Un ensemble d'utilitaires Cryptsetup 2.6 a été publié pour configurer le chiffrement des partitions de disque sous Linux à l'aide du module dm-crypt. Le travail avec les partitions dm-crypt, LUKS, LUKS2, BITLK, loop-AES et TrueCrypt/VeraCrypt est pris en charge. Il comprend également les utilitaires veritysetup et integritysetup pour configurer les contrôles d'intégrité des données basés sur les modules dm-verity et dm-integrity.
Principales améliorations :
- Ajout de la prise en charge des périphériques de stockage chiffrés à l'aide du mécanisme FileVault2 utilisé pour le chiffrement complet du disque dans macOS. Cryptsetup, en combinaison avec le pilote hfsplus, peut désormais ouvrir les clés USB cryptées FileVault2 en mode lecture-écriture sur les systèmes dotés d'un noyau Linux standard. L'accès aux disques avec le système de fichiers HFS + et avec les partitions Core Storage est pris en charge (les partitions avec APFS ne sont pas encore prises en charge).
- La bibliothèque libcryptsetup est épargnée du verrou global sur toute la mémoire via l'appel mlockall(), qui a été utilisé pour empêcher la fuite de données sensibles vers la partition d'échange. En raison du dépassement de la limite de la taille maximale de la mémoire bloquée lors de l'exécution sans droits root, la nouvelle version applique un verrouillage sélectif uniquement aux zones de mémoire qui stockent les clés de chiffrement.
- La priorité des processus effectuant la génération de clé (PBKDF) a été augmentée.
- Des fonctions ont été ajoutées pour ajouter des jetons LUKS2 et des clés binaires à l'emplacement de clé LUKS (keyslot), en plus des phrases de passe et des fichiers de clé précédemment pris en charge.
- La possibilité d'extraire une clé de partition à l'aide d'une phrase de passe, d'un fichier de clé ou d'un jeton a été fournie.
- Ajout de l'option "--use-tasklets" à veritysetup pour améliorer les performances sur certains systèmes de noyau Linux 6.x.
Source: opennet.ru