OPAL 하드웨어 디스크 암호화를 지원하는 Cryptsetup 2.7 릴리스

dm-crypt 모듈을 사용하여 Linux에서 디스크 파티션의 암호화를 구성하기 위한 Cryptsetup 2.7 유틸리티 세트가 게시되었습니다. dm-crypt, LUKS, LUKS2, BITLK, loop-AES 및 TrueCrypt/VeraCrypt 파티션 작업이 지원됩니다. 또한 dm-verity 및 dm-integrity 모듈을 기반으로 데이터 무결성 제어를 구성하는 veritysetup 및 integritysetup 유틸리티도 포함되어 있습니다.

주요 개선 사항:

• 하드웨어 암호화 장치가 컨트롤러에 직접 내장되어 있는 OPAL2 TCG 인터페이스가 있는 SED(자체 암호화 드라이브) SATA 및 NVMe 드라이브에서 지원되는 OPAL 하드웨어 디스크 암호화 메커니즘을 사용할 수 있습니다. 한편으로 OPAL 암호화는 독점 하드웨어에 연결되어 공개 감사에 사용할 수 없지만, 다른 한편으로는 소프트웨어 암호화에 대한 추가 보호 수준으로 사용될 수 있어 성능 저하로 이어지지 않습니다. CPU에 부하를 생성하지 않습니다.

  LUKS2에서 OPAL을 사용하려면 CONFIG_BLK_SED_OPAL 옵션을 사용하여 Linux 커널을 빌드하고 Cryptsetup에서 활성화해야 합니다(OPAL 지원은 기본적으로 비활성화되어 있습니다). LUKS2 OPAL 설정은 소프트웨어 암호화와 유사한 방식으로 수행됩니다. 메타데이터는 LUKS2 헤더에 저장됩니다. 키는 소프트웨어 암호화(dm-crypt)용 파티션 키와 OPAL용 잠금 해제 키로 분할됩니다. OPAL은 소프트웨어 암호화(cryptsetup luksFormat --hw-opal)와 함께 사용할 수 있습니다. ) 및 별도로(cryptsetup luksFormat —hw-opal-only ). OPAL은 LUKS2 장치와 동일한 방식(열기, 닫기, luksSuspend, luksResume)으로 활성화 및 비활성화됩니다.

• 마스터키와 헤더가 디스크에 저장되지 않는 일반 모드에서는 기본 암호는 aes-xts-plain64이고 해싱 알고리즘은 sha256(성능에 문제가 있는 CBC 모드 대신 XTS를 사용하고, sha160을 사용) 오래된ripmd256 해시 대신).
• open 및 luksResume 명령을 사용하면 파티션 키를 사용자가 선택한 커널 키링(키링)에 저장할 수 있습니다. 키링에 액세스하기 위해 "--volume-key-keyring" 옵션이 많은 cryptsetup 명령에 추가되었습니다(예: 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
• 스왑 파티션이 없는 시스템에서 PBKDF Argon2에 대한 포맷을 수행하거나 키 슬롯을 생성하면 이제 여유 메모리의 절반만 사용되므로 RAM 용량이 적은 시스템에서 사용 가능한 메모리가 부족해지는 문제가 해결됩니다.
• 외부 LUKS2 토큰 처리기(플러그인)에 대한 디렉터리를 지정하는 "--external-tokens-path" 옵션이 추가되었습니다.
• tcrypt는 VeraCrypt에 대한 Blake2 해싱 알고리즘에 대한 지원을 추가했습니다.
• Aria 블록 암호에 대한 지원이 추가되었습니다.
• OpenSSL 2 및 libgcrypt 구현에 Argon3.2에 대한 지원이 추가되어 libargon이 필요하지 않습니다.

출처 : opennet.ru