Выпуск Cryptsetup 2.0

13 декабря 2017 года

Доступен релиз набора утилит Cryptsetup 2.0, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, loop-AES и TrueCrypt с расширениями VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity.

В новой версии обеспечена поддержка дискового шифрования с использованием формата LUKS2, примечательного упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. Поддержка ранее используемого формата LUKS1 сохранена в полном объёме с обеспечением обратной совместимости. Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".

В новой версии также представлена поддержка аутентифицированного дискового шифрования (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём) и контроля целостности данных без шифрования на основе модуля ядра dm-integrity. Для управления модулем dm-integrity добавлена новая утилита integritysetup. Режим аутентифицированного дискового шифрования позволяет совместить защиту данных от чужих глаз и средства обеспечения целостности, как с позиции предотвращения скрытых случайных повреждений информации, так и для блокирования внесения неавторизированных изменений на дисковом уровне.

Среди других изменений:

• Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function), ориентированная на затруднение проведения параллелизированных атак по подбору пароля по словарю (не позволяет применять GPU из-за потребности в большом размере памяти для вычисления хэша).
• Добавлена опция "--pbkdf-force-iterations", позволяющая самостоятельно выбрать уровень защиты PBKDF, балансируя между затруднением словарного подбора и потреблением ресурсов CPU/потреблением памяти/задержкой при входе.
• Возможность использования хэш-функции Argon2 для создания ключей на основе заданного пользователем пароля.
• Поддержка применения встроенного в ядро Linuх хранилища ключей (Kernel keyring) для передачи ключей и паролей доступа к разделу. Поддержка автоматической активации раздела по находящемуся в хранилище ключей токену.
• Поддержка открытия разделов VeraCrypt, в которых используется Personal Iteration Multiplier (PIM).
• Возможность запоминания выбранных для разделов флагов (например, включение TRIM).
• Новая команда "--deferred" которая позволяет пометить устройство для удаления, но произвести удаление после того как оно перестанет использоваться (например, после отмонтирования связанного с ним разедела).