一组 Cryptsetup 2.6 实用程序已发布,用于在 Linux 中使用 dm-crypt 模块配置磁盘分区加密。 支持使用 dm-crypt、LUKS、LUKS2、BITLK、loop-AES 和 TrueCrypt/VeraCrypt 分区。 它还包括 veritysetup 和 integritysetup 实用程序,用于配置基于 dm-verity 和 dm-integrity 模块的数据完整性控制。
主要改进:
- 添加了对使用 FileVault2 机制加密的存储设备的支持,该机制用于 macOS 中的全盘加密。 Cryptsetup 与 hfsplus 驱动程序相结合,现在可以在具有常规 Linux 内核的系统上以读写模式打开 FileVault2 加密的 USB 驱动器。 支持访问具有 HFS + 文件系统和 Core Storage 分区的驱动器(尚不支持具有 APFS 的分区)。
- libcryptsetup 库通过 mlockall() 调用避免了对所有内存的全局锁定,该调用用于防止敏感数据泄漏到交换分区。 由于在没有 root 权限的情况下运行时超出了阻塞内存的最大大小限制,新版本仅对存储加密密钥的内存区域应用选择性锁定。
- 执行密钥生成 (PBKDF) 的进程的优先级已增加。
- 除了之前支持的密码短语和密钥文件之外,还添加了将 LUKS2 令牌和二进制密钥添加到 LUKS 密钥槽(keyslot)的功能。
- 提供了使用密码、密钥文件或令牌提取分区键的功能。
- 向 veritysetup 添加了“--use-tasklets”选项,以提高某些 Linux 6.x 内核系统的性能。
来源: opennet.ru