Satu set utilitas Cryptsetup 2.7 telah diterbitkan, dirancang untuk mengkonfigurasi enkripsi partisi disk di Linux menggunakan modul dm-crypt. Mendukung partisi dm-crypt, LUKS, LUKS2, BITLK, loop-AES dan TrueCrypt/VeraCrypt. Ini juga mencakup utilitas veritysetup dan Integritysetup untuk mengonfigurasi kontrol integritas data berdasarkan modul dm-verity dan dm-integrity.
Perbaikan utama:
- Dimungkinkan untuk menggunakan mekanisme enkripsi disk perangkat keras OPAL, yang didukung pada drive SED (Self-Encrypting Drives) SATA dan NVMe dengan antarmuka OPAL2 TCG, di mana perangkat enkripsi perangkat keras dibangun langsung ke dalam pengontrol. Di satu sisi, enkripsi OPAL terikat dengan perangkat keras berpemilik dan tidak tersedia untuk audit publik, namun, di sisi lain, enkripsi OPAL dapat digunakan sebagai tingkat perlindungan tambahan terhadap enkripsi perangkat lunak, yang tidak menyebabkan penurunan kinerja. dan tidak membuat beban pada CPU.
Menggunakan OPAL di LUKS2 memerlukan pembuatan kernel Linux dengan opsi CONFIG_BLK_SED_OPAL dan mengaktifkannya di Cryptsetup (dukungan OPAL dinonaktifkan secara default). Menyiapkan LUKS2 OPAL dilakukan dengan cara yang mirip dengan enkripsi perangkat lunak - metadata disimpan di header LUKS2. Kuncinya dibagi menjadi kunci partisi untuk enkripsi perangkat lunak (dm-crypt) dan kunci buka kunci untuk OPAL. OPAL dapat digunakan bersama dengan enkripsi perangkat lunak (cryptsetup luksFormat --hw-opal ), dan secara terpisah (cryptsetup luksFormat βhw-opal-only ). OPAL diaktifkan dan dinonaktifkan dengan cara yang sama (buka, tutup, luksSuspend, luksResume) seperti pada perangkat LUKS2.
- Dalam mode biasa, di mana kunci master dan header tidak disimpan pada disk, cipher default adalah aes-xts-plain64 dan algoritma hashing sha256 (XTS digunakan sebagai pengganti mode CBC, yang memiliki masalah kinerja, dan sha160 digunakan alih-alih hash matangmd256 yang sudah ketinggalan zaman).
- Perintah open dan luksResume memungkinkan kunci partisi disimpan dalam keyring kernel (keyring) yang dipilih pengguna. Untuk mengakses keyring, opsi β--volume-key-keyringβ telah ditambahkan ke banyak perintah cryptsetup (misalnya 'cryptsetup open --link-vk-to-keyring "@s::%pengguna:kunci tes" tst').
- Pada sistem tanpa partisi swap, melakukan format atau membuat slot kunci untuk PBKDF Argon2 kini hanya menggunakan setengah dari memori bebas, yang memecahkan masalah kehabisan memori yang tersedia pada sistem dengan jumlah RAM yang kecil.
- Menambahkan opsi "--external-tokens-path" untuk menentukan direktori untuk penangan token LUKS2 eksternal (plugin).
- tcrypt telah menambahkan dukungan untuk algoritma hashing Blake2 untuk VeraCrypt.
- Menambahkan dukungan untuk cipher blok Aria.
- Menambahkan dukungan untuk Argon2 dalam implementasi OpenSSL 3.2 dan libgcrypt, menghilangkan kebutuhan akan libargon.
Sumber: opennet.ru