ProHoster > בלוג > חדשות באינטרנט > שחרור של Cryptsetup 2.7 עם תמיכה בהצפנת דיסק חומרה של OPAL

שחרור של Cryptsetup 2.7 עם תמיכה בהצפנת דיסק חומרה של OPAL

ערכה של כלי עזר Cryptsetup 2.7 פורסמה להגדרת הצפנה של מחיצות דיסק בלינוקס באמצעות מודול dm-crypt. עבודה עם מחיצות dm-crypt, LUKS, LUKS2, BITLK, loop-AES ומחיצות TrueCrypt/VeraCrypt נתמכת. זה כולל גם את כלי העזר veritysetup ו-integritysetup כדי להגדיר בקרות שלמות נתונים המבוססים על המודולים dm-verity ו-dm-integrity.

שיפורים עיקריים:

  • אפשר להשתמש במנגנון הצפנת דיסק חומרה OPAL, הנתמך בכונני SED (Self-Encrypting Drives) SATA ו-NVMe עם ממשק OPAL2 TCG, בו התקן הצפנת החומרה מובנה ישירות בבקר. מצד אחד, הצפנת OPAL קשורה לחומרה קניינית ואינה זמינה לביקורת ציבורית, אך מצד שני היא יכולה לשמש כרמה נוספת של הגנה על הצפנת תוכנה, שאינה מביאה לירידה בביצועים. ואינו יוצר עומס על המעבד.

    שימוש ב-OPAL ב-LUKS2 מצריך בניית ליבת לינוקס עם אפשרות CONFIG_BLK_SED_OPAL והפעלתה ב- Cryptsetup (תמיכה ב-OPAL מושבתת כברירת מחדל). הגדרת LUKS2 OPAL מתבצעת באופן דומה להצפנת תוכנה - מטא נתונים מאוחסנים בכותרת LUKS2. המפתח מחולק למפתח מחיצה להצפנת תוכנה (dm-crypt) ומפתח ביטול נעילה עבור OPAL. ניתן להשתמש ב-OPAL יחד עם הצפנת תוכנה (cryptsetup luksFormat --hw-opal ), ובנפרד (cryptsetup luksFormat —hw-opal-only ). OPAL מופעלת ומושבתת באותו אופן (פתיחה, סגור, luksSuspend, luksResume) כמו עבור מכשירי LUKS2.

  • במצב רגיל, שבו מפתח המאסטר והכותרת לא מאוחסנים בדיסק, צופן ברירת המחדל הוא aes-xts-plain64 ואלגוריתם הגיבוב sha256 (משתמשים ב-XTS במקום במצב CBC, שיש לו בעיות ביצועים, וב-sha160 נעשה שימוש במקום ה-hash המיושן ripemd256 ).
  • הפקודות open ו-luksResume מאפשרות לאחסן את מפתח המחיצה במחזיק מפתחות (מחזיק מפתחות) שנבחר על ידי המשתמש. כדי לגשת למחזיק המפתחות, האפשרות "--volume-key-ring" נוספה לפקודות cryptsetup רבות (לדוגמה 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
  • במערכות ללא מחיצת החלפה, ביצוע פורמט או יצירת חריץ מפתח עבור PBKDF Argon2 משתמש כעת רק במחצית מהזיכרון הפנוי, מה שפותר את הבעיה של אזל הזיכרון הזמין במערכות עם כמות קטנה של זיכרון RAM.
  • נוספה אפשרות "--external-tokens-path" כדי לציין את הספרייה עבור מטפלי אסימונים חיצוניים של LUKS2 (תוספים).
  • tcrypt הוסיפה תמיכה באלגוריתם הגיבוב Blake2 עבור VeraCrypt.
  • נוספה תמיכה בצופן בלוק Aria.
  • נוספה תמיכה עבור Argon2 ב-OpenSSL 3.2 ומימושים של libgcrypt, ביטול הצורך ב-libargon.

מקור: OpenNet.ru

הוספת תגובה