Objavljen je bil nabor pripomočkov Cryptsetup 2.7 za konfiguriranje šifriranja diskovnih particij v Linuxu z uporabo modula dm-crypt. Podprto je delo s particijami dm-crypt, LUKS, LUKS2, BITLK, loop-AES in TrueCrypt/VeraCrypt. Vključuje tudi pripomočka veritysetup in integritysetup za konfiguracijo kontrol celovitosti podatkov na podlagi modulov dm-verity in dm-integrity.
Ključne izboljšave:
- Možna je uporaba mehanizma strojnega šifriranja diska OPAL, podprtega na SED (Self-Encrypting Drives) pogonih SATA in NVMe z vmesnikom OPAL2 TCG, pri katerem je naprava za strojno šifriranje vgrajena neposredno v krmilnik. Po eni strani je šifriranje OPAL vezano na lastniško strojno opremo in ni na voljo za javno revizijo, po drugi strani pa se lahko uporablja kot dodatna raven zaščite nad šifriranjem programske opreme, ki ne vodi do zmanjšanja zmogljivosti in ne ustvarja obremenitve CPU.
Za uporabo OPAL v LUKS2 je treba zgraditi jedro Linuxa z možnostjo CONFIG_BLK_SED_OPAL in jo omogočiti v Cryptsetup (podpora za OPAL je privzeto onemogočena). Nastavitev LUKS2 OPAL poteka podobno kot programsko šifriranje - metapodatki se shranjujejo v glavi LUKS2. Ključ je razdeljen na particijski ključ za programsko šifriranje (dm-crypt) in ključ za odklepanje za OPAL. OPAL se lahko uporablja skupaj s šifriranjem programske opreme (cryptsetup luksFormat --hw-opal ) in ločeno (cryptsetup luksFormat —hw-opal-only ). OPAL se aktivira in deaktivira na enak način (odpri, zapri, luksSuspend, luksResume) kot pri napravah LUKS2.
- V navadnem načinu, v katerem glavni ključ in glava nista shranjena na disku, je privzeta šifra aes-xts-plain64 in algoritem zgoščevanja sha256 (XTS se uporablja namesto načina CBC, ki ima težave z zmogljivostjo, in se uporablja sha160 namesto zastarele zgoščene vrednosti ripemd256).
- Ukaza open in luksResume omogočata, da se particijski ključ shrani v uporabniško izbrani obesek ključev jedra (obesek ključev). Za dostop do obeska ključev je bila številnim ukazom cryptsetup dodana možnost “--volume-key-keyring” (na primer 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- V sistemih brez izmenjalne particije izvajanje formatiranja ali ustvarjanje reže za ključe za PBKDF Argon2 zdaj uporablja samo polovico prostega pomnilnika, kar rešuje problem zmanjkanja razpoložljivega pomnilnika v sistemih z majhno količino RAM-a.
- Dodana možnost »--external-tokens-path« za določitev imenika za zunanje obdelovalce žetonov LUKS2 (vtičnike).
- tcrypt je dodal podporo za algoritem zgoščevanja Blake2 za VeraCrypt.
- Dodana podpora za bločno šifro Aria.
- Dodana podpora za Argon2 v implementacijah OpenSSL 3.2 in libgcrypt, kar odpravlja potrebo po libargonu.
Vir: opennet.ru