dm-crypt ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು Linux ನಲ್ಲಿ ಡಿಸ್ಕ್ ವಿಭಾಗಗಳ ಗೂಢಲಿಪೀಕರಣವನ್ನು ಸಂರಚಿಸಲು Cryptsetup 2.7 ಉಪಯುಕ್ತತೆಗಳ ಒಂದು ಸೆಟ್ ಅನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ. dm-crypt, LUKS, LUKS2, BITLK, loop-AES ಮತ್ತು TrueCrypt/VeraCrypt ವಿಭಾಗಗಳೊಂದಿಗೆ ಕೆಲಸವು ಬೆಂಬಲಿತವಾಗಿದೆ. ಇದು dm-verity ಮತ್ತು dm-ಇಂಟೆಗ್ರಿಟಿ ಮಾಡ್ಯೂಲ್ಗಳ ಆಧಾರದ ಮೇಲೆ ಡೇಟಾ ಸಮಗ್ರತೆಯ ನಿಯಂತ್ರಣಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ವೆರಿಟಿಸೆಟಪ್ ಮತ್ತು ಇಂಟೆಗ್ರಿಟಿಸೆಟಪ್ ಉಪಯುಕ್ತತೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ಪ್ರಮುಖ ಸುಧಾರಣೆಗಳು:
- OPAL2 TCG ಇಂಟರ್ಫೇಸ್ನೊಂದಿಗೆ SED (ಸ್ವಯಂ-ಎನ್ಕ್ರಿಪ್ಟಿಂಗ್ ಡ್ರೈವ್ಗಳು) SATA ಮತ್ತು NVMe ಡ್ರೈವ್ಗಳಲ್ಲಿ ಬೆಂಬಲಿತವಾದ OPAL ಹಾರ್ಡ್ವೇರ್ ಡಿಸ್ಕ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿದೆ, ಇದರಲ್ಲಿ ಹಾರ್ಡ್ವೇರ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಸಾಧನವನ್ನು ನೇರವಾಗಿ ನಿಯಂತ್ರಕದಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ. ಒಂದೆಡೆ, OPAL ಗೂಢಲಿಪೀಕರಣವು ಸ್ವಾಮ್ಯದ ಹಾರ್ಡ್ವೇರ್ಗೆ ಒಳಪಟ್ಟಿರುತ್ತದೆ ಮತ್ತು ಸಾರ್ವಜನಿಕ ಆಡಿಟ್ಗೆ ಲಭ್ಯವಿಲ್ಲ, ಆದರೆ, ಮತ್ತೊಂದೆಡೆ, ಇದನ್ನು ಸಾಫ್ಟ್ವೇರ್ ಎನ್ಕ್ರಿಪ್ಶನ್ನ ಮೇಲೆ ಹೆಚ್ಚುವರಿ ಮಟ್ಟದ ರಕ್ಷಣೆಯಾಗಿ ಬಳಸಬಹುದು, ಇದು ಕಾರ್ಯಕ್ಷಮತೆಯಲ್ಲಿ ಇಳಿಕೆಗೆ ಕಾರಣವಾಗುವುದಿಲ್ಲ. ಮತ್ತು CPU ನಲ್ಲಿ ಲೋಡ್ ಅನ್ನು ರಚಿಸುವುದಿಲ್ಲ.
LUKS2 ನಲ್ಲಿ OPAL ಅನ್ನು ಬಳಸುವುದರಿಂದ CONFIG_BLK_SED_OPAL ಆಯ್ಕೆಯೊಂದಿಗೆ Linux ಕರ್ನಲ್ ಅನ್ನು ನಿರ್ಮಿಸುವ ಅಗತ್ಯವಿದೆ ಮತ್ತು ಅದನ್ನು Cryptsetup ನಲ್ಲಿ ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ (OPAL ಬೆಂಬಲವನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ). LUKS2 OPAL ಅನ್ನು ಹೊಂದಿಸುವುದು ಸಾಫ್ಟ್ವೇರ್ ಗೂಢಲಿಪೀಕರಣದ ರೀತಿಯಲ್ಲಿಯೇ ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ - ಮೆಟಾಡೇಟಾವನ್ನು LUKS2 ಹೆಡರ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. ಕೀಲಿಯನ್ನು ಸಾಫ್ಟ್ವೇರ್ ಎನ್ಕ್ರಿಪ್ಶನ್ (dm-crypt) ಗಾಗಿ ವಿಭಜನಾ ಕೀಲಿಯಾಗಿ ಮತ್ತು OPAL ಗಾಗಿ ಅನ್ಲಾಕ್ ಕೀಲಿಯಾಗಿ ವಿಭಜಿಸಲಾಗಿದೆ. OPAL ಅನ್ನು ಸಾಫ್ಟ್ವೇರ್ ಗೂಢಲಿಪೀಕರಣದೊಂದಿಗೆ ಒಟ್ಟಿಗೆ ಬಳಸಬಹುದು (cryptsetup luksFormat --hw-opal ), ಮತ್ತು ಪ್ರತ್ಯೇಕವಾಗಿ (cryptsetup luksFormat —hw-opal-only ) OPAL ಅನ್ನು LUKS2 ಸಾಧನಗಳಿಗೆ ಅದೇ ರೀತಿಯಲ್ಲಿ (ತೆರೆದ, ಮುಚ್ಚಿ, luksSuspend, luksResume) ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ.
- ಸರಳ ಮೋಡ್ನಲ್ಲಿ, ಮಾಸ್ಟರ್ ಕೀ ಮತ್ತು ಹೆಡರ್ ಅನ್ನು ಡಿಸ್ಕ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿಲ್ಲ, ಡೀಫಾಲ್ಟ್ ಸೈಫರ್ aes-xts-plain64 ಮತ್ತು ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ sha256 (CBC ಮೋಡ್ನ ಬದಲಿಗೆ XTS ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು ಕಾರ್ಯಕ್ಷಮತೆಯ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿದೆ, ಮತ್ತು sha160 ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಹಳತಾದ ripemd256 ಹ್ಯಾಶ್ ಬದಲಿಗೆ ).
- ಓಪನ್ ಮತ್ತು luksResume ಆಜ್ಞೆಗಳು ವಿಭಜನಾ ಕೀಲಿಯನ್ನು ಬಳಕೆದಾರ-ಆಯ್ಕೆ ಮಾಡಿದ ಕರ್ನಲ್ ಕೀರಿಂಗ್ (ಕೀರಿಂಗ್) ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಕೀರಿಂಗ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು, "--ವಾಲ್ಯೂಮ್-ಕೀ-ಕೀರಿಂಗ್" ಆಯ್ಕೆಯನ್ನು ಅನೇಕ ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ ಆಜ್ಞೆಗಳಿಗೆ ಸೇರಿಸಲಾಗಿದೆ (ಉದಾಹರಣೆಗೆ 'ಕ್ರಿಪ್ಟ್ಸೆಟಪ್ ಓಪನ್ --link-vk-to-keyring "@s::%user:testkey" tst').
- ಸ್ವಾಪ್ ವಿಭಜನೆಯಿಲ್ಲದ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ, ಫಾರ್ಮ್ಯಾಟ್ ಅನ್ನು ನಿರ್ವಹಿಸುವುದು ಅಥವಾ PBKDF Argon2 ಗಾಗಿ ಕೀ ಸ್ಲಾಟ್ ಅನ್ನು ರಚಿಸುವುದು ಈಗ ಅರ್ಧದಷ್ಟು ಉಚಿತ ಮೆಮೊರಿಯನ್ನು ಮಾತ್ರ ಬಳಸುತ್ತದೆ, ಇದು ಕಡಿಮೆ ಪ್ರಮಾಣದ RAM ಹೊಂದಿರುವ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಲಭ್ಯವಿರುವ ಮೆಮೊರಿಯ ಕೊರತೆಯ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುತ್ತದೆ.
- ಬಾಹ್ಯ LUKS2 ಟೋಕನ್ ಹ್ಯಾಂಡ್ಲರ್ಗಳಿಗೆ (ಪ್ಲಗಿನ್ಗಳು) ಡೈರೆಕ್ಟರಿಯನ್ನು ಸೂಚಿಸಲು "--external-tokens-path" ಆಯ್ಕೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- tcrypt VeraCrypt ಗಾಗಿ Blake2 ಹ್ಯಾಶಿಂಗ್ ಅಲ್ಗಾರಿದಮ್ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಿದೆ.
- Aria ಬ್ಲಾಕ್ ಸೈಫರ್ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
- OpenSSL 2 ಮತ್ತು libgcrypt ಅಳವಡಿಕೆಗಳಲ್ಲಿ Argon3.2 ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲಾಗಿದೆ, ಇದು libargon ನ ಅಗತ್ಯವನ್ನು ತೆಗೆದುಹಾಕುತ್ತದೆ.
ಮೂಲ: opennet.ru