ProHoster > Блог > internet vijesti > Izdanje Cryptsetup 2.7 s podrškom za OPAL hardversko šifriranje diska

Izdanje Cryptsetup 2.7 s podrškom za OPAL hardversko šifriranje diska

Objavljen je skup uslužnih programa Cryptsetup 2.7 za konfiguriranje enkripcije particija diska u Linuxu pomoću dm-crypt modula. Podržan je rad sa dm-crypt, LUKS, LUKS2, BITLK, loop-AES i TrueCrypt/VeraCrypt particijama. Takođe uključuje pomoćne programe za podešavanje veritysetup i integritysetup za konfigurisanje kontrola integriteta podataka na osnovu modula dm-verity i dm-integrity.

Ključna poboljšanja:

  • Moguće je koristiti OPAL mehanizam za šifrovanje hardverskog diska, podržan na SED (Self-Encrypting Drives) SATA i NVMe drajvovima sa OPAL2 TCG interfejsom, u koji je uređaj za hardversko šifrovanje ugrađen direktno u kontroler. S jedne strane, OPAL enkripcija je vezana za vlasnički hardver i nije dostupna za javnu reviziju, ali, s druge strane, može se koristiti kao dodatni nivo zaštite nad softverskom enkripcijom, što ne dovodi do smanjenja performansi. i ne stvara opterećenje na CPU-u.

    Korištenje OPAL-a u LUKS2 zahtijeva izgradnju Linux kernela s opcijom CONFIG_BLK_SED_OPAL i njegovo omogućavanje u Cryptsetup-u (podrška za OPAL je onemogućena po defaultu). Podešavanje LUKS2 OPAL-a vrši se na sličan način kao kod softverske enkripcije – metapodaci se pohranjuju u LUKS2 zaglavlje. Ključ je podijeljen na particijski ključ za softversko šifriranje (dm-crypt) i ključ za otključavanje za OPAL. OPAL se može koristiti zajedno sa softverskom enkripcijom (cryptsetup luksFormat --hw-opal ), i zasebno (cryptsetup luksFormat —hw-opal-only ). OPAL se aktivira i deaktivira na isti način (otvori, zatvori, luksSuspend, luksResume) kao i za LUKS2 uređaje.

  • U običnom načinu rada, u kojem glavni ključ i zaglavlje nisu pohranjeni na disku, zadana šifra je aes-xts-plain64 i algoritam heširanja sha256 (XTS se koristi umjesto CBC moda, koji ima problema s performansama, a koristi se sha160 umjesto zastarjelog heša ripemd256).
  • Naredbe open i luksResume dozvoljavaju da se particijski ključ pohrani u korisnički odabrani prsten ključeva kernela (keyring). Za pristup prstenu za ključeve, opcija “--volume-key-keyring” dodata je mnogim naredbama cryptsetup (na primjer 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
  • Na sistemima bez swap particije, izvođenje formatiranja ili kreiranje slota za ključ za PBKDF Argon2 sada koristi samo polovinu slobodne memorije, što rješava problem nedostatka dostupne memorije na sistemima s malom količinom RAM-a.
  • Dodata opcija "--external-tokens-path" za određivanje direktorija za eksterne LUKS2 rukovaoce tokenima (dodatke).
  • tcrypt je dodao podršku za Blake2 algoritam heširanja za VeraCrypt.
  • Dodata podrška za Aria blok šifru.
  • Dodata podrška za Argon2 u OpenSSL 3.2 i implementacijama libgcrypt, eliminišući potrebu za libargonom.

izvor: opennet.ru

Dodajte komentar