Ένα σύνολο βοηθητικών προγραμμάτων Cryptsetup 2.7 έχει δημοσιευτεί για τη ρύθμιση παραμέτρων κρυπτογράφησης διαμερισμάτων δίσκου στο Linux χρησιμοποιώντας τη μονάδα dm-crypt. Υποστηρίζεται η εργασία με κατατμήσεις dm-crypt, LUKS, LUKS2, BITLK, loop-AES και TrueCrypt/VeraCrypt. Περιλαμβάνει επίσης τα βοηθητικά προγράμματα veritysetup και integritysetup για τη διαμόρφωση των στοιχείων ελέγχου ακεραιότητας δεδομένων με βάση τις μονάδες dm-verity και dm-integrity.
Βασικές βελτιώσεις:
- Είναι δυνατή η χρήση του μηχανισμού κρυπτογράφησης δίσκου υλικού OPAL, που υποστηρίζεται σε μονάδες SATA και NVMe SED (Self-Encrypting Drives) με τη διεπαφή OPAL2 TCG, στην οποία η συσκευή κρυπτογράφησης υλικού είναι ενσωματωμένη απευθείας στον ελεγκτή. Από τη μία πλευρά, η κρυπτογράφηση OPAL συνδέεται με ιδιόκτητο υλικό και δεν είναι διαθέσιμη για δημόσιο έλεγχο, αλλά, από την άλλη, μπορεί να χρησιμοποιηθεί ως πρόσθετο επίπεδο προστασίας έναντι της κρυπτογράφησης λογισμικού, το οποίο δεν οδηγεί σε μείωση της απόδοσης και δεν δημιουργεί φορτίο στη CPU.
Η χρήση του OPAL στο LUKS2 απαιτεί τη δημιουργία του πυρήνα Linux με την επιλογή CONFIG_BLK_SED_OPAL και την ενεργοποίησή του στο Cryptsetup (η υποστήριξη OPAL είναι απενεργοποιημένη από προεπιλογή). Η ρύθμιση του LUKS2 OPAL πραγματοποιείται με παρόμοιο τρόπο με την κρυπτογράφηση λογισμικού - τα μεταδεδομένα αποθηκεύονται στην κεφαλίδα LUKS2. Το κλειδί χωρίζεται σε κλειδί διαμερίσματος για κρυπτογράφηση λογισμικού (dm-crypt) και κλειδί ξεκλειδώματος για OPAL. Το OPAL μπορεί να χρησιμοποιηθεί μαζί με κρυπτογράφηση λογισμικού (cryptsetup luksFormat --hw-opal ), και χωριστά (cryptsetup luksFormat —hw-opal-μόνο ). Το OPAL ενεργοποιείται και απενεργοποιείται με τον ίδιο τρόπο (άνοιγμα, κλείσιμο, luksSuspend, luksResume) όπως και για τις συσκευές LUKS2.
- Σε απλή λειτουργία, στην οποία το κύριο κλειδί και η κεφαλίδα δεν αποθηκεύονται στο δίσκο, ο προεπιλεγμένος κρυπτογράφηση είναι aes-xts-plain64 και ο αλγόριθμος κατακερματισμού sha256 (χρησιμοποιείται XTS αντί για τη λειτουργία CBC, η οποία έχει προβλήματα απόδοσης, και χρησιμοποιείται sha160 αντί για το ξεπερασμένο ripemd256 hash ).
- Οι εντολές open και luksResume επιτρέπουν την αποθήκευση του κλειδιού διαμερίσματος σε ένα κλειδί του πυρήνα που έχει επιλέξει ο χρήστης (keyring). Για πρόσβαση στο μπρελόκ, η επιλογή «--volume-key-keyring» έχει προστεθεί σε πολλές εντολές cryptsetup (για παράδειγμα «cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Σε συστήματα χωρίς διαμέρισμα ανταλλαγής, η εκτέλεση μορφοποίησης ή η δημιουργία μιας υποδοχής κλειδιού για το PBKDF Argon2 χρησιμοποιεί πλέον μόνο το ήμισυ της ελεύθερης μνήμης, γεγονός που λύνει το πρόβλημα της εξάντλησης της διαθέσιμης μνήμης σε συστήματα με μικρή ποσότητα μνήμης RAM.
- Προστέθηκε η επιλογή "--external-tokens-path" για τον καθορισμό του καταλόγου για εξωτερικούς χειριστές διακριτικών LUKS2 (πρόσθετα).
- Το tcrypt έχει προσθέσει υποστήριξη για τον αλγόριθμο κατακερματισμού Blake2 για το VeraCrypt.
- Προστέθηκε υποστήριξη για τον κρυπτογράφηση μπλοκ Aria.
- Προστέθηκε υποστήριξη για το Argon2 σε εφαρμογές OpenSSL 3.2 και libgcrypt, εξαλείφοντας την ανάγκη για libargon.
Πηγή: opennet.ru