Опубліковано набір утиліт Cryptsetup 2.8, призначених для налаштування шифрування дискових розділів Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, BITLK, loop-AES и TrueCrypt/VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки контроля целостности данных на основе модулей dm-verity и dm-integrity.
Ключові покращення:
- Додано підтримку inline-режиму, що дозволяє використовувати розширені сектори з додатковою областю для зберігання метаданих. Подібні сектори підтримуються деякими NVMe-накопичувачами, що дозволяють крім області з даними розміщувати в секторі блок метаданих (наприклад, 4096 байт під дані + 64 байт під метадані).
Cryptsetup может использовать область метаданных в секторе для хранения служебной информации, что избавляет от необходимости задействования дополнительного слоя на базе dm-integrity, отвечающего за выделение места под метаданные. Соответственно, можно обойтись без ведения журнала dm-integrity, являющегося узким местом, негативно влияющим на производительность. В ядре Linux возможности, необходимые для работы inline-режима, присутствуют начиная с выпуска 6.11. Для включения inline-режима добавлена опция «—integrity-inline».
- Доведено до готовності API Keyslot Context для маніпуляції зі слотами ключів. Новий API дозволив розширити функціональність багатьох існуючих команд, такими функціями, як активація токенів, відновлення роботи із призупиненим зашифрованим пристроєм та виконання повторного шифрування (reencryption).
- В утиліту cryptsetup додані опції «key-description» і «new-key-description» для прикріплення опису до ключів.
- Додано можливість відновлення призупиненої операції повторного шифрування (reencryption), використовуючи токен та ключі розділу.
- У реалізацію команди «repair» додано перевірку пошкодження областей зі слотами ключів LUKS.
- У команду veritysetup додано опцію «—error-as-corruption», при якій будь-які помилки обробляються як пошкодження даних, відповідно можна налаштувати перезавантаження або перехід у стан panic при помилках, у разі використання опцій «—restart-on-corruption» та «—panic-on-corruption».
- Додано опціональну можливість використання бібліотеки Mbed-TLS як крипто-бекенд (включається при складанні з опцією «with-crypto_backend=mbedtls»).
Джерело: opennet.ru
