lib/libcryptsetup.h

   1 #ifndef _LIBCRYPTSETUP_H
   2 #define _LIBCRYPTSETUP_H
   3 #ifdef __cplusplus
   4 extern "C" {
   5 #endif
   6
   7 #include <stdint.h>
   8
   9 struct crypt_device; /* crypt device handle */
  10
  11 /**
  12  * Initialise crypt device handle and check if provided device exists.
  13  *
  14  * Returns 0 on success or negative errno value otherwise.
  15  *
  16  * @cd - returns pointer to crypt device handle
  17  * @device - path to device
  18  *
  19  * Note that logging is not initialized here, possible messages uses
  20  * default log function.
  21  */
  22 int crypt_init(struct crypt_device **cd, const char *device);
  23
  24 /**
  25  * Initialise crypt device handle from provided active device name
  26  * and check if provided device exists.
  27  *
  28  * Returns 0 on success or negative errno value otherwise.
  29  *
  30  * @cd - crypt device handle
  31  * @name - name of active crypt device
  32  */
  33 int crypt_init_by_name(struct crypt_device **cd, const char *name);
  34
  35 /**
  36  * Set log function.
  37  *
  38  * @cd - crypt device handle (can be NULL to set default log function)
  39  * @usrptr - provided identification in callback
  40  * @level  - log level below (debug messages can uses other levels)
  41  * @msg    - log message
  42  */
  43 #define CRYPT_LOG_NORMAL 0
  44 #define CRYPT_LOG_ERROR  1
  45 #define CRYPT_LOG_VERBOSE  2
  46 #define CRYPT_LOG_DEBUG -1 /* always on stdout */
  47 void crypt_set_log_callback(struct crypt_device *cd,
  48         void (*log)(int level, const char *msg, void *usrptr),
  49         void *usrptr);
  50
  51 /**
  52  * Log message through log function.
  53  *
  54  * @cd - crypt device handle
  55  * @level  - log level
  56  * @msg    - log message
  57  */
  58 void crypt_log(struct crypt_device *cd, int level, const char *msg);
  59
  60 /**
  61  * Set confirmation callback (yes/no)
  62  *
  63  * If code need confirmation (like deleting last key slot) this function
  64  * is called. If not defined, everything is confirmed.
  65  *
  66  * Calback should return 0 if operation is declined, other values mean accepted.
  67  *
  68  * @cd - crypt device handle
  69  * @usrptr - provided identification in callback
  70  * @msg - Message for user to confirm
  71  */
  72 void crypt_set_confirm_callback(struct crypt_device *cd,
  73         int (*confirm)(const char *msg, void *usrptr),
  74         void *usrptr);
  75
  76 /**
  77  * Set password query callback.
  78  *
  79  * If code need _interactive_ query for password, this callback is called.
  80  * If not defined, compiled-in default is called (uses terminal input).
  81  *
  82  * @cd - crypt device handle
  83  * @usrptr - provided identification in callback
  84  * @msg - Message for user
  85  * @buf - buffer for password
  86  * @length - size of buffer
  87  *
  88  * Calback should return length of password in buffer
  89  * or negative errno value in case of error.
  90  *
  91  * - Note that if this function is defined, verify option is ignored
  92  *   (caller which provided callback is responsible for password verification)
  93  * - Only zero terminated passwords can be entered this way, for complex
  94  *   use API functions directly.
  95  * - Maximal length of password is limited to @length-1 (minimal 511 chars)
  96  */
  97 void crypt_set_password_callback(struct crypt_device *cd,
  98         int (*password)(const char *msg, char *buf, size_t length, void *usrptr),
  99         void *usrptr);
 100
 101 /**
 102  * Various crypt device parameters
 103  *
 104  * @cd - crypt device handle
 105  * @timeout - timeout in seconds for password entry if compiled-in function used
 106  * @password_retry - number of tries for password if not verified
 107  * @iteration_time - iteration time for LUKS header in miliseconds
 108  * @password_verify - for compiled-in password query always verify passwords twice
 109  */
 110 void crypt_set_timeout(struct crypt_device *cd, uint64_t timeout_sec);
 111 void crypt_set_password_retry(struct crypt_device *cd, int tries);
 112 void crypt_set_iterarion_time(struct crypt_device *cd, uint64_t iteration_time_ms);
 113 void crypt_set_password_verify(struct crypt_device *cd, int password_verify);
 114
 115 /**
 116  * Set which RNG (random number generator) is used for generating long term key
 117  * @cd - crypt device handle
 118  * @rng_type - kernel random number generator to use
 119  *
 120  * CRYPT_RNG_URANDOM - use /dev/urandom
 121  * CRYPT_RNG_RANDOM  - use /dev/random (waits if no entropy in system)
 122  */
 123 #define CRYPT_RNG_URANDOM 0
 124 #define CRYPT_RNG_RANDOM  1
 125 void crypt_set_rng_type(struct crypt_device *cd, int rng_type);
 126
 127 /**
 128  * Get which RNG (random number generator) is used for generating long term key
 129  *
 130  * Returns RNG type on success or negative errno value otherwise.
 131  *
 132  * @cd - crypt device handle
 133  */
 134 int crypt_get_rng_type(struct crypt_device *cd);
 135
 136 /**
 137  * Helper to lock/unlock memory to avoid swap sensitive data to disk
 138  *
 139  * @cd - crypt device handle, can be NULL
 140  * @lock - 0 to unloct otherwise lock memory
 141  *
 142  * Return value indicates that memory is locked (function can be called multiple times).
 143  * Only root can do this. Note it locks/unlocks all process memory, not only crypt context.
 144  */
 145 int crypt_memory_lock(struct crypt_device *cd, int lock);
 146
 147 #define CRYPT_PLAIN "PLAIN" /* regular crypt device, no on-disk header */
 148 #define CRYPT_LUKS1 "LUKS1" /* LUKS version 1 header on-disk */
 149 #define CRYPT_LOOPAES "LOOPAES" /* loop-AES compatibility mode */
 150
 151 /**
 152  * Get device type
 153  *
 154  * @cd - crypt device handle
 155  *
 156  * Returns string according to device type or NULL if not known.
 157  */
 158 const char *crypt_get_type(struct crypt_device *cd);
 159
 160 struct crypt_params_plain {
 161         const char *hash; /* password hash function */
 162         uint64_t offset;  /* offset in sectors */
 163         uint64_t skip;    /* IV initilisation sector */
 164         uint64_t size;    /* size of mapped device or 0 for autodetection */
 165 };
 166
 167 struct crypt_params_luks1 {
 168         const char *hash;      /* hash used in LUKS header */
 169         size_t data_alignment; /* in sectors, data offset is multiple of this */
 170 };
 171
 172 struct crypt_params_loopaes {
 173         const char *hash; /* key hash function */
 174         uint64_t offset;  /* offset in sectors */
 175         uint64_t skip;    /* IV initilisation sector */
 176 };
 177 /**
 178  * Create (format) new crypt device (and possible header on-disk) but not activates it.
 179  *
 180  * Returns 0 on success or negative errno value otherwise.
 181  *
 182  * @cd - crypt device handle
 183  * @type - type of device (optional params struct must be of this type)
 184  * @cipher - (e.g. "aes")
 185  * @cipher_mode - including IV specification (e.g. "xts-plain")
 186  * @uuid - requested UUID or NULL if it should be generated
 187  * @volume_key - pre-generated volume key or NULL if it should be generated (only for LUKS)
 188  * @volume_key_size - size of volume key in bytes.
 189  * @params - crypt type specific parameters
 190  *
 191  * Note that crypt_format does not enable any keyslot, but it stores volume key internally
 192  * and subsequent crypt_keyslot_add_* calls can be used.
 193  */
 194 int crypt_format(struct crypt_device *cd,
 195         const char *type,
 196         const char *cipher,
 197         const char *cipher_mode,
 198         const char *uuid,
 199         const char *volume_key,
 200         size_t volume_key_size,
 201         void *params);
 202
 203 /**
 204  * Set new UUID for already existing device (if format supports it)
 205  *
 206  * Returns 0 on success or negative errno value otherwise.
 207  *
 208  * @cd - crypt device handle
 209  * @uuid - requested UUID or NULL if it should be generated
 210  */
 211 int crypt_set_uuid(struct crypt_device *cd,
 212                    const char *uuid);
 213
 214 /**
 215  * Load crypt device parameters from on-disk header
 216  *
 217  * Returns 0 on success or negative errno value otherwise.
 218  *
 219  * @cd - crypt device handle
 220  * @requested_type - use NULL for all known
 221  * @params - crypt type specific parameters
 222  */
 223 int crypt_load(struct crypt_device *cd,
 224                const char *requested_type,
 225                void *params);
 226
 227 /**
 228  * Resize crypt device
 229  *
 230  * Returns 0 on success or negative errno value otherwise.
 231  *
 232  * @cd - crypt device handle
 233  * @name - name of device to resize
 234  * @new_size - new device size in sectors or 0 to use underlying device size
 235  */
 236 int crypt_resize(struct crypt_device *cd,
 237                  const char *name,
 238                  uint64_t new_size);
 239
 240 /**
 241  * Suspends crypt device.
 242  *
 243  * Returns 0 on success or negative errno value otherwise.
 244  *
 245  * @cd - crypt device handle, can be NULL
 246  * @name - name of device to suspend
 247  */
 248 int crypt_suspend(struct crypt_device *cd,
 249                   const char *name);
 250
 251 /**
 252  * Resumes crypt device using passphrase.
 253  *
 254  * Returns unlocked key slot number or negative errno otherwise.
 255  *
 256  * @cd - crypt device handle
 257  * @name - name of device to resume
 258  * @keyslot - requested keyslot or CRYPT_ANY_SLOT
 259  * @passphrase - passphrase used to unlock volume key, NULL for query
 260  * @passphrase_size - size of @passphrase (binary data)
 261  */
 262 int crypt_resume_by_passphrase(struct crypt_device *cd,
 263                                const char *name,
 264                                int keyslot,
 265                                const char *passphrase,
 266                                size_t passphrase_size);
 267
 268 /**
 269  * Resumes crypt device using key file.
 270  *
 271  * Returns unlocked key slot number or negative errno otherwise.
 272  *
 273  * @cd - crypt device handle
 274  * @name - name of device to resume
 275  * @keyslot - requested keyslot or CRYPT_ANY_SLOT
 276  * @keyfile - key file used to unlock volume key, NULL for passphrase query
 277  * @keyfile_size - number of bytes to read from @keyfile, 0 is unlimited
 278  */
 279 int crypt_resume_by_keyfile(struct crypt_device *cd,
 280                             const char *name,
 281                             int keyslot,
 282                             const char *keyfile,
 283                             size_t keyfile_size);
 284
 285 /**
 286  * Releases crypt device context and used memory.
 287  *
 288  * @cd - crypt device handle
 289  */
 290 void crypt_free(struct crypt_device *cd);
 291
 292 /**
 293  * Add key slot using provided passphrase
 294  *
 295  * Returns allocated key slot number or negative errno otherwise.
 296  *
 297  * @cd - crypt device handle
 298  * @keyslot - requested keyslot or CRYPT_ANY_SLOT
 299  * @passphrase - passphrase used to unlock volume key, NULL for query
 300  * @passphrase_size - size of @passphrase (binary data)
 301  * @new_passphrase - passphrase for new keyslot, NULL for query
 302  * @new_passphrase_size - size of @new_passphrase (binary data)
 303  */
 304 #define CRYPT_ANY_SLOT -1
 305 int crypt_keyslot_add_by_passphrase(struct crypt_device *cd,
 306         int keyslot,
 307         const char *passphrase,
 308         size_t passphrase_size,
 309         const char *new_passphrase,
 310         size_t new_passphrase_size);
 311
 312 /**
 313  * Get number of keyslots supported for device type.
 314  *
 315  * Returns slot count or negative errno otherwise if device
 316  * doesn't not support keyslots.
 317  *
 318  * @type - crypt device type
 319  */
 320 int crypt_keyslot_max(const char *type);
 321
 322 /**
 323 * Add key slot using provided key file path
 324  *
 325  * Returns allocated key slot number or negative errno otherwise.
 326  *
 327  * @cd - crypt device handle
 328  * @keyslot - requested keyslot or CRYPT_ANY_SLOT
 329  * @keyfile - key file used to unlock volume key, NULL for passphrase query
 330  * @keyfile_size - number of bytes to read from @keyfile, 0 is unlimited
 331  * @new_keyfile - keyfile for new keyslot, NULL for passphrase query
 332  * @new_keyfile_size - number of bytes to read from @new_keyfile, 0 is unlimited
 333  *
 334  * Note that @keyfile can be "-" for STDIN
 335  */
 336 int crypt_keyslot_add_by_keyfile(struct crypt_device *cd,
 337         int keyslot,
 338         const char *keyfile,
 339         size_t keyfile_size,
 340         const char *new_keyfile,
 341         size_t new_keyfile_size);
 342
 343 /**
 344  * Add key slot using provided volume key
 345  *
 346  * Returns allocated key slot number or negative errno otherwise.
 347  *
 348  * @cd - crypt device handle
 349  * @keyslot - requested keyslot or CRYPT_ANY_SLOT
 350  * @volume_key - provided volume key or NULL if used after crypt_format
 351  * @volume_key_size - size of @volume_key
 352  * @passphrase - passphrase for new keyslot, NULL for query
 353  * @passphrase_size - size of @passphrase
 354  */
 355 int crypt_keyslot_add_by_volume_key(struct crypt_device *cd,
 356         int keyslot,
 357         const char *volume_key,
 358         size_t volume_key_size,
 359         const char *passphrase,
 360         size_t passphrase_size);
 361
 362 /**
 363  * Destroy (and disable) key slot
 364  *
 365  * Returns 0 on success or negative errno value otherwise.
 366  *
 367  * @cd - crypt device handle
 368  * @keyslot - requested key slot to destroy
 369  *
 370  * Note that there is no passphrase verification used.
 371  */
 372 int crypt_keyslot_destroy(struct crypt_device *cd, int keyslot);
 373
 374 /**
 375  * Activation flags
 376  */
 377 #define CRYPT_ACTIVATE_READONLY (1 << 0)
 378 #define CRYPT_ACTIVATE_NO_UUID  (1 << 1)
 379 #define CRYPT_ACTIVATE_SHARED   (1 << 2)
 380
 381 /**
 382  * Active device runtime attributes
 383  */
 384 struct crypt_active_device {
 385         uint64_t offset;        /* offset in sectors */
 386         uint64_t iv_offset;     /* IV initilisation sector */
 387         uint64_t size;          /* active device size */
 388         uint32_t flags;         /* activation flags */
 389 };
 390
 391 /**
 392  * Receives runtime attributes of active crypt device
 393  *
 394  * Returns 0 on success or negative errno value otherwise.
 395  *
 396  * @cd - crypt device handle (can be NULL)
 397  * @name - name of active device
 398  * @cad - preallocated active device attributes to fill
 399  */
 400 int crypt_get_active_device(struct crypt_device *cd,
 401                             const char *name,
 402                             struct crypt_active_device *cad);
 403
 404 /**
 405  * Activate device or check passphrase
 406  *
 407  * Returns unlocked key slot number or negative errno otherwise.
 408  *
 409  * @cd - crypt device handle
 410  * @name - name of device to create, if NULL only check passphrase
 411  * @keyslot - requested keyslot to check or CRYPT_ANY_SLOT
 412  * @passphrase - passphrase used to unlock volume key, NULL for query
 413  * @passphrase_size - size of @passphrase
 414  * @flags - activation flags
 415  */
 416 int crypt_activate_by_passphrase(struct crypt_device *cd,
 417         const char *name,
 418         int keyslot,
 419         const char *passphrase,
 420         size_t passphrase_size,
 421         uint32_t flags);
 422
 423 /**
 424  * Activate device or check using key file
 425  *
 426  * Returns unlocked key slot number or negative errno otherwise.
 427  *
 428  * @cd - crypt device handle
 429  * @name - name of device to create, if NULL only check keyfile
 430  * @keyslot - requested keyslot to check or CRYPT_ANY_SLOT
 431  * @keyfile - key file used to unlock volume key
 432  * @keyfile_size - number of bytes to read from @keyfile, 0 is unlimited
 433  * @flags - activation flags
 434  */
 435 int crypt_activate_by_keyfile(struct crypt_device *cd,
 436         const char *name,
 437         int keyslot,
 438         const char *keyfile,
 439         size_t keyfile_size,
 440         uint32_t flags);
 441
 442 /**
 443  * Activate device using provided volume key
 444  *
 445  * Returns 0 on success or negative errno value otherwise.
 446  *
 447  * @cd - crypt device handle
 448  * @name - name of device to create, if NULL only check volume key
 449  * @volume_key - provided volume key (or NULL to use internal)
 450  * @volume_key_size - size of @volume_key
 451  * @flags - activation flags
 452  *
 453  * If NULL is used for volume_key, device has to be initialized
 454  * by previous operation (like crypt_format() or crypt_init_by_name())
 455  */
 456 int crypt_activate_by_volume_key(struct crypt_device *cd,
 457         const char *name,
 458         const char *volume_key,
 459         size_t volume_key_size,
 460         uint32_t flags);
 461
 462 /**
 463  * Deactivate crypt device
 464  *
 465  * @cd - crypt device handle, can be NULL
 466  * @name - name of device to deactivate
 467   */
 468 int crypt_deactivate(struct crypt_device *cd, const char *name);
 469
 470 /**
 471  * Get volume key from of crypt device
 472  *
 473  * Returns unlocked key slot number or negative errno otherwise.
 474  *
 475  * @cd - crypt device handle
 476  * @keyslot - use this keyslot or CRYPT_ANY_SLOT
 477  * @volume_key - buffer for volume key
 478  * @volume_key_size - on input, size of buffer @volume_key,
 479  *                    on output size of @volume_key
 480  * @passphrase - passphrase used to unlock volume key, NULL for query
 481  * @passphrase_size - size of @passphrase
 482  */
 483 int crypt_volume_key_get(struct crypt_device *cd,
 484         int keyslot,
 485         char *volume_key,
 486         size_t *volume_key_size,
 487         const char *passphrase,
 488         size_t passphrase_size);
 489
 490 /**
 491  * Verify that provided volume key is valid for crypt device
 492  *
 493  * Returns 0 on success or negative errno value otherwise.
 494  *
 495  * @cd - crypt device handle
 496  * @volume_key - provided volume key
 497  * @volume_key_size - size of @volume_key
 498  */
 499 int crypt_volume_key_verify(struct crypt_device *cd,
 500         const char *volume_key,
 501         size_t volume_key_size);
 502
 503 /**
 504  * Get status info about device name
 505  *
 506  * Returns value defined by crypt_status_info.
 507  *
 508  * @cd - crypt device handle, can be NULL
 509  * @name -crypt device name
 510  *
 511  * CRYPT_INACTIVE - no such mapped device
 512  * CRYPT_ACTIVE - device is active
 513  * CRYPT_BUSY - device is active and has open count > 0
 514  */
 515 typedef enum {
 516         CRYPT_INVALID,
 517         CRYPT_INACTIVE,
 518         CRYPT_ACTIVE,
 519         CRYPT_BUSY
 520 } crypt_status_info;
 521 crypt_status_info crypt_status(struct crypt_device *cd, const char *name);
 522
 523 /**
 524  * Dump text-formatted information about crypt device to log output
 525  *
 526  * Returns 0 on success or negative errno value otherwise.
 527  *
 528  * @cd - crypt device handle
 529  */
 530 int crypt_dump(struct crypt_device *cd);
 531
 532 /**
 533  * Various crypt device info functions
 534  *
 535  * @cd - crypt device handle
 536  *
 537  * cipher - used cipher, e.g. "aes" or NULL otherwise
 538  * cipher_mode - used cipher mode including IV, e.g. "xts-plain" or NULL otherwise
 539  * uuid - device UUID or NULL if not set
 540  * device_name - underlying device name or NULL if not yet set
 541  * data_offset - device offset in sectors where real data starts on underlying device)
 542  * volume_key_size - size (in bytes) of volume key for crypt device
 543  */
 544 const char *crypt_get_cipher(struct crypt_device *cd);
 545 const char *crypt_get_cipher_mode(struct crypt_device *cd);
 546 const char *crypt_get_uuid(struct crypt_device *cd);
 547 const char *crypt_get_device_name(struct crypt_device *cd);
 548 uint64_t crypt_get_data_offset(struct crypt_device *cd);
 549 int crypt_get_volume_key_size(struct crypt_device *cd);
 550
 551 /**
 552  * Get information about particular key slot
 553  *
 554  * Returns value defined by crypt_keyslot_info.
 555  *
 556  * @cd - crypt device handle
 557  * @keyslot - requested keyslot to check or CRYPT_ANY_SLOT
 558  */
 559 typedef enum {
 560         CRYPT_SLOT_INVALID,
 561         CRYPT_SLOT_INACTIVE,
 562         CRYPT_SLOT_ACTIVE,
 563         CRYPT_SLOT_ACTIVE_LAST
 564 } crypt_keyslot_info;
 565 crypt_keyslot_info crypt_keyslot_status(struct crypt_device *cd, int keyslot);
 566
 567 /**
 568  * Backup header and keyslots to file
 569  *
 570  * Returns 0 on success or negative errno value otherwise.
 571  *
 572  * @cd - crypt device handle
 573  * @requested_type - type of header to backup
 574  * @backup_file - file to backup header to
 575  */
 576 int crypt_header_backup(struct crypt_device *cd,
 577         const char *requested_type,
 578         const char *backup_file);
 579
 580 /**
 581  * Restore header and keyslots from backup file
 582  *
 583  * Returns 0 on success or negative errno value otherwise.
 584  *
 585  * @cd - crypt device handle
 586  * @requested_type - type of header to restore
 587  * @backup_file - file to restore header from
 588  */
 589 int crypt_header_restore(struct crypt_device *cd,
 590         const char *requested_type,
 591         const char *backup_file);
 592
 593 /**
 594  * Receives last reported error
 595  *
 596  * @buf - buffef for message
 597  * @size - size of buffer
 598  *
 599  * Note that this is old API function using global context.
 600  * All error messages are reported also through log callback.
 601  */
 602 void crypt_get_error(char *buf, size_t size);
 603
 604 /**
 605  * Get directory where mapped crypt devices are created
 606  */
 607 const char *crypt_get_dir(void);
 608
 609 /**
 610  * Set library debug level
 611  */
 612 #define CRYPT_DEBUG_ALL  -1
 613 #define CRYPT_DEBUG_NONE  0
 614 void crypt_set_debug_level(int level);
 615
 616 #ifdef __cplusplus
 617 }
 618 #endif
 619 #endif /* _LIBCRYPTSETUP_H */