โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > เปิดตัว Cryptsetup 2.7 พร้อมรองรับการเข้ารหัสดิสก์ฮาร์ดแวร์ OPAL

เปิดตัว Cryptsetup 2.7 พร้อมรองรับการเข้ารหัสดิสก์ฮาร์ดแวร์ OPAL

ชุดยูทิลิตี้ Cryptsetup 2.7 ได้รับการเผยแพร่แล้ว ซึ่งออกแบบมาเพื่อกำหนดค่าการเข้ารหัสของพาร์ติชันดิสก์ใน Linux โดยใช้โมดูล dm-crypt รองรับพาร์ติชัน dm-crypt, LUKS, LUKS2, BITLK, loop-AES และ TrueCrypt/VeraCrypt นอกจากนี้ยังมียูทิลิตี้ veritysetup และ Integritysetup สำหรับการกำหนดค่าการควบคุมความสมบูรณ์ของข้อมูลตามโมดูล dm-verity และ dm-integrity

การปรับปรุงที่สำคัญ:

  • คุณสามารถใช้กลไกการเข้ารหัสดิสก์ฮาร์ดแวร์ OPAL ที่รองรับบนไดรฟ์ SATA และ NVMe SED (ไดรฟ์เข้ารหัสด้วยตนเอง) ที่มีอินเทอร์เฟซ OPAL2 TCG ซึ่งอุปกรณ์เข้ารหัสฮาร์ดแวร์นั้นถูกสร้างขึ้นโดยตรงในคอนโทรลเลอร์ ในอีกด้านหนึ่ง การเข้ารหัส OPAL เชื่อมโยงกับฮาร์ดแวร์ที่เป็นกรรมสิทธิ์และไม่สามารถใช้ได้สำหรับการตรวจสอบสาธารณะ แต่ในทางกลับกัน สามารถใช้เป็นระดับการป้องกันเพิ่มเติมสำหรับการเข้ารหัสซอฟต์แวร์ ซึ่งไม่ทำให้ประสิทธิภาพลดลง และไม่สร้างภาระให้กับ CPU

    การใช้ OPAL ใน LUKS2 จำเป็นต้องสร้างเคอร์เนล Linux ด้วยตัวเลือก CONFIG_BLK_SED_OPAL และเปิดใช้งานใน Cryptsetup (การสนับสนุน OPAL ถูกปิดใช้งานตามค่าเริ่มต้น) การตั้งค่า LUKS2 OPAL ดำเนินการในลักษณะเดียวกันกับการเข้ารหัสซอฟต์แวร์ - ข้อมูลเมตาจะถูกเก็บไว้ในส่วนหัว LUKS2 คีย์จะถูกแบ่งออกเป็นพาร์ติชั่นคีย์สำหรับการเข้ารหัสซอฟต์แวร์ (dm-crypt) และคีย์ปลดล็อคสำหรับ OPAL OPAL สามารถใช้ร่วมกับการเข้ารหัสซอฟต์แวร์ (cryptsetup luksFormat --hw-opal ) และแยกกัน (cryptsetup luksFormat —hw-opal-only ). OPAL ถูกเปิดใช้งานและปิดใช้งานในลักษณะเดียวกัน (เปิด, ปิด, luksSuspend, luksResume) เหมือนกับอุปกรณ์ LUKS2

  • ในโหมดธรรมดา ซึ่งไม่ได้จัดเก็บคีย์หลักและส่วนหัวไว้บนดิสก์ ตัวเลขเริ่มต้นคือ aes-xts-plain64 และอัลกอริธึมการแฮช sha256 (ใช้ XTS แทนโหมด CBC ซึ่งมีปัญหาด้านประสิทธิภาพ และใช้ sha160 แทนที่จะเป็นแฮชของ Ripmd256 ที่ล้าสมัย)
  • คำสั่ง open และ luksResume อนุญาตให้เก็บพาร์ติชั่นคีย์ไว้ในเคอร์เนลคีย์ริง (พวงกุญแจ) ที่ผู้ใช้เลือก ในการเข้าถึงพวงกุญแจ ตัวเลือก “--volume-key-keyring” ได้ถูกเพิ่มเข้าไปในคำสั่ง cryptsetup จำนวนมาก (เช่น 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst')
  • ในระบบที่ไม่มีพาร์ติชั่นสลับ การฟอร์แมตหรือสร้างสล็อตคีย์สำหรับ PBKDF Argon2 ตอนนี้ใช้หน่วยความจำว่างเพียงครึ่งหนึ่ง ซึ่งแก้ปัญหาหน่วยความจำที่มีอยู่ไม่เพียงพอบนระบบที่มี RAM เพียงเล็กน้อย
  • เพิ่มตัวเลือก "--external-tokens-path" เพื่อระบุไดเร็กทอรีสำหรับตัวจัดการโทเค็น LUKS2 ภายนอก (ปลั๊กอิน)
  • tcrypt ได้เพิ่มการรองรับอัลกอริทึมการแฮชของ Blake2 สำหรับ VeraCrypt
  • เพิ่มการรองรับรหัสบล็อก Aria
  • เพิ่มการรองรับ Argon2 ในการใช้งาน OpenSSL 3.2 และ libgcrypt โดยไม่จำเป็นต้องใช้ libargon

ที่มา: opennet.ru

เพิ่มความคิดเห็น