Linux下的cryptoloop的使用方法和算法分析

原文链接：点击打开链接

最近的项目有一个如下的需求：需要在linux下加密优盘，在windows下要能读取优盘中的加密数据。但有个条件：必须对整个磁盘加密，不能只对文件加密（于是复杂度大大增加）。咋办呢？

最后用下面的方法实现了这个需求：对于 linux 下的优盘加密问题，直接用 losetup 生成一个加密的 loop 镜像文件，然后用 fat32 格式化这个镜像文件，再将整个镜像写入优盘。对于 windows 上的数据读取，最关键的问题是怎么解密镜像文件。（已解决）

其实网上类似的应用很多，例子也不少，但是有两个缺陷：
1.
封装的不好，使用起来有点烦。
2.
没有对解密算法的分析，像我这个项目需要知道解密 loop 镜像的算法就比较郁闷。
所以这篇小文就把网上流传的代码做了些补充，做了封装让它更好用，还有就是对加密算法做了分析，最后附上了相关代码，以后别人有类似的应用也可以方便些。

（一）
cryptoloop 使用方法：
网上类似的代码太多了，这里不再螯述，我根据网上搜集的资料写了几个脚本，能很容易的实现对加密优盘的读写，使用方法见下文，源代码在后面的附录中。注意，文件镜像用的是 fat32 格式。
使用方法：
1．
数据复制到优盘：
用法： ./data2imagesize(M) password filelist device
Size ：是优盘的大小
Password ：是优盘加密密码
Device ：就是优盘设备名
filelist ：一个文本文件，保存了要复制的文件或者目录列表。
例子： ./ data2image100 mypassword /home/user001/filelist /dev/sdc1
Filelist 的例子：
/home/user001/mytest.txt
/home/user001/mytestdir

2．
优盘中的数据复制到指定文件夹：
用法： ./image2datasize(M) password device destination
Size ：是优盘的大小
Password ：是镜像密码
Device ：就是优盘设备名
Destination ：目标文件夹
例子： ./image2data100 mypassword /dev/sdc1 /tmp/data

使用前要先配置下环境，我的开发环境： RHEL5 企业版， expect5.43 ， tcl8.5.4 ， tk8.5.4  （ expect 等三个开发包是为了密码输入方便）。如果用的是 RHEL5 企业版的话只要装 expect,tcl 和 tk 就行了，否则的话可能还要编译内核让它支持 cryptoloop ，另外可能还要还要编译安装 util-linux-2.12r （该工具包中有 losetup ）。

（二）
解密算法的代码：
（这是全文最重要的部分但却是最简单的，呵呵   分析了半天发现加密算法竟这么简单，我也有点晕）
对于 fat32 来说， cryptoloop 是按照扇区加密的，也就是每 512 字节作为一个块加密，并且以扇区号作为 ivec 参数， aes key 则是直接由用户密码生成。解密算法比较简单，我写了段代码来说明 linux 的解密算法，这样比较直观。具体代码参见附录。

注意：
1. 如果在 losetup 中指定算法的时候指定了 aes 作为算法（而没有明确指定是 cbc 还是 ecb ），则默认使用 cbc 算法。
2.Aes-cbc 全称是 Advanced Encryption Standard (AES) Cipher Algorithm in Cipher BlockChaining (CBC) Mode 。该算法中还需要指定 iv 参数，可将其视为 salt 。
3. 该算法其他具体信息参见 rfc3602
4. 代码中用了 openssl 库，所以要想运行代码必须先安装 openssl 。

（三）算法的分析过程：（没兴趣的请跳过这节: ）
其实我觉得算法的分析过程才是最重要的，比得出的结论还要重要。我把这个过程写下来，以后遇到类似问题可以参考，也方便其他人查找 cryptoloop 解密算法。

分析解密算法前首先要查看加密的镜像文件的内容，说不定能找到一些重要的线索呢。于是创建了两个相同大小相同密码的 loop 镜像文件（为什么要密码相同呢？这是为了检查是否对不同密码使用了 salt 。另外，为了便于分析，创建了两个 1M 的镜像），然后比较这两个文件，发现除了前 512 字节不同外，其他加密数据一模一样，所以得出结论：
1.
有可能是以512 字节的扇区作为数据块加密的（猜测1 ）。 （事实上的确如此）
2.
可能aes 没有加salt 或者所有密码都用相同的salt （猜测2 ）。 （事实上没有加 salt ）

继续，因为是用的 cryptoloop 模块，所以有必要找到 cryptoloop 的代码先。在内核代码中搜索 loop 找到了 cryptoloop 的源代码： linux-2.6.26.1\drivers\block\cryptoloop.c 。

再继续，因为加密模块是 aes ，所以在内核源代码目录中搜索 aes ，找到了一大堆 aes 加密算法，不知道是哪个。最后确定是 linux-2.6.26.1\linux-2.6.26.1\drivers\crypto\padlock-aes.c
为什么呢？因为文件最后的模块别名清楚的写着： MODULE_ALIAS("aes");  所以这就是传说中的 aes 模块。

但是这个模块里又有 cbc_aes_alg 和 ecb_aes_alg 两种加密算法， cryptoloop 用的是哪种算法呢？是 cbc_aes_alg 算法。
为什么呢？请看 cryptoloop.c 中的 cryptoloop_init 函数，当中有段代码：

if(!mode_len) {

mode= "cbc";

mode_len= 3;

}
就是在用户没有指定具体算法的时候使用 cbc-aes 算法（猜测3 ） 。好，具体算法也被确定了。

本来是想好好分析下 cbc(aes) 加密算法的，但是内核中的调用实在太复杂，层次又多，看了一上午，无语了   囧

后来转念一想，干脆试试 openssl 现成的 cbc(aes) 算法吧，查了一下： openssl 的 AES_cbc_encrypt 函数除了两个重要参数没法确定外，另外几个参数都很容易确定。这两个参数一个是 ivec 参数，另外一个就是 key 了。

先确定 key 参数。我知道 key 肯定是由 losetup 创建设备时输入的密码生成的，所以干脆下载了一份 losetup 代码来分析（顺便说一句， losetup 的代码包含在 util-linux-2.12r 开发包中，可在 kernel.org 上下载）。呵呵，这个思路是对的，我从用户输入的密码开始跟踪，发现密码传递的路径如下：
密码被复制进了 loop_info64 的 lo_encrypt_key （注意： lo_encrypt_key 的长度是 32 字节）中，然后在内核源代码目录中搜索 lo_encrypt_key 关键字（用 grep 搜索），发现 cryptoloop.c 中的函数 cryptoloop_init 调用了 crypto_blkcipher_setkey 并且以 lo_encrypt_key 为参数，由此确定 key 是由 lo_encrypt_key 生成的，换句话说就是直接用用户的密码生成 key （猜测4 ） 。（又顺便查看了 padlock-aes.c 的生成 aeskey 的函数，也就是 aes_set_key ，发现果然生成过程中没有用 salt ，这也正印证了前面分析镜像文件时的猜测 2 ）

另一个参数 ivec 采用类似的方法从 padlock-aes.c 的 cbc_aes_decrypt 一层层倒推，最后发现是由 cryptoloop.c 中的函数cryptoloop_transfer 用扇区号生成的（猜测5 ） ，具体过程如下：
cbc_aes_decrypt 实际上是调用 padlock_xcrypt_cbc 函数解密的，而 padlock_xcrypt_cbc 也有一个 iv 参数，我根据这个参数一层层倒推（就是根据函数栈的调用顺序），发现 cryptoloop_transfer 中有如下代码


u32 iv[4] = { 0, };

iv[0]= cpu_to_le32(IV & 0xffffffff); // 这里的 IV 就是扇区号
好， iv 参数也被确定了。

如此根据以上五个猜测结论写了一个小程序模拟内核加密解密，竟然一次成功！
呵呵，整个分析过程都是建立在推理和猜测的基础上，其实读源代码就是这样，要大胆猜测小心论证！还要有一点狗屎运！

注：
分析源代码的过程中还发现了下面这个函数，看了晕不晕？呵呵，网上查了下原来是在调用硬件版本的解密函数， 0xf3,0x0f,0xa7,0xd0 就是 cpu 指令 repxcryptcbc ，后面的 S ， D 之类的东东是寄存器。
static inline u8 *padlock_xcrypt_cbc(constu8 *input, u8 *output, void *key,


u8 *iv, void *control_word, u32 count)
{

/*rep xcryptcbc */

asmvolatile (".byte 0xf3,0x0f,0xa7,0xd0"


: "+S" (input), "+D"(output), "+a" (iv)


: "d" (control_word),"b" (key), "c" (count));

returniv;
}

（四）附录：
一共有五个文件，前四个文件是读写优盘的脚本，最后一个文件是解密程序。
1.
linkwrapper
#!/usr/local/bin/expect 
set password [lindex $argv 0]

spawn losetup -e aes /dev/loop0/tmp/cryptoloop.image

expect {

Password: {

send "$password\r"

exp_continue

}
}

2.
mountwrapper
#!/usr/local/bin/expect 
set password [lindex $argv 0]

spawn mount -t vfat /tmp/cryptoloop.image/mnt/crypto/ -oencryption=aes

expect {

Password: {

send "$password\r"

exp_continue

}
}

3.
data2image
#!/bin/sh
#The script is used to copy files todevice.

if [ $# != 4 ]
then

echo"Usage: $0 size(M) password filelist device"

exit1;
fi

DISKSIZE=$1
PASSWORD=$2
FILELIST=$3
DEVICE=$4

echo "checking environment..."
modprobe aes > /dev/null 2>&1
if [ $? != 0 ]
then

echo"Errors checking aes module" >&2

exit1
fi

modprobe cryptoloop > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors checking cryptoloop module" >&2

exit1
fi

echo "initializing cryptoloopimage..."
umount /mnt/crypto > /dev/null2>&1
losetup -d /dev/loop0 > /dev/null2>&1
rm -f /tmp/cryptoloop.image > /dev/null2>&1
dd if=/dev/zero of=/tmp/cryptoloop.imagebs=1M count=$DISKSIZE > /dev/null 2>&1
if [ $? != 0 ]
then

echo"Errors initializing cryptoloop image" >&2

exit1
fi

echo "linking image to device/dev/loop0..."
./linkwrapper $PASSWORD > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors linking image to device /dev/loop0" >&2

exit1
fi

echo "formatting device/dev/loop0..."
mkfs -t vfat /dev/loop0 > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors formatting device /dev/loop0" >&2

exit1
fi

mkdir /mnt/crypto > /dev/null2>&1

echo "mounting device/dev/loop0..."
./mountwrapper $PASSWORD > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors mounting device /dev/loop0" >&2

exit1
fi

#do something here
cat $FILELIST | \
while read line;do

mkdir -p /mnt/crypto/data$line > /dev/null2>&1

/bin/cp -dpR $line /mnt/crypto/data$line >/dev/null 2>&1
done

#clear 
umount /mnt/crypto > /dev/null2>&1
losetup -d /dev/loop0 > /dev/null2>&1

echo "copying files to $DEVICE..."
dd if=/tmp/cryptoloop.image of=$DEVICEbs=1M count=$DISKSIZE > /dev/null 2>&1
if [ $? != 0 ]
then

echo"Errors copying files to $DEVICE" >&2

exit1
fi

#delete the image file
rm -f /tmp/cryptoloop.image

exit 0

4.
image2data
#!/bin/sh
#The script is used to copy files fromdevice.

if [ $# != 4 ]
then

echo"Usage: $0 size(M) password device destination"

exit1;
fi

DISKSIZE=$1
PASSWORD=$2
DEVICE=$3
DESTINATION=$4

echo "checking environment..."
modprobe aes > /dev/null 2>&1
if [ $? != 0 ]
then

echo"Errors checking aes module" >&2

exit1
fi

modprobe cryptoloop > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors checking cryptoloop module" >&2

exit1
fi

echo "initializing cryptoloopimage..."
umount /mnt/crypto > /dev/null2>&1
losetup -d /dev/loop0 > /dev/null2>&1
rm -f /tmp/cryptoloop.image > /dev/null2>&1
dd if=$DEVICE of=/tmp/cryptoloop.imagebs=1M count=$DISKSIZE > /dev/null 2>&1
if [ $? != 0 ]
then

echo"Errors initializing cryptoloop image" >&2

exit1
fi

echo "linking image to device/dev/loop0..."
./linkwrapper $PASSWORD > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors linking image to device /dev/loop0" >&2

exit1
fi

mkdir /mnt/crypto > /dev/null2>&1

echo "mounting device /dev/loop0..."
./mountwrapper $PASSWORD > /dev/null2>&1
if [ $? != 0 ]
then

echo"Errors mounting device /dev/loop0" >&2

exit1
fi

#do something here
echo "copying files from image..."
cp -dpR /mnt/crypto/data $DESTINATION >/dev/null 2>&1

#clear 
umount /mnt/crypto > /dev/null2>&1
losetup -d /dev/loop0 > /dev/null2>&1
rm -f /tmp/cryptoloop.image
dd if=/dev/zero of=$DEVICE bs=1Mcount=$DISKSIZE > /dev/null 2>&1

exit 0

5.
decrypt.c
#include <stdlib.h>
#include <stdio.h>

#include <openssl/rand.h>
#include <openssl/sha.h>
#include <openssl/aes.h>

int decrypt( const char * password, constchar * srcpath, const char * dstpath )
{

charkeybuf[32];

AES_KEY key;

unsigned char blank[512];

unsigned char endata[512];

FILE* psrcf = NULL;

FILE* pdstf = NULL;

longsrcfilelen = 0;

intres = 0;

inti=0;



// 因为生成密钥的 userkey 是 256 位所以不能超过 32 个字符

if (strlen( password ) > 32 )

return 1;



memset( keybuf, '\0', 32 );

strncpy( keybuf, password, min( 32, strlen(password ) ) );



memset( blank, '\0', 512 );



memset(endata, '\0', 512 );


psrcf = fopen( srcpath, "rb" );

pdstf = fopen( dstpath, "wb" );


fseek( psrcf, 0, SEEK_END );

srcfilelen = ftell( psrcf );

if(srcfilelen%512 != 0 ) {

res= 1;

goto end;

}



// 使用 aes256 算法

AES_set_decrypt_key( (const unsigned char*)keybuf, 256, &key );



fseek( psrcf, 0, SEEK_SET );

for(i=0; ; ++i ) {

// 假设镜像文件的长度必须是 512 的整数倍，如果是不是的话就算出错

intcount = fread( endata, 1, 512, psrcf );

if(count != 512 || feof( psrcf ) ) {

res = 1;

goto end;

}


// 如果读到的加密扇区全部为 0 的话，说明这个扇区没有加密

if(memcmp(endata,blank,512)!=0 ) {

long iv[4];

memset( iv, '\0', 16 );

iv[0] = i;// 扇区号被用作 iv



// 解密

AES_cbc_encrypt((const unsigned char*)endata,endata,512,&key,(unsigned char *)iv,AES_DECRYPT);

}



fwrite(endata,1,512,pdstf);

}


end:

fclose( psrcf );

fclose( pdstf );

return0;
}

int main(int argc, char* argv[])
{

decrypt ( argv[3], argv[1], argv[2] );

return0;
}