Paskelbtas Cryptsetup 2.7 paslaugų rinkinys, skirtas disko skaidinių šifravimui Linux sistemoje konfigūruoti naudojant dm-crypt modulį. Palaiko dm-crypt, LUKS, LUKS2, BITLK, loop-AES ir TrueCrypt/VeraCrypt skaidinius. Jame taip pat yra veritysetup ir integritysetup paslaugų, skirtų konfigūruoti duomenų vientisumo valdiklius, pagrįstus dm-verity ir dm-integrity moduliais.
Pagrindiniai patobulinimai:
- Galima naudoti OPAL aparatinės įrangos disko šifravimo mechanizmą, palaikomą SED (Self-Encrypting Drives) SATA ir NVMe diskuose su OPAL2 TCG sąsaja, kurioje aparatūros šifravimo įrenginys įmontuotas tiesiai į valdiklį. Viena vertus, OPAL šifravimas yra susietas su patentuota aparatine įranga ir nėra prieinamas viešajam auditui, tačiau, kita vertus, jis gali būti naudojamas kaip papildomas apsaugos lygis, palyginti su programinės įrangos šifravimu, o tai nesumažina našumo. ir nesukuria procesoriaus apkrovos.
Norint naudoti OPAL sistemoje LUKS2, reikia sukurti „Linux“ branduolį naudojant CONFIG_BLK_SED_OPAL parinktį ir įgalinti ją kriptovaliutų sąrankoje (OPAL palaikymas pagal numatytuosius nustatymus išjungtas). LUKS2 OPAL nustatymas atliekamas panašiai kaip programinis šifravimas – metaduomenys saugomi LUKS2 antraštėje. Raktas yra padalintas į skaidinio raktą programinės įrangos šifravimui (dm-crypt) ir atrakinimo raktą, skirtą OPAL. OPAL gali būti naudojamas kartu su programinės įrangos šifravimu (cryptsetup luksFormat --hw-opal ), ir atskirai (cryptsetup luksFormat —hw-opal-only ). OPAL aktyvuojamas ir išjungiamas taip pat (atidaryti, uždaryti, luksSuspend, luksResume), kaip ir LUKS2 įrenginiuose.
- Paprastame režime, kai pagrindinis raktas ir antraštė nėra saugomi diske, numatytasis šifras yra aes-xts-plain64 ir maišos algoritmas sha256 (XTS naudojamas vietoj CBC režimo, kuris turi našumo problemų, ir naudojamas sha160 vietoj pasenusios ripemd256 maišos ).
- Open ir luksResume komandos leidžia skaidinio raktą saugoti vartotojo pasirinktame branduolio raktų žiede (raktų žiede). Norint pasiekti raktų pakabuką, prie daugelio kripto nustatymo komandų buvo pridėta parinktis „--volume-key-keyring“ (pavyzdžiui, „cryptsetup open“ --link-vk-to-keyring "@s::%user:testkey" tst').
- Sistemose be apsikeitimo skaidinio atliekant formatavimą arba sukuriant PBKDF rakto lizdą Argon2 dabar naudoja tik pusę laisvos atminties, o tai išsprendžia sistemose su nedideliu RAM kiekiu laisvos atminties trūkumo problemą.
- Pridėta parinktis „--external-tokens-path“, kad būtų nurodytas išorinių LUKS2 prieigos raktų tvarkyklių (įskiepių) katalogas.
- tcrypt pridėjo VeraCrypt Blake2 maišos algoritmo palaikymą.
- Pridėtas Aria bloko šifro palaikymas.
- Pridėtas Argon2 palaikymas OpenSSL 3.2 ir libgcrypt diegimuose, pašalinant libargon poreikį.
Šaltinis: opennet.ru