OPAL हार्डवेयर डिस्क एन्क्रिप्शन के समर्थन के साथ Cryptsetup 2.7 का रिलीज़

डीएम-क्रिप्ट मॉड्यूल का उपयोग करके लिनक्स में डिस्क विभाजन के एन्क्रिप्शन को कॉन्फ़िगर करने के लिए Cryptsetup 2.7 उपयोगिताओं का एक सेट प्रकाशित किया गया है। dm-crypt, LUKS, LUKS2, BITLK, loop-AES और TrueCrypt/VeraCrypt विभाजन के साथ कार्य समर्थित है। इसमें डीएम-सत्यता और डीएम-अखंडता मॉड्यूल के आधार पर डेटा अखंडता नियंत्रणों को कॉन्फ़िगर करने के लिए वेरिटीसेटअप और इंटीग्रिटीसेटअप यूटिलिटीज भी शामिल हैं।

मुख्य सुधार:

• OPAL हार्डवेयर डिस्क एन्क्रिप्शन तंत्र का उपयोग करना संभव है, जो OPAL2 TCG इंटरफ़ेस के साथ SED (सेल्फ-एन्क्रिप्टिंग ड्राइव) SATA और NVMe ड्राइव पर समर्थित है, जिसमें हार्डवेयर एन्क्रिप्शन डिवाइस सीधे नियंत्रक में बनाया गया है। एक ओर, ओपीएल एन्क्रिप्शन मालिकाना हार्डवेयर से जुड़ा हुआ है और सार्वजनिक ऑडिट के लिए उपलब्ध नहीं है, लेकिन दूसरी ओर, इसे सॉफ़्टवेयर एन्क्रिप्शन पर सुरक्षा के अतिरिक्त स्तर के रूप में उपयोग किया जा सकता है, जिससे प्रदर्शन में कमी नहीं आती है और सीपीयू पर लोड नहीं बनाता है।

  LUKS2 में OPAL का उपयोग करने के लिए CONFIG_BLK_SED_OPAL विकल्प के साथ Linux कर्नेल का निर्माण करना और इसे Cryptsetup में सक्षम करना आवश्यक है (OPAL समर्थन डिफ़ॉल्ट रूप से अक्षम है)। LUKS2 OPAL की स्थापना सॉफ़्टवेयर एन्क्रिप्शन के समान तरीके से की जाती है - मेटाडेटा LUKS2 हेडर में संग्रहीत होता है। कुंजी को सॉफ़्टवेयर एन्क्रिप्शन (डीएम-क्रिप्ट) के लिए एक विभाजन कुंजी और ओपीएल के लिए एक अनलॉक कुंजी में विभाजित किया गया है। OPAL का उपयोग सॉफ़्टवेयर एन्क्रिप्शन (cryptsetup luksFormat --hw-opal) के साथ किया जा सकता है ), और अलग से (क्रिप्टसेटअप लुक्सफॉर्मैट-एचडब्ल्यू-ओपल-ओनली ). OPAL को LUKS2 उपकरणों की तरह ही सक्रिय और निष्क्रिय किया जाता है (खुला, बंद, luxSuspend, luksResume)।

• सादे मोड में, जिसमें मास्टर कुंजी और हेडर डिस्क पर संग्रहीत नहीं होते हैं, डिफ़ॉल्ट सिफर aes-xts-plain64 है और हैशिंग एल्गोरिदम sha256 (CBC मोड के बजाय XTS का उपयोग किया जाता है, जिसमें प्रदर्शन समस्याएं होती हैं, और sha160 का उपयोग किया जाता है) पुराने RIPEMD256 हैश के बजाय)।
• ओपन और लुक्सरेज़्यूम कमांड विभाजन कुंजी को उपयोगकर्ता द्वारा चयनित कर्नेल कीरिंग (कीरिंग) में संग्रहीत करने की अनुमति देते हैं। कीरिंग तक पहुंचने के लिए, "--वॉल्यूम-की-कीरिंग" विकल्प को कई क्रिप्टसेटअप कमांड में जोड़ा गया है (उदाहरण के लिए 'क्रिप्टसेटअप ओपन --link-vk-to-keyring "@s::%user:testkey" tst').
• स्वैप विभाजन के बिना सिस्टम पर, PBKDF Argon2 के लिए एक प्रारूप निष्पादित करना या एक कुंजी स्लॉट बनाना अब केवल आधी मेमोरी का उपयोग करता है, जो कम मात्रा में रैम वाले सिस्टम पर उपलब्ध मेमोरी के खत्म होने की समस्या को हल करता है।
• बाहरी LUKS2 टोकन हैंडलर (प्लगइन्स) के लिए निर्देशिका निर्दिष्ट करने के लिए "--बाहरी-टोकन-पथ" विकल्प जोड़ा गया।
• tcrypt ने VeraCrypt के लिए ब्लेक2 हैशिंग एल्गोरिदम के लिए समर्थन जोड़ा है।
• एरिया ब्लॉक सिफर के लिए समर्थन जोड़ा गया।
• OpenSSL 2 और libgcrypt कार्यान्वयन में Argon3.2 के लिए समर्थन जोड़ा गया, जिससे libargon की आवश्यकता समाप्त हो गई।

स्रोत: opennet.ru