Dm-crypt മൊഡ്യൂൾ ഉപയോഗിച്ച് ലിനക്സിലെ ഡിസ്ക് പാർട്ടീഷനുകളുടെ എൻക്രിപ്ഷൻ ക്രമീകരിക്കുന്നതിനായി രൂപകൽപ്പന ചെയ്തിട്ടുള്ള ഒരു കൂട്ടം Cryptsetup 2.7 യൂട്ടിലിറ്റികൾ പ്രസിദ്ധീകരിച്ചു. dm-crypt, LUKS, LUKS2, BITLK, loop-AES, TrueCrypt/VeraCrypt പാർട്ടീഷനുകൾ എന്നിവ പിന്തുണയ്ക്കുന്നു. ഡിഎം-വെരിറ്റി, ഡിഎം-ഇന്റഗ്രിറ്റി മൊഡ്യൂളുകൾ അടിസ്ഥാനമാക്കി ഡാറ്റ ഇന്റഗ്രിറ്റി കൺട്രോളുകൾ ക്രമീകരിക്കുന്നതിനുള്ള വെരിറ്റിസെറ്റപ്പ്, ഇന്റഗ്രിറ്റിസെറ്റപ്പ് യൂട്ടിലിറ്റികളും ഇതിൽ ഉൾപ്പെടുന്നു.
പ്രധാന മെച്ചപ്പെടുത്തലുകൾ:
- OPAL2 TCG ഇന്റർഫേസുള്ള SED (സെൽഫ്-എൻക്രിപ്റ്റിംഗ് ഡ്രൈവുകൾ) SATA, NVMe ഡ്രൈവുകളിൽ പിന്തുണയ്ക്കുന്ന OPAL ഹാർഡ്വെയർ ഡിസ്ക് എൻക്രിപ്ഷൻ മെക്കാനിസം ഉപയോഗിക്കാൻ കഴിയും, അതിൽ ഹാർഡ്വെയർ എൻക്രിപ്ഷൻ ഉപകരണം നേരിട്ട് കൺട്രോളറിലേക്ക് നിർമ്മിച്ചിരിക്കുന്നു. ഒരു വശത്ത്, OPAL എൻക്രിപ്ഷൻ പ്രൊപ്രൈറ്ററി ഹാർഡ്വെയറുമായി ബന്ധിപ്പിച്ചിരിക്കുന്നു, അത് പൊതു ഓഡിറ്റിന് ലഭ്യമല്ല, മറുവശത്ത്, സോഫ്റ്റ്വെയർ എൻക്രിപ്ഷനിൽ ഒരു അധിക പരിരക്ഷയായി ഇത് ഉപയോഗിക്കാം, ഇത് പ്രകടനത്തിൽ കുറവുണ്ടാക്കില്ല. കൂടാതെ സിപിയുവിൽ ഒരു ലോഡ് സൃഷ്ടിക്കുന്നില്ല.
LUKS2-ൽ OPAL ഉപയോഗിക്കുന്നതിന് CONFIG_BLK_SED_OPAL ഓപ്ഷൻ ഉപയോഗിച്ച് ലിനക്സ് കേർണൽ നിർമ്മിക്കുകയും അത് Cryptsetup-ൽ പ്രവർത്തനക്ഷമമാക്കുകയും ചെയ്യേണ്ടതുണ്ട് (OPAL പിന്തുണ സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു). LUKS2 OPAL സജ്ജീകരിക്കുന്നത് സോഫ്റ്റ്വെയർ എൻക്രിപ്ഷന് സമാനമായ രീതിയിലാണ് നടപ്പിലാക്കുന്നത് - മെറ്റാഡാറ്റ LUKS2 ഹെഡറിൽ സംഭരിച്ചിരിക്കുന്നു. സോഫ്റ്റ്വെയർ എൻക്രിപ്ഷനായി (dm-crypt) ഒരു പാർട്ടീഷൻ കീയായും OPAL-നുള്ള ഒരു അൺലോക്ക് കീയായും കീ വിഭജിച്ചിരിക്കുന്നു. സോഫ്റ്റ്വെയർ എൻക്രിപ്ഷൻ (cryptsetup luksFormat --hw-opal) ഉപയോഗിച്ച് OPAL ഉപയോഗിക്കാവുന്നതാണ്. ), കൂടാതെ പ്രത്യേകം (cryptsetup luksFormat —hw-opal-only ). LUKS2 ഉപകരണങ്ങളുടെ അതേ രീതിയിൽ (ഓപ്പൺ, ക്ലോസ്, luksSuspend, luksResume) OPAL സജീവമാക്കുകയും നിർജ്ജീവമാക്കുകയും ചെയ്യുന്നു.
- മാസ്റ്റർ കീയും ഹെഡറും ഡിസ്കിൽ സൂക്ഷിക്കാത്ത പ്ലെയിൻ മോഡിൽ, ഡിഫോൾട്ട് സൈഫർ aes-xts-plain64 ഉം ഹാഷിംഗ് അൽഗോരിതം sha256 ഉം ആണ് (പ്രകടന പ്രശ്നങ്ങളുള്ള CBC മോഡിന് പകരം XTS ഉപയോഗിക്കുന്നു, sha160 ഉപയോഗിക്കുന്നു. കാലഹരണപ്പെട്ട ripemd256 ഹാഷിന് പകരം ).
- ഓപ്പൺ, luksResume കമാൻഡുകൾ ഉപയോക്താക്കൾ തിരഞ്ഞെടുത്ത കേർണൽ കീറിംഗിൽ (കീറിംഗ്) പാർട്ടീഷൻ കീ സൂക്ഷിക്കാൻ അനുവദിക്കുന്നു. കീറിംഗ് ആക്സസ് ചെയ്യുന്നതിന്, "--volume-key-keyring" ഓപ്ഷൻ പല ക്രിപ്റ്റ്സെറ്റപ്പ് കമാൻഡുകളിലേക്കും ചേർത്തിട്ടുണ്ട് (ഉദാഹരണത്തിന് 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- സ്വാപ്പ് പാർട്ടീഷൻ ഇല്ലാത്ത സിസ്റ്റങ്ങളിൽ, ഒരു ഫോർമാറ്റ് നടത്തുകയോ PBKDF Argon2 നായി ഒരു കീ സ്ലോട്ട് സൃഷ്ടിക്കുകയോ ചെയ്യുകയാണെങ്കിൽ, ഇപ്പോൾ ഫ്രീ മെമ്മറിയുടെ പകുതി മാത്രമേ ഉപയോഗിക്കുന്നുള്ളൂ, ഇത് ചെറിയ അളവിലുള്ള റാം ഉള്ള സിസ്റ്റങ്ങളിൽ ലഭ്യമായ മെമ്മറിയുടെ പ്രശ്നം പരിഹരിക്കുന്നു.
- ബാഹ്യ LUKS2 ടോക്കൺ ഹാൻഡ്ലറുകൾക്കുള്ള (പ്ലഗിനുകൾ) ഡയറക്ടറി വ്യക്തമാക്കുന്നതിന് "--external-tokens-path" ഓപ്ഷൻ ചേർത്തു.
- VeraCrypt-നുള്ള Blake2 ഹാഷിംഗ് അൽഗോരിതത്തിനുള്ള പിന്തുണ tcrypt ചേർത്തിട്ടുണ്ട്.
- Aria ബ്ലോക്ക് സൈഫറിനുള്ള പിന്തുണ ചേർത്തു.
- ഓപ്പൺഎസ്എസ്എൽ 2-ലും libgcrypt നടപ്പിലാക്കലുകളിലും Argon3.2-നുള്ള പിന്തുണ ചേർത്തു, ലിബാർഗോണിന്റെ ആവശ്യം ഇല്ലാതാക്കുന്നു.
അവലംബം: opennet.ru