摘要：通过/proc/crypto获取当前内核支持的Crypto算法，然后通过tcrypt模块进行测试。 1 配置tcrypt Cryptographic API (CRYPTO [=y]) ->Crypto core or helper ->Testing module 不能打开CRYPTO_MANAG 阅读全文

摘要：Linux Crypto：hash 1 哈希算法基础 哈希算法（Hash Algorithm）将任意长度输入（消息）映射为固定长度输出（哈希值），具有以下特性：1. 确定性：相同输入产生相同输出2. 高效性：快速计算哈希值3. 抗碰撞性：难以找到不同输入产生相同输出4. 单向性：难以从哈希值反推原始 阅读全文

摘要：skcipher 是一种算法类型，为对称密钥加密。它使用相同的密钥（或一组关联的密钥）对数据进行加密和解密。skcipher API 设计用于处理任意长度的数据流（可能不是块大小的整数倍），通常通过链接模式（如 CBC, CTR, XTS, CFB, OFB）来实现。这与处理固定大小块的 ciphe 阅读全文

摘要：1 akcipher 在内核 Crypto 框架中的位置 Crypto 框架层级：1. 用户层 (AF_ALG, /dev/crypto, 内核子系统)2. Crypto 核心引擎层 (算法管理, 请求调度)3. 算法实现层 (软件实现/硬件驱动) akcipher是 Linux 内核 Crypto 阅读全文

摘要：算法实现层向框架核心层注册 struct crypto_alg 实例，提供同步或异步的算法运算回调（encrypt/decrypt/digest/sign 等）。 1 算法分类 算法实现层对不同类型算法进行类分类，如下： 类别内核目录示例注册类型关键回调典型算法 SKCIPHER crypto/sk 阅读全文

摘要：Linux Crypto 核心框架层统一管理加密算法实现（软件/硬件），为内核和用户空间提供异步/同步加密接口，通过算法注册、会话管理（tfm）和请求调度（async_request）实现安全高效的数据加解密服务。 1 核心作用 1. 算法管理：统一注册/注销加密算法（如 AES、SHA256）。 阅读全文

摘要：在Linux Crypto架构中，有部分使用者位于内核，直接调用Crypto API处理安全相关任务。 1 内核 Crypto 使用者表格 技术名称功能说明核心技术关键算法/模式 dm-crypt 块设备透明加密 (LUKS) 对称加密 + IV 生成器 AES-XTS, AES-CBC, Serp 阅读全文

摘要：Linux Key Retention Service（密钥保留服务）是内核的核心安全组件，用于在内核空间安全地管理密钥、证书和认证凭据。它为内核模块和文件系统提供统一的密钥管理框架。 1 Key子系统基本概念 1.1 主要目标 1. 安全存储：在内核空间安全保存敏感数据（如加密密钥、SSL证书）2 阅读全文

摘要：Linux Crypto 子系统为用户空间提供了丰富而强大的加密能力，主要通过以下接口实现： 接口类型主要作用用户空间工具内核对应模块典型使用场景 AF_ALG套接字 提供流式加密API OpenSSL (afalg引擎) crypto/af_alg.c 实时网络加密/文件流加密 Netlink接口 阅读全文

摘要：接前《device-mapper(2)：块设备数据完整性验证功能dm-verity》，对dm-verity增加验签功能： veritysetup生成镜像的hash数据，以及生成dm-verity设备所需的信息。 openssl生成RSA2048私钥；生成包含公钥的自签名证书；对veritysetup 阅读全文

摘要：1 Linux Crypto分层概览 Linux Crypto 子系统分为三层： 层级描述包含组件 使用者层 调用加密服务的实体（内核模块或用户空间程序） 内核使用者：IPsec、dm-crypt、fscrypt用户空间：OpenSSL, cryptsetup, AF_ALG 核心框架层 提供统一A 阅读全文

摘要：dm-verity（Device-Mapper Verity）是 Linux 内核中的一个Device-Mapper Target，用于提供块设备数据的完整性验证 功能。它通过哈希树（Hash Tree）和密码学签名，确保设备内容在运行时未被篡改，广泛应用于嵌入式系统、移动设备（如 Android） 阅读全文

摘要：mkimage根据its配置对镜像进行加密，uboot解析FIT对加密部分进行解密，完成镜像内容保护。 1 生成FIT加密镜像 通过openssl rand生成32字节二进制秘钥文件： openssl rand -out aes-key.bin 32 修改kernel.its文件，增加cipher节 阅读全文

摘要：device-mapper是一种块设备虚拟化技术，下面分别介绍device-mapper的背景、在Linux块设备框架结构中位置、内核配置、相关文件、核心数据结构、相关module初始化、支持的Target。 1 dm说明 Device Mapper（设备映射器） 是 Linux 内核中的一个块设备 阅读全文

摘要：Linux TEE(以RISC-V为例)解决方案大致如下： TEE中运行TOS，比如OPTEE OS，及运行于其上的TA(Trusted Application)。 SecureMonitor，比如OpenSBI，负责安全和非安全切换，以及安全任务分发。 Linux kernel中TEE子系统，负责 阅读全文

摘要：GmSSL是一套实现国密算法的开源库，支持C、Python等语言。 更多参考《GitHub - guanzhi/GmSSL: 支持国密SM2/SM3/SM4/SM9/SSL的密码工具箱》。 1 GmSSL介绍 GmSSL支持SM2/SM3/SM4/SM9/ZUC等国密算法。SM2国密数字证书及基于S 阅读全文

摘要：1. 编译运行Kernel和OPTEE 参考文档《 OPTEE_00_01 - OP-TEE support - Home - RISE Project Confluence Wiki (atlassian.net)》。 下载和编译代码： git clone https://gitlab.com/r 阅读全文

摘要：GmSSL 是一个开源的密码学工具包和库，它实现了包括 SM2、SM3、SM4 在内的中国商用密码算法，以及国际通用的密码算法，如 RSA、AES、DES、SHA 等。GmSSL 旨在提供一个符合中国国家标准的密码学解决方案，适用于需要使用国产密码算法的场景。 快速上手：《快速上手 (gmssl.o 阅读全文

摘要：1 相关名词解释 在讨论证书和加密的上下文中，以下是一些基本概念的解释： CA (Certificate Authority)：证书颁发机构，是一个负责颁发和管理数字证书的实体。CA 验证实体（如个人、公司或服务器）的身份，并发行数字证书，这些证书包含公钥和身份信息，并由 CA 的私钥签名。 Roo 阅读全文

摘要：关键词：hash、sha1、sha256、md5、crc32、rsa、pkcs-1.5、signature等等。 接前文《FIT(1)：基于FIT的镜像创建和解析/启动》，重点梳理签名/验签流程和hash校验流程。 mkimage对镜像或者配置进行签名并生成FIT镜像，uboot执行相反的过程解析F 阅读全文