Cryptsetup 2.7 utilitateen multzoa argitaratu da, Linux-en disko partizioak enkriptatzea dm-crypt modulua erabiliz konfiguratzeko diseinatua. dm-crypt, LUKS, LUKS2, BITLK, loop-AES eta TrueCrypt/VeraCrypt partizioak onartzen ditu. Veritysetup eta integritysetup utilitateak ere barne hartzen ditu datuen osotasunaren kontrolak konfiguratzeko dm-verity eta dm-integrity moduluetan oinarrituta.
Hobekuntza nagusiak:
- OPAL hardware-disko enkriptatzeko mekanismoa erabil daiteke, SED (Self-Encrypting Drives) SATA eta NVMe unitateetan OPAL2 TCG interfazearekin onartzen dena, zeinetan hardware enkriptatzeko gailua kontrolagailura zuzenean integratuta dagoen. Alde batetik, OPAL enkriptatzea hardware jabedunari lotuta dago eta ez dago ikuskaritza publikorako erabilgarri, baina, bestetik, software enkriptatzeari buruzko babes maila gehigarri gisa erabil daiteke, eta horrek ez du errendimendua murrizten. eta ez du kargarik sortzen CPUan.
LUKS2-n OPAL erabiltzeak Linux nukleoa CONFIG_BLK_SED_OPAL aukerarekin eraikitzea eta Cryptsetup-en gaituta egotea eskatzen du (OPAL euskarria desgaituta dago lehenespenez). LUKS2 OPAL konfigurazioa software enkriptatzearen antzera egiten da - metadatuak LUKS2 goiburuan gordetzen dira. Gakoa software enkriptatzeko partizio-gako batean (dm-crypt) eta OPALerako desblokeatzeko gako batean banatzen da. OPAL software enkriptatzearekin batera erabil daiteke (cryptsetup luksFormat --hw-opal ), eta bereizita (cryptsetup luksFormat βhw-opal-only ). OPAL aktibatzen eta desaktibatzen da (ireki, itxi, luksSuspend, luksResume) LUKS2 gailuetan bezala.
- Modu arruntean, gako nagusia eta goiburua diskoan gordetzen ez direnean, zifratze lehenetsia aes-xts-plain64 da eta sha256 hashing algoritmoa (XTS erabiltzen da CBC moduaren ordez, errendimendu arazoak dituena, eta sha160 erabiltzen da). ripemd256 hash zaharkituaren ordez).
- Open eta luksResume komandoek partizio-gakoa erabiltzaileak aukeratutako kernel-giltza-erraza batean (giltza-erraza) batean gordetzea ahalbidetzen dute. Giltza-erraztera sartzeko, "--volume-key-keyring" aukera gehitu da cryptsetup komando askotan (adibidez, 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Truke-partiziorik gabeko sistemetan, formatu bat egiteak edo PBKDFrako gako-zirrikitua sortzeak Argon2-k orain doako memoriaren erdia baino ez du erabiltzen, eta horrek RAM kopuru txikia duten sistemetan eskuragarri dagoen memoria agortzeko arazoa konpontzen du.
- "--external-tokens-path" aukera gehitu da kanpoko LUKS2 token-kudeatzaileen (plugin-ak) direktorioa zehazteko.
- tcrypt-ek VeraCrypt-erako Blake2 hashing algoritmorako laguntza gehitu du.
- Aria bloke zifratzeko euskarria gehitu da.
- OpenSSL 2 eta libgcrypt inplementazioetan Argon3.2-rako laguntza gehitu da, libargon-en beharra ezabatuz.
Iturria: opennet.ru