Update README/man page documentation

Add more info on:
* introduction
* EVM formats
* Signature and keys formats
* IMA trusted keys and keyrings
* EVM trusted keys
* Updated scripts and examples

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide command parameter to include extra SMACK xattrs for EVM signature

Latest versions of smack uses additional xattrs. This patch adds them to
EVM protection. Linux kernel configuration option CONFIG_EVM_EXTRA_SMACK_XATTRS
has to be enabled.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use <linux/xattr.h> for security xattrs

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Make error and help messages more understandable

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Make evmctl.1 as part of distribution and release

Do not require to re-build man file at the build process.
It will require less build dependencies.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Update README to produce initial evmctl.1 man page

Update README with additional information to produce initial
evmctl.1 man page. Sligtly reformat it for that purpose as well.

Requires asciidoc, xslproc, docbook-xsl packages to build man page.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Include example scripts to distribution and installation

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix checkpatch errors

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move sign hash functions to library

This patch enables package managers, such as rpm, to include IMA signatures in
packages.

To do this, sign_hash and some helper functions were moved from evmctl to
libimaevm. These functions used global variables that belong to evmctl, sigdump
and keypass. The variable sigdump is a flag that file signatures should be
printed to stdout, so the signature dump is now handled by functions that call
sign_hash. The variable keypass is a passphrase for an encrypted key, so it was
added to 'struct libevm_params'.

v2: Uses 'struct libevm_params' to minimize sign_hash parameters
v3: Export single sign_hash function that selects _v1 or _v2 internally based
on params.x509. Moved parameter checks and explicitly return -1 for failures.

Signed-off-by: Fionnuala Gunter <fin@linux.vnet.ibm.com>
Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove local ioctl definitions and use <linux/fs.h>

Use standard flags, supported by ext2/3/4

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove code duplication

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Switch to HMAC attribute mask

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix setting correct hash header

'ima_hash -a sha256' and 'sign -a sha256 --imahash' commands did set
incorrect xattr header for hash algos other than sha1.

Fix it.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use defined xattr types

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix resource leak

Signed-off-by: Zbigniew Jasinski <z.jasinski@samsung.com>

make it possible to provide keyring id in hexadecimal format

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

add extra auto built files to .gitignore

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix memory leak

Signed-off-by: Zbigniew Jasinski <z.jasinski@samsung.com>
Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use proper loff_t type for file size

Signed-off-byL Zbigniew Jasinski <z.jasinski@samsung.com>
Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Release version 0.8

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix parameter name in help output

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove unused 'x' parameter

'-x' option was removed a while ago, but 'x' was not removed
from getopt_long() parameter. Remove it.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Add Mimi to AUTHORS list

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Update license text with OpenSSL exception clause

Ubuntu/Debian requires to provide OpenSSL exception clause.
This patch fixes it.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Add support for signing a file hash

In a number of situations, the file hash has already been calculated.
Instead of reading a file to calculate the file hash, read the file hash
from stdin; and instead of writing the signature as an xattr or creating
a .sig file, output the signature as ascii-hex to stdout.

For example, piping the output of sha256sum <pathname> to evmctl would
display the original sha256 output with the file signature appended.

Signed-off-by: Mimi Zohar <zohar@linux.vnet.ibm.com>

Define symbolic keyring name

Currently evmctl supports importing keys onto a particular keyring
based on a numeric keyring identifier.  This patch adds support
for importing keys based special values as defined by keyctl.

   Thread keyring: @t (-1)
   Process keyring: @p (-2)
   Session keyring: @s (-3)
   User specific keyring: @u (-4)
   User default session keyring: @us (-5)
   Group specific keyring: @g (-6)

Signed-off-by: Mimi Zohar <zohar@linux.vnet.ibm.com>

Release new version v0.7

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide random KMK example instead of fixed testing123

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Limit includes in imaevm.h

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Rename library, header file and export it.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use --m32 and --m64 parameters also in HMAC signing code

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide target architecture size parameter

'--m32|--m64' parameter can be specified to label images for different
architecture size than host.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide additional debug info for hmac_misc

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Include only libraries to the package

Prevent including debug stuff to the main package.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove experimental module signing functionality

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove verify_hash parameter

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove x509 library parameter

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove user_hash_algo

Use always hash algo from signature like kernel does.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use EVM v2 HMAC format by default

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Do use x509 by default

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Select signing function in single place

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Select verification function version in the library code

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Remove user_sig_type flag

Always use signature type from signature header - like kernel does.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use verify_hash() for EVM verification as well

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move signature version checking to verify_hash()

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move hash verification to separate function

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move signature verification implementation to the library

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Initial library skeleton

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Implement recursive IMA signing

Recursive signing is needed when doing filesystem image signing.
Using script is very slow due to multiple forking and executing.
C-based implementation provides about 7 times performance improvements.
It is very significant when doing large image signing.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Rename de_type to search_type

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move file type checking to separate function

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Implement recursive EVM signing

Recursive signing is needed when doing filesystem image signing.
Using script is very slow due to multiple forking and executing.
C-based implementation provides about 7 times performance improvements.
It is very significant when doing large image signing.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Export find() declaration for the following patches

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Prevent reading of inode generation for special files in HMAC signing

Kernel API does not support at the momement reading of inode generation
number of special files, so do not do it also when do HMAC signing.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Prevent reading of inode generation for special files

Kernel API does not support at the momement reading of
generation number of special files, so do not do it.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use lgetxattr() instead of getxattr()

IMA/EVM extended attributes should be get for symbolic links themselves,
not to the entries pointed by them. setxattr() dereference symbolic links.
It is necessary to use lgetxattr().

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Use lsetxattr() instead of setxattr()

IMA/EVM extended attributes should be set for symbolic links themselves,
not to the entries pointed by them. setxattr() dereference symbolic links.
It is necessary to use lsetxattr().

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Implement recursive efficient IMA fixing

Using scripts which do many forking and execution is very slow on
embedded/mobile devices. C based implementation is about 7 times faster.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Script for generating self-signed certificate

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide spec file for gbs build system

GBS build system requires specfile before configuring the package.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Move spec file to packaging directory

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

IMA measurement list verification (experimental)

PCR aggregate value is reconstructed using IMA measurement list and is compared
against TPM PCR-10. It also performs signature verification if it is available in
the measurement list. ima_measurement_new.c (Mimi Zohar) was used as an example.

Example:
  evmctl ima_measurement /sys/kernel/security/ima/binary_runtime_measurements

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Define __packed

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Provide hexdump functions without new line

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

split signature verification function for passing signature as an argument

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

scripts to generate ca and keys

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

License changed from LGPL to GPL as in COPYING

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Version 0.6 release

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Fix cleanup in the case of errors

Proper memory cleanup is not really necessary for command line
utility because all memory is cleaned up when it quits. But as
code does it most of the cases, fix other places.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

fix the crash when key file is not found

Error in error handling caused crash when key file is not found.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

make --imahash or --imasig optional for EVM signing

One might not want to change/set IMA xattr value when performing
EVM signing.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

perform uuid format checking and error handling

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

make argument for '-u' option as optional

-u required to provide uuid or '-', which was confusing.
Now -u does not require '-' argument to read uuid automatically.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

Save full security.ima attribute to a file

Right now if -f option is passed in, we only save the actual signature to
a file and not the full security.ima attribute.

I think it makes more sense to save full security.ima attribute so that
it can act as detached signatures and one can install signature later.
That is signing can take place on build server and detached signatures
can be generated and these signatures can be installed later on target.

One can use following steps.

evmctl ima_sign -f -x -a sha256 /tmp/data.txt

hexdump -v -e '1/1 "%02x"' /tmp/data.txt.sig > /tmp/data.txt.sig.hex
printf "# file: /tmp/data.txt\nsecurity.ima=0x" | cat - /tmp/data.txt.sig.hex | setfattr --restore -

evmctl ima_verify /tmp/data.txt

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Get signature version from the header

Currently we assume signature version is v1 until and unless -x is
specified on kernel command line. Given the fact that signature version
information is available in signature itself, it is much better to get
it from there and not require user to pass -x during verification phase.

If user passed -x on command line, then honor it.

Now one can do following.

evmctl ima_sign -x /tmp/data.txt
evmctl ima_verify /tmp/data.txt

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Move key file selection to later phase

Following patch reads signature version from header and based
on that key file needs to be selected.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Use enums for signature versions

Using enums for fixed values looks cleaner. Also I am planning to use
version field in more places in next patch. So use enums intead of
numbers like 1 and 2.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Let user specified hash algo take precedence

After applying previous patch, we will always get hash algo info from
signature and if user specified one on command line, that will be overridden.

This is like breaking old behavior. So keep track whether user specified
hash algo on command line or not. If user did not specify one then get
hash algo info from signature otherwise use the one user provided.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Get hash algorithm info from the signature

If one signs a file using hash algo -sha256 then one needs to specify
signature during verification also. Otherwise evmctl using default sha1
for calculating hash and signature verification fails. One needs to
specify -a sha256 on command line even during signature verification
phase to make sure file is signed right.

I think that's completely unnecessary. A user is not always supposed
to know what algorithm was used to generate signature. User is only
concered with whether this signature is valid or not.

So retrieve hash algorithm info from signature and use that.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Put right hash algo info in digital signature version 1 header

hdr->hash for signature version 1 contains the info about what hash
algorithm has been used for signing the file. Currently we always set
hdr->hash to DIGEST_ALGO_SHA1. But one can sign file using SHA256 using
option "-a sha256". In that case we should put right hash algo info
in signature header. Fix it.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Fix hash array size in verify_ima()

Now evmctl supports different hash algorithms and sha512 will produce
64 byte digest. verify_ima() still allocates only 20bytes to store hash.
This does not work with larger hashes.

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

evmctl: Fix signature verification code for V2 digital signature

For V2 of digital signature we store signature at hdr->sig and not at
hdr->sig + 2. That's the property of V1 of signature.

Fix the verification code otherwise it fails with following message.

RSA_public_decrypt() failed: -1
error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01
error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed

Signed-off-by: Vivek Goyal <vgoyal@redhat.com>

Fix verification using signature file

Signature file does not contain xattr prefix.
Add signature xattr prefix manually.

Signed-off-by: Dmitry Kasatkin <d.kasatkin@samsung.com>

support for asymmetric crypto keys and new signature format

Asymmetric keys were introduced in linux-3.7 to verify the signature on
signed kernel modules. The asymmetric keys infrastructure abstracts the
signature verification from the crypto details. Asymmetric crypto keys
support allows to import X509 public key certificate in a DER format
into the kernel keyring. Asymmetric keys require a new signature format.
'evmctl -x' or 'evmctl --x509' option can be used to utilize new
signature format.

Using of key filename after the file name for signing and verification commands
is a bit odd. This patch add '--key' parameter to specify non-default key file.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

added uuid support for EVM

Latest version of EVM uses file system UUID as part of an HMAC
calculation to prevent pasting of inode metadata from other file
systems. This patch adds support for adding file system UUID
to HMAC calculation. It is necessary to specify '-u -' or '--uuid -'
on evmctl command line.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Update README

README updated.
Module signing info has been removed. Module signing is done now in kernel
source tree and uses appended signatures. No need to create sig files or
set extended attributes. Information about test scripts has been removed.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Remove test scripts

Test scripts are not used at all.
All needed information is in README.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

remove directory entry list sorting

Directory entries list sorting is not needed.
Entries are read always in the same order.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

added ima signature verification support

For debugging puporse it is usefull to have signature verification
functionality. It supports use of xattrs and .sig files.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

do not output type prefix for sig files

sig files do not need type prefix as they are contain only signatures.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

added support for kernel module signature

Kernel module signature is appended to the kernel module.
Kernel signature also contains signature length and magic.
Added --modsig parameter to generate kernel module signature.

Signature can be added to the module like: cat module.sig >> module.ko

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

disable printing signature when using sigfiles

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Remove tag creation

Better to create tag manually when release is done.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Version 0.3

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Added hash calculation for special files

New IMA kernel patches support appraisal of special files,
such as links, device nodes, fifos.

This patch adds support to calculate hash for special files
to be set to security.ima extended attribute.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Refactored to remove redundant hash initialization code

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Do not search for algorithm as it is known

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Some files updated

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Use libexec for programs and scripts

Newer automake does not like to put programs and scripts
to lib directory. Use libexec instead.

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>

Remove forced tag creation

Signed-off-by: Dmitry Kasatkin <dmitry.kasatkin@intel.com>