Et sett med Cryptsetup 2.7-verktøy har blitt publisert, designet for å konfigurere kryptering av diskpartisjoner i Linux ved hjelp av dm-crypt-modulen. Støtter dm-crypt, LUKS, LUKS2, BITLK, loop-AES og TrueCrypt/VeraCrypt-partisjoner. Den inkluderer også veritysetup- og integritysetup-verktøy for å konfigurere dataintegritetskontroller basert på dm-verity- og dm-integrity-modulene.
Viktige forbedringer:
- Det er mulig å bruke OPAL maskinvarediskkrypteringsmekanismen, støttet på SED (Self-Encrypting Drives) SATA- og NVMe-stasjoner med OPAL2 TCG-grensesnittet, der maskinvarekrypteringsenheten er bygget direkte inn i kontrolleren. På den ene siden er OPAL-kryptering knyttet til proprietær maskinvare og er ikke tilgjengelig for offentlig revisjon, men på den annen side kan den brukes som et ekstra beskyttelsesnivå over programvarekryptering, noe som ikke fører til redusert ytelse og skaper ikke en belastning på CPU.
Å bruke OPAL i LUKS2 krever å bygge Linux-kjernen med CONFIG_BLK_SED_OPAL-alternativet og aktivere det i Cryptsetup (OPAL-støtte er deaktivert som standard). Oppsett av LUKS2 OPAL utføres på samme måte som programvarekryptering - metadata lagres i LUKS2-headeren. Nøkkelen er delt inn i en partisjonsnøkkel for programvarekryptering (dm-crypt) og en opplåsingsnøkkel for OPAL. OPAL kan brukes sammen med programvarekryptering (cryptsetup luksFormat --hw-opal ), og separat (cryptsetup luksFormat —hw-opal-only ). OPAL aktiveres og deaktiveres på samme måte (åpne, lukke, luksSuspend, luksResume) som for LUKS2-enheter.
- I vanlig modus, der hovednøkkelen og overskriften ikke er lagret på disken, er standard chiffer aes-xts-plain64 og hashing-algoritmen sha256 (XTS brukes i stedet for CBC-modus, som har ytelsesproblemer, og sha160 brukes i stedet for den utdaterte ripemd256-hashen ).
- Åpne- og luksResume-kommandoene lar partisjonsnøkkelen lagres i en brukervalgt kjernenøkkelring (nøkkelring). For å få tilgang til nøkkelringen er alternativet "--volum-nøkkelring" lagt til i mange krypteringskommandoer (for eksempel 'kryptoppsett åpen --link-vk-to-keyring "@s::%user:testkey" tst').
- På systemer uten byttepartisjon bruker å utføre et format eller lage et nøkkelspor for PBKDF Argon2 nå bare halvparten av det ledige minnet, noe som løser problemet med å gå tom for tilgjengelig minne på systemer med en liten mengde RAM.
- Lagt til "--external-tokens-path"-alternativet for å spesifisere katalogen for eksterne LUKS2-tokenbehandlere (plugins).
- tcrypt har lagt til støtte for Blake2 hashing-algoritmen for VeraCrypt.
- Lagt til støtte for Aria-blokkchifferet.
- Lagt til støtte for Argon2 i OpenSSL 3.2 og libgcrypt-implementeringer, noe som eliminerer behovet for libargon.
Kilde: opennet.ru