c - Linux内核中的CTR模式

Question

我目前正在经历一些用于文件系统的内核开发，需要AES加密，我遇到了以下限制：
我必须能编出任意长度的明文
填充（如果有）是不可见的
填充字节可能导致的开销是不可接受的
在纸上，有一个简单的方法来解决这个问题：使用ctr加密模式！
有了这个好主意（嗯…），我很高兴深入到linux内核的crypto api源代码中，学习如何开始。
在这一点上，我注意到加密函数涉及到各种函数的使用：
crypt_inplace函数。其目的是处理用户希望将密码文本存储在与给定明文相同的内存区域中的情况。（与crypt_段相同，但有内存限制）
crypt_段函数。它是标准的加密函数。它对整个数据块进行加密（对于aes是16字节）。
地穴的最终功能。当给定的明文长度l不是基础分组密码块大小的倍数时，此函数对剩余字节执行加密。
因此，对于l字节长的明文和aes，根据请求的内容，使用crypt_segment或crypt_inplace处理第一个l/16块。剩余的l mod 16字节然后使用crypt_final加密。
内部crypt_段函数定义如下：（crypt_inplace非常相似）

static int crypto_ctr_crypt_segment(struct blkcipher_walk *walk,
                    struct crypto_cipher *tfm)
{
    void (*fn)(struct crypto_tfm *, u8 *, const u8 *) =
                   crypto_cipher_alg(tfm)->cia_encrypt;
    unsigned int bsize = crypto_cipher_blocksize(tfm);
    u8 *ctrblk = walk->iv;
    u8 *src = walk->src.virt.addr;
    u8 *dst = walk->dst.virt.addr;
    unsigned int nbytes = walk->nbytes;

    do {
        /* create keystream */
        fn(crypto_cipher_tfm(tfm), dst, ctrblk);
        crypto_xor(dst, src, bsize);

        /* increment counter in counterblock */
        crypto_inc(ctrblk, bsize);

        src += bsize;
        dst += bsize;
    } while ((nbytes -= bsize) >= bsize);

    return nbytes;
}

如您所见，计数器在块大小的基础上递增。在大多数用例中，这不是一个问题，但请考虑以下场景：
在给定位置p的写请求（例如，这可以是硬盘驱动器上的（扇区，偏移量）特定值）：11字节长的明文
在p+3读取8个字节的请求：这里，我们要从写入的密文中获取初始明文的最后8个字节。
第一步将通过在加密序列中调用crypt_final完成。然后，在正确的位置写入11个加密字节。但是当我们想要检索这一块数据的最后8个字节时，由于“块宽”加密，我们需要存储在p、p+1和p+2中的前3个字节来执行解密操作。
显然，从文件系统的角度来看，当请求读取时，如果内核不做一些与硬件相关的假设，它就无法知道这类事情。
因此，这里是我的问题：是否有一种方法可以设置CTR模式来始终在字节的基础上执行（去）加密操作，或者我应该创建自己的CTR模式实现来实现这一点？（我在CTR源代码中找不到执行此配置操作的入口点，可能遗漏了一些内容）
提前谢谢你，希望我没有用这个大柱子吓到你！
ps：本文中的代码片段可以在linux内核源代码树的crypto目录下的ctr.c文件中找到。显示的版本来自3.8-rc3内核版本。
编辑：
事实上，ctr模式设计用于处理任意长度的数据。我将回顾ISO/IEC 10116规范中的描述。
假设我们的明文p被分成等长的块（p i）0 设k为加密提供的密钥，iv为计数器提供初始化向量。
密文c将像明文p一样被分成块（c i）0 ctr模式引入一个计数器，它在每个处理的块上行走。也就是说，我们将调用用于加密的计数器块（resp.破译）块pi（分别是ci）中心
最后，让ctr1=iv
有了这些符号，下面是计算的结果：
从1到n
y=aes_encrypt（ctri，k）<-y是16字节长
e=截断（y，j）<-只保留y的最左边的j位
ci=π异或
ctri+1=computenextctr（ctri）<-通常computenextctr是一个简单的增量。
完成
在Linux内核中找到的CTR版本中，此行为是通过j取基础分组密码块大小（AES为128位）的值来执行的，除非最后一步是如果给定的明文没有合适的长度，则发生截断。
我的问题是：有没有办法告诉crypto api应用我想要的j参数？
对我来说，答案似乎是“不”，所以我必须“重新发明”轮子，并对ctr模式进行新的实现，以获得这个额外的功能。因为我可能漏掉了一些东西，所以我会感谢那个能清楚地说出来的人。
另一个好处：如果答案是“否”，那么快速概述一下加密api的algapi是如何工作的将是非常受欢迎的（我目前正在研究这个问题）。
再次提前感谢。

Answer 1

在挖掘了密码源之后，我可以说…不，我不能为ctr模式设置问题中引入的j参数。
不过，我将给出一些关于内部加密api的细节，以使这个答案相关。本文公开的细节描述了内部低级api，以在crypto api中添加对新算法/模式的支持。
加密对象
首先，crypto api管理各种对象的集合。我使用object这个词是因为尽管它是c编程，但代码显然是面向对象的。主要有三个目标：
算法：struct crypto_alg
模板：struct crypto_template
实例：struct crypto_instance和struct crypto_spawn
转换：struct crypto_tfm和朋友（struct crypto_blkcipher，…）。
第一类是这个内在野兽的里程碑。当一个人想要创建一个新的算法时，他只需要创建一个struct crypto_alg，填充适当的字段并注册它。
模板有点不同，因为它们依赖于给定的算法结构。在运行时需要时传递算法对象。因此，模板是创建自定义执行模式的合适对象（就像我最初的问题中暗示的那样）。
然后，实例和派生在这里处理这个小世界如何与外部和自身交互。
最后，转换结构是公开给外部接口的“一次性”特定结构（这些结构将从需要加密/解密某些内容的其他模块中使用）。
创建新模板
基本上，这个过程相当简单，可以从现有的模板开始，例如在CTR.C文件下找到的模板。不过，我会展示一些细节。
密码api如何处理上述内容
本部分将介绍内部加密部分处理模板或算法创建的方式，以及它向用户提供加密功能（按用户，了解其他模块）的方式。
注：此答案正在构建中，我将定期编辑以添加额外信息。