Dm şifreli cihazın I / O ek yükü?

10

Linux Masaüstü'nde (Ubuntu) tam disk şifreleme (kök bölüm dahil) olarak dm-crypt (LUKS) kullanılırken Okuma / Yazma yükü ne olur? Bu şekilde istiflemeyi planlıyorum: LUKS> LVM> ext4 Sistemde kullanılan CPU, 4GB RAM ile bir Core2 Duo 2.1 GHz olacaktır.

  • Böyle bir sistemin şifrelenmesi büyük / göze çarpan bir ek yük oluşturur mu?
  • İnternette yakın zamanda bir kıyaslama var mı? Kişisel deneyiminiz nedir?
  • Performansı artırmak için yapabileceğim ayarlar var mı?

Yardımınız için teşekkürler.

security  filesystems  performance  encryption 
jottr
kaynak

Yanıtlar:

12

Dm-crypt ile ilgili bir G / Ç ek yükü yoktur - sadece CPU ek yükü ...;)

Athlon 64 2.6 GHz çift çekirdekli bir sistemde, örneğin bir dm-crypt diskinden diğerine ~ 40 MB / sn (2.6.26 Çekirdek, Seagate 1.5 TB SATA diskleri) ile kopyalayabilirim.

Performans için mimariniz için optimize edilmiş aes modülünün yüklendiğinden emin olun, örn.

$ lsmod | grep aes
aes_x86_64             12416  6 
aes_generic            32552  1 aes_x86_64

Veri güvenliği ile ilgili olarak, dm-crypt nedeniyle yazma önbelleğini devre dışı bırakmaya gerek yoktur. Eski sürümler yazma engellerini desteklemedi, ancak 2010'dan bu yana (çekirdek 2.6.31 veya benzeri) dm-crypt bunları destekliyor (sırasıyla kuvvet-birim erişimi - FUA).

Btw, kök bölümünü şifrelemenin gerçekten mantıklı olmadığını iddia edebilir.

Ancak, takasın şifrelenmesi mantıklıdır.

maxschlepzig
kaynak
1
Ne yaptığınızı bilmediğinizde (veya yalnızca bildiğinizi düşündüğünüzde ) hdparm ile uğraşmanın sabit sürücülerinize zarar verebileceği de iddia edilebilir .
amphetamachine
Kök bölümün şifrelenmesi, tehdit modeliniz, bir rakibin geçici fiziksel erişim elde etme ve tek kullanıcı modunda veya bir USB sürücüden önyükleme ve key-logger veya rootkit gibi kötü amaçlı yazılım yükleme olasılığını içeriyorsa mantıklıdır. Normal kullanıcılar için, şifrelemeyi /tmp(`tmpfs ile monte edilmemişse) ve özel veri sızdırabilecek diğer dizinleri unutmayı da düşünmek zorunda değilsiniz.
Anthony Geoghegan
1
@ AnthonyGeoghegan, bu belki bazı rakiplere karşı etkilidir. Ancak, tanımladığınız tehdit modeline karşı koruma sağlamak için önyükleyiciyi güvenceye almanız gerekir (örneğin, önyükleyiciyi yürütmeden önce kriptografik olarak kontrol eden bir ürün yazılımı ile).
maxschlepzig
@maxschlepzig Bu yorumu daha önce yazarken çok düşündüm ama küçük bir yorum kutusunda sorumluluk reddi ve şartlarla denize girmek istemedim. İkinci neden muhtemelen daha önemlidir: FDE'yi (10 yaşındaki dizüstü bilgisayarımda) kullanıyorum, bu yüzden kimlik bilgileri ve özel anahtarlar /etcveya bir şekilde oturum açmış olan diğer hassas veriler /var/(endişeleniyorum, BTW ) hakkında endişelenmem gerekmiyor ).
Anthony Geoghegan
0

LVM anlık görüntüleri gerçekleştirmeyi planlıyorsanız, Ext4 kötü bir dosya sistemi seçeneği olabilir. Hem FS hem de LVM'de blok boyutları ile deneyime geçmeden önce canlı disk performansı kontrolü yapmayı öneririm. Benim deneyim Ext3 ile oldu, ama o zaman gördüğüm diğer makaleler Ext4 simüler sorunları olduğunu ima etti.

Dosya sistemi olarak XFS kullanarak çözdüm.

Michael Shaw
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.