ProHoster > blog > habari za mtandao > Kutolewa kwa Crypsetup 2.7 kwa kutumia usimbaji fiche wa diski ya maunzi ya OPAL

Kutolewa kwa Crypsetup 2.7 kwa kutumia usimbaji fiche wa diski ya maunzi ya OPAL

Seti ya huduma za Crypsetup 2.7 imechapishwa kwa ajili ya kusanidi usimbaji fiche wa sehemu za diski katika Linux kwa kutumia moduli ya dm-crypt. Fanya kazi na sehemu za dm-crypt, LUKS, LUKS2, BITLK, loop-AES na TrueCrypt/VeraCrypt inatumika. Pia inajumuisha huduma za usanidi na uwekaji uadilifu ili kusanidi vidhibiti vya uadilifu vya data kulingana na moduli za dm-verity na dm-integrity.

Maboresho muhimu:

  • Inawezekana kutumia utaratibu wa usimbaji fiche wa diski ya maunzi ya OPAL, inayoungwa mkono kwenye SED (Hifadhi za Kujificha) SATA na NVMe viendeshi vilivyo na kiolesura cha OPAL2 TCG, ambamo kifaa cha usimbuaji wa maunzi hujengwa moja kwa moja kwenye kidhibiti. Kwa upande mmoja, usimbaji fiche wa OPAL umefungwa kwa vifaa vya umiliki na haupatikani kwa ukaguzi wa umma, lakini, kwa upande mwingine, inaweza kutumika kama kiwango cha ziada cha ulinzi juu ya usimbuaji wa programu, ambayo haisababishi kupungua kwa utendaji. na haitoi mzigo kwenye CPU.

    Kutumia OPAL katika LUKS2 kunahitaji kujenga kinu cha Linux kwa chaguo la CONFIG_BLK_SED_OPAL na kuiwezesha katika Crypsetup (Usaidizi wa OPAL umezimwa kwa chaguomsingi). Kuweka LUKS2 OPAL inafanywa kwa njia sawa na usimbaji fiche wa programu - metadata huhifadhiwa kwenye kichwa cha LUKS2. Ufunguo umegawanywa katika ufunguo wa kugawanya kwa usimbaji fiche wa programu (dm-crypt) na ufunguo wa kufungua kwa OPAL. OPAL inaweza kutumika pamoja na usimbaji fiche wa programu (cryptsetup luksFormat --hw-opal ), na kando (cryptsetup luksFormat -hw-opal-only ) OPAL imewashwa na kulemazwa kwa njia sawa (fungua, funga, luksSuspend, luksResume) kama kwa vifaa vya LUKS2.

  • Katika hali ya wazi, ambayo ufunguo mkuu na kichwa hazihifadhiwa kwenye diski, cipher chaguo-msingi ni aes-xts-plain64 na algorithm ya hashing sha256 (XTS hutumiwa badala ya hali ya CBC, ambayo ina matatizo ya utendaji, na sha160 hutumiwa. badala ya ripemd256 hash iliyopitwa na wakati ).
  • Amri za wazi na luksResume huruhusu ufunguo wa kuhesabu kuhifadhiwa katika ufunguo wa kernel uliochaguliwa na mtumiaji (keyring). Ili kufikia ufunguo, chaguo la "--volume-key-keyring" limeongezwa kwa amri nyingi za usanidi (kwa mfano 'cryptsetup open. --link-vk-to-keyring "@s::%user:testkey" tst').
  • Kwenye mifumo bila kizigeu cha kubadilishana, kufanya umbizo au kuunda sehemu muhimu ya PBKDF Argon2 sasa hutumia nusu tu ya kumbukumbu ya bure, ambayo hutatua tatizo la kukosa kumbukumbu inayopatikana kwenye mifumo yenye kiasi kidogo cha RAM.
  • Imeongezwa "--external-tokens-path" chaguo ili kubainisha saraka kwa vidhibiti vya tokeni vya LUKS2 vya nje (plugins).
  • tcrypt imeongeza usaidizi kwa algoriti ya hashing ya Blake2 ya VeraCrypt.
  • Imeongeza usaidizi kwa cipher block ya Aria.
  • Usaidizi ulioongezwa kwa Argon2 katika OpenSSL 3.2 na utekelezaji wa libgcrypt, ukiondoa hitaji la libargon.

Chanzo: opennet.ru

Kuongeza maoni