Se ha publicado un conjunto de utilidades Cryptsetup 2.7, diseñadas para configurar el cifrado de particiones de disco en Linux utilizando el módulo dm-crypt. Admite particiones dm-crypt, LUKS, LUKS2, BITLK, loop-AES y TrueCrypt/VeraCrypt. También incluye utilidades veritysetup e integridadsetup para configurar controles de integridad de datos basados en los módulos dm-verity y dm-integrity.
Mejoras clave:
- Es posible utilizar el mecanismo de cifrado de disco de hardware OPAL, compatible con unidades SED (Unidades de cifrado automático) SATA y NVMe con la interfaz OPAL2 TCG, en el que el dispositivo de cifrado de hardware está integrado directamente en el controlador. Por un lado, el cifrado OPAL está vinculado al hardware propietario y no está disponible para auditoría pública, pero, por otro lado, puede usarse como un nivel adicional de protección sobre el cifrado de software, lo que no conduce a una disminución del rendimiento. y no crea una carga en la CPU.
El uso de OPAL en LUKS2 requiere compilar el kernel de Linux con la opción CONFIG_BLK_SED_OPAL y habilitarlo en Cryptsetup (la compatibilidad con OPAL está deshabilitada de forma predeterminada). La configuración de LUKS2 OPAL se realiza de forma similar al cifrado de software: los metadatos se almacenan en el encabezado de LUKS2. La clave se divide en una clave de partición para cifrado de software (dm-crypt) y una clave de desbloqueo para OPAL. OPAL se puede utilizar junto con el cifrado de software (cryptsetup luksFormat --hw-opal ), y por separado (cryptsetup luksFormat —hw-opal-only ). OPAL se activa y desactiva de la misma forma (abrir, cerrar, luksSuspend, luksResume) que para los dispositivos LUKS2.
- En modo simple, en el que la clave maestra y el encabezado no se almacenan en el disco, el cifrado predeterminado es aes-xts-plain64 y el algoritmo hash sha256 (se usa XTS en lugar del modo CBC, que tiene problemas de rendimiento, y se usa sha160). en lugar del anticuado hash ripmd256).
- Los comandos open y luksResume permiten que la clave de partición se almacene en un conjunto de claves del kernel seleccionado por el usuario (llavero). Para acceder al conjunto de claves, se ha agregado la opción “--volume-key-keyring” a muchos comandos de cryptsetup (por ejemplo, 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- En sistemas sin una partición de intercambio, realizar un formato o crear una ranura clave para PBKDF Argon2 ahora solo usa la mitad de la memoria libre, lo que resuelve el problema de quedarse sin memoria disponible en sistemas con una pequeña cantidad de RAM.
- Se agregó la opción "--external-tokens-path" para especificar el directorio para los controladores de tokens LUKS2 externos (complementos).
- tcrypt ha agregado soporte para el algoritmo hash Blake2 para VeraCrypt.
- Se agregó soporte para el cifrado de bloque Aria.
- Se agregó soporte para Argon2 en las implementaciones de OpenSSL 3.2 y libgcrypt, eliminando la necesidad de libargon.
Fuente: opennet.ru