प्रोहोस्टर > Блог > इन्टरनेट समाचार > OPAL हार्डवेयर डिस्क ईन्क्रिप्शनको लागि समर्थन सहित Cryptsetup 2.7 को रिलीज

OPAL हार्डवेयर डिस्क ईन्क्रिप्शनको लागि समर्थन सहित Cryptsetup 2.7 को रिलीज

Cryptsetup 2.7 उपयोगिताहरूको सेट प्रकाशित गरिएको छ, dm-crypt मोड्युल प्रयोग गरेर लिनक्समा डिस्क विभाजनहरूको इन्क्रिप्सन कन्फिगर गर्न डिजाइन गरिएको। dm-crypt, LUKS, LUKS2, BITLK, loop-AES र TrueCrypt/VeraCrypt विभाजनहरूलाई समर्थन गर्दछ। यसले dm-verity र dm-integrity मोड्युलहरूमा आधारित डेटा अखण्डता नियन्त्रणहरू कन्फिगर गर्नका लागि veritysetup र integritysetup उपयोगिताहरू पनि समावेश गर्दछ।

मुख्य सुधारहरू:

  • OPAL2 TCG इन्टरफेसको साथ SED (Self-Encrypting Drives) SATA र NVMe ड्राइभहरूमा समर्थित OPAL हार्डवेयर डिस्क ईन्क्रिप्शन मेकानिजम प्रयोग गर्न सम्भव छ, जसमा हार्डवेयर इन्क्रिप्शन यन्त्र सीधा कन्ट्रोलरमा बनाइएको छ। एकातिर, OPAL इन्क्रिप्सन स्वामित्व हार्डवेयरसँग जोडिएको छ र सार्वजनिक लेखापरीक्षणको लागि उपलब्ध छैन, तर अर्कोतर्फ, यसलाई सफ्टवेयर इन्क्रिप्सनमा सुरक्षाको अतिरिक्त स्तरको रूपमा प्रयोग गर्न सकिन्छ, जसले कार्यसम्पादनमा कमी ल्याउन सक्दैन। र CPU मा लोड सिर्जना गर्दैन।

    LUKS2 मा OPAL प्रयोग गर्नका लागि CONFIG_BLK_SED_OPAL विकल्पको साथ लिनक्स कर्नेल निर्माण गर्न र यसलाई Cryptsetup मा सक्षम गर्न आवश्यक छ (OPAL समर्थन पूर्वनिर्धारित रूपमा असक्षम गरिएको छ)। LUKS2 OPAL सेटअप सफ्टवेयर इन्क्रिप्शन जस्तै गरी गरिन्छ - मेटाडेटा LUKS2 हेडरमा भण्डार गरिएको छ। कुञ्जीलाई सफ्टवेयर इन्क्रिप्शन (dm-crypt) को लागि विभाजन कुञ्जी र OPAL को लागि अनलक कुञ्जीमा विभाजन गरिएको छ। OPAL सफ्टवेयर इन्क्रिप्सन (cryptsetup luksFormat --hw-opal) सँगसँगै प्रयोग गर्न सकिन्छ ), र छुट्टै (cryptsetup luksFormat —hw-opal-only )। OPAL लाई LUKS2 उपकरणहरूको लागि जस्तै (खुला, बन्द, luksSuspend, luksResume) सक्रिय र निष्क्रिय गरिएको छ।

  • प्लेन मोडमा, जसमा मास्टर कुञ्जी र हेडर डिस्कमा भण्डार गरिएको छैन, पूर्वनिर्धारित साइफर aes-xts-plain64 हो र ह्यासिङ एल्गोरिदम sha256 (XTS प्रयोग गरिन्छ CBC मोडको सट्टा, जसमा प्रदर्शन समस्याहरू छन्, र sha160 प्रयोग गरिन्छ। पुरानो ripemd256 hash को सट्टा)।
  • खुला र luksResume आदेशहरूले विभाजन कुञ्जीलाई प्रयोगकर्ता-चयन गरिएको कर्नेल किरिङ (कीरिङ) मा भण्डारण गर्न अनुमति दिन्छ। कीरिङ पहुँच गर्न, "--भोल्युम-कुञ्जी-कीरिङ" विकल्प धेरै क्रिप्टसेटअप आदेशहरूमा थपिएको छ (उदाहरणका लागि 'क्रिप्टसेटअप खोल्नुहोस्। --link-vk-to-keyring "@s::%user:testkey" tst')।
  • स्वैप विभाजन बिना प्रणालीहरूमा, PBKDF Argon2 को लागि ढाँचा प्रदर्शन गर्न वा कुञ्जी स्लट सिर्जना गर्दा अब नि: शुल्क मेमोरीको आधा मात्र प्रयोग गर्दछ, जसले RAM को सानो मात्रामा प्रणालीहरूमा उपलब्ध मेमोरी समाप्त हुने समस्या समाधान गर्छ।
  • बाह्य LUKS2 टोकन ह्यान्डलरहरू (प्लगइनहरू) को लागि निर्देशिका निर्दिष्ट गर्न "--external-tokens-path" विकल्प थपियो।
  • tcrypt ले VeraCrypt को लागि Blake2 ह्यासिङ एल्गोरिथ्मको लागि समर्थन थपेको छ।
  • Aria ब्लक सिफरको लागि समर्थन थपियो।
  • OpenSSL 2 र libgcrypt कार्यान्वयनमा Argon3.2 को लागि समर्थन थपियो, libargon को आवश्यकता हटाउँदै।

स्रोत: opennet.ru

एक टिप्पणी थप्न