security/keys/Kconfig

   1 # SPDX-License-Identifier: GPL-2.0-only
   2 #
   3 # Key management configuration
   4 #
   5
   6 config KEYS
   7         bool "Enable access key retention support"
   8         select ASSOCIATIVE_ARRAY
   9         help
  10           This option provides support for retaining authentication tokens and
  11           access keys in the kernel.
  12
  13           It also includes provision of methods by which such keys might be
  14           associated with a process so that network filesystems, encryption
  15           support and the like can find them.
  16
  17           Furthermore, a special type of key is available that acts as keyring:
  18           a searchable sequence of keys. Each process is equipped with access
  19           to five standard keyrings: UID-specific, GID-specific, session,
  20           process and thread.
  21
  22           If you are unsure as to whether this is required, answer N.
  23
  24 config KEYS_REQUEST_CACHE
  25         bool "Enable temporary caching of the last request_key() result"
  26         depends on KEYS
  27         help
  28           This option causes the result of the last successful request_key()
  29           call that didn't upcall to the kernel to be cached temporarily in the
  30           task_struct.  The cache is cleared by exit and just prior to the
  31           resumption of userspace.
  32
  33           This allows the key used for multiple step processes where each step
  34           wants to request a key that is likely the same as the one requested
  35           by the last step to save on the searching.
  36
  37           An example of such a process is a pathwalk through a network
  38           filesystem in which each method needs to request an authentication
  39           key.  Pathwalk will call multiple methods for each dentry traversed
  40           (permission, d_revalidate, lookup, getxattr, getacl, ...).
  41
  42 config PERSISTENT_KEYRINGS
  43         bool "Enable register of persistent per-UID keyrings"
  44         depends on KEYS
  45         help
  46           This option provides a register of persistent per-UID keyrings,
  47           primarily aimed at Kerberos key storage.  The keyrings are persistent
  48           in the sense that they stay around after all processes of that UID
  49           have exited, not that they survive the machine being rebooted.
  50
  51           A particular keyring may be accessed by either the user whose keyring
  52           it is or by a process with administrative privileges.  The active
  53           LSMs gets to rule on which admin-level processes get to access the
  54           cache.
  55
  56           Keyrings are created and added into the register upon demand and get
  57           removed if they expire (a default timeout is set upon creation).
  58
  59 config BIG_KEYS
  60         bool "Large payload keys"
  61         depends on KEYS
  62         depends on TMPFS
  63         select CRYPTO
  64         select CRYPTO_AES
  65         select CRYPTO_GCM
  66         help
  67           This option provides support for holding large keys within the kernel
  68           (for example Kerberos ticket caches).  The data may be stored out to
  69           swapspace by tmpfs.
  70
  71           If you are unsure as to whether this is required, answer N.
  72
  73 config TRUSTED_KEYS
  74         tristate "TRUSTED KEYS"
  75         depends on KEYS && TCG_TPM
  76         select CRYPTO
  77         select CRYPTO_HMAC
  78         select CRYPTO_SHA1
  79         select CRYPTO_HASH_INFO
  80         help
  81           This option provides support for creating, sealing, and unsealing
  82           keys in the kernel. Trusted keys are random number symmetric keys,
  83           generated and RSA-sealed by the TPM. The TPM only unseals the keys,
  84           if the boot PCRs and other criteria match.  Userspace will only ever
  85           see encrypted blobs.
  86
  87           If you are unsure as to whether this is required, answer N.
  88
  89 config ENCRYPTED_KEYS
  90         tristate "ENCRYPTED KEYS"
  91         depends on KEYS
  92         select CRYPTO
  93         select CRYPTO_HMAC
  94         select CRYPTO_AES
  95         select CRYPTO_CBC
  96         select CRYPTO_SHA256
  97         select CRYPTO_RNG
  98         help
  99           This option provides support for create/encrypting/decrypting keys
 100           in the kernel.  Encrypted keys are kernel generated random numbers,
 101           which are encrypted/decrypted with a 'master' symmetric key. The
 102           'master' key can be either a trusted-key or user-key type.
 103           Userspace only ever sees/stores encrypted blobs.
 104
 105           If you are unsure as to whether this is required, answer N.
 106
 107 config KEY_DH_OPERATIONS
 108        bool "Diffie-Hellman operations on retained keys"
 109        depends on KEYS
 110        select CRYPTO
 111        select CRYPTO_HASH
 112        select CRYPTO_DH
 113        help
 114          This option provides support for calculating Diffie-Hellman
 115          public keys and shared secrets using values stored as keys
 116          in the kernel.
 117
 118          If you are unsure as to whether this is required, answer N.