Cryptsetup 2.7 утилиталарынын топтому dm-crypt модулунун жардамы менен Linux'та диск бөлүктөрүнүн шифрлөөсүн конфигурациялоо үчүн жарыяланды. dm-crypt, LUKS, LUKS2, BITLK, цикл-AES жана TrueCrypt/VeraCrypt бөлүмдөрү менен иштөө колдоого алынат. Ал ошондой эле dm-verity жана dm-бүтүндүк модулдарынын негизинде берилиштердин бүтүндүгүн башкаруу элементтерин конфигурациялоо үчүн veritysetup жана integritysetup утилиталарын камтыйт.
Негизги жакшыртуулар:
- OPAL2 TCG интерфейси бар SED (өзүн-өзү шифрлөөчү дисктер) SATA жана NVMe дисктеринде колдоого алынган OPAL аппараттык дисктин шифрлөө механизмин колдонууга болот, мында аппараттык шифрлөөчү түзүлүш түздөн-түз контроллерге орнотулган. Бир жагынан алганда, OPAL шифрлөө менчик жабдыктарга байланган жана мамлекеттик аудит үчүн жеткиликтүү эмес, бирок, экинчи жагынан, программалык шифрлөөдөн коргоонун кошумча деңгээли катары колдонулушу мүмкүн, бул көрсөткүчтүн төмөндөшүнө алып келбейт. жана CPU боюнча жүк жаратпайт.
LUKS2де OPAL колдонуу CONFIG_BLK_SED_OPAL опциясы менен Linux ядросун курууну жана аны Cryptsetup'та иштетүүнү талап кылат (OPAL колдоосу демейки боюнча өчүрүлгөн). LUKS2 OPAL орнотуу программалык шифрлөөгө окшош жол менен ишке ашырылат - метаберилиштер LUKS2 темасында сакталат. Ачкыч программалык шифрлөө үчүн бөлүм ачкычына (dm-crypt) жана OPAL үчүн кулпуну ачуу ачкычына бөлүнгөн. OPAL программалык шифрлөө менен бирге колдонулушу мүмкүн (cryptsetup luksFormat --hw-opal ) жана өзүнчө (cryptsetup luksFormat —hw-opal-гана ). OPAL LUKS2 түзмөктөрүндөй эле (ачык, жабуу, luksSuspend, luksResume) жандырылды жана өчүрүлөт.
- Негизги ачкыч жана баш маалымат дискте сакталбаган жөнөкөй режимде демейки шифр aes-xts-plain64 жана хэштөө алгоритми sha256 (өндүрүштө көйгөйлөр бар CBC режиминин ордуна XTS колдонулат, ал эми sha160 колдонулат) ордуна эскирген ripemd256 хэш ).
- Open жана luksResume буйруктары бөлүм ачкычын колдонуучу тандаган ядро ачкычында (ачкычка) сактоого мүмкүндүк берет. Ачкычка кирүү үчүн "--том-ачкыч-ачкыч" опциясы көптөгөн крипт орнотуу буйруктарына кошулган (мисалы, "cryptsetup open" --link-vk-to-keyring "@s::%user:testkey" tst').
- Алмашуу бөлүмү жок системаларда, форматты аткаруу же PBKDF Argon2 үчүн ачкыч слотун түзүү азыр бош эстутумдун жарымын гана колдонот, бул аз сандагы оперативдүү эс тутумдардагы бош эстутумдун түгөнүп калуу маселесин чечет.
- Тышкы LUKS2 токен иштеткичтери (плагиндер) үчүн каталогду көрсөтүү үчүн "--external-tokens-path" опциясы кошулду.
- tcrypt VeraCrypt үчүн Blake2 хэширлөө алгоритмин колдоону кошту.
- Aria блок шифрине колдоо кошулду.
- OpenSSL 2 жана libgcrypt ишке ашырууда Argon3.2 үчүн колдоо кошулуп, либаргондун зарылдыгы жок кылынган.
Source: opennet.ru