
Cryptsetup oferuje interfejs wiersza poleceń do konfigurowania woluminów kryptograficznych
Zostało przekazane dowiedz się o wydaniu nowej wersji Cryptsetup 2.7, wersja, w której główną nowością jest wprowadzenie obsługi szyfrowania OPAL, a także ulepszenia obsługi i nie tylko.
Ci, którzy nie wiedzą o Cryptsetup, powinni wiedzieć, że tak jest narzędzie typu open source służące do wygodnej konfiguracji szyfrowania dysku oparty na module jądra dm-crypt. Umożliwia użytkownikom tworzenie, otwieranie, zamykanie, zmianę rozmiaru i weryfikację zaszyfrowanych woluminów. Cryptsetup jest powszechnie używany do pracy z urządzeniami LUKS, co jest standardową specyfikacją branżową dotyczącą konfiguracji szyfrowania dysku w systemie Linux.
Projekt zawiera również narzędzie veritysetup który służy do wygodnej konfiguracji modułu jądra sprawdzającego integralność bloku dm-verity oraz modułu integralności jądra do konfigurowania modułu jądra integralności bloku dm-integrity.
Główne nowe funkcje Cryptsetup 2.7
W tej nowej wersji Cryptsetup 2.7, która jest prezentowana, jak już wspomniano na początku, Najważniejszą zmianą jest wprowadzenie obsługi sprzętowego szyfrowania dysków OPAL, który jest kompatybilny z dyskami samoszyfrującymi SATA i NVMe (SED – Self-Encrypting Drives) wyposażonymi w interfejs OPAL2 TCG. W tym mechanizmie sprzętowe urządzenie szyfrujące jest bezpośrednio zintegrowane ze sterownikiem.
Aby umożliwić wykorzystanie OPAL-a w LUKS2 konieczna jest kompilacja jądra Linux z opcją CONFIG_BLK_SED_OPAL i włącz ją w Cryptsetup, ponieważ obsługa OPAL jest domyślnie wyłączona. Konfiguracja LUKS2 OPAL odbywa się podobnie do szyfrowania programowego, przechowując metadane w nagłówku LUKS2. Klucz jest podzielony na klucz partycji do szyfrowania oprogramowania (dm-crypt) i klucz odblokowujący dla OPAL. OPAL może być używany w połączeniu z szyfrowaniem programowym lub niezależnie. Aktywację i dezaktywację przeprowadza się analogicznie jak w przypadku urządzeń LUKS2 za pomocą poleceń takich jak otwórz, zamknij, luksSuspend i luksResume
Kolejną wyróżniającą się zmianą jest tryb prosty, gdzie klucz główny i nagłówek nie są przechowywane na dysku, Domyślne szyfrowanie to aes-xts-plain64, a algorytm mieszający to sha256. XTS jest preferowany w stosunku do trybu CBC ze względu na problemy z wydajnością, a zamiast przestarzałego skrótu ripmd256 używany jest sha160.
Poza tym teraz Polecenia `open` i `luksResume` w Cryptsetup pozwalają na przechowywanie klucza partycji w pliku kluczy jądra wybrany przez użytkownika, zwany także pękiem kluczy. Osiąga się to poprzez użycie opcji `-volume-key-keyring`, która została dodana do wielu poleceń Cryptsetup.
W systemach, które nie mają partycji wymiany, formatowanie lub tworzenie szczeliny na klucze dla PBKDF Argon2 zużywa teraz tylko połowę wolnej pamięci. To ulepszenie rozwiązuje problem braku dostępnej pamięci w systemach z ograniczoną ilością pamięci RAM, poprawiając wydajność i niezawodność procesu szyfrowania i deszyfrowania w takich środowiskach.
Podkreśla się również, że Dodano obsługę szyfrowania Aria i informacje o rozmiarze bloku. Szyfrowanie Aria jest podobne do AES i obsługuje szyfrowanie jądra Linux, a teraz można go również używać do szyfrowania szczeliny kluczy LUKS.
z inne wyróżniające się zmiany:
- Dodano opcję „–external-token-path” umożliwiającą określenie katalogu dla zewnętrznych sterowników (wtyczek) tokenów LUKS2.
- Dodano obsługę kompilacji w Meson
- tcrypt dodał obsługę algorytmu skrótu Blake2 do VeraCrypt.
- Dodano obsługę szyfru blokowego Aria.
- Dodano obsługę Argon2 w implementacjach OpenSSL 3.2 i libgcrypt, eliminując potrzebę libargonu.
- Naprawiono wyświetlanie rozmiaru sektora innego niż LUKS2 i pól integralności
- Naprawiono zawieszenie LUKS2 z uwierzytelnionym szyfrowaniem
- Obsługiwana jest teraz implementacja OpenSSL 3.2 Argon2
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.