پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > OPAL ہارڈویئر ڈسک انکرپشن کے لیے سپورٹ کے ساتھ Cryptsetup 2.7 کی ریلیز

OPAL ہارڈویئر ڈسک انکرپشن کے لیے سپورٹ کے ساتھ Cryptsetup 2.7 کی ریلیز

Cryptsetup 2.7 افادیت کا ایک سیٹ شائع کیا گیا ہے، جو dm-crypt ماڈیول کا استعمال کرتے ہوئے لینکس میں ڈسک پارٹیشنز کے انکرپشن کو ترتیب دینے کے لیے ڈیزائن کیا گیا ہے۔ dm-crypt، LUKS، LUKS2، BITLK، loop-AES اور TrueCrypt/VeraCrypt پارٹیشنز کو سپورٹ کرتا ہے۔ اس میں dm-verity اور dm-انٹیگریٹی ماڈیولز پر مبنی ڈیٹا انٹیگریٹی کنٹرولز کو ترتیب دینے کے لیے veritysetup اور integritysetup کی افادیت بھی شامل ہے۔

کلیدی اصلاحات:

  • OPAL2 TCG انٹرفیس کے ساتھ SED (Self-encrypting Drives) SATA اور NVMe ڈرائیوز پر تعاون یافتہ OPAL ہارڈویئر ڈسک انکرپشن میکانزم کا استعمال کرنا ممکن ہے، جس میں ہارڈویئر انکرپشن ڈیوائس کو براہ راست کنٹرولر میں بنایا گیا ہے۔ ایک طرف، OPAL انکرپشن ملکیتی ہارڈویئر سے منسلک ہے اور عوامی آڈٹ کے لیے دستیاب نہیں ہے، لیکن، دوسری طرف، اسے سافٹ ویئر انکرپشن پر اضافی سطح کے تحفظ کے طور پر استعمال کیا جا سکتا ہے، جو کارکردگی میں کمی کا باعث نہیں بنتا۔ اور CPU پر بوجھ نہیں بناتا۔

    LUKS2 میں OPAL استعمال کرنے کے لیے لینکس کرنل کو CONFIG_BLK_SED_OPAL آپشن کے ساتھ بنانے اور اسے Cryptsetup میں فعال کرنے کی ضرورت ہوتی ہے (OPAL سپورٹ بذریعہ ڈیفالٹ غیر فعال ہے)۔ LUKS2 OPAL کو ترتیب دینا اسی طرح سافٹ ویئر انکرپشن کی طرح کیا جاتا ہے - میٹا ڈیٹا LUKS2 ہیڈر میں محفوظ ہوتا ہے۔ کلید کو سافٹ ویئر انکرپشن (dm-crypt) کے لیے پارٹیشن کلید اور OPAL کے لیے ایک انلاک کلید میں تقسیم کیا گیا ہے۔ OPAL کو سافٹ ویئر انکرپشن کے ساتھ استعمال کیا جا سکتا ہے (cryptsetup luksFormat --hw-opal )، اور الگ سے (cryptsetup luksFormat —hw-opal-only )۔ OPAL کو اسی طرح فعال اور غیر فعال کیا جاتا ہے (اوپن، بند، luksSuspend، luksResume) جیسا کہ LUKS2 آلات کے لیے ہے۔

  • سادہ موڈ میں، جس میں ماسٹر کلید اور ہیڈر ڈسک پر محفوظ نہیں ہوتے ہیں، پہلے سے طے شدہ سائفر aes-xts-plain64 ہے اور ہیشنگ الگورتھم sha256 (XTS CBC موڈ کے بجائے استعمال کیا جاتا ہے، جس میں کارکردگی کے مسائل ہیں، اور sha160 استعمال کیا جاتا ہے۔ فرسودہ ripemd256 ہیش کے بجائے)۔
  • اوپن اور luksResume کمانڈز پارٹیشن کی کو صارف کے منتخب کردہ کرنل کیرنگ (کیرنگ) میں محفوظ کرنے کی اجازت دیتی ہیں۔ کیرنگ تک رسائی حاصل کرنے کے لیے، "--volume-key-keyring" آپشن کو بہت سی کریپٹ سیٹ اپ کمانڈز میں شامل کیا گیا ہے (مثال کے طور پر 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst')۔
  • تبدیل شدہ تقسیم کے بغیر سسٹمز پر، فارمیٹ کرنے یا PBKDF Argon2 کے لیے کلیدی سلاٹ بنانے میں اب صرف آدھی مفت میموری استعمال ہوتی ہے، جو کہ تھوڑی مقدار میں RAM والے سسٹمز پر دستیاب میموری کے ختم ہونے کا مسئلہ حل کرتی ہے۔
  • بیرونی LUKS2 ٹوکن ہینڈلرز (پلگ انز) کے لیے ڈائریکٹری کی وضاحت کرنے کے لیے "-external-tokens-path" کا اختیار شامل کیا گیا۔
  • tcrypt نے VeraCrypt کے لیے Blake2 ہیشنگ الگورتھم کے لیے تعاون شامل کیا ہے۔
  • Aria بلاک سائفر کے لیے تعاون شامل کر دیا گیا۔
  • OpenSSL 2 اور libgcrypt کے نفاذ میں Argon3.2 کے لیے سپورٹ شامل کیا گیا، libargon کی ضرورت کو ختم کر دیا۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں