Ir publicēts Cryptsetup 2.7 utilītu komplekts, kas paredzēts diska nodalījumu šifrēšanas konfigurēšanai Linux, izmantojot dm-crypt moduli. Atbalsta darbu ar dm-crypt, LUKS, LUKS2, BITLK, loop-AES un TrueCrypt/VeraCrypt nodalījumiem. Tas ietver arī veritysetup un integritysetup utilītas datu integritātes vadīklu konfigurēšanai, pamatojoties uz dm-verity un dm-integritātes moduļiem.
Galvenie uzlabojumi:
- Ir iespējams izmantot OPAL aparatūras disku šifrēšanas mehānismu, ko atbalsta SED (Self-Encrypting Drives) SATA un NVMe diskdziņi ar OPAL2 TCG interfeisu, kurā aparatūras šifrēšanas ierīce ir iebūvēta tieši kontrollerī. No vienas puses, OPAL šifrēšana ir saistīta ar patentētu aparatūru un nav pieejama publiskam auditam, bet, no otras puses, to var izmantot kā papildu aizsardzības līmeni salīdzinājumā ar programmatūras šifrēšanu, kas neizraisa veiktspējas samazināšanos. un nerada CPU slodzi.
Lai izmantotu OPAL pakalpojumā LUKS2, ir jāizveido Linux kodols ar opciju CONFIG_BLK_SED_OPAL un jāiespējo tas kriptoestrādē (OPAL atbalsts pēc noklusējuma ir atspējots). LUKS2 OPAL iestatīšana tiek veikta līdzīgi kā programmatūras šifrēšana - metadati tiek glabāti LUKS2 galvenē. Atslēga ir sadalīta nodalījuma atslēgā programmatūras šifrēšanai (dm-crypt) un atbloķēšanas atslēgā OPAL. OPAL var izmantot kopā ar programmatūras šifrēšanu (cryptsetup luksFormat --hw-opal ), un atsevišķi (cryptsetup luksFormat —hw-opal-only ). OPAL tiek aktivizēts un deaktivizēts tādā pašā veidā (atvērt, aizvērt, luksSuspend, luksResume) kā LUKS2 ierīcēm.
- Vienkāršā režīmā, kurā galvenā atslēga un galvene netiek saglabāta diskā, noklusējuma šifrs ir aes-xts-plain64 un jaukšanas algoritms sha256 (XTS tiek izmantots CBC režīma vietā, kuram ir veiktspējas problēmas, un tiek izmantots sha160 novecojušā ripemd256 hash vietā).
- Atvēršanas un luksResume komandas ļauj nodalījuma atslēgu saglabāt lietotāja izvēlētā kodola atslēgu piekariņā (atslēgu piekariņā). Lai piekļūtu atslēgu piekariņam, daudzām kriptoiestatīšanas komandām ir pievienota opcija “--volume-key-keyring” (piemēram, “cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Sistēmās bez mijmaiņas nodalījuma, veicot formātu vai izveidojot atslēgas slotu PBKDF Argon2, tagad tiek izmantota tikai puse no brīvās atmiņas, kas atrisina problēmu, kas saistīta ar pieejamās atmiņas izbeigšanos sistēmās ar nelielu RAM apjomu.
- Pievienota opcija "--external-tokens-path", lai norādītu direktoriju ārējiem LUKS2 marķieru apstrādātājiem (spraudņiem).
- tcrypt ir pievienojis atbalstu Blake2 jaukšanas algoritmam VeraCrypt.
- Pievienots Aria bloka šifra atbalsts.
- Pievienots Argon2 atbalsts OpenSSL 3.2 un libgcrypt implementācijās, novēršot vajadzību pēc libargon.
Avots: opennet.ru