Opublikowano zestaw narzędzi Cryptsetup 2.6 do konfigurowania szyfrowania partycji dyskowych w systemie Linux za pomocą modułu dm-crypt. Obsługiwana jest praca z partycjami dm-crypt, LUKS, LUKS2, BITLK, loop-AES i TrueCrypt/VeraCrypt. Zawiera również narzędzia veritysetup i integralności do konfigurowania kontroli integralności danych w oparciu o moduły dm-verity i dm-integrity.
Kluczowe ulepszenia:
- Dodano obsługę urządzeń pamięci masowej zaszyfrowanych przy użyciu mechanizmu FileVault2 używanego do pełnego szyfrowania dysku w systemie macOS. Cryptsetup, w połączeniu ze sterownikiem hfsplus, może teraz otwierać dyski USB zaszyfrowane FileVault2 w trybie odczytu i zapisu w systemach ze zwykłym jądrem Linuksa. Obsługiwany jest dostęp do dysków z systemem plików HFS+ oraz z partycjami Core Storage (partycje z APFS nie są jeszcze obsługiwane).
- Bibliotece libcryptsetup oszczędzono globalnej blokady całej pamięci za pośrednictwem wywołania mlockall(), które zostało użyte do zapobieżenia wyciekowi poufnych danych na partycję wymiany. Ze względu na przekroczenie limitu maksymalnego rozmiaru blokowanej pamięci podczas pracy bez praw roota, nowa wersja stosuje selektywne blokowanie tylko tych obszarów pamięci, które przechowują klucze szyfrujące.
- Zwiększono priorytet procesów generujących klucze (PBKDF).
- Dodano funkcje dodawania tokenów LUKS2 i kluczy binarnych do gniazda klucza LUKS (klucza), oprócz wcześniej obsługiwanych haseł i plików kluczy.
- Udostępniono możliwość wyodrębnienia klucza partycji za pomocą hasła, pliku klucza lub tokena.
- Dodano opcję „--use-tasklets” do veritysetup w celu poprawy wydajności w niektórych systemach z jądrem Linux 6.x.
Źródło: opennet.ru