security/keys/Kconfig

   1 # SPDX-License-Identifier: GPL-2.0-only
   2 #
   3 # Key management configuration
   4 #
   5
   6 config KEYS
   7         bool "Enable access key retention support"
   8         select ASSOCIATIVE_ARRAY
   9         help
  10           This option provides support for retaining authentication tokens and
  11           access keys in the kernel.
  12
  13           It also includes provision of methods by which such keys might be
  14           associated with a process so that network filesystems, encryption
  15           support and the like can find them.
  16
  17           Furthermore, a special type of key is available that acts as keyring:
  18           a searchable sequence of keys. Each process is equipped with access
  19           to five standard keyrings: UID-specific, GID-specific, session,
  20           process and thread.
  21
  22           If you are unsure as to whether this is required, answer N.
  23
  24 config KEYS_REQUEST_CACHE
  25         bool "Enable temporary caching of the last request_key() result"
  26         depends on KEYS
  27         help
  28           This option causes the result of the last successful request_key()
  29           call that didn't upcall to the kernel to be cached temporarily in the
  30           task_struct.  The cache is cleared by exit and just prior to the
  31           resumption of userspace.
  32
  33           This allows the key used for multiple step processes where each step
  34           wants to request a key that is likely the same as the one requested
  35           by the last step to save on the searching.
  36
  37           An example of such a process is a pathwalk through a network
  38           filesystem in which each method needs to request an authentication
  39           key.  Pathwalk will call multiple methods for each dentry traversed
  40           (permission, d_revalidate, lookup, getxattr, getacl, ...).
  41
  42 config PERSISTENT_KEYRINGS
  43         bool "Enable register of persistent per-UID keyrings"
  44         depends on KEYS
  45         help
  46           This option provides a register of persistent per-UID keyrings,
  47           primarily aimed at Kerberos key storage.  The keyrings are persistent
  48           in the sense that they stay around after all processes of that UID
  49           have exited, not that they survive the machine being rebooted.
  50
  51           A particular keyring may be accessed by either the user whose keyring
  52           it is or by a process with administrative privileges.  The active
  53           LSMs gets to rule on which admin-level processes get to access the
  54           cache.
  55
  56           Keyrings are created and added into the register upon demand and get
  57           removed if they expire (a default timeout is set upon creation).
  58
  59 config BIG_KEYS
  60         bool "Large payload keys"
  61         depends on KEYS
  62         depends on TMPFS
  63         depends on CRYPTO_LIB_CHACHA20POLY1305 = y
  64         help
  65           This option provides support for holding large keys within the kernel
  66           (for example Kerberos ticket caches).  The data may be stored out to
  67           swapspace by tmpfs.
  68
  69           If you are unsure as to whether this is required, answer N.
  70
  71 config TRUSTED_KEYS
  72         tristate "TRUSTED KEYS"
  73         depends on KEYS && TCG_TPM
  74         select CRYPTO
  75         select CRYPTO_HMAC
  76         select CRYPTO_SHA1
  77         select CRYPTO_HASH_INFO
  78         select ASN1_ENCODER
  79         select OID_REGISTRY
  80         select ASN1
  81         help
  82           This option provides support for creating, sealing, and unsealing
  83           keys in the kernel. Trusted keys are random number symmetric keys,
  84           generated and RSA-sealed by the TPM. The TPM only unseals the keys,
  85           if the boot PCRs and other criteria match.  Userspace will only ever
  86           see encrypted blobs.
  87
  88           If you are unsure as to whether this is required, answer N.
  89
  90 config ENCRYPTED_KEYS
  91         tristate "ENCRYPTED KEYS"
  92         depends on KEYS
  93         select CRYPTO
  94         select CRYPTO_HMAC
  95         select CRYPTO_AES
  96         select CRYPTO_CBC
  97         select CRYPTO_SHA256
  98         select CRYPTO_RNG
  99         help
 100           This option provides support for create/encrypting/decrypting keys
 101           in the kernel.  Encrypted keys are kernel generated random numbers,
 102           which are encrypted/decrypted with a 'master' symmetric key. The
 103           'master' key can be either a trusted-key or user-key type.
 104           Userspace only ever sees/stores encrypted blobs.
 105
 106           If you are unsure as to whether this is required, answer N.
 107
 108 config KEY_DH_OPERATIONS
 109        bool "Diffie-Hellman operations on retained keys"
 110        depends on KEYS
 111        select CRYPTO
 112        select CRYPTO_HASH
 113        select CRYPTO_DH
 114        help
 115          This option provides support for calculating Diffie-Hellman
 116          public keys and shared secrets using values stored as keys
 117          in the kernel.
 118
 119          If you are unsure as to whether this is required, answer N.
 120
 121 config KEY_NOTIFICATIONS
 122         bool "Provide key/keyring change notifications"
 123         depends on KEYS && WATCH_QUEUE
 124         help
 125           This option provides support for getting change notifications
 126           on keys and keyrings on which the caller has View permission.
 127           This makes use of pipes to handle the notification buffer and
 128           provides KEYCTL_WATCH_KEY to enable/disable watches.