Avaldatud on Cryptsetup 2.7 utiliitide komplekt kettasektsioonide krüptimise konfigureerimiseks Linuxis dm-crypt mooduli abil. Toetatud on dm-crypt, LUKS, LUKS2, BITLK, loop-AES ja TrueCrypt/VeraCrypt partitsioonidega töötamine. See sisaldab ka utiliite veritysetup ja integritysetup, et konfigureerida andmete terviklikkuse juhtelemente moodulitel dm-verity ja dm-integrity.
Peamised täiustused:
- Võimalik on kasutada OPAL riistvaralise ketta krüptimise mehhanismi, mida toetavad SED (Self-Encrypting Drives) SATA ja NVMe draivid OPAL2 TCG liidesega, milles riistvaraline krüpteerimisseade on ehitatud otse kontrollerisse. Ühest küljest on OPAL-krüptimine seotud patenteeritud riistvaraga ja pole avalikuks auditeerimiseks saadaval, kuid teisest küljest saab seda kasutada täiendava kaitsetasemena tarkvara krüptimise ees, mis ei too kaasa jõudluse vähenemist. ja see ei koorma protsessorit.
OPAL-i kasutamine LUKS2-s nõuab Linuxi kerneli loomist valikuga CONFIG_BLK_SED_OPAL ja selle lubamist krüptse seadistuses (OPAL-i tugi on vaikimisi keelatud). LUKS2 OPALi seadistamine toimub sarnaselt tarkvara krüptimisega – metaandmed salvestatakse LUKS2 päisesse. Võti on jagatud tarkvara krüptimise (dm-crypt) partitsioonivõtmeks ja OPAL-i avamisvõtmeks. OPAL-i saab kasutada koos tarkvara krüptimisega (cryptsetup luksFormat --hw-opal ) ja eraldi (cryptsetup luksFormat —hw-opal-only ). OPAL aktiveeritakse ja desaktiveeritakse samamoodi (avamine, sulgemine, luksSuspend, luksResume) nagu LUKS2 seadmete puhul.
- Lihtrežiimis, kus peavõtit ja päist ei salvestata kettale, on vaikimisi šifr aes-xts-plain64 ja räsimise algoritm sha256 (CBC režiimi asemel kasutatakse XTS-i, millel on jõudlusprobleemid ja sha160 vananenud ripemd256 räsi asemel).
- Käsud open ja luksResume võimaldavad partitsioonivõtme salvestada kasutaja valitud kerneli võtmerõngasse (võtmerõngasse). Võtmerõngale juurde pääsemiseks on paljudele krüptiseadistuse käskudele lisatud valik "--volume-key-keyring" (näiteks 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Ilma vahetuspartitsioonita süsteemides kasutab PBKDF Argon2 jaoks vormingu teostamine või võtmepesa loomine nüüd ainult poole vabast mälust, mis lahendab vähese RAM-iga süsteemides vaba mälu ammendumise probleemi.
- Lisatud suvand "--external-tokens-path", et määrata kataloog väliste LUKS2 lubade töötlejate (pluginate) jaoks.
- tcrypt on lisanud VeraCrypti Blake2 räsimisalgoritmi toe.
- Lisatud tugi Aria plokkšifrile.
- Lisati Argon2 tugi OpenSSL 3.2 ja libgcrypt rakendustes, välistades vajaduse libargoni järele.
Allikas: opennet.ru