ProHoster > بلوق > أخبار الإنترنت > إصدار Cryptsetup 2.7 مع دعم تشفير قرص الأجهزة OPAL

إصدار Cryptsetup 2.7 مع دعم تشفير قرص الأجهزة OPAL

تم نشر مجموعة من أدوات Cryptsetup 2.7 المساعدة، المصممة لتكوين تشفير أقسام القرص في Linux باستخدام وحدة dm-crypt. يدعم العمل مع أقسام dm-crypt، وLUKS، وLUKS2، وBITLK، وloop-AES، وTrueCrypt/VeraCrypt. ويتضمن أيضًا أدوات مساعدة veritysetup وintegritysetup لتكوين عناصر التحكم في تكامل البيانات استنادًا إلى وحدات dm-verity وdm-integrity.

التحسينات الرئيسية:

  • من الممكن استخدام آلية تشفير قرص أجهزة OPAL، المدعومة على محركات أقراص SED (محركات التشفير الذاتي) SATA وNVMe مع واجهة OPAL2 TCG، حيث يتم دمج جهاز تشفير الأجهزة مباشرة في وحدة التحكم. من ناحية، يرتبط تشفير OPAL بأجهزة خاصة وغير متاح للتدقيق العام، ولكن من ناحية أخرى، يمكن استخدامه كمستوى إضافي من الحماية على تشفير البرامج، مما لا يؤدي إلى انخفاض في الأداء ولا يخلق حمولة على وحدة المعالجة المركزية.

    يتطلب استخدام OPAL في LUKS2 إنشاء نواة Linux باستخدام خيار CONFIG_BLK_SED_OPAL وتمكينه في Cryptsetup (يتم تعطيل دعم OPAL افتراضيًا). يتم إجراء إعداد LUKS2 OPAL بطريقة مشابهة لتشفير البرامج - حيث يتم تخزين البيانات الوصفية في رأس LUKS2. يتم تقسيم المفتاح إلى مفتاح قسم لتشفير البرامج (dm-crypt) ومفتاح إلغاء القفل لـ OPAL. يمكن استخدام OPAL مع تشفير البرامج (cryptsetup luksFormat --hw-opal )، وبشكل منفصل (cryptsetup luksFormat —hw-opal-only ). يتم تنشيط وإلغاء تنشيط OPAL بنفس الطريقة (فتح، إغلاق، luksSuspend، luksResume) كما هو الحال مع أجهزة LUKS2.

  • في الوضع العادي، حيث لا يتم تخزين المفتاح الرئيسي والرأس على القرص، يكون التشفير الافتراضي هو aes-xts-plain64 وخوارزمية التجزئة sha256 (يتم استخدام XTS بدلاً من وضع CBC، الذي يعاني من مشاكل في الأداء، ويتم استخدام sha160) بدلاً من التجزئة الناضجة md256 التي عفا عليها الزمن).
  • يسمح الأمران open وluksResume بتخزين مفتاح القسم في حلقة مفاتيح kernel التي حددها المستخدم (حلقة المفاتيح). للوصول إلى حلقة المفاتيح، تمت إضافة خيار "--volume-key-keyring" إلى العديد من أوامر cryptsetup (على سبيل المثال 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
  • في الأنظمة التي لا تحتوي على قسم مبادلة، فإن تنفيذ التنسيق أو إنشاء فتحة مفتاح لـ PBKDF Argon2 يستخدم الآن نصف الذاكرة الخالية فقط، مما يحل مشكلة نفاد الذاكرة المتوفرة على الأنظمة التي تحتوي على كمية صغيرة من ذاكرة الوصول العشوائي.
  • تمت إضافة خيار "--external-tokens-path" لتحديد الدليل لمعالجات الرمز المميز LUKS2 الخارجية (المكونات الإضافية).
  • أضاف tcrypt دعمًا لخوارزمية التجزئة Blake2 لـ VeraCrypt.
  • تمت إضافة دعم لتشفير كتلة Aria.
  • تمت إضافة دعم لـ Argon2 في تطبيقات OpenSSL 3.2 وlibgcrypt، مما يلغي الحاجة إلى libargon.

المصدر: opennet.ru

إضافة تعليق