#51890 – Захардкожен устаревший шифр aes-cbc-essiv:sha256

Bug 51890 - Захардкожен устаревший шифр aes-cbc-essiv:sha256

Summary: Захардкожен устаревший шифр aes-cbc-essiv:sha256

Status:	REOPENED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	evms (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Олег Соловьев
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2024-10-30 14:49 MSK by Андрей
Modified:	2024-11-13 15:21 MSK (History)
CC List:	3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Андрей 2024-10-30 14:49:17 MSK

При установке ALT при создании зашифрованного раздела устанавливается устаревший шифр aes-cbc-essiv, из-за этого если конвертировать этот раздел в luks2 с 4k секторами, grub с ним не может работать. Этот шифр не используется по умолчанию в cryptsetup с версии 1.6.0, рекомендуется использовать aes-xts-plain64.

Comment 1 Repository Robot 2024-11-07 16:45:16 MSK

evms-2.5.5-alt83 -> sisyphus:

 Wed Nov 06 2024 Oleg Solovyov <mcpain@altlinux> 2.5.5-alt83
 - custom error messages:
   + LVM: volume group name is in use
   + DOS: no acceptable objects given (Closes: #51897)
 - LUKS: change default cypher to cryptsetup default (Closes: #51890)

Comment 2 Андрей 2024-11-13 15:21:02 MSK

Был использовал в исправлении не тот шифр, нужно использовать шифр без hash sha256 в названии шифра (т.е. просто aes-xts-plain64), вот отрывок из man страницы cryptsetup:

If a hash is part of the cipher specification, then it is used as part of the IV generation. For example, ESSIV needs a hash function, while "plain 64" does not and hence none