Një grup i shërbimeve Cryptsetup 2.7 është publikuar për konfigurimin e enkriptimit të ndarjeve të diskut në Linux duke përdorur modulin dm-crypt. Puna me ndarjet dm-crypt, LUKS, LUKS2, BITLK, loop-AES dhe TrueCrypt/VeraCrypt mbështetet. Ai përfshin gjithashtu mjetet ndihmëse veritysetup dhe integritysetup për të konfiguruar kontrollet e integritetit të të dhënave bazuar në modulet dm-verity dhe dm-integrity.
Përmirësimet kryesore:
- Është e mundur të përdoret mekanizmi i enkriptimit të diskut të harduerit OPAL, i mbështetur në disqet SED (Self-encrypting Drives) SATA dhe NVMe me ndërfaqen OPAL2 TCG, në të cilën pajisja e enkriptimit të harduerit është e integruar direkt në kontrollues. Nga njëra anë, kriptimi OPAL është i lidhur me pajisje të pronarit dhe nuk është i disponueshëm për auditim publik, por, nga ana tjetër, ai mund të përdoret si një nivel shtesë mbrojtjeje ndaj kriptimit të softuerit, i cili nuk çon në një ulje të performancës dhe nuk krijon një ngarkesë në CPU.
Përdorimi i OPAL në LUKS2 kërkon ndërtimin e kernelit Linux me opsionin CONFIG_BLK_SED_OPAL dhe aktivizimin e tij në Cryptsetup (mbështetja OPAL është e çaktivizuar si parazgjedhje). Konfigurimi i LUKS2 OPAL kryhet në mënyrë të ngjashme me enkriptimin e softuerit - meta të dhënat ruhen në kokën LUKS2. Çelësi ndahet në një çelës ndarjeje për enkriptimin e softuerit (dm-crypt) dhe një çelës zhbllokimi për OPAL. OPAL mund të përdoret së bashku me kriptimin e softuerit (cryptsetup luksFormat --hw-opal ), dhe veçmas (kriptsetup luksFormat —vetëm hw-opal ). OPAL aktivizohet dhe çaktivizohet në të njëjtën mënyrë (hap, mbyll, luksSuspend, luksResume) si për pajisjet LUKS2.
- Në modalitetin e thjeshtë, në të cilin çelësi kryesor dhe titulli nuk ruhen në disk, shifra e paracaktuar është aes-xts-plain64 dhe algoritmi hash sha256 (XTS përdoret në vend të modalitetit CBC, i cili ka probleme me performancën, dhe përdoret sha160 në vend të hash-it të vjetëruar ripemd256).
- Komandat open dhe luksResume lejojnë që çelësi i ndarjes të ruhet në një çelës çelësash të kernelit të zgjedhur nga përdoruesi. Për të hyrë te tastiera, opsioni "--volume-key-keyring" është shtuar në shumë komanda të konfigurimit të kripteve (për shembull 'kriptetup i hapur --link-vk-to-keyring "@s::%user:testkey" tst').
- Në sistemet pa ndarje swap, kryerja e një formati ose krijimi i një slot kyç për PBKDF Argon2 tani përdor vetëm gjysmën e memories së lirë, e cila zgjidh problemin e mbarimit të memories së disponueshme në sistemet me një sasi të vogël RAM.
- U shtua opsioni "-external-tokens-path" për të specifikuar drejtorinë për mbajtësit e jashtëm të shenjave LUKS2 (plugins).
- tcrypt ka shtuar mbështetje për algoritmin e hashimit Blake2 për VeraCrypt.
- Mbështetje e shtuar për shifrën e bllokut Aria.
- Mbështetje e shtuar për Argon2 në OpenSSL 3.2 dhe zbatimet libgcrypt, duke eliminuar nevojën për libargon.
Burimi: opennet.ru