A fost publicat un set de utilitare Cryptsetup 2.7, concepute pentru a configura criptarea partițiilor de disc în Linux folosind modulul dm-crypt. Suportă partiții dm-crypt, LUKS, LUKS2, BITLK, loop-AES și TrueCrypt/VeraCrypt. De asemenea, include utilitare veritysetup și integritysetup pentru configurarea controalelor de integritate a datelor bazate pe modulele dm-verity și dm-integrity.
Îmbunătățiri cheie:
- Este posibil să utilizați mecanismul de criptare a discurilor hardware OPAL, suportat pe unități SED (Self-Encrypting Drives) SATA și NVMe cu interfața OPAL2 TCG, în care dispozitivul de criptare hardware este încorporat direct în controler. Pe de o parte, criptarea OPAL este legată de hardware-ul proprietar și nu este disponibilă pentru auditul public, dar, pe de altă parte, poate fi folosită ca un nivel suplimentar de protecție față de criptarea software, ceea ce nu duce la o scădere a performanței. și nu creează o sarcină pe CPU.
Utilizarea OPAL în LUKS2 necesită construirea nucleului Linux cu opțiunea CONFIG_BLK_SED_OPAL și activarea acesteia în Cryptsetup (suportul OPAL este dezactivat implicit). Configurarea LUKS2 OPAL se realizează într-un mod similar cu criptarea software - metadatele sunt stocate în antetul LUKS2. Cheia este împărțită într-o cheie de partiție pentru criptarea software (dm-crypt) și o cheie de deblocare pentru OPAL. OPAL poate fi folosit împreună cu criptarea software (cryptsetup luksFormat --hw-opal ), și separat (cryptsetup luksFormat —hw-opal-only ). OPAL este activat și dezactivat în același mod (deschidere, închidere, luksSuspend, luksResume) ca și pentru dispozitivele LUKS2.
- În modul simplu, în care cheia principală și antetul nu sunt stocate pe disc, cifrul implicit este aes-xts-plain64 și algoritmul de hashing sha256 (XTS este folosit în locul modului CBC, care are probleme de performanță, iar sha160 este folosit în loc de hash-ul învechit ripemd256).
- Comenzile open și luksResume permit ca cheia de partiție să fie stocată într-un inel de chei pentru nucleu selectat de utilizator. Pentru a accesa inelul de chei, opțiunea „--volume-key-keyring” a fost adăugată la multe comenzi cryptsetup (de exemplu, „cryptsetup open --link-vk-to-keyring „@s::%user:testkey” tst’).
- Pe sistemele fără o partiție swap, efectuarea unui format sau crearea unui slot de cheie pentru PBKDF Argon2 acum utilizează doar jumătate din memoria liberă, ceea ce rezolvă problema epuizării memoriei disponibile pe sistemele cu o cantitate mică de RAM.
- S-a adăugat opțiunea „--external-tokens-path” pentru a specifica directorul pentru handlere externi de token LUKS2 (plugins).
- tcrypt a adăugat suport pentru algoritmul de hashing Blake2 pentru VeraCrypt.
- S-a adăugat suport pentru cifrul bloc Aria.
- S-a adăugat suport pentru Argon2 în implementările OpenSSL 3.2 și libgcrypt, eliminând nevoia de libargon.
Sursa: opennet.ru
