Cryptsetup 2.7 introduce el soporte de cifrado OPAL y más

Cryptsetup

Cryptsetup ofrece una interfaz de línea de comandos para configurar volúmenes criptográficos

Se dio a conocer el lanzamiento de la nueva versión de Cryptsetup 2.7, versión en la cual la principal novedad es la introduccion del soporte para el cifrado OPAL, asi como también las mejoras de soporte y más.

Para quienes desconocen de Cryptsetup, deben saber que esta es una utilidad de código abierto que se utiliza para configurar cómodamente el cifrado de disco basado en el módulo del kernel dm-crypt. Permite a los usuarios crear, abrir, cerrar, redimensionar y verificar volúmenes cifrados. Cryptsetup se utiliza comúnmente para trabajar con dispositivos LUKS, que es una especificación estándar de la industria para la configuración de cifrado de disco en Linux.

El proyecto también incluye una utilidad veritysetup que se utiliza para configurar convenientemente el módulo del núcleo de verificación de integridad del bloque dm-verity y el módulo de integridad del núcleo para configurar el módulo del núcleo de integridad del bloque dm-integrity.

Principales novedades de Cryptsetup 2.7

En esta nueva versión que se presenta de Cryptsetup 2.7, como ya se mencionó al principio, el cambio más importante es la introduccion del soporte para el cifrado de disco de hardware OPAL, el cual es compatible con unidades SATA y NVMe de autocifrado (SED – Self-Encrypting Drives) con la interfaz OPAL2 TCG. En este mecanismo, el dispositivo de cifrado de hardware está integrado directamente en el controlador.

Para habilitar el uso de OPAL en LUKS2, es necesario compilar el kernel de Linux con la opción CONFIG_BLK_SED_OPAL y habilitarlo en Cryptsetup, ya que la compatibilidad con OPAL está deshabilitada por defecto. La configuración de LUKS2 OPAL se realiza de manera similar al cifrado de software, almacenando los metadatos en el encabezado de LUKS2. La clave se divide en una clave de partición para el cifrado de software (dm-crypt) y una clave de desbloqueo para OPAL. OPAL puede utilizarse junto con el cifrado de software o de forma independiente. Se activa y desactiva de la misma manera que para los dispositivos LUKS2, utilizando comandos como open, close, luksSuspend y luksResume

Otro de los cambios que se destaca, es en el modo simple, donde la clave maestra y el encabezado no se almacenan en el disco, el cifrado predeterminado es aes-xts-plain64 y el algoritmo hash es sha256. Se prefiere XTS sobre el modo CBC debido a problemas de rendimiento, y se utiliza sha256 en lugar del anticuado hash ripmd160.

Además de ello, ahora los comandos `open` y `luksResume` en Cryptsetup permiten que la clave de partición se almacene en un conjunto de claves del kernel seleccionado por el usuario, también conocido como llavero. Esto se logra mediante el uso de la opción `–volume-key-keyring`, que se ha agregado a muchos comandos de Cryptsetup.

En sistemas que no tienen una partición de intercambio, realizar un formato o crear una keyslot para PBKDF Argon2 ahora solo utiliza la mitad de la memoria libre. Esta mejora resuelve el problema de quedarse sin memoria disponible en sistemas con una cantidad limitada de RAM, lo que mejora la eficiencia y la fiabilidad del proceso de cifrado y descifrado en tales entornos.

También se destaca que se añadió el soporte de cifrado Aria e información sobre el tamaño del bloque. El cifrado Aria es similar a AES y es compatible con el cifrado del kernel de Linux, ademas de que ahora también se puede utilizar para el cifrado de keyslots de claves LUKS.

De los demás cambios que se destacan:

  • Se agregó la opción «–external-tokens-path» para especificar el directorio para los controladores de tokens LUKS2 externos (complementos).
  • Se añadio el soporte para la compilacion en Meson
  • tcrypt ha agregado soporte para el algoritmo hash Blake2 para VeraCrypt.
  • Se agregó soporte para el cifrado de bloque Aria.
  • Se agregó soporte para Argon2 en las implementaciones de OpenSSL 3.2 y libgcrypt, eliminando la necesidad de libargon.
  • Se corrigió la visualización de los campos de integridad y tamaño del sector que no son LUKS2
  • Se corrigió la suspensión para LUKS2 con cifrado autenticado
  • Ya se admite la implementación de OpenSSL 3.2 Argon2

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.