Apakah enkripsi LUKS memengaruhi TRIM? (SSD dan linux)

9

Saya pindah ke Linux ketika SSD baru tiba. SSD memberikan peningkatan kinerja, jadi saya pikir saya bisa mengenkripsi semuanya.

Tapi kemudian saya berpikir tentang TRIM , dan pengumpulan sampah di drive. Akankah drive terenkripsi LUKS memengaruhi sistem pengumpulan sampah? (MEMANGKAS).

linux ssd trim luks Algific
sumber

Jawaban:

5

Saya mengirim email kepada mereka. Dan TRIM tidak akan berfungsi. Karena OS tidak tahu di mana file disimpan. Hanya sistem terenkripsi yang mengetahuinya. Karena fakta bahwa enkripsi lebih dulu. Saya akan menggunakan truecrypt sebagai gantinya. Di atas sistem file untuk folder rumah saya.

Algific
sumber
Hanya untuk referensi: Bisakah Anda memberi tahu kami siapa "mereka"? Pengembang ubuntu?
c089
Saya kira maksudnya adalah pengembang LUKS. Ubuntu menggunakan ecryptfs, afaik.
Manuel Faux
Bagaimana ini berhubungan dengan jawaban lain di sini? Saya kira ini sudah usang sekarang.
d33tah
2

Tidak. Blok yang kosong masih akan terdaftar sebagai kosong dan karenanya akan DIPERPAKAI.

Bahkan jika drive Anda dienkripsi, drive itu sendiri tidak tahu apa-apa tentang enkripsi, hanya di mana data berada (dan ruang mana yang tidak digunakan saat ini). Jadi itu akan baik-baik saja.

Adapun kinerja, saya tidak tahu bagaimana dampaknya. Tampaknya optimasi tertentu dalam SSD mungkin tidak berfungsi, tetapi saya tidak dapat menentukan mana yang membutuhkan pengetahuan tentang data aktual sehingga mungkin tidak akan ada dampak dari sudut pandang penyimpanan.
Perhatikan bahwa enkripsi memerlukan siklus CPU tambahan, sehingga dampaknya mungkin terlihat di sana.

Zsub
sumber
+1 untuk komentar tentang blok. Alasannya adalah karena LUKS mengenkripsi setiap blok satu per satu. Mengenai beban CPU: menurut tolok ukur, P3 @ 1GHz dapat mengenkripsi AES sekitar 13MB / s, jadi kecuali HD Anda dapat mempertahankan laju itu, Anda tidak akan melihat penurunan kinerja (kecuali CPU Anda sudah terisi penuh melakukan sesuatu yang berbeda) .
sleske
Lucu Anda harus menyebutkan kecepatan tulis. Karena pertanyaannya adalah tentang SSD, ada kemungkinan drive itu sendiri lebih cepat daripada koneksi ke pengontrolnya. Dan kami telah menempuh perjalanan yang cukup jauh sejak masa P3 1GHz, jadi angka itu sama sekali tidak mewakili PC modern, saya khawatir.
Zsub
Saya menjalankan Core Duo 1.3Ghz. 4GB ddr3 ram. Saya tidak harus terlalu banyak tekanan pada cpu, saya akan memilih enkripsi ok. Bukan yang terbaik. Lagi pula, hanya supaya pencuri tidak akan mendapatkan akses ke file saya. Bukan untuk mencegah NSA keluar. : p
Algific
1
Perhatikan apakah Anda yakin tentang ini? Karena seperti yang saya pahami, TRIM membutuhkan kernel untuk berbicara dengan ext4. Dan karena ext4 ada di atas drive terenkripsi, orang dapat berpikir bahwa trim akan mendapatkan info yang dibutuhkan. ?
Algific
1
Tidak. TRIM adalah fungsionalitas yang tidak tergantung pada OS atau sistem file pada drive. OS perlu mendukungnya untuk mengirim perintah yang sesuai ke drive, tetapi sistem file tidak perlu mengetahuinya.
Zsub
2

Dari man 5 crypttab:

Pilihan

membuang

Izinkan penggunaan permintaan Buang (TRIM) untuk perangkat.

PERINGATAN: Nilai risiko keamanan spesifik dengan cermat sebelum mengaktifkan opsi ini. Sebagai contoh, membiarkan discards pada perangkat yang dienkripsi dapat menyebabkan kebocoran informasi tentang perangkat ciphertext (tipe sistem file, ruang yang digunakan, dll.) Jika blok yang dibuang dapat dengan mudah ditemukan di perangkat nanti.

Diperlukan versi kernel 3.1 atau lebih baru. Untuk versi yang lebih lama opsi ini diabaikan.

David Foerster
sumber
1

Sebagian besar tutorial yang saya baca tentang pengaturan drive LUKS meminta Anda untuk badblockskeseluruhan drive dengan data acak terlebih dahulu. Dengan cara ini penyerang tidak bisa mengetahui sektor mana yang berisi data dan mana yang belum digunakan. Informasi ini dapat digunakan untuk menemukan hal-hal tentang data dan berkorelasi dengan informasi berbasis waktu lainnya yang dapat menyebabkan kompromi.

Jadi, bahkan jika modul LUKS mendukung pengiriman grup blok yang tidak digunakan ke TRIM, Anda tetap tidak ingin melakukannya.

LawrenceC
sumber