Cryptsetup предлагает интерфейс командной строки для настройки криптографических томов.

Это было дано узнать о выходе новой версии Cryptsetup 2.7, версия, в которой основной новинкой является введение поддержки шифрования OPAL, а также улучшения поддержки и многое другое.

Для тех, кто не знает о Cryptsetup, следует знать, что это утилита с открытым исходным кодом, используемая для удобной настройки шифрования диска на основе модуля ядра dm-crypt. Позволяет пользователям создавать, открывать, закрывать, изменять размер и проверять зашифрованные тома. Cryptsetup обычно используется для работы с устройствами LUKS, который является отраслевым стандартом конфигурации шифрования диска в Linux.

В рамках проекта также включает утилиту veritysetup который используется для удобной настройки модуля ядра проверки целостности блоков dm-verity и модуля целостности ядра для настройки модуля ядра целостности блоков dm-integrity.

Основные новые возможности Cryptsetup 2.7

В этой новой версии Cryptsetup 2.7, представленной, как уже упоминалось вначале, Самым важным изменением является введение поддержки аппаратного шифрования диска OPAL., который совместим с дисками с самошифрованием SATA и NVMe (SED — Self-Encrypting Drives) с интерфейсом OPAL2 TCG. В этом механизме устройство аппаратного шифрования напрямую интегрировано в контроллер.

Чтобы включить использование OPAL в LUKS2, необходимо скомпилировать ядро Linux с опцией CONFIG_BLK_SED_OPAL и включите ее в Cryptsetup., поскольку поддержка OPAL по умолчанию отключена. Настройка LUKS2 OPAL выполняется аналогично программному шифрованию, при этом метаданные сохраняются в заголовке LUKS2. Ключ разделен на ключ раздела для программного шифрования (dm-crypt) и ключ разблокировки для OPAL. OPAL может использоваться совместно с программным шифрованием или независимо. Он активируется и деактивируется так же, как и для устройств LUKS2, с помощью таких команд, как open, close, luksSuspend и luksResume.

Еще одно заметное изменение касается простого режима, где мастер-ключ и заголовок не хранятся на диске, Шифрование по умолчанию — aes-xts-plain64, а алгоритм хеширования — sha256. XTS предпочтительнее режима CBC из-за проблем с производительностью, а вместо устаревшего хэша ripmd256 используется sha160.

Помимо этого, теперь Команды `open` и `luksResume` в Cryptsetup позволяют хранить ключ раздела в связке ключей ядра. выбранный пользователем, также известный как брелок. Это достигается с помощью опции `-volume-key-keyring`, которая была добавлена ​​во многие команды Cryptsetup.

В системах, где нет раздела подкачки, выполнение форматирования или создание слота для PBKDF Argon2 теперь использует только половину свободной памяти. Это улучшение решает проблему нехватки доступной памяти в системах с ограниченным объемом оперативной памяти, повышая эффективность и надежность процесса шифрования и дешифрования в таких средах.

Также подчеркивается, что Добавлена ​​поддержка шифрования Aria и информация о размере блока. Шифрование Aria аналогично AES и поддерживает шифрование ядра Linux, а теперь его также можно использовать для шифрования слотов ключей LUKS.

Из другие выделяющиеся изменения:

• Добавлен параметр «-external-tokens-path», позволяющий указать каталог для внешних драйверов токенов LUKS2 (плагинов).
• Добавлена ​​поддержка компиляции в Meson.
• tcrypt добавил поддержку алгоритма хеширования Blake2 в VeraCrypt.
• Добавлена ​​поддержка блочного шифра Aria.
• Добавлена ​​поддержка Argon2 в реализациях OpenSSL 3.2 и libgcrypt, что устраняет необходимость в libargon.
• Исправлено отображение полей размера и целостности сектора, отличных от LUKS2.
• Исправлено зависание для LUKS2 с аутентифицированным шифрованием.
• Реализация OpenSSL 3.2 Argon2 теперь поддерживается.

В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.