Criptografia rápida para o diretório inicial com o Scientific Linux (ala 'RedHat)

2

Eu tenho um T61 com CPU C2D T7300 / 4 GByte RAM. Eu tenho o SL 6.3 nele e marquei a criptografia do VG durante a instalação. Se eu começar um "normal" windows xp nele, é ~ lento .. então .. eu preciso de um pouco de aumento de desempenho:)

Pensamento alto / PERGUNTA: O kcryptd poderia levar ~ 20% (!) de CPU, mas a criptografia é necessária .. soo Eu estava pensando que como eu posso criptografar apenas o diretório inicial desse 1 usuário (e AES256 não é necessário, apenas uma encriptação muito leve , para que um ladrão não possa acessar os dados no notebook, não estou me defendendo da "CIA": D ou pelo menos uma criptografia mais leve)

ATUALIZAÇÃO: Eu estou votando para:

aes-ecb-null -s 128

Portanto, antes da instalação, tenho que criar manualmente as partições. AFAIK usando isso e não usando o padrão pode realmente aumentar o desempenho.

UPDATE2: link - parece que eles está usando 512 bits aes-xts-plain64.

    
por gasko peter 29.10.2012 / 12:17

1 resposta

2

Existem três principais possibilidades de criptografia de armazenamento no Linux. Ordenado do nível mais baixo ao mais alto, do mais rápido ao mais lento, do menos flexível ao mais flexível:

  • Dm-crypt para criptografar um sistema de arquivos inteiro (ou mais geralmente qualquer dispositivo de armazenamento). Você obtém o melhor desempenho, mas precisa decidir usá-lo ao organizar suas partições de armazenamento e há uma chave por partição.
  • Ecryptfs para criptografar o diretório pessoal de um usuário. Cada usuário tem sua própria chave. A criptografia é executada no kernel, mas a criptografia está no nível do arquivo, e não no nível do bloco, o que atrasa as coisas.
  • Encfs para criptografar alguns arquivos. Isso pode ser configurado por um usuário comum, já que requer apenas que o administrador forneça FUSE . Você pode facilmente ter vários sistemas de arquivos com chaves diferentes. É mais lento que os outros dois.

Dadas as suas restrições, o dm-crypt é claramente a escolha certa. Você pode obter um melhor desempenho criptografando apenas os arquivos que precisam ser criptografados e não o sistema operacional. Se você realmente não começou a usar o seu novo sistema, será mais fácil reinstalá-lo, mas você também pode trabalhar em seu sistema atual, inicializando a partir de um CD ao vivo, como SystemRescueCD .

Crie uma partição do sistema e uma partição /home separada, ou até mesmo uma partição /encrypted separada, se você não quiser que o diretório home inteiro seja criptografado, mas apenas alguns arquivos selecionados. Faça um volume dmcrypt para o sistema de arquivos que você deseja criptografar.

Pode haver um pouco a ganhar escolhendo a codificação mais rápida. O AES-128, em vez do AES-256, deve oferecer um aumento de desempenho muito baixo, sem nenhum custo para a segurança. Escolha CBC em vez de XTS para o modo de criptografia, pois você não precisa de integridade: cryptsetup luksCreate -c aes-cbc-sha256 -s 128 . Você pode até mesmo escolher aes-cbc-plain como a cifra: é inseguro, mas somente se o atacante puder plantar arquivos escolhidos no seu sistema, o que não importa para o seu caso de uso; Eu não sei se há algum ganho no desempenho embora. A escolha do hash ( -h ) só influencia o tempo que leva para verificar sua frase secreta quando você monta o disco, portanto não economize.

    
por 30.10.2012 / 00:36