I / O-overhead perangkat terenkripsi dm?

10

Apa yang akan menjadi Baca- / Tulis-overhead saat menggunakan dm-crypt (LUKS) sebagai enkripsi disk penuh (termasuk partisi root) pada Linux-Desktop (Ubuntu)? Saya berencana untuk menumpuknya seperti ini: LUKS> LVM> ext4 CPU yang digunakan pada sistem akan menjadi Core2 Duo 2.1 GHz dengan RAM 4GB.

  • Apakah enkripsi sistem seperti itu menghasilkan overhead yang besar / nyata?
  • Apakah ada tolok ukur terbaru yang dapat ditemukan di internet? Apa pengalaman pribadi Anda?
  • Apakah ada pengaturan yang dapat saya buat untuk meningkatkan kinerja?

Terima kasih atas bantuan Anda.

security filesystems performance encryption jottr
sumber

Jawaban:

12

Tidak ada I / O-overhead yang terlibat dalam dm-crypt - hanya overhead CPU ...;)

Pada sistem dual core Athlon 64 2.6 GHz misalnya saya dapat menyalin dari satu dm-crypt disk ke yang lain dengan ~ 40 MB / detik (2.6.26 Kernel, Seagate 1.5 TB SATA disk).

Untuk kinerja, pastikan bahwa modul arsitektur aes Anda yang dioptimalkan dimuat, mis

$ lsmod | grep aes
aes_x86_64             12416  6 
aes_generic            32552  1 aes_x86_64

Mengenai keamanan data, tidak perlu menonaktifkan cache-tulis karena dm-crypt. Versi lama tidak mendukung hambatan penulisan, tetapi sejak 2010 (kernel 2.6.31 atau lebih) dm-crypt mendukungnya (masing-masing memaksa-unit-akses - FUA).

Btw, orang dapat berargumen bahwa tidak benar-benar masuk akal untuk mengenkripsi partisi root.

Namun, mengenkripsi swap memang masuk akal.

maxschlepzig
sumber
1
Orang mungkin juga berpendapat bahwa bermain-main dengan hdparm ketika Anda tidak tahu apa yang Anda lakukan (atau hanya berpikir Anda tahu) dapat merusak hard drive Anda.
amfetamachine
Mengenkripsi partisi root masuk akal jika model ancaman Anda mencakup kemungkinan musuh mendapatkan akses fisik sementara dan mem-boot dalam mode pengguna tunggal atau dari drive USB dan menginstal malware seperti key-logger atau rootkit. Untuk pengguna biasa, itu juga berarti tidak perlu khawatir tentang lupa mengenkripsi /tmp(jika tidak di-mount dengan `tmpfs) dan direktori lain yang mungkin membocorkan data pribadi.
Anthony Geoghegan
1
@AnthonyGeoghegan, ini mungkin efektif terhadap beberapa musuh. Tetapi untuk melindungi dari model ancaman yang Anda jelaskan, Anda juga harus mengamankan bootloader (mis. Dengan firmware yang secara kriptografis memeriksa bootloader sebelum menjalankannya).
maxschlepzig
@maxschlepzig Pemikiran itu muncul di benak saya ketika saya menulis komentar sebelumnya, tetapi saya tidak ingin berlebihan dengan penolakan dan ketentuan dalam kotak komentar kecil. Alasan kedua mungkin lebih penting: Saya menggunakan FDE (pada laptop saya yang berusia 10 tahun) jadi saya tidak perlu khawatir (sebanyak) tentang kredensial dan kunci pribadi di /etcatau beberapa data sensitif lainnya entah bagaimana sedang login /var/(terbalik, BTW ).
Anthony Geoghegan
0

Ext4 mungkin merupakan pilihan sistem file yang buruk jika Anda berencana melakukan snapshot LVM. Saya akan menyarankan melakukan pengecekan kinerja disk yang substansial sebelum ditayangkan, mengalami dengan ukuran blok pada FS dan LVM. Pengalaman saya dengan Ext3, tetapi artikel lain yang saya lihat pada saat itu menyiratkan bahwa Ext4 memiliki masalah yang sama.

Saya menyelesaikannya dengan menggunakan XFS sebagai sistem file.

Michael Shaw
sumber