Um conjunto de utilitários Cryptsetup 2.7 foi publicado para configurar a criptografia de partições de disco no Linux usando o módulo dm-crypt. O trabalho com partições dm-crypt, LUKS, LUKS2, BITLK, loop-AES e TrueCrypt/VeraCrypt é suportado. Ele também inclui os utilitários veritysetup e integridadesetup para configurar controles de integridade de dados com base nos módulos dm-verity e dm-integrity.
Principais melhorias:
- É possível usar o mecanismo de criptografia de disco de hardware OPAL, suportado em unidades SATA e NVMe SED (Self-Encrypting Drives) com interface OPAL2 TCG, nas quais o dispositivo de criptografia de hardware é integrado diretamente no controlador. Por um lado, a criptografia OPAL está vinculada a hardware proprietário e não está disponível para auditoria pública, mas, por outro lado, pode ser usada como um nível adicional de proteção sobre a criptografia de software, o que não leva a uma diminuição no desempenho e não cria uma carga na CPU.
Usar OPAL no LUKS2 requer construir o kernel Linux com a opção CONFIG_BLK_SED_OPAL e habilitá-lo no Cryptsetup (o suporte OPAL está desabilitado por padrão). A configuração do LUKS2 OPAL é realizada de forma semelhante à criptografia de software - os metadados são armazenados no cabeçalho LUKS2. A chave é dividida em uma chave de partição para criptografia de software (dm-crypt) e uma chave de desbloqueio para OPAL. OPAL pode ser usado junto com criptografia de software (cryptsetup luksFormat --hw-opal ) e separadamente (cryptsetup luksFormat —hw-opal-only ). OPAL é ativado e desativado da mesma forma (abrir, fechar, luksSuspend, luksResume) como para dispositivos LUKS2.
- No modo simples, em que a chave mestra e o cabeçalho não são armazenados no disco, a cifra padrão é aes-xts-plain64 e o algoritmo de hash sha256 (XTS é usado em vez do modo CBC, que tem problemas de desempenho, e sha160 é usado em vez do hash maduro maduro256 desatualizado).
- Os comandos open e luksResume permitem que a chave de partição seja armazenada em um chaveiro do kernel selecionado pelo usuário (chaveiro). Para acessar o chaveiro, a opção “--volume-key-keyring” foi adicionada a muitos comandos cryptsetup (por exemplo 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Em sistemas sem partição swap, realizar uma formatação ou criar um slot de chave para PBKDF Argon2 agora usa apenas metade da memória livre, o que resolve o problema de ficar sem memória disponível em sistemas com pequena quantidade de RAM.
- Adicionada opção "--external-tokens-path" para especificar o diretório para manipuladores de token LUKS2 externos (plugins).
- tcrypt adicionou suporte para o algoritmo de hash Blake2 para VeraCrypt.
- Adicionado suporte para a cifra de bloco Aria.
- Adicionado suporte para Argon2 nas implementações OpenSSL 3.2 e libgcrypt, eliminando a necessidade de libargon.
Fonte: opennet.ru