È stato pubblicato un set di utility Cryptsetup 2.7 per configurare la crittografia delle partizioni del disco in Linux utilizzando il modulo dm-crypt. È supportato il lavoro con le partizioni dm-crypt, LUKS, LUKS2, BITLK, loop-AES e TrueCrypt/VeraCrypt. Include anche le utilità veritysetup e integritysetup per configurare i controlli di integrità dei dati basati sui moduli dm-verity e dm-integrity.
Miglioramenti chiave:
- È possibile utilizzare il meccanismo di crittografia del disco hardware OPAL, supportato su unità SED (Self-Encrypting Drives) SATA e NVMe con l'interfaccia OPAL2 TCG, in cui il dispositivo di crittografia hardware è integrato direttamente nel controller. Da un lato, la crittografia OPAL è legata all'hardware proprietario e non è disponibile per l'audit pubblico, ma, dall'altro, può essere utilizzata come ulteriore livello di protezione rispetto alla crittografia software, che non comporta una diminuzione delle prestazioni e non crea un carico sulla CPU.
Usare OPAL in LUKS2 richiede la creazione del kernel Linux con l'opzione CONFIG_BLK_SED_OPAL e abilitarla in Cryptsetup (il supporto OPAL è disabilitato per impostazione predefinita). La configurazione di LUKS2 OPAL viene eseguita in modo simile alla crittografia del software: i metadati vengono archiviati nell'intestazione LUKS2. La chiave è suddivisa in una chiave di partizione per la crittografia del software (dm-crypt) e una chiave di sblocco per OPAL. OPAL può essere utilizzato insieme alla crittografia software (cryptsetup luksFormat --hw-opal ) e separatamente (cryptsetup luksFormat —hw-opal-only ). OPAL si attiva e disattiva allo stesso modo (apri, chiudi, luksSuspend, luksResume) come per i dispositivi LUKS2.
- In modalità normale, in cui la chiave principale e l'intestazione non sono archiviate sul disco, la cifra predefinita è aes-xts-plain64 e viene utilizzato l'algoritmo di hashing sha256 (XTS viene utilizzato al posto della modalità CBC, che presenta problemi di prestazioni, e viene utilizzato sha160 invece dell'hash ripemd256 obsoleto).
- I comandi open e luksResume consentono di archiviare la chiave di partizione in un keyring del kernel selezionato dall'utente (keyring). Per accedere al portachiavi, l'opzione “--volume-key-keyring” è stata aggiunta a molti comandi cryptsetup (ad esempio 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Sui sistemi senza partizione di swap, l'esecuzione di una formattazione o la creazione di uno slot chiave per PBKDF Argon2 ora utilizza solo metà della memoria libera, risolvendo il problema dell'esaurimento della memoria disponibile sui sistemi con una piccola quantità di RAM.
- Aggiunta l'opzione "--external-tokens-path" per specificare la directory per i gestori di token LUKS2 esterni (plugin).
- tcrypt ha aggiunto il supporto per l'algoritmo di hashing Blake2 per VeraCrypt.
- Aggiunto il supporto per il codice a blocchi Aria.
- Aggiunto il supporto per Argon2 nelle implementazioni OpenSSL 3.2 e libgcrypt, eliminando la necessità di libargon.
Fonte: opennet.ru