Publicouse un conxunto de utilidades Cryptsetup 2.7, deseñadas para configurar o cifrado de particións de disco en Linux mediante o módulo dm-crypt. Admite particións dm-crypt, LUKS, LUKS2, BITLK, loop-AES e TrueCrypt/VeraCrypt. Tamén inclúe utilidades veritysetup e integritysetup para configurar controis de integridade de datos baseados nos módulos dm-verity e dm-integrity.
Melloras clave:
- É posible utilizar o mecanismo de cifrado de disco de hardware OPAL, compatible con unidades SED (Self-Encrypting Drives) SATA e NVMe coa interface OPAL2 TCG, na que o dispositivo de cifrado de hardware está integrado directamente no controlador. Por unha banda, o cifrado OPAL está ligado ao hardware propietario e non está dispoñible para a auditoría pública, pero, por outro lado, pódese utilizar como un nivel adicional de protección fronte ao cifrado do software, o que non leva a unha diminución do rendemento. e non crea unha carga na CPU.
Usar OPAL en LUKS2 require construír o núcleo de Linux coa opción CONFIG_BLK_SED_OPAL e habilitalo en Cryptsetup (o soporte de OPAL está desactivado por defecto). A configuración de LUKS2 OPAL realízase dun xeito similar ao cifrado de software: os metadatos almacénanse na cabeceira de LUKS2. A chave divídese nunha clave de partición para o cifrado de software (dm-crypt) e unha clave de desbloqueo para OPAL. OPAL pódese usar xunto co cifrado de software (cryptsetup luksFormat --hw-opal ), e por separado (cryptsetup luksFormat —hw-opal-only ). OPAL actívase e desactívase do mesmo xeito (abrir, pechar, luksSuspend, luksResume) que para os dispositivos LUKS2.
- No modo simple, no que a chave mestra e a cabeceira non se almacenan no disco, o cifrado predeterminado é aes-xts-plain64 e o algoritmo hash sha256 (utilízase XTS en lugar do modo CBC, que ten problemas de rendemento, e úsase sha160). no canto do hash desactualizado ripemd256 ).
- Os comandos open e luksResume permiten almacenar a chave da partición nun anel de chaves do núcleo seleccionado polo usuario. Para acceder ao anel de chaves, engadiuse a opción "--volume-key-ring" a moitos comandos de cryptsetup (por exemplo, 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- En sistemas sen partición de intercambio, realizar un formato ou crear unha ranura de chave para PBKDF Argon2 agora só usa a metade da memoria libre, o que resolve o problema de quedar sen memoria dispoñible nos sistemas cunha pequena cantidade de RAM.
- Engadiuse a opción "--external-tokens-path" para especificar o directorio para os controladores externos de tokens LUKS2 (complementos).
- tcrypt engadiu compatibilidade para o algoritmo de hash Blake2 para VeraCrypt.
- Engadido soporte para o cifrado de bloques Aria.
- Engadido soporte para Argon2 nas implementacións de OpenSSL 3.2 e libgcrypt, eliminando a necesidade de libargon.
Fonte: opennet.ru