Chaidh seata de ghoireasan Cryptsetup 2.7 fhoillseachadh airson a bhith a’ rèiteachadh crioptachadh de phàirtean diosc ann an Linux a’ cleachdadh a’ mhodal dm-crypt. Thathas a’ toirt taic do dh’ obair le pìosan dm-crypt, LUKS, LUKS2, BITLK, loop-AES agus TrueCrypt/VeraCrypt. Tha e cuideachd a’ toirt a-steach na goireasan veritysetup agus integritysetup gus smachdan iomlanachd dàta a rèiteachadh stèidhichte air na modalan dm-verity agus dm-ionracas.
Prìomh leasachaidhean:
- Tha e comasach inneal crioptachaidh diosc bathar-cruaidh OPAL a chleachdadh, le taic air draibhearan SED (Self-Encrypting Drives) SATA agus NVMe leis an eadar-aghaidh OPAL2 TCG, anns a bheil an inneal crioptachaidh bathar-cruaidh air a thogail a-steach don rianadair. Air an aon làimh, tha crioptachadh OPAL ceangailte ri bathar-cruaidh seilbhe agus chan eil e ri fhaighinn airson sgrùdadh poblach, ach, air an làimh eile, faodar a chleachdadh mar ìre dìon a bharrachd an aghaidh crioptachadh bathar-bog, nach eil a’ leantainn gu lùghdachadh ann an coileanadh. agus chan eil e a’ cruthachadh luchd air an CPU.
Le bhith a’ cleachdadh OPAL ann an LUKS2 feumar an kernel Linux a thogail leis an roghainn CONFIG_BLK_SED_OPAL agus a chomasachadh ann an Cryptsetup (tha taic OPAL à comas gu bunaiteach). Tha stèidheachadh LUKS2 OPAL air a dhèanamh san aon dòigh ri crioptachadh bathar-bog - tha meata-dàta air a stòradh ann am bann-cinn LUKS2. Tha an iuchair air a roinn ann an iuchair sgaradh airson crioptachadh bathar-bog (dm-crypt) agus iuchair fhuasgladh airson OPAL. Faodar OPAL a chleachdadh còmhla ri crioptachadh bathar-bog (cryptsetup luksFormat --hw-opal ), agus air leth (cryptsetup luksFormat —hw-opal-only ). Tha OPAL air a ghnìomhachadh agus air a chuir dheth san aon dòigh (fosgailte, dlùth, luksSuspend, luksResume) agus airson innealan LUKS2.
- Ann am modh sìmplidh, anns nach eil am prìomh iuchair agus an bann-cinn air a stòradh air diosc, is e an cipher bunaiteach aes-xts-plain64 agus an algairim hashing sha256 (tha XTS air a chleachdadh an àite modh CBC, aig a bheil duilgheadasan coileanaidh, agus sha160 air a chleachdadh an àite an hash ripemd256 seann-fhasanta).
- Tha na h-òrdughan fosgailte agus luksResume a’ leigeil leis an iuchair sgaradh a bhith air a stòradh ann an cearcall-iuchrach kernel a thagh an neach-cleachdaidh (cearcall iuchrach). Gus faighinn chun chearcall iuchrach, chaidh an roghainn “--volume-key-keyring” a chur ri mòran òrdughan cryptsetup (mar eisimpleir 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey"tst').
- Air siostaman gun sgaradh suaip, a 'coileanadh cruth no a' cruthachadh prìomh shliotan airson PBKDF Chan eil Argon2 a-nis a 'cleachdadh ach leth den chuimhne an-asgaidh, a dh' fhuasgladh an duilgheadas a bhith a 'ruith a-mach às a' chuimhne a tha ri fhaighinn air siostaman le beagan RAM.
- Chaidh roghainn “--external-tokens-path” a chur ris gus an eòlaire airson làimhseachadh comharran LUKS2 taobh a-muigh (plugins) a shònrachadh.
- Tha tcrypt air taic a chuir ris an algairim hashing Blake2 airson VeraCrypt.
- Taic a bharrachd airson cipher bloc Aria.
- Taic a bharrachd airson Argon2 ann an OpenSSL 3.2 agus buileachadh libgcrypt, a’ cur às don fheum air libargon.
Source: fosgailtenet.ru