generic: test adding filesystem-level fscrypt key via key_id
[xfstests-dev.git] / tests / generic / 593
1 #! /bin/bash
2 # SPDX-License-Identifier: GPL-2.0
3 # Copyright 2019 Google LLC
4 #
5 # FS QA Test No. 593
6 #
7 # Test adding a key to a filesystem's fscrypt keyring via an
8 # "fscrypt-provisioning" keyring key.  This is an alternative to the normal
9 # method where the raw key is given directly.
10 #
11 seq=`basename $0`
12 seqres=$RESULT_DIR/$seq
13 echo "QA output created by $seq"
14
15 here=`pwd`
16 tmp=/tmp/$$
17 status=1        # failure is the default!
18 trap "_cleanup; exit \$status" 0 1 2 3 15
19
20 _cleanup()
21 {
22         cd /
23         rm -f $tmp.*
24 }
25
26 # get standard environment, filters and checks
27 . ./common/rc
28 . ./common/filter
29 . ./common/encrypt
30
31 # remove previous $seqres.full before test
32 rm -f $seqres.full
33
34 # real QA test starts here
35 _supported_fs generic
36 _supported_os Linux
37 _require_scratch_encryption -v 2
38 _require_command "$KEYCTL_PROG" keyctl
39
40 _new_session_keyring
41 _scratch_mkfs_encrypted &>> $seqres.full
42 _scratch_mount
43 _require_add_enckey_by_key_id $SCRATCH_MNT
44
45 test_with_policy_version()
46 {
47         local vers=$1
48         local dir=$SCRATCH_MNT/dir
49         local keyid
50
51         echo
52         echo "# =========================="
53         echo "# Test with policy version $vers"
54         echo "# =========================="
55
56         case $vers in
57         1)
58                 local keytype=$FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR
59                 local keyspec=$TEST_KEY_DESCRIPTOR
60                 local add_enckey_args="-d $TEST_KEY_DESCRIPTOR"
61                 ;;
62         2)
63                 local keytype=$FSCRYPT_KEY_SPEC_TYPE_IDENTIFIER
64                 local keyspec=$TEST_KEY_IDENTIFIER
65                 local add_enckey_args=""
66                 ;;
67         *)
68                 _fail "Unknown policy version: $vers"
69                 ;;
70         esac
71
72         # First add the key in the regular way (raw key given directly), create
73         # an encrypted file with some contents, and remove the key.  After this,
74         # the encrypted file should no longer be readable.
75
76         echo -e "\n# Adding key to filesystem"
77         _add_enckey $SCRATCH_MNT "$TEST_RAW_KEY" $add_enckey_args
78
79         echo -e "\n# Creating encrypted file"
80         mkdir $dir
81         _set_encpolicy $dir $keyspec
82         echo "contents" > $dir/file
83
84         echo -e "\n# Removing key from filesystem"
85         _rm_enckey $SCRATCH_MNT $keyspec
86         cat $dir/file |& _filter_scratch
87
88         # Now we should be able to add the key back via an fscrypt-provisioning
89         # key which contains the raw key, instead of providing the raw key
90         # directly.  After this, the encrypted file should be readable again.
91
92         echo -e "\n# Adding fscrypt-provisioning key"
93         keyid=$(_add_fscrypt_provisioning_key $keyspec $keytype "$TEST_RAW_KEY")
94
95         echo -e "\n# Adding key to filesystem via fscrypt-provisioning key"
96         $XFS_IO_PROG -c "add_enckey -k $keyid $add_enckey_args" $SCRATCH_MNT
97
98         echo -e "\n# Reading encrypted file"
99         cat $dir/file
100
101         echo -e "\n# Cleaning up"
102         rm -rf $dir
103         _scratch_cycle_mount    # Clear all keys
104 }
105
106 # Test with both v1 and v2 encryption policies.
107 test_with_policy_version 1
108 test_with_policy_version 2
109
110 # Now test that invalid fscrypt-provisioning keys can't be created, that
111 # fscrypt-provisioning keys can't be read back by userspace, and that the
112 # filesystem only accepts properly matching fscrypt-provisioning keys.
113 echo
114 echo "# ================"
115 echo "# Validation tests"
116 echo "# ================"
117
118 echo -e "\n# Adding an invalid fscrypt-provisioning key fails"
119 echo "# ... bad type"
120 _add_fscrypt_provisioning_key desc 0 "$TEST_RAW_KEY"
121 echo "# ... bad type"
122 _add_fscrypt_provisioning_key desc 10000 "$TEST_RAW_KEY"
123 echo "# ... raw key too small"
124 _add_fscrypt_provisioning_key desc $FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR ""
125 echo "# ... raw key too large"
126 _add_fscrypt_provisioning_key desc $FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR \
127         "$TEST_RAW_KEY$TEST_RAW_KEY"
128
129 echo -e "\n# keyctl_read() doesn't work on fscrypt-provisioning keys"
130 keyid=$(_add_fscrypt_provisioning_key desc $FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR \
131         "$TEST_RAW_KEY")
132 $KEYCTL_PROG read $keyid
133 $KEYCTL_PROG unlink $keyid @s
134
135 echo -e "\n# Only keys with the correct fscrypt_provisioning_key_payload::type field can be added"
136 echo "# ... keyring key is v1, filesystem wants v2 key"
137 keyid=$(_add_fscrypt_provisioning_key desc $FSCRYPT_KEY_SPEC_TYPE_DESCRIPTOR \
138         "$TEST_RAW_KEY")
139 $XFS_IO_PROG -c "add_enckey -k $keyid" $SCRATCH_MNT
140 $KEYCTL_PROG unlink $keyid @s
141
142 echo "# ... keyring key is v2, filesystem wants v1 key"
143 keyid=$(_add_fscrypt_provisioning_key desc $FSCRYPT_KEY_SPEC_TYPE_IDENTIFIER \
144         "$TEST_RAW_KEY")
145 $XFS_IO_PROG -c "add_enckey -k $keyid -d $TEST_KEY_DESCRIPTOR" $SCRATCH_MNT
146 $KEYCTL_PROG unlink $keyid @s
147
148 echo -e "\n# Only keys of type fscrypt-provisioning can be added"
149 keyid=$(head -c 64 /dev/urandom | $KEYCTL_PROG padd logon foo:desc @s)
150 $XFS_IO_PROG -c "add_enckey -k $keyid" $SCRATCH_MNT
151 $KEYCTL_PROG unlink $keyid @s
152
153 # success, all done
154 status=0
155 exit