Cryptsetup是一个用于配置和管理Linux统一密钥设置(LUKS)的实用程序,LUKS是一种用于硬盘加密的标准。使用它,用户可以对整个磁盘分区甚至个别文件进行加密,增强存储数据的安全性。

通常情况下,它与dm-crypt内核模块一起使用,该模块提供了实际的加密功能。该工具提供了命令行界面,允许用户轻松创建、访问和管理加密卷。

刚刚发布的新版本Cryptsetup 2.7.0 带来了一些令人兴奋的新功能,让我们来看看它们。

Cryptsetup 2.7.0 的亮点

这个版本的亮点是引入了对硬件OPAL磁盘加密的支持。该功能适用于使用OPAL2 TCG接口的自加密驱动器(SED),包括SATA和NVMe设备。

Cryptsetup与这项技术的整合为用户提供了一个颇具争议但功能强大的选项:依赖硬件加密,这需要对专有硬件的信任,或者通过在硬件和软件加密层叠以增强安全性。

LUKS2 中的实现尤为值得注意。它通过Linux内核的SED OPAL接口实现硬件加密,要求启用 CONFIG_BLK_SED_OPAL Linux内核选项。值得注意的是,OPAL加密默认情况下未启用,需要特定的 luksFormat 参数来激活。

该版本还解决了实施OPAL加密的实际问题。例如,如果OPAL设备进行了出厂重置,Cryptsetup会配置OPAL管理用户和密码。有趣的是,LUKS密码和OPAL密码是不同的,前者用于解锁LUKS密钥槽并配置OPAL锁定范围。

除了OPAL支持外,Cryptsetup 2.7.0 还引入了几项其他增强和修复。这些包括将纯文本模式中的默认密码设为aes-xts-plain64,并将密码散列更新为sha256,在处理卷密钥、性能优化以及扩展对各种加密技术(如Argon2和Aria密码)的支持方面都有改进。

兼容性注意事项警告用户可能存在与旧驱动器的兼容性问题,并强调了一些限制,例如与USB外部适配器的不兼容性以及对其他TCG安全子系统(如Ruby或Pyrite)的支持不足。值得注意的是,更新建议不要完全信任硬件供应商的硬件加密。

你可以阅读有关 Cryptsetup 2.7.0 的所有新功能的公告,以了解更多信息。

发表回复