S'ha publicat un conjunt d'utilitats Cryptsetup 2.7 per configurar el xifratge de particions de disc a Linux mitjançant el mòdul dm-crypt. S'admet el treball amb particions dm-crypt, LUKS, LUKS2, BITLK, loop-AES i TrueCrypt/VeraCrypt. També inclou les utilitats veritysetup i integritysetup per configurar controls d'integritat de dades basats en els mòduls dm-verity i dm-integrity.
Millores clau:
- És possible utilitzar el mecanisme de xifratge de disc de maquinari OPAL, compatible amb unitats SED (Self-Encrypting Drives) SATA i NVMe amb la interfície OPAL2 TCG, en què el dispositiu de xifratge de maquinari està integrat directament al controlador. D'una banda, el xifratge OPAL està lligat al maquinari propietari i no està disponible per a l'auditoria pública, però, d'altra banda, es pot utilitzar com a nivell de protecció addicional respecte al xifratge de programari, la qual cosa no comporta una disminució del rendiment. i no crea una càrrega a la CPU.
Utilitzar OPAL a LUKS2 requereix construir el nucli de Linux amb l'opció CONFIG_BLK_SED_OPAL i habilitar-lo a Cryptsetup (el suport OPAL està desactivat per defecte). La configuració de LUKS2 OPAL es fa de manera similar a l'encriptació del programari: les metadades s'emmagatzemen a la capçalera LUKS2. La clau es divideix en una clau de partició per al xifratge de programari (dm-crypt) i una clau de desbloqueig per a OPAL. OPAL es pot utilitzar juntament amb el xifratge de programari (cryptsetup luksFormat --hw-opal ), i per separat (cryptsetup luksFormat —hw-opal-only ). OPAL s'activa i desactiva de la mateixa manera (obrir, tancar, luksSuspend, luksResume) que per als dispositius LUKS2.
- En el mode normal, en el qual la clau mestra i la capçalera no s'emmagatzemen al disc, el xifrat predeterminat és aes-xts-plain64 i l'algoritme hash sha256 (s'utilitza XTS en comptes del mode CBC, que té problemes de rendiment, i sha160). en lloc del hash obsolet ripemd256).
- Les ordres open i luksResume permeten emmagatzemar la clau de partició en un anell de claus del nucli seleccionat per l'usuari. Per accedir a l'anell de claus, s'ha afegit l'opció "--volume-key-key-ring" a moltes ordres de cryptsetup (per exemple, 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- En sistemes sense partició d'intercanvi, realitzar un format o crear una ranura de clau per a PBKDF Argon2 ara només utilitza la meitat de la memòria lliure, cosa que resol el problema de quedar-se sense memòria disponible en sistemes amb una petita quantitat de memòria RAM.
- S'ha afegit l'opció "--external-tokens-path" per especificar el directori per als controladors externs de testimonis LUKS2 (connectors).
- tcrypt ha afegit suport per a l'algoritme hashing Blake2 per a VeraCrypt.
- S'ha afegit suport per al xifratge de blocs Aria.
- S'ha afegit suport per a Argon2 a les implementacions d'OpenSSL 3.2 i libgcrypt, eliminant la necessitat de libargon.
Font: opennet.ru