Издаване на Cryptsetup 2.6 с поддръжка на механизма за криптиране на FileVault2

Публикуван е набор от помощни програми Cryptsetup 2.6 за конфигуриране на криптиране на дискови дялове в Linux с помощта на модула dm-crypt. Поддържа се работа с дялове dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. Той също така включва помощните програми veritysetup и integritysetup за конфигуриране на контролите за целостта на данните въз основа на модулите dm-verity и dm-integrity.

Ключови подобрения:

• Добавена е поддръжка за устройства за съхранение, криптирани с помощта на механизма FileVault2, използван за пълно дисково криптиране в macOS. Cryptsetup, в комбинация с драйвера hfsplus, вече може да отваря шифровани с FileVault2 USB устройства в режим на четене и запис на системи с обикновено Linux ядро. Поддържа се достъп до дискове с файлова система HFS + и с дялове Core Storage (дялове с APFS все още не се поддържат).
• Библиотеката libcryptsetup е пощадена от глобалното заключване на цялата памет чрез извикването mlockall(), което се използва за предотвратяване на изтичане на чувствителни данни към суап дяла. Поради превишаване на ограничението за максималния размер на блокираната памет при работа без root права, новата версия прилага селективно заключване само за тези области на паметта, които съхраняват ключове за криптиране.
• Повишен е приоритетът на процесите, извършващи генериране на ключ (PBKDF).
• Добавени са функции за добавяне на LUKS2 токени и двоични ключове към слота за ключове LUKS (keyslot), в допълнение към поддържаните преди това пароли и ключови файлове.
• Предоставена е възможност за извличане на ключ на дял с помощта на парола, ключов файл или токен.
• Добавена е опция „--use-tasklets“ към veritysetup за подобряване на производителността на някои системи с ядро ​​на Linux 6.x.

Източник: opennet.ru