Mae set o gyfleustodau Cryptsetup 2.7 wedi'i chyhoeddi ar gyfer ffurfweddu amgryptio rhaniadau disg yn Linux gan ddefnyddio'r modiwl dm-crypt. Cefnogir gwaith gyda pharwydydd dm-crypt, LUKS, LUKS2, BITLK, loop-AES a TrueCrypt/VeraCrypt. Mae hefyd yn cynnwys y cyfleustodau veritysetup a integritysetup i ffurfweddu rheolaethau cywirdeb data yn seiliedig ar y modiwlau dm-verity a dm-gywirdeb.
Gwelliannau allweddol:
- Mae'n bosibl defnyddio mecanwaith amgryptio disg caledwedd OPAL, a gefnogir ar yriannau SED (Hunan-Encrypting Drives) SATA a NVMe gyda rhyngwyneb OPAL2 TCG, lle mae'r ddyfais amgryptio caledwedd wedi'i chynnwys yn uniongyrchol yn y rheolydd. Ar y naill law, mae amgryptio OPAL ynghlwm wrth galedwedd perchnogol ac nid yw ar gael i'w archwilio'n gyhoeddus, ond, ar y llaw arall, gellir ei ddefnyddio fel lefel ychwanegol o amddiffyniad dros amgryptio meddalwedd, nad yw'n arwain at ostyngiad mewn perfformiad. ac nid yw'n creu llwyth ar y CPU.
Mae defnyddio OPAL yn LUKS2 yn gofyn am adeiladu'r cnewyllyn Linux gyda'r opsiwn CONFIG_BLK_SED_OPAL a'i alluogi yn Cryptsetup (mae cefnogaeth OPAL wedi'i hanalluogi yn ddiofyn). Mae sefydlu LUKS2 OPAL yn cael ei wneud mewn ffordd debyg i amgryptio meddalwedd - mae metadata'n cael ei storio ym mhennyn LUKS2. Rhennir yr allwedd yn allwedd rhaniad ar gyfer amgryptio meddalwedd (dm-crypt) ac allwedd datgloi ar gyfer OPAL. Gellir defnyddio OPAL ynghyd ag amgryptio meddalwedd (cryptsetup luksFormat --hw-opal ), ac ar wahΓ’n (cryptsetup luksFormat βhw-opal-only ). Mae OPAL yn cael ei actifadu a'i ddadactifadu yn yr un modd (agored, cau, luksSuspend, luksResume) ag ar gyfer dyfeisiau LUKS2.
- Yn y modd plaen, lle nad yw'r prif fysell a'r pennawd yn cael eu storio ar ddisg, y cipher rhagosodedig yw aes-xts-plain64 a'r algorithm stwnsio sha256 (defnyddir XTS yn lle'r modd CBC, sydd Γ’ phroblemau perfformiad, a defnyddir sha160 yn lle'r hen ripemd256 hash ).
- Mae'r gorchmynion agored a luksResume yn caniatΓ‘u i'r allwedd rhaniad gael ei storio mewn cylch allweddi cnewyllyn a ddewiswyd gan y defnyddiwr (cylch allweddi). I gael mynediad i'r cylch allweddi, mae'r opsiwn "--volume-key-keyring" wedi'i ychwanegu at lawer o orchmynion cryptsetup (er enghraifft 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Ar systemau heb raniad cyfnewid, mae perfformio fformat neu greu slot allweddol ar gyfer PBKDF Argon2 bellach yn defnyddio hanner y cof am ddim yn unig, sy'n datrys y broblem o redeg allan o gof sydd ar gael ar systemau gydag ychydig bach o RAM.
- Ychwanegwyd opsiwn "--external-tokens-path" i nodi'r cyfeiriadur ar gyfer trinwyr tocynnau LUKS2 allanol (ategion).
- Mae tcrypt wedi ychwanegu cefnogaeth i algorithm stwnsio Blake2 ar gyfer VeraCrypt.
- Ychwanegwyd cefnogaeth i seiffr bloc Aria.
- Ychwanegwyd cefnogaeth i Argon2 yng ngweithrediadau OpenSSL 3.2 a libgcrypt, gan ddileu'r angen am libargon.
Ffynhonnell: opennet.ru