Er is een set Cryptsetup 2.6-hulpprogramma's gepubliceerd voor het configureren van codering van schijfpartities in Linux met behulp van de dm-crypt-module. Werken met dm-crypt, LUKS, LUKS2, BITLK, loop-AES en TrueCrypt/VeraCrypt partities wordt ondersteund. Het bevat ook de hulpprogramma's veritysetup en integritysetup om gegevensintegriteitscontroles te configureren op basis van de dm-verity- en dm-integrity-modules.
Belangrijkste verbeteringen:
- Ondersteuning toegevoegd voor opslagapparaten die zijn versleuteld met het FileVault2-mechanisme dat wordt gebruikt voor volledige schijfversleuteling in macOS. Cryptsetup kan nu, in combinatie met het hfsplus-stuurprogramma, met FileVault2 gecodeerde USB-drives openen in lees-schrijfmodus op systemen met een gewone Linux-kernel. Toegang tot schijven met het HFS+-bestandssysteem en met Core Storage-partities wordt ondersteund (partities met APFS worden nog niet ondersteund).
- De libcryptsetup-bibliotheek wordt de globale vergrendeling van al het geheugen bespaard via de mlockall()-aanroep, die werd gebruikt om het lekken van gevoelige gegevens naar de swappartitie te voorkomen. Vanwege het overschrijden van de limiet op de maximale grootte van het geblokkeerde geheugen bij het uitvoeren zonder rootrechten, past de nieuwe versie selectieve vergrendeling alleen toe op die geheugengebieden die coderingssleutels opslaan.
- De prioriteit van de processen die sleutelgeneratie uitvoeren (PBKDF) is verhoogd.
- Er zijn functies toegevoegd om LUKS2-tokens en binaire sleutels toe te voegen aan het LUKS-sleutelslot (keyslot), naast eerder ondersteunde wachtwoordzinnen en sleutelbestanden.
- De mogelijkheid om een partitiesleutel uit te pakken met behulp van een wachtwoordzin, een sleutelbestand of een token is aanwezig.
- Optie "--use-tasklets" toegevoegd aan veritysetup om de prestaties op sommige Linux 6.x-kernelsystemen te verbeteren.
Bron: opennet.ru