Intereting Posts

Быстрое шифрование для домашнего каталога с Scientific Linux (ala 'RedHat)

У меня есть T61 с C2D T7300 CPU / 4 GByte RAM. У меня есть SL 6.3 на нем, и я пометил шифрование VG во время установки. Если я начну «нормальные» окна xp на нем, его ~ медленно .. так .. Мне нужно небольшое повышение производительности 🙂

Громкое мышление / ВОПРОС: kcryptd может принимать ~ 20% (!) Процессора, но требуется шифрование .. soo Я думал, что как я могу зашифровать только домашний каталог этого 1 пользователя (и AES256 не нужен, просто очень-очень легкое шифрование , так что взломщик не может получить доступ к данным на ноутбуке, я не защищаюсь от «ЦРУ»: D или, по крайней мере, более легкое шифрование)

ОБНОВЛЕНИЕ: Я голосую за:

aes-ecb-null -s 128 

Поэтому перед установкой мне приходится вручную создавать разделы. AFAIK, используя это и не используя значение по умолчанию, действительно может повысить производительность.

UPDATE2: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html – похоже, что они используют 512 бит aes-xts-plain64.

В Linux существует три основных возможности шифрования хранилища. Заказывается от самого низкого уровня до самого высокого уровня, от самого быстрого до самого медленного, от наименее гибкого до самого гибкого:

  • Dm-crypt для шифрования всей файловой системы (или, как правило, любого устройства хранения). Вы получаете максимальную производительность, но вы должны решить использовать ее при организации разделов хранения, и есть ключ для каждого раздела.
  • Ecryptfs для шифрования домашнего каталога пользователя. Каждый пользователь имеет свой собственный ключ. Шифрование выполняется в ядре, но шифрование находится на уровне файла, а не на уровне блока, что замедляет работу.
  • Encfs для шифрования нескольких файлов. Это может быть настроено обычным пользователем, так как администратору требуется только предоставить FUSE . Вы можете легко иметь несколько файловых систем с разными ключами. Это медленнее, чем два других.

Учитывая ваши ограничения, dm-crypt, безусловно, является правильным выбором. Вы можете получить лучшую производительность, зашифровав только файлы, которые необходимо зашифровать, а не операционную систему. Если вы еще не начали использовать новую систему, ее проще будет переустановить, но вы также можете работать с существующей системой, загрузившись с живого компакт-диска, такого как SystemRescueCD .

Создайте системный раздел и отдельный /home раздел или даже отдельный /encrypted раздел, если вы не хотите, чтобы весь домашний каталог был зашифрован, но только некоторые выбранные файлы. Сделайте том dmcrypt для одной файловой системы, которую вы хотите зашифровать.

Может быть немного выиграть, выбирая самый быстрый шифр. AES-128 вместо AES-256 должен дать вам очень небольшое повышение производительности без каких-либо затрат на безопасность. Выберите CBC, а не XTS для режима шифрования, поскольку вам не нужна целостность: cryptsetup luksCreate -c aes-cbc-sha256 -s 128 . Вы даже можете выбрать aes-cbc-plain как шифр: он небезопасен, но только если злоумышленник может установить выбранные файлы в вашей системе, что не имеет значения для вашего случая использования; Однако я не знаю, есть ли какие-либо выигрыши в производительности. Выбор хеша ( -h ) влияет только на время, необходимое для проверки вашей кодовой фразы при установке диска, поэтому не экономьте на ней.