En uppsättning Cryptsetup 2.7-verktyg har publicerats för att konfigurera kryptering av diskpartitioner i Linux med dm-crypt-modulen. Arbete med dm-crypt, LUKS, LUKS2, BITLK, loop-AES och TrueCrypt/VeraCrypt-partitioner stöds. Den innehåller också verktygen veritysetup och integritysetup för att konfigurera dataintegritetskontroller baserade på modulerna dm-verity och dm-integrity.
Viktiga förbättringar:
- Det är möjligt att använda OPAL hårdvarudiskkrypteringsmekanismen, som stöds på SED (Self-Encrypting Drives) SATA- och NVMe-enheter med OPAL2 TCG-gränssnittet, där hårdvarukrypteringsenheten är inbyggd direkt i styrenheten. Å ena sidan är OPAL-kryptering knuten till proprietär hårdvara och är inte tillgänglig för offentlig granskning, men å andra sidan kan den användas som en ytterligare skyddsnivå jämfört med programvarukryptering, vilket inte leder till en minskning av prestanda och skapar ingen belastning på processorn.
Att använda OPAL i LUKS2 kräver att Linux-kärnan byggs med alternativet CONFIG_BLK_SED_OPAL och aktiveras i Cryptsetup (OPAL-stödet är inaktiverat som standard). Inställning av LUKS2 OPAL görs på liknande sätt som programvarukryptering - metadata lagras i LUKS2-huvudet. Nyckeln är uppdelad i en partitionsnyckel för mjukvarukryptering (dm-crypt) och en upplåsningsnyckel för OPAL. OPAL kan användas tillsammans med mjukvarukryptering (cryptsetup luksFormat --hw-opal ), och separat (cryptsetup luksFormat —hw-opal-only ). OPAL aktiveras och avaktiveras på samma sätt (öppna, stäng, luksSuspend, luksResume) som för LUKS2-enheter.
- I vanligt läge, där huvudnyckeln och huvudet inte lagras på disken, är standardchifferet aes-xts-plain64 och hashalgoritmen sha256 (XTS används istället för CBC-läget, som har prestandaproblem, och sha160 används istället för den föråldrade ripemd256-hash ).
- Kommandona open och luksResume tillåter att partitionsnyckeln lagras i en användarvald kärnnyckelring (nyckelring). För att komma åt nyckelringen har alternativet "--volym-nyckel-nyckelring" lagts till i många cryptsetup-kommandon (till exempel 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- På system utan en swap-partition använder man nu bara hälften av det lediga minnet när man formaterar eller skapar en nyckelplats för PBKDF Argon2, vilket löser problemet med att få slut på tillgängligt minne på system med en liten mängd RAM.
- Lade till alternativet "--external-tokens-path" för att ange katalogen för externa LUKS2-tokenhanterare (plugins).
- tcrypt har lagt till stöd för Blake2 hashalgoritmen för VeraCrypt.
- Lade till stöd för Aria-blockchifferet.
- Lade till stöd för Argon2 i OpenSSL 3.2 och libgcrypt-implementationer, vilket eliminerar behovet av libargon.
Källa: opennet.ru