Објавен е сет на алатки за Cryptsetup 2.7, дизајнирани да конфигурираат шифрирање на партиции на дискови во Linux со помош на модулот dm-crypt. Поддржува dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt партиции. Исто така, вклучува алатки за veritysetup и integritysetup за конфигурирање на контролите за интегритетот на податоците врз основа на модулите dm-verity и dm-integrity.
Клучни подобрувања:
- Можно е да се користи механизмот за шифрирање на хардверски диск OPAL, поддржан на SED (Self-Encrypting Drives) SATA и NVMe-дискови со интерфејсот OPAL2 TCG, во кој уредот за шифрирање на хардверот е вграден директно во контролерот. Од една страна, шифрирањето OPAL е поврзано со комерцијален хардвер и не е достапно за јавна ревизија, но, од друга страна, може да се користи како дополнително ниво на заштита над шифрирањето на софтверот, што не доведува до намалување на перформансите и не создава оптоварување на процесорот.
Користењето на OPAL во LUKS2 бара градење на кернелот на Linux со опцијата CONFIG_BLK_SED_OPAL и негово овозможување во Cryptsetup (поддршката за OPAL е стандардно оневозможена). Поставувањето на LUKS2 OPAL се врши на сличен начин како и шифрирањето на софтверот - метаподатоците се складираат во заглавието на LUKS2. Клучот е поделен на клуч за партиција за софтверско шифрирање (dm-crypt) и клуч за отклучување за OPAL. OPAL може да се користи заедно со софтверско шифрирање (cryptsetup luksFormat --hw-opal ), и одделно (cryptsetup luksFormat —hw-opal-само ). OPAL се активира и деактивира на ист начин (отвори, затвори, luksSuspend, luksResume) како и кај уредите LUKS2.
- Во обичен режим, во кој главниот клуч и заглавието не се зачувани на дискот, стандардната шифра е aes-xts-plain64 и алгоритмот за хеширање sha256 (XTS се користи наместо режимот CBC, кој има проблеми со перформансите, а се користи sha160 наместо застарениот хаш ripemd256).
- Наредбите open и luksResume дозволуваат клучот за партиција да се складира во клуч за клучеви од јадрото избран од корисникот. За да пристапите до приклучокот за клучеви, опцијата „--volume-key-keyring“ е додадена на многу команди за поставување крипти (на пример „cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- На системи без swap партиција, изведување формат или креирање слот за клуч за PBKDF Argon2 сега користи само половина од слободната меморија, што го решава проблемот со снемањето на достапната меморија на системите со мала количина RAM меморија.
- Додадена е опцијата „--external-tokens-path“ за одредување на директориумот за надворешни ракувачи со токени LUKS2 (приклучоци).
- tcrypt додаде поддршка за алгоритмот за хаширање Blake2 за VeraCrypt.
- Додадена е поддршка за блок шифрата Aria.
- Додадена е поддршка за Argon2 во OpenSSL 3.2 и имплементации libgcrypt, со што се елиминира потребата за libargon.
Извор: opennet.ru