101 {
2102         struct crypt_config *cc = pool_data;
2103
2104         __free_page(page);
2105         percpu_counter_sub(&cc->n_allocated_pages, 1);
2106 }
2107
2108 static void crypt_dtr(struct dm_target *ti)
2109 {
2110         struct crypt_config *cc = ti->private;
2111
2112         ti->private = NULL;
2113
2114         if (!cc)
2115                 return;
2116
2117         if (cc->write_thread)
2118                 kthread_stop(cc->write_thread);
2119
2120         if (cc->io_queue)
2121                 destroy_workqueue(cc->io_queue);
2122         if (cc->crypt_queue)
2123                 destroy_workqueue(cc->crypt_queue);
2124
2125         crypt_free_tfms(cc);
2126
2127         bioset_exit(&cc->bs);
2128
2129         mempool_exit(&cc->page_pool);
2130         mempool_exit(&cc->req_pool);
2131         mempool_exit(&cc->tag_pool);
2132
2133         WARN_ON(percpu_counter_sum(&cc->n_allocated_pages) != 0);
2134         percpu_counter_destroy(&cc->n_allocated_pages);
2135
2136         if (cc->iv_gen_ops && cc->iv_gen_ops->dtr)
2137                 cc->iv_gen_ops->dtr(cc);
2138
2139         if (cc->dev)
2140                 dm_put_device(ti, cc->dev);
2141
2142         kzfree(cc->cipher_string);
2143         kzfree(cc->key_string);
2144         kzfree(cc->cipher_auth);
2145         kzfree(cc->authenc_key);
2146
2147         mutex_destroy(&cc->bio_alloc_lock);
2148
2149         /* Must zero key material before freeing */
2150         kzfree(cc);
2151
2152         spin_lock(&dm_crypt_clients_lock);
2153         WARN_ON(!dm_crypt_clients_n);
2154         dm_crypt_clients_n--;
2155         crypt_calculate_pages_per_client();
2156         spin_unlock(&dm_crypt_clients_lock);
2157 }
2158
2159 static int crypt_ctr_ivmode(struct dm_target *ti, const char *ivmode)
2160 {
2161         struct crypt_config *cc = ti->private;
2162
2163         if (crypt_integrity_aead(cc))
2164                 cc->iv_size = crypto_aead_ivsize(any_tfm_aead(cc));
2165         else
2166                 cc->iv_size = crypto_skcipher_ivsize(any_tfm(cc));
2167
2168         if (cc->iv_size)
2169                 /* at least a 64 bit sector number should fit in our buffer */
2170                 cc->iv_size = max(cc->iv_size,
2171                                   (unsigned int)(sizeof(u64) / sizeof(u8)));
2172         else if (ivmode) {
2173                 DMWARN("Selected cipher does not support IVs");
2174                 ivmode = NULL;
2175         }
2176
2177         /* Choose ivmode, see comments at iv code. */
2178         if (ivmode == NULL)
2179                 cc->iv_gen_ops = NULL;
2180         else if (strcmp(ivmode, "plain") == 0)
2181                 cc->iv_gen_ops = &crypt_iv_plain_ops;
2182         else if (strcmp(ivmode, "plain64") == 0)
2183                 cc->iv_gen_ops = &crypt_iv_plain64_ops;
2184         else if (strcmp(ivmode, "plain64be") == 0)
2185                 cc->iv_gen_ops = &crypt_iv_plain64be_ops;
2186         else if (strcmp(ivmode, "essiv") == 0)
2187                 cc->iv_gen_ops = &crypt_iv_essiv_ops;
2188         else if (strcmp(ivmode, "benbi") == 0)
2189                 cc->iv_gen_ops = &crypt_iv_benbi_ops;
2190         else if (strcmp(ivmode, "null") == 0)
2191                 cc->iv_gen_ops = &crypt_iv_null_ops;
2192         else if (strcmp(ivmode, "eboiv") == 0)
2193                 cc->iv_gen_ops = &crypt_iv_eboiv_ops;
2194         else if (strcmp(ivmode, "lmk") == 0) {
2195                 cc->iv_gen_ops = &crypt_iv_lmk_ops;
2196                 /*
2197                  * Version 2 and 3 is recognised according
2198                  * to length of provided multi-key string.
2199                  * If present (version 3), last key is used as IV seed.
2200                  * All keys (including IV seed) are always the same size.
2201                  */
2202                 if (cc->key_size % cc->key_parts) {
2203                         cc->key_parts++;
2204                         cc->key_extra_size = cc->key_size / cc->key_parts;
2205                 }
2206         } else if (strcmp(ivmode, "tcw") == 0) {
2207                 cc->iv_gen_ops = &crypt_iv_tcw_ops;
2208                 cc->key_parts += 2; /* IV + whitening */
2209                 cc->key_extra_size = cc->iv_size + TCW_WHITENING_SIZE;
2210         } else if (strcmp(ivmode, "random") == 0) {
2211                 cc->iv_gen_ops = &crypt_iv_random_ops;
2212                 /* Need storage space in integrity fields. */
2213                 cc->integrity_iv_size = cc->iv_size;
2214         } else {
2215                 ti->error = "Invalid IV mode";
2216                 return -EINVAL;
2217         }
2218
2219         return 0;
2220 }
2221
2222 /*
2223  * Workaround to parse HMAC algorithm from AEAD crypto API spec.
2224  * The HMAC is needed to calculate tag size (HMAC digest size).
2225  * This should be probably done by crypto-api calls (once available...)
2226  */
2227 static int crypt_ctr_auth_cipher(struct crypt_config *cc, char *cipher_api)
2228 {
2229         char *start, *end, *mac_alg = NULL;
2230         struct crypto_ahash *mac;
2231
2232         if (!strstarts(cipher_api, "authenc("))
2233                 return 0;
2234
2235         start = strchr(cipher_api, '(');
2236         end = strchr(cipher_api, ',');
2237         if (!start || !end || ++start > end)
2238                 return -EINVAL;
2239
2240         mac_alg = kzalloc(end - start + 1, GFP_KERNEL);
2241         if (!mac_alg)
2242                 return -ENOMEM;
2243         strncpy(mac_alg, start, end - start);
2244
2245         mac = crypto_alloc_ahash(mac_alg, 0, 0);
2246         kfree(mac_alg);
2247
2248         if (IS_ERR(mac))
2249                 return PTR_ERR(mac);
2250
2251         cc->key_mac_size = crypto_ahash_digestsize(mac);
2252         crypto_free_ahash(mac);
2253
2254         cc->authenc_key = kmalloc(crypt_authenckey_size(cc), GFP_KERNEL);
2255         if (!cc->authenc_key)
2256                 return -ENOMEM;
2257
2258         return 0;
2259 }
2260
2261 static int crypt_ctr_cipher_new(struct dm_target *ti, char *cipher_in, char *key,
2262                                 char **ivmode, char **ivopts)
2263 {
2264         struct crypt_config *cc = ti->private;
2265         char *tmp, *cipher_api, buf[CRYPTO_MAX_ALG_NAME];
2266         int ret = -EINVAL;
2267
2268         cc->tfms_count = 1;
2269
2270         /*
2271          * New format (capi: prefix)
2272          * capi:cipher_api_spec-iv:ivopts
2273          */
2274         tmp = &cipher_in[strlen("capi:")];
2275
2276         /* Separate IV options if present, it can contain another '-' in hash name */
2277         *ivopts = strrchr(tmp, ':');
2278         if (*ivopts) {
2279                 **ivopts = '\0';
2280                 (*ivopts)++;
2281         }
2282         /* Parse IV mode */
2283         *ivmode = strrchr(tmp, '-');
2284         if (*ivmode) {
2285                 **ivmode = '\0';
2286                 (*ivmode)++;
2287         }
2288         /* The rest is crypto API spec */
2289         cipher_api = tmp;
2290
2291         /* Alloc AEAD, can be used only in new format. */
2292         if (crypt_integrity_aead(cc)) {
2293                 ret = crypt_ctr_auth_cipher(cc, cipher_api);
2294                 if (ret < 0) {
2295                         ti->error = "Invalid AEAD cipher spec";
2296                         return -ENOMEM;
2297                 }
2298         }
2299
2300         if (*ivmode && !strcmp(*ivmode, "lmk"))
2301                 cc->tfms_count = 64;
2302
2303         if (*ivmode && !strcmp(*ivmode, "essiv")) {
2304                 if (!*ivopts) {
2305                         ti->error = "Digest algorithm missing for ESSIV mode";
2306                         return -EINVAL;
2307                 }
2308                 ret = snprintf(buf, CRYPTO_MAX_ALG_NAME, "essiv(%s,%s)",
2309                                cipher_api, *ivopts);
2310                 if (ret < 0 || ret >= CRYPTO_MAX_ALG_NAME) {
2311                         ti->error = "Cannot allocate cipher string";
2312                         return -ENOMEM;
2313                 }
2314                 cipher_api = buf;
2315         }
2316
2317         cc->key_parts = cc->tfms_count;
2318
2319         /* Allocate cipher */
2320         ret = crypt_alloc_tfms(cc, cipher_api);
2321         if (ret < 0) {
2322                 ti->error = "Error allocating crypto tfm";
2323                 return ret;
2324         }
2325
2326         if (crypt_integrity_aead(cc))
2327                 cc->iv_size = crypto_aead_ivsize(any_tfm_aead(cc));
2328         else
2329                 cc->iv_size = crypto_skcipher_ivsize(any_tfm(cc));
2330
2331         return 0;
2332 }
2333
2334 static int crypt_ctr_cipher_old(struct dm_target *ti, char *cipher_in, char *key,
2335                                 char **ivmode, char **ivopts)
2336 {
2337         struct crypt_config *cc = ti->private;
2338         char *tmp, *cipher, *chainmode, *keycount;
2339         char *cipher_api = NULL;
2340         int ret = -EINVAL;
2341         char dummy;
2342
2343         if (strchr(cipher_in, '(') || crypt_integrity_aead(cc)) {
2344                 ti->error = "Bad cipher specification";
2345                 return -EINVAL;
2346         }
2347
2348         /*
2349          * Legacy dm-crypt cipher specification
2350          * cipher[:keycount]-mode-iv:ivopts
2351          */
2352         tmp = cipher_in;
2353         keycount = strsep(&tmp, "-");
2354         cipher = strsep(&keycount, ":");
2355
2356         if (!keycount)
2357                 cc->tfms_count = 1;
2358         else if (sscanf(keycount, "%u%c", &cc->tfms_count, &dummy) != 1 ||
2359                  !is_power_of_2(cc->tfms_count)) {
2360                 ti->error = "Bad cipher key count specification";
2361                 return -EINVAL;
2362         }
2363         cc->key_parts = cc->tfms_count;
2364
2365         chainmode = strsep(&tmp, "-");
2366         *ivmode = strsep(&tmp, ":");
2367         *ivopts = tmp;
2368
2369         /*
2370          * For compatibility with the original dm-crypt mapping format, if
2371          * only the cipher name is supplied, use cbc-plain.
2372          */
2373         if (!chainmode || (!strcmp(chainmode, "plain") && !*ivmode)) {
2374                 chainmode = "cbc";
2375                 *ivmode = "plain";
2376         }
2377
2378         if (strcmp(chainmode, "ecb") && !*ivmode) {
2379                 ti->error = "IV mechanism required";
2380                 return -EINVAL;
2381         }
2382
2383         cipher_api = kmalloc(CRYPTO_MAX_ALG_NAME, GFP_KERNEL);
2384         if (!cipher_api)
2385                 goto bad_mem;
2386
2387         if (*ivmode && !strcmp(*ivmode, "essiv")) {
2388                 if (!*ivopts) {
2389                         ti->error = "Digest algorithm missing for ESSIV mode";
2390                         kfree(cipher_api);
2391                         return -EINVAL;
2392                 }
2393                 ret = snprintf(cipher_api, CRYPTO_MAX_ALG_NAME,
2394                                "essiv(%s(%s),%s)", chainmode, cipher, *ivopts);
2395         } else {
2396                 ret = snprintf(cipher_api, CRYPTO_MAX_ALG_NAME,
2397                                "%s(%s)", chainmode, cipher);
2398         }
2399         if (ret < 0 || ret >= CRYPTO_MAX_ALG_NAME) {
2400                 kfree(cipher_api);
2401                 goto bad_mem;
2402         }
2403
2404         /* Allocate cipher */
2405         ret = crypt_alloc_tfms(cc, cipher_api);
2406         if (ret < 0) {
2407                 ti->error = "Error allocating crypto tfm";
2408                 kfree(cipher_api);
2409                 return ret;
2410         }
2411         kfree(cipher_api);
2412
2413         return 0;
2414 bad_mem:
2415         ti->error = "Cannot allocate cipher strings";
2416         return -ENOMEM;
2417 }
2418
2419 static int crypt_ctr_cipher(struct dm_target *ti, char *cipher_in, char *key)
2420 {
2421         struct crypt_config *cc = ti->private;
2422         char *ivmode = NULL, *ivopts = NULL;
2423         int ret;
2424
2425         cc->cipher_string = kstrdup(cipher_in, GFP_KERNEL);
2426         if (!cc->cipher_string) {
2427                 ti->error = "Cannot allocate cipher strings";
2428                 return -ENOMEM;
2429         }
2430
2431         if (strstarts(cipher_in, "capi:"))
2432                 ret = crypt_ctr_cipher_new(ti, cipher_in, key, &ivmode, &ivopts);
2433         else
2434                 ret = crypt_ctr_cipher_old(ti, cipher_in, key, &ivmode, &ivopts);
2435         if (ret)
2436                 return ret;
2437
2438         /* Initialize IV */
2439         ret = crypt_ctr_ivmode(ti, ivmode);
2440         if (ret < 0)
2441                 return ret;
2442
2443         /* Initialize and set key */
2444         ret = crypt_set_key(cc, key);
2445         if (ret < 0) {
2446                 ti->error = "Error decoding and setting key";
2447                 return ret;
2448         }
2449
2450         /* Allocate IV */
2451         if (cc->iv_gen_ops && cc->iv_gen_ops->ctr) {
2452                 ret = cc->iv_gen_ops->ctr(cc, ti, ivopts);
2453                 if (ret < 0) {
2454                         ti->error = "Error creating IV";
2455                         return ret;
2456                 }
2457         }
2458
2459         /* Initialize IV (set keys for ESSIV etc) */
2460         if (cc->iv_gen_ops && cc->iv_gen_ops->init) {
2461                 ret = cc->iv_gen_ops->init(cc);
2462                 if (ret < 0) {
2463                         ti->error = "Error initialising IV";
2464                         return ret;
2465                 }
2466         }
2467
2468         /* wipe the kernel key payload copy */
2469         if (cc->key_string)
2470                 memset(cc->key, 0, cc->key_size * sizeof(u8));
2471
2472         return ret;
2473 }
2474
2475 static int crypt_ctr_optional(struct dm_target *ti, unsigned int argc, char **argv)
2476 {
2477         struct crypt_config *cc = ti->private;
2478         struct dm_arg_set as;
2479         static const struct dm_arg _args[] = {
2480                 {0, 6, "Invalid number of feature args"},
2481         };
2482         unsigned int opt_params, val;
2483         const char *opt_string, *sval;
2484         char dummy;
2485         int ret;
2486
2487         /* Optional parameters */
2488         as.argc = argc;
2489         as.argv = argv;
2490
2491         ret = dm_read_arg_group(_args, &as, &opt_params, &ti->error);
2492         if (ret)
2493                 return ret;
2494
2495         while (opt_params--) {
2496                 opt_string = dm_shift_arg(&as);
2497                 if (!opt_string) {
2498                         ti->error = "Not enough feature arguments";
2499                         return -EINVAL;
2500                 }
2501
2502                 if (!strcasecmp(opt_string, "allow_discards"))
2503                         ti->num_discard_bios = 1;
2504
2505                 else if (!strcasecmp(opt_string, "same_cpu_crypt"))
2506                         set_bit(DM_CRYPT_SAME_CPU, &cc->flags);
2507
2508                 else if (!strcasecmp(opt_string, "submit_from_crypt_cpus"))
2509                         set_bit(DM_CRYPT_NO_OFFLOAD, &cc->flags);
2510                 else if (sscanf(opt_string, "integrity:%u:", &val) == 1) {
2511                         if (val == 0 || val > MAX_TAG_SIZE) {
2512                                 ti->error = "Invalid integrity arguments";
2513                                 return -EINVAL;
2514                         }
2515                         cc->on_disk_tag_size = val;
2516                         sval = strchr(opt_string + strlen("integrity:"), ':') + 1;
2517                         if (!strcasecmp(sval, "aead")) {
2518                                 set_bit(CRYPT_MODE_INTEGRITY_AEAD, &cc->cipher_flags);
2519                         } else  if (strcasecmp(sval, "none")) {
2520                                 ti->error = "Unknown integrity profile";
2521                                 return -EINVAL;
2522                         }
2523
2524                         cc->cipher_auth = kstrdup(sval, GFP_KERNEL);
2525                         if (!cc->cipher_auth)
2526                                 return -ENOMEM;
2527                 } else if (sscanf(opt_string, "sector_size:%hu%c", &cc->sector_size, &dummy) == 1) {
2528                         if (cc->sector_size < (1 << SECTOR_SHIFT) ||
2529                             cc->sector_size > 4096 ||
2530                             (cc->sector_size & (cc->sector_size - 1))) {
2531                                 ti->error = "Invalid feature value for sector_size";
2532                                 return -EINVAL;
2533                         }
2534                         if (ti->len & ((cc->sector_size >> SECTOR_SHIFT) - 1)) {
2535                                 ti->error = "Device size is not multiple of sector_size feature";
2536                                 return -EINVAL;
2537                         }
2538                         cc->sector_shift = __ffs(cc->sector_size) - SECTOR_SHIFT;
2539                 } else if (!strcasecmp(opt_string, "iv_large_sectors"))
2540                         set_bit(CRYPT_IV_LARGE_SECTORS, &cc->cipher_flags);
2541                 else {
2542                         ti->error = "Invalid feature arguments";
2543                         return -EINVAL;
2544                 }
2545         }
2546
2547         return 0;
2548 }
2549
2550 /*
2551  * Construct an encryption mapping:
2552  * <cipher> [<key>|:<key_size>:<user|logon>:<key_description>] <iv_offset> <dev_path> <start>
2553  */
2554 static int crypt_ctr(struct dm_target *ti, unsigned int argc, char **argv)
2555 {
2556         struct crypt_config *cc;
2557         const char *devname = dm_table_device_name(ti->table);
2558         int key_size;
2559         unsigned int align_mask;
2560         unsigned long long tmpll;
2561         int ret;
2562         size_t iv_size_padding, additional_req_size;
2563         char dummy;
2564
2565         if (argc < 5) {
2566                 ti->error = "Not enough arguments";
2567                 return -EINVAL;
2568         }
2569
2570         key_size = get_key_size(&argv[1]);
2571         if (key_size < 0) {
2572                 ti->error = "Cannot parse key size";
2573                 return -EINVAL;
2574         }
2575
2576         cc = kzalloc(struct_size(cc, key, key_size), GFP_KERNEL);
2577         if (!cc) {
2578                 ti->error = "Cannot allocate encryption context";
2579                 return -ENOMEM;
2580         }
2581         cc->key_size = key_size;
2582         cc->sector_size = (1 << SECTOR_SHIFT);
2583         cc->sector_shift = 0;
2584
2585         ti->private = cc;
2586
2587         spin_lock(&dm_crypt_clients_lock);
2588         dm_crypt_clients_n++;
2589         crypt_calculate_pages_per_client();
2590         spin_unlock(&dm_crypt_clients_lock);
2591
2592         ret = percpu_counter_init(&cc->n_allocated_pages, 0, GFP_KERNEL);
2593         if (ret < 0)
2594                 goto bad;
2595
2596         /* Optional parameters need to be read before cipher constructor */
2597         if (argc > 5) {
2598                 ret = crypt_ctr_optional(ti, argc - 5, &argv[5]);
2599                 if (ret)
2600                         goto bad;
2601         }
2602
2603         ret = crypt_ctr_cipher(ti, argv[0], argv[1]);
2604         if (ret < 0)
2605                 goto bad;
2606
2607         if (crypt_integrity_aead(cc)) {
2608                 cc->dmreq_start = sizeof(struct aead_request);
2609                 cc->dmreq_start += crypto_aead_reqsize(any_tfm_aead(cc));
2610                 align_mask = crypto_aead_alignmask(any_tfm_aead(cc));
2611         } else {
2612                 cc->dmreq_start = sizeof(struct skcipher_request);
2613                 cc->dmreq_start += crypto_skcipher_reqsize(any_tfm(cc));
2614                 align_mask = crypto_skcipher_alignmask(any_tfm(cc));
2615         }
2616         cc->dmreq_start = ALIGN(cc->dmreq_start, __alignof__(struct dm_crypt_request));
2617
2618         if (align_mask < CRYPTO_MINALIGN) {
2619                 /* Allocate the padding exactly */
2620                 iv_size_padding = -(cc->dmreq_start + sizeof(struct dm_crypt_request))
2621                                 & align_mask;
2622         } else {
2623                 /*
2624                  * If the cipher requires greater alignment than kmalloc
2625                  * alignment, we don't know the exact position of the
2626                  * initialization vector. We must assume worst case.
2627                  */
2628                 iv_size_padding = align_mask;
2629         }
2630
2631         /*  ...| IV + padding | original IV | original sec. number | bio tag offset | */
2632         additional_req_size = sizeof(struct dm_crypt_request) +
2633                 iv_size_padding + cc->iv_size +
2634                 cc->iv_size +
2635                 sizeof(uint64_t) +
2636                 sizeof(unsigned int);
2637
2638         ret = mempool_init_kmalloc_pool(&cc->req_pool, MIN_IOS, cc->dmreq_start + additional_req_size);
2639         if (ret) {
2640                 ti->error = "Cannot allocate crypt request mempool";
2641                 goto bad;
2642         }
2643
2644         cc->per_bio_data_size = ti->per_io_data_size =
2645                 ALIGN(sizeof(struct dm_crypt_io) + cc->dmreq_start + additional_req_size,
2646                       ARCH_KMALLOC_MINALIGN);
2647
2648         ret = mempool_init(&cc->page_pool, BIO_MAX_PAGES, crypt_page_alloc, crypt_page_free, cc);
2649         if (ret) {
2650                 ti->error = "Cannot allocate page mempool";
2651                 goto bad;
2652         }
2653
2654         ret = bioset_init(&cc->bs, MIN_IOS, 0, BIOSET_NEED_BVECS);
2655         if (ret) {
2656                 ti->error = "Cannot allocate crypt bioset";
2657                 goto bad;
2658         }
2659
2660         mutex_init(&cc->bio_alloc_lock);
2661
2662         ret = -EINVAL;
2663         if ((sscanf(argv[2], "%llu%c", &tmpll, &dummy) != 1) ||
2664             (tmpll & ((cc->sector_size >> SECTOR_SHIFT) - 1))) {
2665                 ti->error = "Invalid iv_offset sector";
2666                 goto bad;
2667         }
2668         cc->iv_offset = tmpll;
2669
2670         ret = dm_get_device(ti, argv[3], dm_table_get_mode(ti->table), &cc->dev);
2671         if (ret) {
2672                 ti->error = "Device lookup failed";
2673                 goto bad;
2674         }
2675
2676         ret = -EINVAL;
2677         if (sscanf(argv[4], "%llu%c", &tmpll, &dummy) != 1 || tmpll != (sector_t)tmpll) {
2678                 ti->error = "Invalid device sector";
2679                 goto bad;
2680         }
2681         cc->start = tmpll;
2682
2683         if (crypt_integrity_aead(cc) || cc->integrity_iv_size) {
2684                 ret = crypt_integrity_ctr(cc, ti);
2685                 if (ret)
2686                         goto bad;
2687
2688                 cc->tag_pool_max_sectors = POOL_ENTRY_SIZE / cc->on_disk_tag_size;
2689                 if (!cc->tag_pool_max_sectors)
2690                         cc->tag_pool_max_sectors = 1;
2691
2692                 ret = mempool_init_kmalloc_pool(&cc->tag_pool, MIN_IOS,
2693                         cc->tag_pool_max_sectors * cc->on_disk_tag_size);
2694                 if (ret) {
2695                         ti->error = "Cannot allocate integrity tags mempool";
2696                         goto bad;
2697                 }
2698
2699                 cc->tag_pool_max_sectors <<= cc->sector_shift;
2700         }
2701
2702         ret = -ENOMEM;
2703         cc->io_queue = alloc_workqueue("kcryptd_io/%s",
2704                                        WQ_HIGHPRI | WQ_CPU_INTENSIVE | WQ_MEM_RECLAIM,
2705                                        1, devname);
2706         if (!cc->io_queue) {
2707                 ti->error = "Couldn't create kcryptd io queue";
2708                 goto bad;
2709         }
2710
2711         if (test_bit(DM_CRYPT_SAME_CPU, &cc->flags))
2712                 cc->crypt_queue = alloc_workqueue("kcryptd/%s",
2713                                                   WQ_HIGHPRI | WQ_CPU_INTENSIVE | WQ_MEM_RECLAIM,
2714                                                   1, devname);
2715         else
2716                 cc->crypt_queue = alloc_workqueue("kcryptd/%s",
2717                                                   WQ_HIGHPRI | WQ_CPU_INTENSIVE | WQ_MEM_RECLAIM | WQ_UNBOUND,
2718                                                   num_online_cpus(), devname);
2719         if (!cc->crypt_queue) {
2720                 ti->error = "Couldn't create kcryptd queue";
2721                 goto bad;
2722         }
2723
2724         spin_lock_init(&cc->write_thread_lock);
2725         cc->write_tree = RB_ROOT;
2726
2727         cc->write_thread = kthread_create(dmcrypt_write, cc, "dmcrypt_write/%s", devname);
2728         if (IS_ERR(cc->write_thread)) {
2729                 ret = PTR_ERR(cc->write_thread);
2730                 cc->write_thread = NULL;
2731                 ti->error = "Couldn't spawn write thread";
2732                 goto bad;
2733         }
2734         wake_up_process(cc->write_thread);
2735
2736         ti->num_flush_bios = 1;
2737
2738         return 0;
2739
2740 bad:
2741         crypt_dtr(ti);
2742         return ret;
2743 }
2744
2745 static int crypt_map(struct dm_target *ti, struct bio *bio)
2746 {
2747         struct dm_crypt_io *io;
2748         struct crypt_config *cc = ti->private;
2749
2750         /*
2751          * If bio is REQ_PREFLUSH or REQ_OP_DISCARD, just bypass crypt queues.
2752          * - for REQ_PREFLUSH device-mapper core ensures that no IO is in-flight
2753          * - for REQ_OP_DISCARD caller must use flush if IO ordering matters
2754          */
2755         if (unlikely(bio->bi_opf & REQ_PREFLUSH ||
2756             bio_op(bio) == REQ_OP_DISCARD)) {
2757                 bio_set_dev(bio, cc->dev->bdev);
2758                 if (bio_sectors(bio))
2759                         bio->bi_iter.bi_sector = cc->start +
2760                                 dm_target_offset(ti, bio->bi_iter.bi_sector);
2761                 return DM_MAPIO_REMAPPED;
2762         }
2763
2764         /*
2765          * Check if bio is too large, split as needed.
2766          */
2767         if (unlikely(bio->bi_iter.bi_size > (BIO_MAX_PAGES << PAGE_SHIFT)) &&
2768             (bio_data_dir(bio) == WRITE || cc->on_disk_tag_size))
2769                 dm_accept_partial_bio(bio, ((BIO_MAX_PAGES << PAGE_SHIFT) >> SECTOR_SHIFT));
2770
2771         /*
2772          * Ensure that bio is a multiple of internal sector encryption size
2773          * and is aligned to this size as defined in IO hints.
2774          */
2775         if (unlikely((bio->bi_iter.bi_sector & ((cc->sector_size >> SECTOR_SHIFT) - 1)) != 0))
2776                 return DM_MAPIO_KILL;
2777
2778         if (unlikely(bio->bi_iter.bi_size & (cc->sector_size - 1)))
2779                 return DM_MAPIO_KILL;
2780
2781         io = dm_per_bio_data(bio, cc->per_bio_data_size);
2782         crypt_io_init(io, cc, bio, dm_target_offset(ti, bio->bi_iter.bi_sector));
2783
2784         if (cc->on_disk_tag_size) {
2785                 unsigned tag_len = cc->on_disk_tag_size * (bio_sectors(bio) >> cc->sector_shift);
2786
2787                 if (unlikely(tag_len > KMALLOC_MAX_SIZE) ||
2788                     unlikely(!(io->integrity_metadata = kmalloc(tag_len,
2789                                 GFP_NOIO | __GFP_NORETRY | __GFP_NOMEMALLOC | __GFP_NOWARN)))) {
2790                         if (bio_sectors(bio) > cc->tag_pool_max_sectors)
2791                                 dm_accept_partial_bio(bio, cc->tag_pool_max_sectors);
2792                         io->integrity_metadata = mempool_alloc(&cc->tag_pool, GFP_NOIO);
2793                         io->integrity_metadata_from_pool = true;
2794                 }
2795         }
2796
2797         if (crypt_integrity_aead(cc))
2798                 io->ctx.r.req_aead = (struct aead_request *)(io + 1);
2799         else
2800                 io->ctx.r.req = (struct skcipher_request *)(io + 1);
2801
2802         if (bio_data_dir(io->base_bio) == READ) {
2803                 if (kcryptd_io_read(io, GFP_NOWAIT))
2804                         kcryptd_queue_read(io);
2805         } else
2806                 kcryptd_queue_crypt(io);
2807
2808         return DM_MAPIO_SUBMITTED;
2809 }
2810
2811 static void crypt_status(struct dm_target *ti, status_type_t type,
2812                          unsigned status_flags, char *result, unsigned maxlen)
2813 {
2814         struct crypt_config *cc = ti->private;
2815         unsigned i, sz = 0;
2816         int num_feature_args = 0;
2817
2818         switch (type) {
2819         case STATUSTYPE_INFO:
2820                 result[0] = '\0';
2821                 break;
2822
2823         case STATUSTYPE_TABLE:
2824                 DMEMIT("%s ", cc->cipher_string);
2825
2826                 if (cc->key_size > 0) {
2827                         if (cc->key_string)
2828                                 DMEMIT(":%u:%s", cc->key_size, cc->key_string);
2829                         else
2830                                 for (i = 0; i < cc->key_size; i++)
2831                                         DMEMIT("%02x", cc->key[i]);
2832                 } else
2833                         DMEMIT("-");
2834
2835                 DMEMIT(" %llu %s %llu", (unsigned long long)cc->iv_offset,
2836                                 cc->dev->name, (unsigned long long)cc->start);
2837
2838                 num_feature_args += !!ti->num_discard_bios;
2839                 num_feature_args += test_bit(DM_CRYPT_SAME_CPU, &cc->flags);
2840                 num_feature_args += test_bit(DM_CRYPT_NO_OFFLOAD, &cc->flags);
2841                 num_feature_args += cc->sector_size != (1 << SECTOR_SHIFT);
2842                 num_feature_args += test_bit(CRYPT_IV_LARGE_SECTORS, &cc->cipher_flags);
2843                 if (cc->on_disk_tag_size)
2844                         num_feature_args++;
2845                 if (num_feature_args) {
2846                         DMEMIT(" %d", num_feature_args);
2847                         if (ti->num_discard_bios)
2848                                 DMEMIT(" allow_discards");
2849                         if (test_bit(DM_CRYPT_SAME_CPU, &cc->flags))
2850                                 DMEMIT(" same_cpu_crypt");
2851                         if (test_bit(DM_CRYPT_NO_OFFLOAD, &cc->flags))
2852                                 DMEMIT(" submit_from_crypt_cpus");
2853                         if (cc->on_disk_tag_size)
2854                                 DMEMIT(" integrity:%u:%s", cc->on_disk_tag_size, cc->cipher_auth);
2855                         if (cc->sector_size != (1 << SECTOR_SHIFT))
2856                                 DMEMIT(" sector_size:%d", cc->sector_size);
2857                         if (test_bit(CRYPT_IV_LARGE_SECTORS, &cc->cipher_flags))
2858                                 DMEMIT(" iv_large_sectors");
2859                 }
2860
2861                 break;
2862         }
2863 }
2864
2865 static void crypt_postsuspend(struct dm_target *ti)
2866 {
2867         struct crypt_config *cc = ti->private;
2868
2869         set_bit(DM_CRYPT_SUSPENDED, &cc->flags);
2870 }
2871
2872 static int crypt_preresume(struct dm_target *ti)
2873 {
2874         struct crypt_config *cc = ti->private;
2875
2876         if (!test_bit(DM_CRYPT_KEY_VALID, &cc->flags)) {
2877                 DMERR("aborting resume - crypt key is not set.");
2878                 return -EAGAIN;
2879         }
2880
2881         return 0;
2882 }
2883
2884 static void crypt_resume(struct dm_target *ti)
2885 {
2886         struct crypt_config *cc = ti->private;
2887
2888         clear_bit(DM_CRYPT_SUSPENDED, &cc->flags);
2889 }
2890
2891 /* Message interface
2892  *      key set <key>
2893  *      key wipe
2894  */
2895 static int crypt_message(struct dm_target *ti, unsigned argc, char **argv,
2896                          char *result, unsigned maxlen)
2897 {
2898         struct crypt_config *cc = ti->private;
2899         int key_size, ret = -EINVAL;
2900
2901         if (argc < 2)
2902                 goto error;
2903
2904         if (!strcasecmp(argv[0], "key")) {
2905                 if (!test_bit(DM_CRYPT_SUSPENDED, &cc->flags)) {
2906                         DMWARN("not suspended during key manipulation.");
2907                         return -EINVAL;
2908                 }
2909                 if (argc == 3 && !strcasecmp(argv[1], "set")) {
2910                         /* The key size may not be changed. */
2911                         key_size = get_key_size(&argv[2]);
2912                         if (key_size < 0 || cc->key_size != key_size) {
2913                                 memset(argv[2], '0', strlen(argv[2]));
2914                                 return -EINVAL;
2915                         }
2916
2917                         ret = crypt_set_key(cc, argv[2]);
2918                         if (ret)
2919                                 return ret;
2920                         if (cc->iv_gen_ops && cc->iv_gen_ops->init)
2921                                 ret = cc->iv_gen_ops->init(cc);
2922                         /* wipe the kernel key payload copy */
2923                         if (cc->key_string)
2924                                 memset(cc->key, 0, cc->key_size * sizeof(u8));
2925                         return ret;
2926                 }
2927                 if (argc == 2 && !strcasecmp(argv[1], "wipe"))
2928                         return crypt_wipe_key(cc);
2929         }
2930
2931 error:
2932         DMWARN("unrecognised message received.");
2933         return -EINVAL;
2934 }
2935
2936 static int crypt_iterate_devices(struct dm_target *ti,
2937                                  iterate_devices_callout_fn fn, void *data)
2938 {
2939         struct crypt_config *cc = ti->private;
2940
2941         return fn(ti, cc->dev, cc->start, ti->len, data);
2942 }
2943
2944 static void crypt_io_hints(struct dm_target *ti, struct queue_limits *limits)
2945 {
2946         struct crypt_config *cc = ti->private;
2947
2948         /*
2949          * Unfortunate constraint that is required to avoid the potential
2950          * for exceeding underlying device's max_segments limits -- due to
2951          * crypt_alloc_buffer() possibly allocating pages for the encryption
2952          * bio that are not as physically contiguous as the original bio.
2953          */
2954         limits->max_segment_size = PAGE_SIZE;
2955
2956         limits->logical_block_size =
2957                 max_t(unsigned short, limits->logical_block_size, cc->sector_size);
2958         limits->physical_block_size =
2959                 max_t(unsigned, limits->physical_block_size, cc->sector_size);
2960         limits->io_min = max_t(unsigned, limits->io_min, cc->sector_size);
2961 }
2962
2963 static struct target_type crypt_target = {
2964         .name   = "crypt",
2965         .version = {1, 19, 0},
2966         .module = THIS_MODULE,
2967         .ctr    = crypt_ctr,
2968         .dtr    = crypt_dtr,
2969         .map    = crypt_map,
2970         .status = crypt_status,
2971         .postsuspend = crypt_postsuspend,
2972         .preresume = crypt_preresume,
2973         .resume = crypt_resume,
2974         .message = crypt_message,
2975         .iterate_devices = crypt_iterate_devices,
2976         .io_hints = crypt_io_hints,
2977 };
2978
2979 static int __init dm_crypt_init(void)
2980 {
2981         int r;
2982
2983         r = dm_register_target(&crypt_target);
2984         if (r < 0)
2985                 DMERR("register failed %d", r);
2986
2987         return r;
2988 }
2989
2990 static void __exit dm_crypt_exit(void)
2991 {
2992         dm_unregister_target(&crypt_target);
2993 }
2994
2995 module_init(dm_crypt_init);
2996 module_exit(dm_crypt_exit);
2997
2998 MODULE_AUTHOR("Jana Saout <jana@saout.de>");
2999 MODULE_DESCRIPTION(DM_NAME " target for transparent encryption / decryption");
3000 MODULE_LICENSE("GPL");