Das Cryptsetup 2.6-Toolset wurde veröffentlicht, das zur Konfiguration der Festplattenverschlüsselung in Linux mit dem dm-crypt-Modul dient. Es unterstützt die Arbeit mit dm-crypt-Partitionen, LUKS, LUKS2, BITLK, loop-AES und TrueCrypt/VeraCrypt. Im Paket sind auch die Tools veritysetup und integritysetup enthalten, die zur Einrichtung von Integritätsprüfungsmechanismen auf Basis der Module dm-verity und dm-integrity dienen.
Wesentliche Verbesserungen:
- Die Unterstützung für Speichergeräte, die mit dem FileVault2-Mechanismus verschlüsselt sind, der für die vollständige Festplattenverschlüsselung in macOS verwendet wird, wurde hinzugefügt. Cryptsetup kann zusammen mit dem hfsplus-Treiber jetzt mit USB-Sticks, die mit FileVault2 verschlüsselt sind, im Lese- und Schreibmodus auf Systemen mit einem Standard-Linux-Kernel arbeiten. Der Zugriff auf Speichergeräte mit dem HFS+-Dateisystem und Partitionen aus dem Core Storage wird unterstützt (APFS-Partitionen werden derzeit nicht unterstützt).
- Die libcryptsetup-Bibliothek ist von der globalen Sperrung des gesamten Speichers durch den Aufruf von mlockall() befreit, die zuvor verwendet wurde, um das Auslaufen vertraulicher Daten in den Swap-Speicher zu verhindern. Aufgrund der Überschreitung des Limits für die maximale Größe des gesperrten Speichers beim Start ohne Root-Rechte wird in der neuen Version eine selektive Sperrung nur der Bereiche des Speichers angewendet, in denen die Verschlüsselungsschlüssel gespeichert sind.
- Die Priorität der Prozesse, die den Schlüssel generieren (PBKDF), wurde erhöht.
- Funktionen zum Hinzufügen von LUKS2-Token und binären Schlüsseln in den LUKS-Schlüssel-Slot (keyslot) wurden hinzugefügt, zusätzlich zu den zuvor unterstützten Passwörtern und Schlüsseldateien.
- Es wurde die Möglichkeit geschaffen, den Partitionsschlüssel über ein Passwort, eine Schlüsseldatenbank oder ein Token zu extrahieren.
- In veritysetup wurde die Option „—use-tasklets“ hinzugefügt, um die Leistung auf bestimmten Systemen mit dem Linux-Kernel 6.x zu verbessern.
Quelle: opennet.ru
