dm-crypt modulundan istifadə edərək Linux-da disk bölmələrinin şifrələnməsini konfiqurasiya etmək üçün Cryptsetup 2.7 utilitləri dəsti nəşr edilmişdir. dm-crypt, LUKS, LUKS2, BITLK, loop-AES və TrueCrypt/VeraCrypt bölmələri ilə işləmək dəstəklənir. O, həmçinin dm-verity və dm-integrity modulları əsasında verilənlərin bütövlüyünə nəzarəti konfiqurasiya etmək üçün veritysetup və integritysetup utilitlərini ehtiva edir.
Əsas təkmilləşdirmələr:
- OPAL2 TCG interfeysi ilə SED (Özünü Şifrələyən Sürücülər) SATA və NVMe disklərində dəstəklənən OPAL hardware disk şifrələmə mexanizmindən istifadə etmək mümkündür, burada hardware şifrələmə cihazı birbaşa nəzarətçiyə quraşdırılmışdır. Bir tərəfdən, OPAL şifrələməsi xüsusi avadanlıqla bağlıdır və ictimai audit üçün mövcud deyil, lakin digər tərəfdən, proqram təminatının şifrələnməsinə qarşı əlavə qorunma səviyyəsi kimi istifadə edilə bilər, bu da performansın azalmasına səbəb olmur. və CPU-da yük yaratmır.
LUKS2-də OPAL-ın istifadəsi CONFIG_BLK_SED_OPAL seçimi ilə Linux nüvəsinin qurulmasını və Cryptsetup-da aktivləşdirilməsini tələb edir (OPAL dəstəyi standart olaraq qeyri-aktivdir). LUKS2 OPAL-ın qurulması proqram şifrələməsinə bənzər şəkildə həyata keçirilir - metadata LUKS2 başlığında saxlanılır. Açar proqram şifrələməsi üçün bölmə açarına (dm-crypt) və OPAL üçün kilid açma açarına bölünür. OPAL proqram şifrələməsi ilə birlikdə istifadə edilə bilər (cryptsetup luksFormat --hw-opal ) və ayrıca (cryptsetup luksFormat — yalnız hw-opal ). OPAL LUKS2 cihazları ilə eyni şəkildə aktivləşdirilir və deaktiv edilir (aç, bağla, luksSuspend, luksResume).
- Əsas açarın və başlığın diskdə saxlanmadığı sadə rejimdə standart şifrə aes-xts-plain64 və hashing alqoritmi sha256 (performans problemləri olan CBC rejimi əvəzinə XTS istifadə olunur və sha160 istifadə olunur) köhnəlmiş ripemd256 hash yerinə).
- Open və luksResume əmrləri bölmə açarının istifadəçi tərəfindən seçilmiş kernel açarlıqda (açarlıq) saxlanmasına imkan verir. Açarlara daxil olmaq üçün “--volume-key-keyring” seçimi bir çox kriptosetup əmrlərinə əlavə edilmişdir (məsələn, “cryptsetup open” --link-vk-to-keyring "@s::%user:testkey" tst').
- Mübadilə bölməsi olmayan, format yerinə yetirən və ya PBKDF Argon2 üçün açar yuvası yaradan sistemlərdə indi boş yaddaşın yalnız yarısını istifadə edir, bu da az miqdarda RAM olan sistemlərdə mövcud yaddaşın tükənməsi problemini həll edir.
- Xarici LUKS2 token işləyiciləri (pluginlər) üçün kataloqu müəyyən etmək üçün "--external-tokens-path" seçimi əlavə edildi.
- tcrypt VeraCrypt üçün Blake2 hashing alqoritmi üçün dəstək əlavə etdi.
- Aria blok şifrəsi üçün əlavə dəstək.
- OpenSSL 2 və libgcrypt tətbiqlərində Argon3.2 üçün əlavə dəstək, libarqon ehtiyacını aradan qaldırır.
Mənbə: opennet.ru