Byla publikována sada obslužných programů Cryptsetup 2.7, navržených pro konfiguraci šifrování diskových oddílů v Linuxu pomocí modulu dm-crypt. Podporuje oddíly dm-crypt, LUKS, LUKS2, BITLK, loop-AES a TrueCrypt/VeraCrypt. Zahrnuje také nástroje veritysetup a integritysetup pro konfiguraci řízení integrity dat na základě modulů dm-verity a dm-integrity.
Klíčová vylepšení:
- Je možné použít mechanismus hardwarového šifrování disku OPAL, podporovaný na discích SED (Self-Encrypting Drives) SATA a NVMe s rozhraním OPAL2 TCG, ve kterém je hardwarové šifrovací zařízení zabudováno přímo v řadiči. Šifrování OPAL je na jedné straně vázáno na proprietární hardware a není k dispozici pro veřejný audit, na druhou stranu jej lze použít jako další úroveň ochrany před softwarovým šifrováním, které nevede ke snížení výkonu a nezatěžuje CPU.
Použití OPAL v LUKS2 vyžaduje sestavení linuxového jádra s možností CONFIG_BLK_SED_OPAL a její povolení v Cryptsetup (podpora OPAL je ve výchozím nastavení zakázána). Nastavení LUKS2 OPAL se provádí podobným způsobem jako softwarové šifrování – metadata jsou uložena v hlavičce LUKS2. Klíč je rozdělen na klíč oddílu pro softwarové šifrování (dm-crypt) a odemykací klíč pro OPAL. OPAL lze použít společně se softwarovým šifrováním (cryptsetup luksFormat --hw-opal ) a samostatně (cryptsetup luksFormat —hw-opal-only ). OPAL se aktivuje a deaktivuje stejným způsobem (otevřít, zavřít, luksSuspend, luksResume) jako u zařízení LUKS2.
- V prostém režimu, ve kterém hlavní klíč a hlavička nejsou uloženy na disku, je výchozí šifra aes-xts-plain64 a hashovací algoritmus sha256 (místo režimu CBC, který má problémy s výkonem, se používá XTS a používá se sha160 místo zastaralého hash ripemd256).
- Příkazy open a luksResume umožňují uložení klíče oddílu do uživatelsky zvoleného svazku klíčů jádra (klíčenky). Pro přístup ke svazku klíčů byla k mnoha příkazům cryptsetup přidána možnost „--volume-key-ring“ (například 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Na systémech bez odkládacího oddílu využívá nyní provádění formátování nebo vytváření klíčového slotu pro PBKDF Argon2 pouze polovinu volné paměti, což řeší problém s nedostatkem dostupné paměti na systémech s malým množstvím RAM.
- Přidána možnost "--external-tokens-path" pro určení adresáře pro externí obslužné programy tokenů LUKS2 (pluginy).
- tcrypt přidal podporu pro Blake2 hash algoritmus pro VeraCrypt.
- Přidána podpora pro blokovou šifru Aria.
- Přidána podpora pro Argon2 v OpenSSL 3.2 a implementacích libgcrypt, čímž se eliminuje potřeba libargon.
Zdroj: opennet.ru