Опубліковано набір утиліт Cryptsetup 2.6, призначених для налаштування шифрування дискових розділів у Linux за допомогою модуля dm-crypt. Підтримується робота з розділами dm-crypt, LUKS, LUKS2, BITLK, loop-AES та TrueCrypt/VeraCrypt. До складу також входять утиліти veritysetup та integritysetup для налаштування засобів контролю цілісності даних на основі модулів dm-verity та dm-integrity.
Ключові покращення:
- Додана підтримка пристроїв зберігання, зашифрованих з використанням механізму FileVault2, який використовується для повнодискового шифрування в macOS. Cryptsetup у комбінації з драйвером hfsplus тепер може відкривати зашифровані за допомогою FileVault2 USB-накопичувачі в режимі читання та запису на системах із звичайним ядром Linux. Підтримується доступ до накопичувачів з файловою системою HFS+ та розділами Core Storage (розділи з APFS поки не підтримуються).
- Бібліотека libcryptsetup позбавлена глобального блокування всієї пам'яті через виклик mlockall(), що застосовувалася для запобігання витоку конфіденційних даних у розділ підкачки. Через перевищення обмеження на максимальний розмір блокованої пам'яті при запуску без прав root, у новій версії застосовано вибіркове блокування лише тих областей пам'яті, в яких зберігаються ключі шифрування.
- Підвищено пріоритет процесів, що виконують формування ключа (PBKDF).
- Додані функції для додавання в слот ключів LUKS (keyslot) токенів LUKS2 і двійкових ключів, крім парольних фраз і файлів з ключами, що підтримувалися раніше.
- Надано можливість витягти ключ розділу за допомогою парольної фрази, файлу з ключем або токена.
- У veritysetup додана опція «use-tasklets», що дозволяє досягти підвищення продуктивності на деяких системах з ядром Linux 6.x.
Джерело: opennet.ru