Satu set utiliti Cryptsetup 2.7 telah diterbitkan, direka bentuk untuk mengkonfigurasi penyulitan partition cakera dalam Linux menggunakan modul dm-crypt. Menyokong kerja dengan dm-crypt, LUKS, LUKS2, BITLK, loop-AES dan partition TrueCrypt/VeraCrypt. Ia juga termasuk utiliti veritysetup dan integritysetup untuk mengkonfigurasi kawalan integriti data berdasarkan modul dm-verity dan dm-integrity.
Penambahbaikan utama:
- Adalah mungkin untuk menggunakan mekanisme penyulitan cakera perkakasan OPAL, disokong pada pemacu SED (Pemacu Penyulitan Sendiri) SATA dan NVMe dengan antara muka OPAL2 TCG, di mana peranti penyulitan perkakasan dibina terus ke dalam pengawal. Di satu pihak, penyulitan OPAL terikat pada perkakasan proprietari dan tidak tersedia untuk audit awam, tetapi, sebaliknya, ia boleh digunakan sebagai tahap perlindungan tambahan terhadap penyulitan perisian, yang tidak membawa kepada penurunan prestasi dan tidak membuat beban pada CPU.
Menggunakan OPAL dalam LUKS2 memerlukan membina kernel Linux dengan pilihan CONFIG_BLK_SED_OPAL dan mendayakannya dalam Cryptsetup (sokongan OPAL dilumpuhkan secara lalai). Menyediakan LUKS2 OPAL dijalankan dengan cara yang serupa dengan penyulitan perisian - metadata disimpan dalam pengepala LUKS2. Kunci dibahagikan kepada kunci partition untuk penyulitan perisian (dm-crypt) dan kunci buka kunci untuk OPAL. OPAL boleh digunakan bersama dengan penyulitan perisian (cryptsetup luksFormat --hw-opal ), dan secara berasingan (cryptsetup luksFormat βhw-opal-only ). OPAL diaktifkan dan dinyahaktifkan dengan cara yang sama (buka, tutup, luksSuspend, luksResume) seperti untuk peranti LUKS2.
- Dalam mod biasa, di mana kunci induk dan pengepala tidak disimpan pada cakera, sifir lalai ialah aes-xts-plain64 dan algoritma pencincangan sha256 (XTS digunakan dan bukannya mod CBC, yang mempunyai masalah prestasi, dan sha160 digunakan bukannya hash ripemd256 yang sudah lapuk ).
- Arahan terbuka dan luksResume membenarkan kunci partition disimpan dalam cincin kekunci kernel yang dipilih pengguna (gelang kunci). Untuk mengakses cincin kekunci, pilihan β--volume-key-keyringβ telah ditambahkan pada banyak arahan cryptsetup (contohnya 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Pada sistem tanpa partition swap, melaksanakan format atau mencipta slot utama untuk PBKDF Argon2 kini hanya menggunakan separuh daripada memori percuma, yang menyelesaikan masalah kehabisan memori yang tersedia pada sistem dengan jumlah RAM yang kecil.
- Menambahkan pilihan "--external-token-path" untuk menentukan direktori bagi pengendali token LUKS2 luaran (plugin).
- tcrypt telah menambah sokongan untuk algoritma pencincangan Blake2 untuk VeraCrypt.
- Menambah sokongan untuk sifir blok Aria.
- Menambah sokongan untuk Argon2 dalam OpenSSL 3.2 dan pelaksanaan libgcrypt, menghapuskan keperluan untuk libargon.
Sumber: opennet.ru