Апублікаваны набор утыліт Cryptsetup 2.7, прызначаных для налады шыфравання дыскавых частак у Linux пры дапамозе модуля dm-crypt. Падтрымліваецца праца з раздзеламі dm-crypt, LUKS, LUKS2, BITLK, loop-AES і TrueCrypt/VeraCrypt. У склад таксама ўваходзяць утыліты veritysetup і integritysetup для налады сродкаў кантролю цэласнасці дадзеных на аснове модуляў dm-verity і dm-integrity.
Ключавыя паляпшэнні:
- Рэалізаваная магчымасць выкарыстання апаратнага механізму шыфравання дыскаў OPAL, які падтрымліваецца на самашыфраваных (SED – Self-Encrypting Drives) назапашвальніках SATA і NVMe з інтэрфейсам OPAL2 TCG, у якіх прылада апаратнага шыфравання ўбудавана непасрэдна ў кантролер. З аднаго боку шыфраванне OPAL завязана на прапрыетарнае абсталяванне і не даступна для публічнага аўдыту, але, з іншага боку, можа выкарыстоўвацца як дадатковы ўзровень абароны над праграмным шыфраваннем, які не прыводзіць да зніжэння прадукцыйнасці і не стварае нагрузку на CPU.
Для выкарыстання OPAL у LUKS2 патрабуецца зборка ядра Linux з опцыяй CONFIG_BLK_SED_OPAL і ўключэнне ў Cryptsetup (па змаўчанні падтрымка OPAL адключаная). Настройка LUKS2 OPAL ажыццяўляецца па аналогіі з праграмным шыфраваннем - метададзеныя захоўваюцца ў загалоўку LUKS2. Ключ падзяляецца на ключ раздзела для праграмнага шыфравання (dm-crypt) і ключ разблакіроўкі для OPAL. OPAL можа выкарыстоўвацца як разам з праграмным шыфраваннем (cryptsetup luksFormat -hw-opal ), так і асобна (cryptsetup luksFormat -hw-opal-only ). Актывацыя і дэактывацыя OPAL ажыццяўляецца тым жа спосабам (open, close, luksSuspend, luksResume), што і для прылад LUKS2.
- У plain-рэжыме, пры якім майстар-ключ і загаловак не захоўваюцца на дыску, па змаўчанні задзейнічаны шыфр aes-xts-plain64 і алгарытм хэшавання sha256 (замест рэжыму CBC, які мае праблемы з прадукцыйнасцю, задзейнічаны XTS, а замест састарэлага хэша ripem160 ).
- У камандах open і luksResume дазволена захоўванне ключа часткі ў абраным карыстачом сховішча ключоў у ядры (keyring). Для звароту да keyring у шматлікія каманды cryptsetup дададзена опцыя "-volume-key-keyring" (напрыклад 'cryptsetup open -link-vk-to-keyring "@s::%user:testkey" tst').
- На сістэмах без часткі падпампоўкі пры выкананні фарматавання ці стварэнні слота ключоў для PBKDF Argon2 зараз выкарыстоўваецца толькі палова вольнай памяці, што вырашыла праблему з вычарпаннем даступнай памяці на сістэмах з невялікім аб'ёмам АЗП.
- Дададзена опцыя «—external-tokens-path» для ўказання каталога для вонкавых апрацоўшчыкаў токенаў LUKS2 (плагінаў).
- У tcrypt дададзена падтрымка алгарытму хэшавання Blake2 для VeraCrypt.
- Дададзена падтрымка блокавага шыфра Aria.
- Дададзена падтрымка Argon2 у рэалізацыях OpenSSL 3.2 і libgcrypt, што дазваляе абыйсціся без выкарыстання libargon.
Крыніца: opennet.ru