ProHoster > Blog > warta internét > Ngaleupaskeun Cryptsetup 2.7 kalayan dukungan pikeun enkripsi disk hardware OPAL

Ngaleupaskeun Cryptsetup 2.7 kalayan dukungan pikeun enkripsi disk hardware OPAL

Sakumpulan utilitas Cryptsetup 2.7 parantos diterbitkeun, dirancang pikeun ngonpigurasikeun énkripsi partisi disk dina Linux nganggo modul dm-crypt. Ngarojong dm-crypt, LUKS, LUKS2, BITLK, loop-AES sareng partisi TrueCrypt / VeraCrypt. Éta ogé kalebet utilitas veritysetup sareng integritysetup pikeun ngonpigurasikeun kadali integritas data dumasar kana modul dm-verity sareng dm-integrity.

Perbaikan konci:

  • Kasebut nyaéta dimungkinkeun pikeun ngagunakeun mékanisme enkripsi disk hardware OPAL, dirojong dina SED (Self-Encrypting Drives) SATA na NVMe drive kalawan panganteur OPAL2 TCG, nu alat enkripsi hardware diwangun langsung kana controller nu. Di hiji sisi, enkripsi OPAL dihijikeun sareng hardware proprietary sareng henteu sayogi pikeun Inok umum, tapi, di sisi anu sanés, éta tiasa dianggo salaku tingkat panyalindungan tambahan pikeun enkripsi parangkat lunak, anu henteu nyababkeun panurunan dina pagelaran. sarta teu nyieun beban dina CPU.

    Ngagunakeun OPAL di LUKS2 merlukeun ngawangun kernel Linux Ubuntu jeung pilihan CONFIG_BLK_SED_OPAL tur ngaktipkeun dina Cryptsetup (rojongan OPAL ditumpurkeun sacara standar). Nyetél LUKS2 OPAL dilaksanakeun dina cara anu sami sareng énkripsi parangkat lunak - metadata disimpen dina lulugu LUKS2. Koncina dibagi jadi konci partisi pikeun énkripsi parangkat lunak (dm-crypt) sareng konci muka konci pikeun OPAL. OPAL tiasa dianggo sareng enkripsi parangkat lunak (cryptsetup luksFormat --hw-opal ), sarta misah (cryptsetup luksFormat —hw-opal-only ). OPAL diaktipkeun sareng dinonaktipkeun dina cara anu sami (muka, nutup, luksSuspend, luksResume) sapertos alat LUKS2.

  • Dina modeu polos, dimana konci master sareng header henteu disimpen dina disk, cipher standar nyaéta aes-xts-plain64 sareng algoritma hashing sha256 (XTS dianggo tibatan mode CBC, anu ngagaduhan masalah kinerja, sareng sha160 dianggo. tinimbang hash ripemd256 luntur).
  • Paréntah kabuka sareng luksResume ngamungkinkeun konci partisi disimpen dina keyring kernel anu dipilih ku pangguna (keyring). Pikeun ngakses keyring, pilihan "--volume-key-keyring" geus ditambahkeun kana loba paréntah cryptsetup (contona 'cryptsetup open. --link-vk-to-keyring "@s::%user:testkey" tst').
  • Dina sistem tanpa partisi swap, ngajalankeun format atawa nyieun slot konci pikeun PBKDF Argon2 ayeuna ngan ngagunakeun satengah tina mémori bébas, nu solves masalah kaluar tina mémori sadia dina sistem kalawan jumlah leutik RAM.
  • Ditambahkeun "--external-tokens-path" pilihan pikeun nangtukeun diréktori pikeun pawang token LUKS2 éksternal (plugins).
  • tcrypt parantos nambihan dukungan pikeun algoritma hashing Blake2 pikeun VeraCrypt.
  • Ditambahkeun dukungan pikeun cipher blok Aria.
  • Ditambahkeun dukungan pikeun Argon2 dina OpenSSL 3.2 sareng palaksanaan libgcrypt, ngaleungitkeun kabutuhan libargon.

sumber: opennet.ru

Tambahkeun komentar