Cryptsetup 2.7.0推出高级OPAL硬件加密支持

Cryptsetup是一个用于配置和管理Linux统一密钥设置（LUKS）的实用程序，LUKS是硬盘加密的标准。使用它，用户可以对整个磁盘分区甚至单个文件进行加密，从而增强存储数据的安全性。

它通常与dm crypt内核模块一起使用，后者提供实际的加密功能。该工具提供了一个命令行界面，允许用户轻松创建、访问和管理加密卷。

刚刚发布的新版本Cryptsetup 2.7.0带来了一些令人兴奋的新功能，让我们来看看它们。

Cryptsetup 2.7.0亮点

本版本重点介绍了对硬件OPAL磁盘加密的支持。此功能适用于使用OPAL2 TCG接口的自加密驱动器（SED）SATA和NVMe设备。

Cryptsetup与这项技术的集成为用户提供了一个有争议但功能强大的选择：依赖硬件加密，这需要对专有硬件的信任，或者通过分层硬件和软件加密来增强安全性。

LUKS2的实施尤其值得注意。它通过Linux内核SED OPAL接口启用硬件加密，并要求启用CONFIG_BLK_SED_OPAL Linux内核选项。值得注意的是，OPAL加密在默认情况下不启用，并且需要特定的luksFormat参数才能激活。

该版本还涉及实现OPAL加密的实际方面。例如，如果OPAL设备是出厂重置的，Cryptsetup会配置OPAL管理员用户和密码。有趣的是，LUKS密码短语和OPAL密码是不同的，前者解锁LUKS密钥槽并配置OPAL锁定范围。

除了对OPAL的支持，Cryptsetup 2.7.0还引入了其他一些增强和修复。其中包括将普通模式下的默认密码设置为aes-xs-plain64，并将密码哈希更新为sha256，改进批量密钥的处理，性能优化，以及扩展对各种加密技术的支持，如Argon2和Aria密码。

兼容性说明提醒用户注意旧驱动器的潜在问题，并强调了与USB外部适配器不兼容以及缺乏对Ruby或Pyrite等其他TCG安全子系统的支持等限制。值得注意的是，更新建议不要在不完全信任硬件供应商的情况下仅使用硬件进行加密。

查看公告，了解有关Cryptsetup 2.7.0中所有新颖功能的更多信息。