Existem três principais possibilidades de criptografia de armazenamento no Linux. Ordenado do nível mais baixo ao mais alto, do mais rápido ao mais lento, do menos flexível ao mais flexível:
- Dm-crypt para criptografar um sistema de arquivos inteiro (ou mais geralmente qualquer dispositivo de armazenamento). Você obtém o melhor desempenho, mas precisa decidir usá-lo ao organizar suas partições de armazenamento e há uma chave por partição.
- Ecryptfs para criptografar o diretório pessoal de um usuário. Cada usuário tem sua própria chave. A criptografia é executada no kernel, mas a criptografia está no nível do arquivo, e não no nível do bloco, o que atrasa as coisas.
- Encfs para criptografar alguns arquivos. Isso pode ser configurado por um usuário comum, já que requer apenas que o administrador forneça FUSE . Você pode facilmente ter vários sistemas de arquivos com chaves diferentes. É mais lento que os outros dois.
Dadas as suas restrições, o dm-crypt é claramente a escolha certa. Você pode obter um melhor desempenho criptografando apenas os arquivos que precisam ser criptografados e não o sistema operacional. Se você realmente não começou a usar o seu novo sistema, será mais fácil reinstalá-lo, mas você também pode trabalhar em seu sistema atual, inicializando a partir de um CD ao vivo, como
Crie uma partição do sistema e uma partição /home
separada, ou até mesmo uma partição /encrypted
separada, se você não quiser que o diretório home inteiro seja criptografado, mas apenas alguns arquivos selecionados. Faça um volume dmcrypt para o sistema de arquivos que você deseja criptografar.
Pode haver um pouco a ganhar escolhendo a codificação mais rápida. O AES-128, em vez do AES-256, deve oferecer um aumento de desempenho muito baixo, sem nenhum custo para a segurança. Escolha CBC em vez de XTS para o modo de criptografia, pois você não precisa de integridade: cryptsetup luksCreate -c aes-cbc-sha256 -s 128
. Você pode até mesmo escolher aes-cbc-plain
como a cifra: é inseguro, mas somente se o atacante puder plantar arquivos escolhidos no seu sistema, o que não importa para o seu caso de uso; Eu não sei se há algum ganho no desempenho embora. A escolha do hash ( -h
) só influencia o tempo que leva para verificar sua frase secreta quando você monta o disco, portanto não economize.