'n Stel Cryptsetup 2.7 nutsprogramme is gepubliseer vir die opstel van enkripsie van skyfpartisies in Linux deur die dm-crypt-module te gebruik. Werk met dm-crypt, LUKS, LUKS2, BITLK, loop-AES en TrueCrypt/VeraCrypt partisies word ondersteun. Dit sluit ook die veritysetup- en integritysetup-hulpmiddels in om data-integriteitkontroles op te stel gebaseer op die dm-verity- en dm-integrity-modules.
Sleutel verbeterings:
- Dit is moontlik om die OPAL hardeware skyf enkripsie meganisme te gebruik, ondersteun op SED (Self Encrypting Drives) SATA en NVMe dryf met die OPAL2 TCG koppelvlak, waarin die hardeware enkripsie toestel direk in die beheerder ingebou is. Aan die een kant is OPAL-kodering gekoppel aan eie hardeware en is dit nie beskikbaar vir publieke oudit nie, maar aan die ander kant kan dit gebruik word as 'n bykomende vlak van beskerming oor sagteware-enkripsie, wat nie tot 'n afname in werkverrigting lei nie. en skep nie 'n las op die SVE nie.
Om OPAL in LUKS2 te gebruik, vereis die bou van die Linux-kern met die CONFIG_BLK_SED_OPAL-opsie en aktiveer dit in Cryptsetup (OPAL-ondersteuning is by verstek gedeaktiveer). Die opstel van LUKS2 OPAL word uitgevoer op 'n soortgelyke manier as sagteware-enkripsie - metadata word in die LUKS2-kopskrif gestoor. Die sleutel word verdeel in 'n partisiesleutel vir sagteware-enkripsie (dm-crypt) en 'n ontsluitsleutel vir OPAL. OPAL kan saam met sagteware-enkripsie gebruik word (cryptsetup luksFormat --hw-opal ), en afsonderlik (cryptsetup luksFormat —hw-opal-only ). OPAL word op dieselfde manier geaktiveer en gedeaktiveer (oop, toe, luksSuspend, luksResume) as vir LUKS2-toestelle.
- In gewone modus, waarin die hoofsleutel en kopskrif nie op skyf gestoor word nie, is die versteksyfer aes-xts-plain64 en die hashing-algoritme sha256 (XTS word gebruik in plaas van die CBC-modus, wat prestasieprobleme het, en sha160 word gebruik in plaas van die verouderde ripemd256-hash ).
- Die open- en luksResume-opdragte laat toe dat die partisiesleutel in 'n gebruikergeselekteerde kernsleutelring (sleutelring) gestoor word. Om toegang tot die sleutelring te verkry, is die “--volume-sleutel-sleutelring” opsie by baie cryptsetup-opdragte gevoeg (byvoorbeeld 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Op stelsels sonder 'n ruilpartisie, gebruik die uitvoering van 'n formaat of die skep van 'n sleutelgleuf vir PBKDF Argon2 nou net die helfte van die vrye geheue, wat die probleem oplos dat die beskikbare geheue op stelsels met 'n klein hoeveelheid RAM opraak.
- Bygevoeg "--external-tokens-path" opsie om die gids vir eksterne LUKS2 token hanteerders (inproppe) te spesifiseer.
- tcrypt het ondersteuning bygevoeg vir die Blake2 hashing-algoritme vir VeraCrypt.
- Bygevoeg ondersteuning vir die Aria blok syfer.
- Bygevoeg ondersteuning vir Argon2 in OpenSSL 3.2 en libgcrypt-implementerings, wat die behoefte aan libargon uitskakel.
Bron: opennet.ru