dm-crypt модулийг ашиглан Линукс дээрх дискний хуваалтуудын шифрлэлтийг тохируулах зориулалттай Cryptsetup 2.7 хэрэгслүүдийн багц хэвлэгджээ. dm-crypt, LUKS, LUKS2, BITLK, loop-AES болон TrueCrypt/VeraCrypt хуваалтыг дэмждэг. Үүнд dm-verity болон dm-integrity модулиуд дээр суурилсан мэдээллийн бүрэн бүтэн байдлын хяналтыг тохируулах veritysetup болон integritysetup хэрэгслүүд багтсан болно.
Гол сайжруулалтууд:
- OPAL2 TCG интерфэйс бүхий SED (өөрийгөө шифрлэх хөтчүүд) SATA болон NVMe хөтчүүд дээр дэмжигдсэн OPAL техник хангамжийн дискний шифрлэлтийн механизмыг ашиглах боломжтой бөгөөд үүнд техник хангамжийн шифрлэлтийн төхөөрөмжийг хянагч руу шууд суулгасан болно. Нэг талаас, OPAL шифрлэлт нь өмчийн техник хангамжтай холбоотой бөгөөд төрийн аудит хийх боломжгүй боловч нөгөө талаас програм хангамжийн шифрлэлтээс хамгаалах нэмэлт түвшин болгон ашиглаж болох бөгөөд энэ нь гүйцэтгэлийг бууруулахад хүргэдэггүй. мөн CPU дээр ачаалал үүсгэдэггүй.
LUKS2-д OPAL-г ашиглахын тулд Linux цөмийг CONFIG_BLK_SED_OPAL сонголтоор бүтээж, Cryptsetup-д идэвхжүүлэх шаардлагатай (OPAL-ийн дэмжлэг анхдагчаар идэвхгүй байдаг). LUKS2 OPAL-ийг тохируулах нь програм хангамжийн шифрлэлттэй төстэй байдлаар хийгддэг - мета өгөгдлийг LUKS2 толгой хэсэгт хадгалдаг. Түлхүүр нь програм хангамжийн шифрлэлт (dm-crypt) болон OPAL-д зориулсан түгжээг тайлах түлхүүр болгон хуваадаг. OPAL-ийг програм хангамжийн шифрлэлттэй хамт ашиглаж болно (cryptsetup luksFormat --hw-opal ), мөн тусад нь (cryptsetup luksFormat — зөвхөн hw-opal ). OPAL нь LUKS2 төхөөрөмжүүдийн нэгэн адил (нээх, хаах, luksSuspend, luksResume) идэвхжиж, идэвхгүй болно.
- Мастер түлхүүр болон толгой хэсэг нь дискэн дээр хадгалагдаагүй энгийн горимд анхдагч шифр нь aes-xts-plain64 ба sha256 хэш алгоритм юм (Гүйцэтгэлийн асуудалтай CBC горимын оронд XTS, харин sha160 ашиглагддаг) хуучирсан ripemd256 хэшийн оронд).
- Open болон luksResume командууд нь хуваалтын түлхүүрийг хэрэглэгчийн сонгосон цөмийн түлхүүрийн рингэнд (түлхүүр) хадгалах боломжийг олгодог. Түлхүүрийн бөгж рүү хандахын тулд "--volume-key-keyring" сонголтыг олон крипт тохируулах командуудад нэмсэн (жишээ нь 'cryptsetup open) --link-vk-to-keyring "@s::%user:testkey" tst').
- Своп хуваалтгүй системүүдэд PBKDF Argon2-д формат хийх эсвэл түлхүүрийн слот үүсгэхэд одоо сул санах ойн зөвхөн тал хувийг ашигладаг бөгөөд энэ нь бага хэмжээний RAM-тай системүүдийн санах ой дуусах асуудлыг шийддэг.
- Гадны LUKS2 токен зохицуулагчид (залаасууд) лавлахыг зааж өгөх "--external-tokens-path" сонголтыг нэмсэн.
- tcrypt нь VeraCrypt-д зориулсан Blake2 хэшлэх алгоритмын дэмжлэгийг нэмсэн.
- Aria блок шифрийг дэмжих нэмэлт.
- OpenSSL 2 болон libgcrypt хэрэгжүүлэлтэд Argon3.2-ийн дэмжлэгийг нэмсэн нь либаргоны хэрэгцээг арилгасан.
Эх сурвалж: opennet.ru