Er is een set Cryptsetup 2.7-hulpprogramma's gepubliceerd voor het configureren van codering van schijfpartities in Linux met behulp van de dm-crypt-module. Werken met dm-crypt, LUKS, LUKS2, BITLK, loop-AES en TrueCrypt/VeraCrypt partities wordt ondersteund. Het bevat ook de hulpprogramma's veritysetup en integritysetup om gegevensintegriteitscontroles te configureren op basis van de dm-verity- en dm-integrity-modules.
Belangrijkste verbeteringen:
- Het is mogelijk om het OPAL hardware-schijfversleutelingsmechanisme te gebruiken, ondersteund op SED (Self-Encrypting Drives) SATA- en NVMe-schijven met de OPAL2 TCG-interface, waarbij het hardwareversleutelingsapparaat rechtstreeks in de controller is ingebouwd. Aan de ene kant is OPAL-encryptie gebonden aan propriëtaire hardware en niet beschikbaar voor publieke audits, maar aan de andere kant kan het worden gebruikt als een extra beschermingsniveau boven software-encryptie, wat niet leidt tot een afname van de prestaties. en belast de CPU niet.
Om OPAL in LUKS2 te gebruiken, moet de Linux-kernel worden gebouwd met de CONFIG_BLK_SED_OPAL-optie en deze worden ingeschakeld in Cryptsetup (OPAL-ondersteuning is standaard uitgeschakeld). Het instellen van LUKS2 OPAL gebeurt op dezelfde manier als software-encryptie: metagegevens worden opgeslagen in de LUKS2-header. De sleutel is opgesplitst in een partitiesleutel voor software-encryptie (dm-crypt) en een ontgrendelingssleutel voor OPAL. OPAL kan worden gebruikt in combinatie met software-encryptie (cryptsetup luksFormat --hw-opal ), en afzonderlijk (cryptsetup luksFormat —hw-opal-only ). OPAL wordt op dezelfde manier geactiveerd en gedeactiveerd (openen, sluiten, luksSuspend, luksResume) als voor LUKS2-apparaten.
- In de gewone modus, waarin de hoofdsleutel en header niet op schijf zijn opgeslagen, is het standaardcijfer aes-xts-plain64 en wordt het hash-algoritme sha256 (XTS) gebruikt in plaats van de CBC-modus, die prestatieproblemen heeft, en sha160 wordt gebruikt in plaats van de verouderde ripmd256 hash ).
- Met de opdrachten open en luksResume kan de partitiesleutel worden opgeslagen in een door de gebruiker geselecteerde kernelsleutelring (sleutelring). Om toegang te krijgen tot de sleutelhanger is aan veel cryptsetup-opdrachten de optie “--volume-key-keyring” toegevoegd (bijvoorbeeld 'cryptsetup open --link-vk-naar-sleutelhanger "@s::%user:testkey" tst').
- Op systemen zonder een swappartitie gebruikt Argon2 nu slechts de helft van het vrije geheugen bij het uitvoeren van een formattering of het maken van een sleutelslot voor PBKDF, wat het probleem van onvoldoende beschikbaar geheugen op systemen met een kleine hoeveelheid RAM oplost.
- Optie "--external-tokens-path" toegevoegd om de map voor externe LUKS2-tokenhandlers (plug-ins) op te geven.
- tcrypt heeft ondersteuning toegevoegd voor het Blake2-hashing-algoritme voor VeraCrypt.
- Ondersteuning toegevoegd voor het Aria-blokcijfer.
- Ondersteuning toegevoegd voor Argon2 in OpenSSL 3.2 en libgcrypt-implementaties, waardoor de noodzaak voor libargon wordt geëlimineerd.
Bron: opennet.ru