En uppsättning Cryptsetup 2.6-verktyg har publicerats för att konfigurera kryptering av diskpartitioner i Linux med dm-crypt-modulen. Arbete med dm-crypt, LUKS, LUKS2, BITLK, loop-AES och TrueCrypt/VeraCrypt-partitioner stöds. Den innehåller också verktygen veritysetup och integritysetup för att konfigurera dataintegritetskontroller baserade på modulerna dm-verity och dm-integrity.
Viktiga förbättringar:
- Tillagt stöd för lagringsenheter krypterade med FileVault2-mekanismen som används för fullständig diskkryptering i macOS. Cryptsetup, i kombination med hfsplus-drivrutinen, kan nu öppna FileVault2-krypterade USB-enheter i läs-skrivläge på system med en vanlig Linuxkärna. Åtkomst till enheter med filsystemet HFS + och med Core Storage-partitioner stöds (partitioner med APFS stöds inte ännu).
- Biblioteket libcryptsetup besparas det globala låset på allt minne via mlockall()-anropet, som användes för att förhindra läckage av känslig data till swap-partitionen. På grund av att gränsen för den maximala storleken på det blockerade minnet överskrids när det körs utan roträttigheter, tillämpar den nya versionen selektiv låsning endast på de minnesområden som lagrar krypteringsnycklar.
- Prioriteten för de processer som utför nyckelgenerering (PBKDF) har höjts.
- Funktioner har lagts till för att lägga till LUKS2-tokens och binära nycklar till LUKS-nyckelfacket (keyslot), förutom tidigare stödda lösenfraser och nyckelfiler.
- Möjligheten att extrahera en partitionsnyckel med hjälp av en lösenfras, en nyckelfil eller en token har tillhandahållits.
- Lade till alternativet "--use-tasklets" i veritysetup för att förbättra prestandan på vissa Linux 6.x kärnsystem.
Källa: opennet.ru