Ang isang set ng Cryptsetup 2.7 utility ay nai-publish, na idinisenyo upang i-configure ang pag-encrypt ng mga disk partition sa Linux gamit ang dm-crypt module. Sinusuportahan ang dm-crypt, LUKS, LUKS2, BITLK, loop-AES at TrueCrypt/VeraCrypt partition. Kasama rin dito ang veritysetup at integritysetup na mga utility para sa pag-configure ng data integrity controls batay sa dm-verity at dm-integrity modules.
Mga pangunahing pagpapabuti:
- Posibleng gamitin ang OPAL hardware disk encryption mechanism, na sinusuportahan sa SED (Self-Encrypting Drives) SATA at NVMe drive na may OPAL2 TCG interface, kung saan ang hardware encryption device ay direktang binuo sa controller. Sa isang banda, ang OPAL encryption ay nakatali sa proprietary hardware at hindi available para sa pampublikong pag-audit, ngunit, sa kabilang banda, maaari itong magamit bilang karagdagang antas ng proteksyon sa software encryption, na hindi humahantong sa pagbaba ng performance. at hindi gumagawa ng load sa CPU.
Ang paggamit ng OPAL sa LUKS2 ay nangangailangan ng pagbuo ng Linux kernel gamit ang CONFIG_BLK_SED_OPAL na opsyon at paganahin ito sa Cryptsetup (naka-disable ang suporta sa OPAL bilang default). Ang pag-set up ng LUKS2 OPAL ay isinasagawa sa katulad na paraan sa pag-encrypt ng software - ang metadata ay nakaimbak sa LUKS2 header. Ang susi ay nahahati sa isang partition key para sa software encryption (dm-crypt) at isang unlock key para sa OPAL. Maaaring gamitin ang OPAL kasama ng software encryption (cryptsetup luksFormat --hw-opal ), at magkahiwalay (cryptsetup luksFormat βhw-opal-only ). Ang OPAL ay isinaaktibo at na-deactivate sa parehong paraan (bukas, isara, luksSuspend, luksResume) tulad ng para sa LUKS2 na mga device.
- Sa plain mode, kung saan ang master key at header ay hindi nakaimbak sa disk, ang default na cipher ay aes-xts-plain64 at ang hashing algorithm na sha256 (XTS ang ginagamit sa halip na ang CBC mode, na may mga problema sa pagganap, at sha160 ay ginagamit sa halip na ang lumang ripemd256 hash ).
- Ang open at luksResume na mga utos ay nagpapahintulot sa partition key na maimbak sa isang pinili ng user na kernel keyring (keyring). Upang ma-access ang keyring, ang opsyon na β--volume-key-keyringβ ay idinagdag sa maraming cryptsetup command (halimbawa, 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Sa mga system na walang swap partition, gumaganap ng isang format o paglikha ng isang key slot para sa PBKDF Argon2 ngayon ay gumagamit lamang ng kalahati ng libreng memorya, na nalulutas ang problema ng pagkaubos ng magagamit na memorya sa mga system na may maliit na halaga ng RAM.
- Idinagdag ang opsyong "--external-tokens-path" upang tukuyin ang direktoryo para sa mga panlabas na LUKS2 token handler (mga plugin).
- Ang tcrypt ay nagdagdag ng suporta para sa Blake2 hashing algorithm para sa VeraCrypt.
- Nagdagdag ng suporta para sa Aria block cipher.
- Nagdagdag ng suporta para sa Argon2 sa OpenSSL 3.2 at mga pagpapatupad ng libgcrypt, na inaalis ang pangangailangan para sa libargon.
Pinagmulan: opennet.ru