dm-crypt モジュールを使用して Linux でディスク パーティションの暗号化を構成するように設計された Cryptsetup 2.7 ユーティリティのセットが公開されました。 dm-crypt、LUKS、LUKS2、BITLK、loop-AES、および TrueCrypt/VeraCrypt パーティションをサポートします。 また、dm-verity および dm-integrity モジュールに基づいてデータ整合性制御を構成するための veritysetup および integritysetup ユーティリティも含まれています。
主な改善点:
- OPAL2 TCG インターフェイスを備えた SED (自己暗号化ドライブ) SATA および NVMe ドライブでサポートされている OPAL ハードウェア ディスク暗号化メカニズムを使用することができます。このメカニズムでは、ハードウェア暗号化デバイスがコントローラーに直接組み込まれています。 OPAL 暗号化は、独自のハードウェアに関連付けられているため、公的監査には利用できませんが、一方で、ソフトウェア暗号化に対する追加の保護レベルとして使用でき、パフォーマンスの低下にはつながりません。 CPU に負荷を与えません。
LUKS2 で OPAL を使用するには、CONFIG_BLK_SED_OPAL オプションを使用して Linux カーネルを構築し、Cryptsetup でそれを有効にする必要があります (OPAL サポートはデフォルトで無効になっています)。 LUKS2 OPAL のセットアップはソフトウェア暗号化と同様の方法で実行されます。メタデータは LUKS2 ヘッダーに保存されます。キーは、ソフトウェア暗号化 (dm-crypt) 用のパーティション キーと OPAL 用のロック解除キーに分割されます。 OPAL はソフトウェア暗号化 (cryptsetup luksFormat --hw-opal) と併用できます。 )、個別に (cryptsetup luksFormat —hw-opal-only )。 OPAL は、LUKS2 デバイスの場合と同じ方法 (オープン、クローズ、luksSuspend、luksResume) でアクティブ化および非アクティブ化されます。
- マスター キーとヘッダーがディスクに保存されないプレーン モードでは、デフォルトの暗号は aes-xts-plain64 およびハッシュ アルゴリズム sha256 です (パフォーマンス上の問題がある CBC モードの代わりに XTS が使用され、sha160 が使用されます)古い ripemd256 ハッシュの代わりに)。
- open および luksResume コマンドを使用すると、パーティション キーをユーザーが選択したカーネル キーリング (キーリング) に保存できます。キーリングにアクセスするために、「--volume-key-keyring」オプションが多くの cryptsetup コマンドに追加されました (例: 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst')。
- スワップ パーティションのないシステムでは、PBKDF Argon2 のフォーマットの実行またはキー スロットの作成に使用される空きメモリの半分のみが使用されるようになり、少量の RAM を搭載したシステムで利用可能なメモリが不足する問題が解決されました。
- 外部 LUKS2 トークン ハンドラー (プラグイン) のディレクトリを指定するための「--external-tokens-path」オプションを追加しました。
- tcrypt は、VeraCrypt の Blake2 ハッシュ アルゴリズムのサポートを追加しました。
- Aria ブロック暗号のサポートが追加されました。
- OpenSSL 2 および libgcrypt 実装に Argon3.2 のサポートが追加され、libargon が不要になりました。
出所: オープンネット.ru