Criptografia de disco: vantagens e desvantagens da criptografia de disco de hardware vs dm-crypt

4

Vou reinstalar meu sistema (Ubuntu) em um SSD Samsung 840 pro. Este disco pode fazer a criptografia de hardware AES. Gostaria de saber quais seriam os inconvenientes e / ou vantagens de usar essa abordagem em vez de usar a criptografia de disco completo do LVM de diferentes perspectivas:

  • segurança: esses métodos são equivalentes em termos de segurança?
  • conveniência: gostaria de evitar digitar muitas senhas
  • recuperação / compatibilidade: e se eu tiver que tirar o disco e montá-lo em outro computador para recuperar meus dados?
por alci 11.02.2013 / 13:12

3 respostas

4
  • security: A unidade oferece AES. O dm-crypt oferece sua própria escolha, se você não estiver satisfeito com o AES. Ambos podem ser apagados muito rapidamente, apagando a chave.
  • conveniência: os dois métodos solicitarão uma senha uma vez, na inicialização; embora você possa armazenar o arquivo-chave LUKS em um dispositivo externo, por exemplo, um cartão de memória USB
    • com dm-crypt, você tem a flexibilidade de criptografar somente partes do seu sistema, por exemplo, apenas o diretório / home (quando colocado em uma partição separada)
  • recuperação: se você esquecer a senha da unidade, será rebaixado . Para o LUKS, você poderia (dependendo da paranóia de nível que você deseja aceitar) ter várias cópias da sua chave. Impresso em uma folha de papel, se você quiser. Ou escondido dentro de um livro. Ou ...
    • Ambos não dependem do hardware circundante, pelo que o disco pode ser recuperado mesmo se o computador portátil / PC original morrer.
  • desempenho: a encriptação incorporada do dispositivo deve ser na maior parte transparente, pelo que não assumo quase nenhuma sobrecarga. Com o dm-crypt, o seu processador faz a encriptação.
    • Além disso: No linux 3.1 e superior, o suporte para passagem TRIM dm-crypt pode ser alternado na criação do dispositivo ou montado com o dmsetup. Portanto, é necessário executar algumas etapas, mas TRIM é suportado .

Para resumir: a criptografia embutida é a opção rápida (tempo de execução e configuração) e conveniente sem frescuras. O dm-crypt / LuKS oferece muito mais opções e recursos, mas consome mais tempo e reduz o desempenho.

    
por 11.02.2013 / 14:17
3

Use o AES interno.
Por quê?

  • É poderoso o suficiente.
  • Suporta TRIM e é suportado pelo fabricante.
  • Você não precisa usar uma senha strong como o seu login de Linux.
  • Até onde eu sei, .
por 11.02.2013 / 13:20
0

incorporado em: + muito mais rápido + mais fácil de configurar - você não tem idéia sobre a implementação, pode ser excelente, pode ser uma porcaria

dm-crypt: + mais lento - você pode verificar a implementação você mesmo (teoricamente de qualquer maneira)

recovery - com dm crypt o que o ypu disse funciona, com a build desconhecida, teoricamente se a bios passa a senha do ata inalterada deve funcionar bem, caso contrário ...

    
por 29.10.2014 / 12:20