Für die Konfiguration der Verschlüsselung von Festplattenpartitionen unter Linux mit dem dm-crypt-Modul wurde eine Reihe von Cryptsetup 2.7-Dienstprogrammen veröffentlicht. Die Arbeit mit dm-crypt-, LUKS-, LUKS2-, BITLK-, Loop-AES- und TrueCrypt/VeraCrypt-Partitionen wird unterstützt. Es enthält außerdem die Dienstprogramme „veritysetup“ und „integritysetup“ zum Konfigurieren von Datenintegritätskontrollen basierend auf den Modulen „dm-verity“ und „dm-integrity“.
Wichtigste Verbesserungen:
- Es ist möglich, den OPAL-Hardware-Festplattenverschlüsselungsmechanismus zu verwenden, der auf SED-SATA- und NVMe-Laufwerken (Self-Encrypting Drives) mit der OPAL2-TCG-Schnittstelle unterstützt wird, bei der das Hardware-Verschlüsselungsgerät direkt in den Controller integriert ist. Einerseits ist die OPAL-Verschlüsselung an proprietäre Hardware gebunden und steht nicht zur öffentlichen Prüfung zur Verfügung, andererseits kann sie als zusätzliche Schutzebene gegenüber der Softwareverschlüsselung eingesetzt werden, was nicht zu einer Leistungseinbuße führt und belastet die CPU nicht.
Für die Verwendung von OPAL in LUKS2 muss der Linux-Kernel mit der Option CONFIG_BLK_SED_OPAL erstellt und in Cryptsetup aktiviert werden (OPAL-Unterstützung ist standardmäßig deaktiviert). Die Einrichtung von LUKS2 OPAL erfolgt ähnlich wie bei der Softwareverschlüsselung – Metadaten werden im LUKS2-Header gespeichert. Der Schlüssel ist aufgeteilt in einen Partitionsschlüssel für die Softwareverschlüsselung (dm-crypt) und einen Freischaltschlüssel für OPAL. OPAL kann zusammen mit Softwareverschlüsselung verwendet werden (cryptsetup luksFormat --hw-opal ) und separat (cryptsetup luksFormat –hw-opal-only ). OPAL wird auf die gleiche Weise aktiviert und deaktiviert (open, close, luksSuspend, luksResume) wie bei LUKS2-Geräten.
- Im einfachen Modus, in dem der Hauptschlüssel und der Header nicht auf der Festplatte gespeichert sind, ist die Standardverschlüsselung aes-xts-plain64 und der Hashing-Algorithmus sha256 (XTS wird anstelle des CBC-Modus verwendet, der Leistungsprobleme aufweist, und sha160 wird verwendet anstelle des veralteten Maturemd256-Hashs).
- Mit den Befehlen open und luksResume kann der Partitionsschlüssel in einem vom Benutzer ausgewählten Kernel-Schlüsselbund (Schlüsselbund) gespeichert werden. Um auf den Schlüsselbund zuzugreifen, wurde vielen cryptsetup-Befehlen die Option „--volume-key-keyring“ hinzugefügt (zum Beispiel „cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Auf Systemen ohne Swap-Partition verbraucht das Durchführen einer Formatierung oder das Erstellen eines Schlüsselsteckplatzes für PBKDF Argon2 jetzt nur noch die Hälfte des freien Speichers, wodurch das Problem gelöst wird, dass auf Systemen mit wenig RAM der verfügbare Speicher knapp wird.
- Option „--external-tokens-path“ hinzugefügt, um das Verzeichnis für externe LUKS2-Token-Handler (Plugins) anzugeben.
- tcrypt hat Unterstützung für den Blake2-Hashing-Algorithmus für VeraCrypt hinzugefügt.
- Unterstützung für die Aria-Blockverschlüsselung hinzugefügt.
- Unterstützung für Argon2 in OpenSSL 3.2- und libgcrypt-Implementierungen hinzugefügt, wodurch Libargon nicht mehr erforderlich ist.
Source: opennet.ru