Một bộ tiện ích Cryptsetup 2.7 đã được xuất bản để định cấu hình mã hóa phân vùng đĩa trong Linux bằng mô-đun dm-crypt. Hoạt động với các phân vùng dm-crypt, LUKS, LUKS2, BITLK, loop-AES và TrueCrypt/VeraCrypt được hỗ trợ. Nó cũng bao gồm các tiện ích veritysetup và integrationsetup để định cấu hình các điều khiển tính toàn vẹn của dữ liệu dựa trên các mô-đun dm-verity và dm-integrity.
Cải tiến chính:
- Có thể sử dụng cơ chế mã hóa ổ đĩa phần cứng OPAL, được hỗ trợ trên các ổ đĩa SATA và NVMe SED (Ổ đĩa tự mã hóa) với giao diện OPAL2 TCG, trong đó thiết bị mã hóa phần cứng được tích hợp trực tiếp vào bộ điều khiển. Một mặt, mã hóa OPAL được gắn với phần cứng độc quyền và không có sẵn để kiểm tra công khai, nhưng mặt khác, nó có thể được sử dụng như một mức độ bảo vệ bổ sung đối với mã hóa phần mềm mà không dẫn đến giảm hiệu suất và không tạo tải cho CPU.
Việc sử dụng OPAL trong LUKS2 yêu cầu xây dựng nhân Linux với tùy chọn CONFIG_BLK_SED_OPAL và kích hoạt nó trong Cryptsetup (hỗ trợ OPAL bị tắt theo mặc định). Việc thiết lập LUKS2 OPAL được thực hiện theo cách tương tự như mã hóa phần mềm - siêu dữ liệu được lưu trữ trong tiêu đề LUKS2. Khóa được chia thành khóa phân vùng để mã hóa phần mềm (dm-crypt) và khóa mở khóa cho OPAL. OPAL có thể được sử dụng cùng với mã hóa phần mềm (cryptsetup luksFormat --hw-opal ) và riêng biệt (cryptsetup luksFormat —hw-opal-only ). OPAL được kích hoạt và hủy kích hoạt theo cách tương tự (mở, đóng, luksSuspend, luksResume) như đối với các thiết bị LUKS2.
- Ở chế độ đơn giản, trong đó khóa chính và tiêu đề không được lưu trữ trên đĩa, mật mã mặc định là aes-xts-plain64 và thuật toán băm sha256 (XTS được sử dụng thay cho chế độ CBC, có vấn đề về hiệu suất và sha160 được sử dụng thay vì hàm băm ripmd256 đã lỗi thời).
- Các lệnh open và luksResume cho phép khóa phân vùng được lưu trữ trong chuỗi khóa hạt nhân do người dùng chọn (khóa). Để truy cập vào chuỗi khóa, tùy chọn “--volume-key-keyring” đã được thêm vào nhiều lệnh cryptsetup (ví dụ: 'cryptsetup open --link-vk-to-keyring "@s::%user:testkey" tst').
- Trên các hệ thống không có phân vùng trao đổi, việc thực hiện định dạng hoặc tạo khe khóa cho PBKDF Argon2 giờ đây chỉ sử dụng một nửa bộ nhớ trống, điều này giải quyết vấn đề hết bộ nhớ khả dụng trên các hệ thống có dung lượng RAM nhỏ.
- Đã thêm tùy chọn "--external-tokens-path" để chỉ định thư mục cho trình xử lý mã thông báo LUKS2 bên ngoài (plugin).
- tcrypt đã thêm hỗ trợ cho thuật toán băm Blake2 cho VeraCrypt.
- Đã thêm hỗ trợ cho mật mã khối Aria.
- Đã thêm hỗ trợ cho Argon2 trong triển khai OpenSSL 3.2 và libgcrypt, loại bỏ nhu cầu về libargon.
Nguồn: opennet.ru