security/keys/Kconfig

   1 # SPDX-License-Identifier: GPL-2.0-only
   2 #
   3 # Key management configuration
   4 #
   5
   6 config KEYS
   7         bool "Enable access key retention support"
   8         select ASSOCIATIVE_ARRAY
   9         help
  10           This option provides support for retaining authentication tokens and
  11           access keys in the kernel.
  12
  13           It also includes provision of methods by which such keys might be
  14           associated with a process so that network filesystems, encryption
  15           support and the like can find them.
  16
  17           Furthermore, a special type of key is available that acts as keyring:
  18           a searchable sequence of keys. Each process is equipped with access
  19           to five standard keyrings: UID-specific, GID-specific, session,
  20           process and thread.
  21
  22           If you are unsure as to whether this is required, answer N.
  23
  24 config KEYS_REQUEST_CACHE
  25         bool "Enable temporary caching of the last request_key() result"
  26         depends on KEYS
  27         help
  28           This option causes the result of the last successful request_key()
  29           call that didn't upcall to the kernel to be cached temporarily in the
  30           task_struct.  The cache is cleared by exit and just prior to the
  31           resumption of userspace.
  32
  33           This allows the key used for multiple step processes where each step
  34           wants to request a key that is likely the same as the one requested
  35           by the last step to save on the searching.
  36
  37           An example of such a process is a pathwalk through a network
  38           filesystem in which each method needs to request an authentication
  39           key.  Pathwalk will call multiple methods for each dentry traversed
  40           (permission, d_revalidate, lookup, getxattr, getacl, ...).
  41
  42 config PERSISTENT_KEYRINGS
  43         bool "Enable register of persistent per-UID keyrings"
  44         depends on KEYS
  45         help
  46           This option provides a register of persistent per-UID keyrings,
  47           primarily aimed at Kerberos key storage.  The keyrings are persistent
  48           in the sense that they stay around after all processes of that UID
  49           have exited, not that they survive the machine being rebooted.
  50
  51           A particular keyring may be accessed by either the user whose keyring
  52           it is or by a process with administrative privileges.  The active
  53           LSMs gets to rule on which admin-level processes get to access the
  54           cache.
  55
  56           Keyrings are created and added into the register upon demand and get
  57           removed if they expire (a default timeout is set upon creation).
  58
  59 config BIG_KEYS
  60         bool "Large payload keys"
  61         depends on KEYS
  62         depends on TMPFS
  63         depends on CRYPTO_LIB_CHACHA20POLY1305 = y
  64         help
  65           This option provides support for holding large keys within the kernel
  66           (for example Kerberos ticket caches).  The data may be stored out to
  67           swapspace by tmpfs.
  68
  69           If you are unsure as to whether this is required, answer N.
  70
  71 config TRUSTED_KEYS
  72         tristate "TRUSTED KEYS"
  73         depends on KEYS && TCG_TPM
  74         select CRYPTO
  75         select CRYPTO_HMAC
  76         select CRYPTO_SHA1
  77         select CRYPTO_HASH_INFO
  78         help
  79           This option provides support for creating, sealing, and unsealing
  80           keys in the kernel. Trusted keys are random number symmetric keys,
  81           generated and RSA-sealed by the TPM. The TPM only unseals the keys,
  82           if the boot PCRs and other criteria match.  Userspace will only ever
  83           see encrypted blobs.
  84
  85           If you are unsure as to whether this is required, answer N.
  86
  87 config ENCRYPTED_KEYS
  88         tristate "ENCRYPTED KEYS"
  89         depends on KEYS
  90         select CRYPTO
  91         select CRYPTO_HMAC
  92         select CRYPTO_AES
  93         select CRYPTO_CBC
  94         select CRYPTO_SHA256
  95         select CRYPTO_RNG
  96         help
  97           This option provides support for create/encrypting/decrypting keys
  98           in the kernel.  Encrypted keys are kernel generated random numbers,
  99           which are encrypted/decrypted with a 'master' symmetric key. The
 100           'master' key can be either a trusted-key or user-key type.
 101           Userspace only ever sees/stores encrypted blobs.
 102
 103           If you are unsure as to whether this is required, answer N.
 104
 105 config KEY_DH_OPERATIONS
 106        bool "Diffie-Hellman operations on retained keys"
 107        depends on KEYS
 108        select CRYPTO
 109        select CRYPTO_HASH
 110        select CRYPTO_DH
 111        help
 112          This option provides support for calculating Diffie-Hellman
 113          public keys and shared secrets using values stored as keys
 114          in the kernel.
 115
 116          If you are unsure as to whether this is required, answer N.
 117
 118 config KEY_NOTIFICATIONS
 119         bool "Provide key/keyring change notifications"
 120         depends on KEYS && WATCH_QUEUE
 121         help
 122           This option provides support for getting change notifications on keys
 123           and keyrings on which the caller has View permission.  This makes use
 124           of the /dev/watch_queue misc device to handle the notification
 125           buffer and provides KEYCTL_WATCH_KEY to enable/disable watches.