Merge tag 'block-5.11-2021-01-16' of git://git.kernel.dk/linux-block
[linux/fpc-iii.git] / security / keys / Kconfig
blob83bc23409164a61ea8e89cc2d341d050ca5d10d6
1 # SPDX-License-Identifier: GPL-2.0-only
3 # Key management configuration
6 config KEYS
7         bool "Enable access key retention support"
8         select ASSOCIATIVE_ARRAY
9         help
10           This option provides support for retaining authentication tokens and
11           access keys in the kernel.
13           It also includes provision of methods by which such keys might be
14           associated with a process so that network filesystems, encryption
15           support and the like can find them.
17           Furthermore, a special type of key is available that acts as keyring:
18           a searchable sequence of keys. Each process is equipped with access
19           to five standard keyrings: UID-specific, GID-specific, session,
20           process and thread.
22           If you are unsure as to whether this is required, answer N.
24 config KEYS_REQUEST_CACHE
25         bool "Enable temporary caching of the last request_key() result"
26         depends on KEYS
27         help
28           This option causes the result of the last successful request_key()
29           call that didn't upcall to the kernel to be cached temporarily in the
30           task_struct.  The cache is cleared by exit and just prior to the
31           resumption of userspace.
33           This allows the key used for multiple step processes where each step
34           wants to request a key that is likely the same as the one requested
35           by the last step to save on the searching.
37           An example of such a process is a pathwalk through a network
38           filesystem in which each method needs to request an authentication
39           key.  Pathwalk will call multiple methods for each dentry traversed
40           (permission, d_revalidate, lookup, getxattr, getacl, ...).
42 config PERSISTENT_KEYRINGS
43         bool "Enable register of persistent per-UID keyrings"
44         depends on KEYS
45         help
46           This option provides a register of persistent per-UID keyrings,
47           primarily aimed at Kerberos key storage.  The keyrings are persistent
48           in the sense that they stay around after all processes of that UID
49           have exited, not that they survive the machine being rebooted.
51           A particular keyring may be accessed by either the user whose keyring
52           it is or by a process with administrative privileges.  The active
53           LSMs gets to rule on which admin-level processes get to access the
54           cache.
56           Keyrings are created and added into the register upon demand and get
57           removed if they expire (a default timeout is set upon creation).
59 config BIG_KEYS
60         bool "Large payload keys"
61         depends on KEYS
62         depends on TMPFS
63         depends on CRYPTO_LIB_CHACHA20POLY1305 = y
64         help
65           This option provides support for holding large keys within the kernel
66           (for example Kerberos ticket caches).  The data may be stored out to
67           swapspace by tmpfs.
69           If you are unsure as to whether this is required, answer N.
71 config TRUSTED_KEYS
72         tristate "TRUSTED KEYS"
73         depends on KEYS && TCG_TPM
74         select CRYPTO
75         select CRYPTO_HMAC
76         select CRYPTO_SHA1
77         select CRYPTO_HASH_INFO
78         help
79           This option provides support for creating, sealing, and unsealing
80           keys in the kernel. Trusted keys are random number symmetric keys,
81           generated and RSA-sealed by the TPM. The TPM only unseals the keys,
82           if the boot PCRs and other criteria match.  Userspace will only ever
83           see encrypted blobs.
85           If you are unsure as to whether this is required, answer N.
87 config ENCRYPTED_KEYS
88         tristate "ENCRYPTED KEYS"
89         depends on KEYS
90         select CRYPTO
91         select CRYPTO_HMAC
92         select CRYPTO_AES
93         select CRYPTO_CBC
94         select CRYPTO_SHA256
95         select CRYPTO_RNG
96         help
97           This option provides support for create/encrypting/decrypting keys
98           in the kernel.  Encrypted keys are kernel generated random numbers,
99           which are encrypted/decrypted with a 'master' symmetric key. The
100           'master' key can be either a trusted-key or user-key type.
101           Userspace only ever sees/stores encrypted blobs.
103           If you are unsure as to whether this is required, answer N.
105 config KEY_DH_OPERATIONS
106        bool "Diffie-Hellman operations on retained keys"
107        depends on KEYS
108        select CRYPTO
109        select CRYPTO_HASH
110        select CRYPTO_DH
111        help
112          This option provides support for calculating Diffie-Hellman
113          public keys and shared secrets using values stored as keys
114          in the kernel.
116          If you are unsure as to whether this is required, answer N.
118 config KEY_NOTIFICATIONS
119         bool "Provide key/keyring change notifications"
120         depends on KEYS && WATCH_QUEUE
121         help
122           This option provides support for getting change notifications on keys
123           and keyrings on which the caller has View permission.  This makes use
124           of the /dev/watch_queue misc device to handle the notification
125           buffer and provides KEYCTL_WATCH_KEY to enable/disable watches.