Un set di utilità Cryptsetup 2.7 hè statu publicatu, pensatu per cunfigurà a criptografia di partizioni di discu in Linux utilizendu u modulu dm-crypt. Supporta u travagliu cù partizioni dm-crypt, LUKS, LUKS2, BITLK, loop-AES è TrueCrypt/VeraCrypt. Include ancu utilità veritysetup è integritysetup per cunfigurà i cuntrolli di integrità di dati basati nantu à i moduli dm-verity è dm-integrity.
Migliuramenti chjave:
- Hè pussibule usà u mecanismu di criptografia di discu hardware OPAL, supportatu in SED (Self-Encrypting Drives) SATA è NVMe drives cù l'interfaccia OPAL2 TCG, in quale u dispusitivu di criptografia hardware hè custruitu direttamente in u controller. Da una banda, a criptografia OPAL hè ligata à u hardware propiu è ùn hè micca dispunibule per l'auditu publicu, ma, da l'altra banda, pò esse usata cum'è un livellu supplementu di prutezzione nantu à a criptografia di u software, chì ùn porta micca à una diminuzione di u rendiment. è ùn crea micca una carica nantu à u CPU.
Utilizà OPAL in LUKS2 richiede di custruisce u kernel Linux cù l'opzione CONFIG_BLK_SED_OPAL è l'attivazione in Cryptsetup (u supportu OPAL hè disattivatu per difettu). L'installazione di LUKS2 OPAL hè realizata in modu simili à a criptografia di u software - i metadati sò almacenati in l'intestazione LUKS2. A chjave hè divisa in una chjave di partizione per a criptografia di u software (dm-crypt) è una chjave di sbloccare per OPAL. OPAL pò esse usatu inseme cù criptografia di software (cryptsetup luksFormat --hw-opal ), è separatamente (cryptsetup luksFormat -hw-opal-only ). OPAL hè attivatu è disattivatu in u listessu modu (apertu, chjusu, luksSuspend, luksResume) cum'è per i dispositi LUKS2.
- In u modu pianu, in quale a chjave maestra è l'intestazione ùn sò micca almacenati in u discu, u cifru predeterminatu hè aes-xts-plain64 è l'algoritmu di hashing sha256 (XTS hè utilizatu invece di u modu CBC, chì hà prublemi di rendiment, è sha160 hè utilizatu). invece di l'hash ripemd256 anticu).
- I cumandamenti aperti è luksResume permettenu a chjave di partizione per esse guardata in un keyring di u kernel selezziunatu da l'utilizatori (keyring). Per accede à u keyring, l'opzione "--volume-key-keyring" hè stata aghjunta à parechji cumandamenti cryptsetup (per esempiu 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Nant'à i sistemi senza partition swap, eseguisce un formatu o creanu un slot chjave per PBKDF Argon2 avà usa solu a mità di a memoria libera, chì risolve u prublema di esce da a memoria dispunibile in sistemi cù una piccula quantità di RAM.
- Aggiunta l'opzione "--external-tokens-path" per specificà u cartulare per i gestori esterni di token LUKS2 (plugins).
- tcrypt hà aghjustatu supportu per l'algoritmu di hashing Blake2 per VeraCrypt.
- Aghjunghje supportu per u cifru di bloccu Aria.
- Aghjunghje supportu per Argon2 in OpenSSL 3.2 è implementazioni libgcrypt, eliminendu a necessità di libargon.
Source: opennet.ru