it-swarm.com.de

Ubuntu LVM-Verschlüsselung

Ich habe kürzlich Kubuntu installiert und festgestellt, dass ein verschlüsseltes LVM verfügbar ist. Das Verhalten deutet darauf hin, dass es sich um eine vollständige Festplattenverschlüsselung handelt, da ich ein Kennwort eingeben muss, bevor ich booten kann. This Artikel und andere Artikel, die ich gelesen habe, schlagen vor, dass es sich um eine vollständige Festplattenverschlüsselung handelt. Ist das tatsächlich eine vollständige Festplattenverschlüsselung? Wenn ja, welche Art von Verschlüsselung wird verwendet? oder ist es nur ein Passwort, das ich eingeben muss, bevor es auf grub oder lilo trifft, aber die Festplatte selbst ist unverschlüsselt.

Der einzige Grund, warum ich nicht glaube, dass dies eine vollständige Festplattenverschlüsselung ist, ist, dass die einzige vollständige Festplattenverschlüsselungssoftware, die ich zuvor verwendet habe, truecrypt war, was Stunden dauerte, um eine Festplatte zu verschlüsseln, und als ich etwas Verrücktes wie AES> Serpent> Blowfish the machine gemacht habe wäre merklich langsamer. Die Einrichtung der Kubuntu-Verschlüsselung dauerte nicht 4 Stunden und die Maschine scheint überhaupt nicht langsamer zu sein.

16
Four_0h_Three

LVM arbeitet unterhalb des Dateisystems. Was auch immer es tut, es tut dies auf Festplattenebene. Ja, wenn LVM die Verschlüsselung implementiert, handelt es sich um eine "Vollplattenverschlüsselung" (oder genauer gesagt eine "Vollpartitionsverschlüsselung").

Das Anwenden der Verschlüsselung ist schnell, wenn dies bei der Erstellung erfolgt: seit dem ersten Der Inhalt der Partition wird ignoriert und nicht verschlüsselt. Nur neue Daten werden beim Schreiben verschlüsselt. Wenn Sie jedoch eine Verschlüsselung auf einem vorhandenen Volume anwenden (wie es für TrueCrypt typisch ist), müssen Sie alle verwendeten Elemente lesen, verschlüsseln und zurückschreiben Datensektoren; Dies schließt Sektoren ein, die zuvor verwendet wurden, auch wenn sie derzeit nicht verwendet werden, da sie möglicherweise Auszüge einiger Dateien enthalten, die später kopiert wurden um. Diese Art der nachträglichen Anwendung der Verschlüsselung erfordert das Lesen und Umschreiben des gesamten Volumes. Eine mechanische Festplatte läuft mit ca. 100 MB/s, daher benötigt ein 1 TB-Volume 6 Stunden (3 zum Lesen, 3 zum Schreiben).

Die Verschlüsselung selbst muss nicht langsam sein, zumindest wenn sie ordnungsgemäß implementiert wurde. Ein Basis-PC kann mit AES Daten mit mehr als 100 MB/s mit einem einzigen Kern verschlüsseln (mein Laptop mit geringer Leistung erreicht 120 MB/s). Mit den neuesten x86-Kernen, die AES-NI-Anweisungen anbieten, ist 1 GB/s erreichbar. Somit kann die CPU mit der Festplatte Schritt halten, und der Benutzer wird die meiste Zeit keine Verlangsamung bemerken.

Wenn Sie "etwas Verrücktes" wie kaskadierende Algorithmen tun, haben Sie natürlich etwas Verrücktes getan, und Sie müssen dafür bezahlen. Wenn Sie drei Algorithmen kaskadieren, müssen Sie alle drei berechnen, wenn Sie Daten lesen oder schreiben. AES ist schnell; Schlange nicht so (ungefähr zweimal langsamer). In jedem Fall kaskadierende Verschlüsselungsalgorithmen sind keine sehr rationale Idee . Standardmäßig basiert "verschlüsseltes LVM-Volume" unter Linux auf dm-crypt , das konfigurierbar ist (mehrere Algorithmen werden unterstützt), sich aber nicht voodooistischen Kaskaden hingibt, und das ist ein Segen.

(Dies zeigt eines der kleinen Paradoxe der Sicherheit: Wenn es zu transparent und effizient ist, werden die Menschen nervös. Aus dem gleichen Grund müssen Medizinpillen schmecken schlecht.)

22
Thomas Pornin

Es ist LUKS dm-crypt vollständige Partitionsverschlüsselung. Ihre/boot-Partition muss noch unverschlüsselt sein, aber von Ihrem/boot kann niemand viel über Sie lernen

Lesen Sie diese Tabelle für weitere Informationen. https://wiki.archlinux.org/index.php/Disk_Encryption#Comparison_table

5
Rod MacPherson