Հրապարակվել է Cryptsetup 2.7 կոմունալ ծառայությունների մի շարք, որոնք նախատեսված են Linux-ում սկավառակի բաժանմունքների կոդավորումը կարգավորելու համար՝ օգտագործելով dm-crypt մոդուլը: Աջակցում է dm-crypt, LUKS, LUKS2, BITLK, loop-AES և TrueCrypt/VeraCrypt միջնորմները: Այն նաև ներառում է veritysetup և integritysetup կոմունալ ծառայություններ՝ տվյալների ամբողջականության կառավարումը կարգավորելու համար՝ հիմնված dm-verity և dm-integrity մոդուլների վրա:
Հիմնական բարելավումներ.
- Հնարավոր է օգտագործել OPAL ապարատային սկավառակի կոդավորման մեխանիզմը, որն աջակցվում է SED (Self-Encrypting Drives) SATA և NVMe կրիչներ OPAL2 TCG ինտերֆեյսով, որոնցում ապարատային գաղտնագրման սարքը ներկառուցված է անմիջապես կարգավորիչի մեջ: Մի կողմից, OPAL գաղտնագրումը կապված է սեփականության սարքավորումների հետ և հասանելի չէ հանրային աուդիտի համար, բայց, մյուս կողմից, այն կարող է օգտագործվել որպես ծրագրային ապահովման գաղտնագրման պաշտպանության լրացուցիչ մակարդակ, ինչը չի հանգեցնում կատարողականի նվազմանը: և պրոցեսորի վրա բեռ չի ստեղծում:
LUKS2-ում OPAL-ի օգտագործումը պահանջում է Linux միջուկը կառուցել CONFIG_BLK_SED_OPAL տարբերակով և միացնել այն Cryptsetup-ում (OPAL-ի աջակցությունը լռելյայն անջատված է): LUKS2 OPAL-ի կարգավորումն իրականացվում է ծրագրաշարի գաղտնագրման նման ձևով. մետատվյալները պահվում են LUKS2 վերնագրում: Բանալին բաժանված է ծրագրային ապահովման կոդավորման համար բաժանման բանալի (dm-crypt) և OPAL-ի բացման բանալի: OPAL-ը կարող է օգտագործվել ծրագրային ծածկագրման հետ միասին (cryptsetup luksFormat --hw-opal ), և առանձին (cryptsetup luksFormat —hw-opal- only ) OPAL-ն ակտիվանում և անջատվում է նույն կերպ (բաց, փակ, luksSuspend, luksResume), ինչպես LUKS2 սարքերի համար:
- Պարզ ռեժիմում, որտեղ հիմնական բանալին և վերնագիրը չեն պահվում սկավառակի վրա, լռելյայն ծածկագիրը aes-xts-plain64 է, իսկ hashing ալգորիթմը sha256 (XTS օգտագործվում է CBC ռեժիմի փոխարեն, որն ունի կատարողականի խնդիրներ, և օգտագործվում է sha160): հնացած ripemd256 հեշի փոխարեն):
- Open և luksResume հրամանները թույլ են տալիս բաժանման ստեղնը պահել օգտագործողի կողմից ընտրված միջուկի ստեղնաշարում (ստեղնաշար): Բանալին մուտք գործելու համար «--volume-key-keyring» տարբերակը ավելացվել է բազմաթիվ cryptsetup հրամաններին (օրինակ՝ «cryptsetup open» --link-vk-to-keyring «@s::%user:testkey» tst'):
- Առանց փոխանակման բաժանման համակարգերում, PBKDF Argon2-ի համար ձևաչափի կատարումը կամ առանցքային բնիկ ստեղծելն այժմ օգտագործում է ազատ հիշողության միայն կեսը, ինչը լուծում է փոքր քանակությամբ RAM ունեցող համակարգերում առկա հիշողության սպառման խնդիրը:
- Ավելացվեց «--external-tokens-path» տարբերակը՝ LUKS2 արտաքին նշանների մշակողների (պլագինների) գրացուցակը նշելու համար:
- tcrypt-ն ավելացրել է VeraCrypt-ի համար Blake2 հեշավորման ալգորիթմի աջակցությունը:
- Ավելացվեց աջակցություն Aria բլոկի ծածկագրին:
- Ավելացվել է Argon2-ի աջակցություն OpenSSL 3.2-ում և libgcrypt իրականացումներում՝ վերացնելով libargon-ի անհրաժեշտությունը:
Source: opennet.ru