Objavljen je skup uslužnih programa Cryptsetup 2.7, dizajniranih za konfiguriranje šifriranja diskovnih particija u Linuxu pomoću modula dm-crypt. Podržava dm-crypt, LUKS, LUKS2, BITLK, loop-AES i TrueCrypt/VeraCrypt particije. Također uključuje uslužne programe veritysetup i integritysetup za konfiguriranje kontrola integriteta podataka na temelju modula dm-verity i dm-integrity.
Ključna poboljšanja:
- Moguće je koristiti OPAL hardverski mehanizam za šifriranje diska, podržan na SED (Self-Encrypting Drives) SATA i NVMe diskovima s OPAL2 TCG sučeljem, u kojem je hardverski uređaj za šifriranje ugrađen izravno u kontroler. S jedne strane, OPAL enkripcija je vezana za vlasnički hardver i nije dostupna za javnu reviziju, ali, s druge strane, može se koristiti kao dodatna razina zaštite u odnosu na softversku enkripciju, što ne dovodi do smanjenja performansi i ne stvara opterećenje CPU-a.
Korištenje OPAL-a u LUKS2 zahtijeva izgradnju Linux kernela s opcijom CONFIG_BLK_SED_OPAL i njeno omogućavanje u Cryptsetup-u (OPAL podrška je onemogućena prema zadanim postavkama). Postavljanje LUKS2 OPAL-a provodi se na sličan način kao kod softverske enkripcije – metapodaci se pohranjuju u zaglavlju LUKS2. Ključ je podijeljen na particijski ključ za softversku enkripciju (dm-crypt) i ključ za otključavanje za OPAL. OPAL se može koristiti zajedno sa softverskom enkripcijom (cryptsetup luksFormat --hw-opal ), i zasebno (cryptsetup luksFormat —hw-opal-only ). OPAL se aktivira i deaktivira na isti način (otvori, zatvori, luksSuspend, luksResume) kao i za LUKS2 uređaje.
- U običnom načinu, u kojem glavni ključ i zaglavlje nisu pohranjeni na disku, zadana šifra je aes-xts-plain64 i algoritam raspršivanja sha256 (XTS se koristi umjesto CBC načina, koji ima problema s performansama, a koristi se sha160 umjesto zastarjelog ripemd256 hash ).
- Naredbe open i luksResume omogućuju pohranjivanje particijskog ključa u privjesak ključeva jezgre (privjesak ključeva) odabran od strane korisnika. Za pristup privjesku ključeva, opcija “--volume-key-keyring” dodana je mnogim naredbama cryptsetup (na primjer 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Na sustavima bez swap particije, izvođenje formatiranja ili stvaranje ključnog utora za PBKDF Argon2 sada koristi samo polovicu slobodne memorije, što rješava problem nedostatka dostupne memorije na sustavima s malom količinom RAM-a.
- Dodana je opcija "--external-tokens-path" za određivanje direktorija za rukovatelje vanjskim LUKS2 tokenima (dodaci).
- tcrypt je dodao podršku za Blake2 algoritam raspršivanja za VeraCrypt.
- Dodana podrška za Aria blok šifru.
- Dodana podrška za Argon2 u implementacijama OpenSSL 3.2 i libgcrypt, eliminirajući potrebu za libargonom.
Izvor: opennet.ru