ProHoster > Blog > internet yangiliklari > OPAL apparat diskini shifrlashni qo'llab-quvvatlaydigan Cryptsetup 2.7 versiyasi

OPAL apparat diskini shifrlashni qo'llab-quvvatlaydigan Cryptsetup 2.7 versiyasi

Dm-crypt moduli yordamida Linuxda disk bo'limlarini shifrlashni sozlash uchun Cryptsetup 2.7 yordam dasturlari to'plami nashr etildi. Dm-crypt, LUKS, LUKS2, BITLK, loop-AES va TrueCrypt/VeraCrypt bo'limlari bilan ishlash qo'llab-quvvatlanadi. Shuningdek, u dm-verity va dm-integrity modullari asosida maʼlumotlar yaxlitligini boshqarish vositalarini sozlash uchun veritysetup va integritysetup yordamchi dasturlarini oʻz ichiga oladi.

Asosiy yaxshilanishlar:

  • OPAL2 TCG interfeysi bilan SED (O'z-o'zini shifrlovchi drayvlar) SATA va NVMe drayvlarida qo'llab-quvvatlanadigan OPAL apparat diskini shifrlash mexanizmidan foydalanish mumkin, bunda apparat shifrlash moslamasi to'g'ridan-to'g'ri kontrollerga o'rnatilgan. Bir tomondan, OPAL shifrlash xususiy apparat bilan bog'langan va davlat auditi uchun mavjud emas, lekin boshqa tomondan, u dasturiy ta'minotni shifrlashdan qo'shimcha himoya darajasi sifatida ishlatilishi mumkin, bu esa samaradorlikning pasayishiga olib kelmaydi. va protsessorda yuk yaratmaydi.

    LUKS2-da OPAL-dan foydalanish CONFIG_BLK_SED_OPAL opsiyasi bilan Linux yadrosini yaratish va uni Cryptsetup-da yoqishni talab qiladi (OPAL-ni qo'llab-quvvatlash sukut bo'yicha o'chirilgan). LUKS2 OPAL-ni sozlash dasturiy ta'minotni shifrlashga o'xshash tarzda amalga oshiriladi - metama'lumotlar LUKS2 sarlavhasida saqlanadi. Kalit dasturiy ta'minotni shifrlash uchun bo'lim kalitiga (dm-crypt) va OPAL uchun qulfni ochish kalitiga bo'lingan. OPAL dasturiy ta'minotni shifrlash bilan birgalikda ishlatilishi mumkin (cryptsetup luksFormat --hw-opal ) va alohida (cryptsetup luksFormat — hw-opal-faqat ). OPAL xuddi LUKS2 qurilmalaridagi kabi faollashtiriladi va o'chiriladi (ochish, yopish, luksSuspend, luksResume).

  • Oddiy rejimda, asosiy kalit va sarlavha diskda saqlanmaydi, standart shifr aes-xts-plain64 va sha256 xesh algoritmi (CBC rejimi o'rniga XTS ishlatiladi, unda ishlash muammolari mavjud va sha160 ishlatiladi). eskirgan ripemd256 xesh o'rniga).
  • Open va luksResume buyruqlari bo'lim kalitini foydalanuvchi tanlagan yadro kaliti (kalitlash) da saqlashga imkon beradi. Kalitlarga kirish uchun “--volume-key-keyring” opsiyasi ko‘plab kriptosetup buyruqlariga qo‘shilgan (masalan, “cryptsetup open” --link-vk-to-keyring "@s::%user:testkey" tst').
  • Almashtirish bo'limi bo'lmagan tizimlarda, formatni amalga oshirish yoki PBKDF Argon2 uchun kalit uyasi yaratish endi bo'sh xotiraning faqat yarmidan foydalanadi, bu esa kichik hajmdagi operativ xotiraga ega tizimlarda mavjud xotiraning tugashi muammosini hal qiladi.
  • Tashqi LUKS2 token ishlov beruvchilari (plaginlari) uchun katalogni belgilash uchun “--external-tokens-path” opsiyasi qo‘shildi.
  • tcrypt VeraCrypt uchun Blake2 xesh algoritmini qo'llab-quvvatladi.
  • Aria blok shifrini qo'llab-quvvatlash qo'shildi.
  • OpenSSL 2 va libgcrypt ilovalarida Argon3.2 uchun qo'shimcha qo'llab-quvvatlash, libargonga bo'lgan ehtiyojni bartaraf qiladi.

Manba: opennet.ru

a Izoh qo'shish