cryptsetup dm-crypt usando o módulo cryptodev

Question

cryptsetup dm-crypt usando o módulo cryptodev

#1 resposta do (0 votos)

0

Eu introduzi o uso de cryptsetup para criptografar uma parte do espaço em disco, mas a velocidade de gravação é muito lenta. Descobri que existe um módulo para utilizar diretamente o hardware para as operações de criptografia, usando o módulo cryptodev.
Eu instalei o cryptodev e apenas executando

openssl speed -evp aes-128-cbc -engine cryptodev

Eu testei a velocidade de gravação com

time dd bs=5000k count=1 if=/dev/zero of=/home/... conv=fsync

antes e depois de incluir o módulo cryptodev e com este controle não consigo ver nenhuma melhoria. Há outras coisas para definir para o cryptsetup usar este mecanismo? Obrigado

[edit] -------------------------------------------- -

$ cryptsetup luksDump DISK --debug
# cryptsetup 1.7.0 processing "cryptsetup luksDump DISK --debug"
# Running command luksDump.
# Locking memory.
# Installing SIGINT/SIGTERM handler.
# Unblocking interruption on signal.
# Allocating crypt device DISK context.
# Trying to open and read device DISK with direct-io.
# Initialising device-mapper backend library.
# Trying to load LUKS1 crypt type from device DISK.
# Crypto backend (OpenSSL 1.0.2h  3 May 2016) initialized in cryptsetup library version 1.7.0.
# Detected kernel Linux 4.1.15-xuelk-2.0.1-dirty armv7l.
# Reading LUKS header of size 1024 from device DISK
# Key length 32, device size 204800 sectors, header size 2050 sectors.
LUKS header information for DISK

Version:        1
Cipher name:    aes
Cipher mode:    cbc-essiv:sha256
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      00 a6 fb a5 64 1d 08 47 9d ea 76 d3 34 f2 19 cf 66 b7 e7 94 
MK salt:        8c 14 4e 3a 97 d6 d7 18 ca 46 f9 f0 47 d5 44 3f 
                46 0c c5 4e d7 35 1d 46 ca 2b fc af 13 14 d1 98 
MK iterations:  13500
UUID:           a808c328-0c0e-43a7-9057-b6b9a49afeb9

Key Slot 0: ENABLED
        Iterations:             108472
        Salt:                   76 be 3e a1 5f 37 9b bc 1b 84 69 9e 36 db 5f ba 
                                43 93 96 34 57 02 59 df 2c 19 f4 df 1a 09 53 7a 
        Key material offset:    8
        AF stripes:             4000

cryptsetup

por G.D. 20.11.2017 / 14:15

1 resposta

Tags cryptsetup

Durante a execução, o aplicativo pode criar apenas um arquivo, mas não pode gravar em nenhum arquivo Espere para montar até que o processo não esteja ocupado

score 0 · Accepted Answer

O comando cryptsetup basicamente apenas configura o módulo do kernel dm-crypt . Isso significa que a criptografia / descriptografia do seu disco acontece dentro do kernel. O kernel não usa openssl, de forma alguma.

Você pode testar com confiabilidade o atual desempenho de criptografia do disco rígido com:

cryptsetup benchmark

Os padrões cryptsetup são aes-xts, 256b , ao criar o dispositivo criptografado com cryptsetup luksCreate (cf. cryptsetup luksDump output).

Alguns resultados experimentais de hardware de média escala:

CPU                       cryptsetup benchmark
AMD Phenom 9750 2.4 GHz   aes-xts   256b   146.7 MiB/s   148.5 MiB/s
Intel Atom C3758 2.2 GHz  aes-xts   256b   874.0 MiB/s   875.4 MiB/s
Intel i5-4250U 1.3 GHz    aes-xts   256b  1703.3 MiB/s  1723.1 MiB/s
Intel i7-6600U 2.6 GHz    aes-xts   256b  2978.0 MiB/s  3117.5 MiB/s

O kernel do Linux contém vários drivers de hardware que aceleram as operações de criptografia. Normalmente, eles são carregados, por padrão, e usados pelo subsistema de criptografia do kernel.

Por exemplo, as novas CPUs Intel vêm com o conjunto de instruções AES-NI que acelera significativamente o AES - você pode verificar se a CPU os suporta assim:

tr ' ' '\n' < /proc/cpuinfo | grep aes

Alguns sistemas ainda vêm com co-processadores criptográficos (por exemplo, Intel QuickAssist - QAT ). Eles podem acelerar as coisas, mas também podem atrasar as coisas - assim, quando o benchmarking, faz sentido verificar os logs de inicialização se um hardware especial é configurado pelo kernel e se os módulos / firmware necessários são carregados. Se tal hardware estiver presente, faz sentido verificar o desempenho com coprocessador ativado versus desativado (por exemplo, através da lista negra dos% relevantes*qat* modules).