I / O-phí của thiết bị được mã hóa dm?

10

Điều gì sẽ là Đọc / Viết trên đầu khi sử dụng dm-crypt (LUKS) làm mã hóa toàn bộ đĩa (bao gồm cả phân vùng gốc) trên Máy tính để bàn Linux (Ubuntu)? Tôi dự định xếp chồng nó như vậy: LUKS> LVM> ext4 CPU được sử dụng trên hệ thống sẽ là Core2 Duo 2.1 GHz với 4GB RAM.

  • Mã hóa của một hệ thống như vậy sẽ tạo ra một chi phí lớn / đáng chú ý?
  • Có bất kỳ điểm chuẩn gần đây được tìm thấy trên mạng? Kinh nghiệm cá nhân của bạn là gì?
  • Có bất kỳ cài đặt nào tôi có thể thực hiện để cải thiện hiệu suất không?

Thx giúp bạn.

security  filesystems  performance  encryption 
jottr
nguồn

Câu trả lời:

12

Không có chi phí I / O liên quan đến dm-crypt - chỉ có chi phí CPU ...;)

Ví dụ, trên hệ thống lõi kép Athlon 64 2,6 GHz, tôi có thể sao chép từ một đĩa mã hóa dm sang đĩa khác với ~ 40 MB / giây (2.6,26 Kernel, đĩa Seagate 1,5 TB SATA).

Để thực hiện, hãy đảm bảo rằng mô-đun aes được tối ưu hóa cho kiến ​​trúc của bạn đã được tải, ví dụ:

$ lsmod | grep aes
aes_x86_64             12416  6 
aes_generic            32552  1 aes_x86_64

Về an toàn dữ liệu, không cần phải vô hiệu hóa bộ đệm ghi vì dm-crypt. Các phiên bản cũ không hỗ trợ các rào cản ghi, nhưng kể từ năm 2010 (kernel 2.6.31 trở lên) dm-crypt không hỗ trợ chúng (truy cập theo đơn vị lực lượng tương ứng - FUA).

Btw, người ta có thể lập luận rằng việc mã hóa phân vùng gốc không thực sự có ý nghĩa.

Tuy nhiên, trao đổi mã hóa có ý nghĩa.

maxschlepzig
nguồn
1
Người ta cũng có thể tranh luận rằng việc gây rối với hdparm khi bạn không biết những gì bạn đang làm (hoặc chỉ nghĩ rằng bạn biết) có thể làm hỏng ổ cứng của bạn.
amphetamachine
Mã hóa phân vùng gốc có ý nghĩa nếu mô hình mối đe dọa của bạn bao gồm khả năng kẻ thù có được quyền truy cập vật lý tạm thời và khởi động ở chế độ người dùng hoặc từ ổ USB và cài đặt phần mềm độc hại như key-logger hoặc rootkit. Đối với người dùng thông thường, điều đó cũng có nghĩa là không phải lo lắng về việc quên mã hóa /tmp(nếu nó không được gắn với `tmpfs) và bất kỳ thư mục nào khác có thể rò rỉ dữ liệu riêng tư.
Anthony Geoghegan
1
@AnthonyGeoghegan, điều này có lẽ hiệu quả đối với một số đối thủ. Nhưng để bảo vệ chống lại mô hình mối đe dọa mà bạn mô tả, bạn cũng phải bảo mật bộ tải khởi động (ví dụ: với phần sụn kiểm tra mật mã bộ tải khởi động trước khi thực hiện nó).
maxschlepzig
@maxschlepzig Điều đó rất hay xảy ra với tôi khi tôi viết bình luận trước đó nhưng tôi không muốn quá nhiệt tình với những lời từ chối và khiêu khích trong một hộp bình luận nhỏ. Lý do thứ hai có lẽ quan trọng hơn: Tôi sử dụng FDE (trên máy tính xách tay 10 tuổi của mình) vì vậy tôi không phải lo lắng (nhiều) về thông tin đăng nhập và khóa riêng trong /etchoặc một số dữ liệu nhạy cảm khác bằng cách nào đó được đăng nhập /var/(được nâng cấp, BTW ).
Anthony Geoghegan
0

Ext4 có thể là một lựa chọn tồi của hệ thống tập tin nếu bạn dự định thực hiện các ảnh chụp nhanh LVM. Tôi sẽ khuyên bạn nên kiểm tra hiệu suất đĩa đáng kể trước khi phát hành trực tuyến, thử nghiệm với kích thước khối trên cả FS và LVM. Kinh nghiệm của tôi là với Ext3, nhưng các bài báo khác mà tôi thấy vào thời điểm đó ngụ ý rằng Ext4 có vấn đề về mô phỏng.

Tôi đã giải quyết nó bằng cách sử dụng XFS làm hệ thống tập tin.

Michael Shaw
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.