E Set vu Cryptsetup 2.7 Utilities gouf publizéiert, entwéckelt fir d'Verschlësselung vun Disk Partitionen am Linux mam dm-crypt Modul ze konfiguréieren. Ënnerstëtzt dm-crypt, LUKS, LUKS2, BITLK, loop-AES an TrueCrypt / VeraCrypt Partitionen. Et enthält och Veritysetup an Integritysetup Utilities fir d'Konfiguratioun vun Datenintegritéitskontrollen op Basis vun den dm-verity an dm-integrity Moduler.
Schlësselverbesserungen:
- Et ass méiglech den OPAL Hardware Disk Verschlësselungsmechanismus ze benotzen, ënnerstëtzt op SED (Self-Encrypting Drives) SATA an NVMe Drive mat der OPAL2 TCG Interface, an där den Hardware Verschlësselungsapparat direkt an de Controller gebaut ass. Engersäits ass OPAL Verschlësselung mat propriétaire Hardware gebonnen an ass net fir ëffentlech Audit verfügbar, awer op der anerer Säit kann et als zousätzlech Schutzniveau iwwer Software Verschlësselung benotzt ginn, wat net zu enger Ofsenkung vun der Leeschtung féiert. a mécht net eng Laascht op der CPU.
D'Benotzung vun OPAL an LUKS2 erfuerdert de Linux Kernel mat der CONFIG_BLK_SED_OPAL Optioun ze bauen an et an Cryptsetup z'aktivéieren (OPAL Ënnerstëtzung ass par défaut deaktivéiert). D'Konfiguratioun vun LUKS2 OPAL gëtt op eng ähnlech Manéier wéi d'Software Verschlësselung duerchgefouert - Metadaten ginn am LUKS2 Header gespäichert. De Schlëssel ass opgedeelt an e Partitionsschlëssel fir Software Verschlësselung (dm-crypt) an en Spär Schlëssel fir OPAL. OPAL kann zesumme mat Software Verschlësselung benotzt ginn (cryptsetup luksFormat --hw-opal ), a separat (Cryptsetup luksFormat -hw-opal-nëmmen ). OPAL gëtt aktivéiert an desaktivéiert op déiselwecht Manéier (oppen, zou, luksSuspend, luksResume) wéi fir LUKS2 Apparater.
- Am Einfache Modus, an deem de Master Schlëssel an den Header net op Disk gespäichert sinn, ass de Standard Chiffer aes-xts-plain64 an den Hashing Algorithmus sha256 (XTS gëtt benotzt amplaz vum CBC Modus, deen Performance Probleemer huet, an sha160 gëtt benotzt amplaz vum alen ripemd256 Hash ).
- D'Open an luksResume Kommandoen erlaben de Partitionsschlëssel an engem Benotzer-ausgewielten Kernel Keyring (Keyring) ze späicheren. Fir Zougang zum Schlësselring ze kréien, ass d'Optioun "--volume-key-keyring" a ville Kryptosetup Kommandoen bäigefüügt (zum Beispill 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Op Systemer ouni Swap-Partition, e Format auszeféieren oder e Schlësselslot fir PBKDF Argon2 ze kreéieren benotzt elo nëmmen d'Halschent vum fräie Gedächtnis, wat de Problem léist fir aus verfügbaren Erënnerung op Systemer mat enger klenger RAM ze lafen.
- D'Optioun "--external-Token-Path" bäigefüügt fir den Verzeechnes fir extern LUKS2-Token-Handler (Plugins) ze spezifizéieren.
- tcrypt huet Ënnerstëtzung fir de Blake2 Hashing Algorithmus fir VeraCrypt bäigefüügt.
- Zousätzlech Ënnerstëtzung fir den Aria Block Chiffer.
- Zousätzlech Ënnerstëtzung fir Argon2 an OpenSSL 3.2 a libgcrypt Implementatiounen, eliminéiert de Besoin fir Libargon.
Source: opennet.ru