一組 Cryptsetup 2.7 實用程序已發布,用於在 Linux 中使用 dm-crypt 模塊配置磁盤分區加密。 支持使用 dm-crypt、LUKS、LUKS2、BITLK、loop-AES 和 TrueCrypt/VeraCrypt 分區。 它還包括 veritysetup 和 integritysetup 實用程序,用於配置基於 dm-verity 和 dm-integrity 模塊的數據完整性控制。
主要改進:
- 可使用 OPAL 硬體磁碟加密機制,該機制受具有 OPAL2 TCG 介面的 SED(自加密磁碟機)SATA 和 NVMe 磁碟機支援,其中硬體加密裝置直接內建於控制器中。一方面,OPAL 加密與專有硬體綁定,不可用於公共審計,但另一方面,它可以用作軟體加密的額外保護級別,這不會導致效能下降並且不會對 CPU 造成負載。
在 LUKS2 中使用 OPAL 需要使用 CONFIG_BLK_SED_OPAL 選項建立 Linux 內核,並在 Cryptsetup 中啟用它(預設會停用 OPAL 支援)。設定 LUKS2 OPAL 的方式與軟體加密類似 - 元資料儲存在 LUKS2 標頭中。此金鑰分為用於軟體加密 (dm-crypt) 的分割金鑰和用於 OPAL 的解鎖金鑰。 OPAL 可與軟體加密一起使用 (cryptsetup luksFormat --hw-opal ),並分別(cryptsetup luksFormat —hw-opal-only )。 OPAL 的啟用和停用方式與 LUKS2 設備相同(開啟、關閉、luksSuspend、luksResume)。
- plain模式下,主金鑰和頭不儲存在磁碟上,預設密碼為aes-xts-plain64,雜湊演算法為sha256(使用XTS取代CBC模式,CBC模式存在效能問題,使用sha160而不是過時的ripemd256哈希)。
- open 和 luksResume 指令允許將分割區金鑰儲存在使用者選擇的核心金鑰環(keyring)中。要存取密鑰環,「--volume-key-keyring」選項已新增至許多 cryptsetup 命令中(例如「cryptsetup open --link-vk-to-keyring“@s::%user:testkey”tst')。
- 在沒有交換分區的系統上,為 PBKDF Argon2 執行格式化或創建密鑰槽現在僅使用一半的可用內存,這解決了 RAM 量較小的系統上可用內存不足的問題。
- 新增了「--external-tokens-path」選項來指定外部 LUKS2 令牌處理程序(外掛程式)的目錄。
- tcrypt 增加了對 VeraCrypt 的 Blake2 哈希演算法的支援。
- 新增了對 Aria 分組密碼的支援。
- 在 OpenSSL 2 和 libgcrypt 實作中加入了對 Argon3.2 的支持,從而不再需要 libargon。
來源: opennet.ru