В конце июня 2025 года состоялся релиз открытого проекта Cryptsetup 2.8. Это набор утилит для настройки шифрования дисковых разделов в Linux при помощи модуля dm‑crypt. Решение поддерживает работу с разделами dm‑crypt, LUKS, LUKS2, BITLK, loop‑AES и TrueCrypt/VeraCrypt. Разработка проекта под лицензией GNU General Public License v2.0 ведётся с марта 2015 года.
В состав Cryptsetup также входят утилиты veritysetup и integritysetup для настройки контроля целостности данных на основе модулей dm‑verity и dm‑integrity.
По информации OpenNET, основные улучшения и доработки в Cryptsetup 2.8:
добавлена поддержка inline‑режима, позволяющего использовать расширенные секторы с дополнительной областью для хранения метаданных. Подобные секторы поддерживаются некоторыми NVMe‑накопителями, позволяющими помимо области с данными размещать в секторе и блок метаданных (например, 4096 байт под данные + 64 байт под метаданные);
Cryptsetup может использовать область метаданных в секторе для хранения служебной информации, что избавляет от необходимости задействования дополнительного слоя на базе dm‑integrity, отвечающего за выделение места под метаданные. Соответственно, можно обойтись без ведения журнала dm‑integrity, являющегося узким местом, негативно влияющим на производительность. В ядре Linux возможности, необходимые для работы inline‑режима, присутствуют начиная с выпуска 6.11. Для включения inline‑режима добавлена опция «‑integrity‑inline»;
доведён до готовности API Keyslot Context для манипуляции со слотами ключей. Новый API позволил расширить функциональность многих существующих команд, такими функциями, как активация токенов, возобновления работы с приостановленным зашифрованным устройством и выполнение повторного шифрования (reencryption);
в утилиту cryptsetup добавлены опции «‑key‑description» и «‑new‑key‑description» для прикрепления описания к ключам;
добавлена возможность возобновления приостановленной операции повторного шифрования (reencryption), используя токен и ключи раздела;
в реализацию команды repair добавлена проверка повреждения областей со слотами ключей LUKS;
в команду veritysetup добавлена опция «‑error‑as‑corruption» при которой любые ошибки обрабатываются как повреждение данных, соответственно, можно настроить перезагрузку или переход в состояние panic при ошибках, в случае использования опций «‑restart‑on‑corruption» и «‑panic‑on‑corruption»;
добавлена опциональная возможность использования библиотеки Mbed‑TLS в качестве крипто‑бэкенда (включается при сборке с опцией «‑with‑crypto_backend=mbedtls»).
Источник: habr.com