Komek karûbarên Cryptsetup 2.7 ji bo mîhengkirina şîfrekirina dabeşên dîskê li Linux-ê bi karanîna modula dm-crypt ve hatî weşandin. Bi dabeşên dm-crypt, LUKS, LUKS2, BITLK, loop-AES û TrueCrypt/VeraCrypt re dixebitin. Di heman demê de ew karûbarên veritysetup û integritysetup vedihewîne da ku kontrolên yekbûna daneyê li ser bingeha modulên dm-verity û dm-integrity mîheng bike.
Pêşveçûnên sereke:
- Mimkun e ku meriv mekanîzmaya şîfrekirina dîskê ya OPAL-ê bikar bîne, ku li ser ajokarên SED (Dîskên Xwe-Şîfrekirî) SATA û NVMe bi navbeynkariya OPAL2 TCG ve tê piştgirî kirin, ku tê de amûra şîfrekirina hardware rasterast di nav kontrolkerê de hatî çêkirin. Ji aliyek ve, şîfrekirina OPAL bi hardware xwedan ve girêdayî ye û ji bo kontrolkirina giştî ne amade ye, lê, ji hêla din ve, ew dikare wekî astek parastinê ya zêde li ser şîfrekirina nermalavê were bikar anîn, ku rê nade kêmbûna performansê. û li ser CPU-ê barek çênake.
Bikaranîna OPAL-ê di LUKS2 de hewce dike ku kernel Linux bi vebijarka CONFIG_BLK_SED_OPAL were çêkirin û wê di Cryptsetup de çalak bike (piştgiriya OPAL ji hêla xwerû ve neçalak e). Sazkirina LUKS2 OPAL bi rengek mîna şîfrekirina nermalavê tête kirin - metadata di sernavê LUKS2 de têne hilanîn. Mift ji bo şîfrekirina nermalavê (dm-crypt) û ji bo OPAL-ê bişkojkek dabeşkirinê tê dabeş kirin. OPAL dikare bi şîfrekirina nermalavê re bi hev re were bikar anîn (cryptsetup luksFormat --hw-opal ), û ji hev cuda (cryptsetup luksFormat —tenê hw-opal ). OPAL bi heman awayê (vekirin, girtin, luksSuspend, luksResume) wekî cîhazên LUKS2 tê çalakkirin û neçalak kirin.
- Di moda sade de, ku tê de mifteya sereke û sernivîs li ser dîskê nayê hilanîn, şîfreya xwerû aes-xts-plain64 û algorîtmaya haşkirinê sha256 e (XTS li şûna moda CBC, ku pirsgirêkên performansê hene, tê bikar anîn, û sha160 tê bikar anîn. li şûna ripemd256 hash kevinbûyî).
- Fermanên vekirî û luksResume dihêle ku mifteya dabeşkirinê di kilîla kernelê ya ku ji hêla bikarhêner ve hatî hilbijartî (keyring) were hilanîn. Ji bo gihîştina mifteyê, vebijarka "--volume-key-keyring" li gelek fermanên cryptsetupê hate zêdekirin (mînak 'cryptsetup vekirî --link-vk-to-keyring "@s::%bikarhêner:testkey" tst').
- Li ser pergalên bêyî dabeşkirina guheztinê, pêkanîna formatek an çêkirina hêlînek sereke ji bo PBKDF Argon2 naha tenê nîvê bîranîna belaş bikar tîne, ku pirsgirêka xilasbûna bîranîna berdest li ser pergalên bi mîqdarek piçûk RAM-ê çareser dike.
- Vebijarka "--external-tokens-path" lê zêde kir da ku pelrêça ji bo hilgirên nîşankerên LUKS2 (pêvek) derveyî diyar bike.
- tcrypt ji bo VeraCrypt ji bo algorîtmaya hashing Blake2 piştgirî zêde kiriye.
- Piştgiriyek ji bo şîfreya bloka Aria zêde kir.
- Piştgiriya Argon2 di OpenSSL 3.2 û pêkanînên libgcrypt de zêde kir, hewcedariya libargon ji holê radike.
Source: opennet.ru