Codifica Ubuntu LVM

13

Ho recentemente installato Kubuntu e ho notato l'opzione per avere un LVM crittografato. Il comportamento suggerisce che si tratta della crittografia completa del disco poiché è necessario inserire una password prima di poter essere avviata. Questo Questa è in realtà una crittografia completa del disco? Se sì, quale tipo di crittografia usa? o è solo una password che devo inserire prima che arrivi a grub o lilo ma il disco stesso non è criptato.

L'unica ragione per cui non credo sia la crittografia completa del disco è perché l'unico software di crittografia completo che ho usato prima era TrueCrypt che impiegava ore per crittografare un disco rigido e quando ho fatto qualcosa di pazzo come AES > Serpent > Blowfish la macchina sarebbe notevolmente più lenta. La crittografia di Kubuntu non ha impiegato 4 ore per l'installazione e la macchina non sembra affatto più lenta.

    
posta Four_0h_Three 17.07.2013 - 15:15
fonte

2 risposte

18

LVM funziona sotto il filesystem, quindi qualunque cosa faccia, lo fa a livello di disco. Quindi sì, in effetti, quando LVM implementa la crittografia questa è "crittografia a disco intero" (o, più precisamente, "crittografia a partizione intera").

L'applicazione della crittografia è veloce quando viene eseguita su creazione : poiché i contenuti iniziali della partizione vengono ignorati, non vengono crittografati; solo i nuovi dati saranno crittografati come è scritto. Tuttavia, quando si applica la crittografia su un volume esistente (come tipico di TrueCrypt ) è necessario leggere, crittografare e scrivere indietro tutti i settori dati usati; questo include settori che erano precedentemente in uso, anche se non sono in uso in questo momento, perché potrebbero contenere estratti di alcuni file che sono stati successivamente copiati. Quindi quel tipo di applicazione post-pratica della crittografia richiede la lettura e la riscrittura dell'intero volume. Un disco rigido meccanico funzionerà a circa 100 MB / s, quindi un volume da 1 TB avrà bisogno di 6 ore (3 per la lettura, 3 per la scrittura).

La crittografia in sé non deve essere lenta, almeno se è stata implementata correttamente. Un PC di base sarà in grado di crittografare i dati a più di 100 MB / s, con AES, utilizzando un singolo core (il mio laptop sottodimensionato raggiunge i 120 MB / s); con i core x86 recenti che offrono le istruzioni AES-NI , 1 GB / s è raggiungibile. Pertanto, la CPU può stare al passo con il disco e, nella maggior parte dei casi, l'utente non noterà alcun rallentamento.

Naturalmente, se fai "qualcosa di pazzo" come gli algoritmi a cascata, beh, hai fatto qualcosa di pazzo e dovrai pagarlo. Catturare tre algoritmi significa dover calcolare tutti e tre ogni volta che leggi o scrivi dati. AES è veloce; Serpente non così (circa due volte più lento). In ogni caso, gli algoritmi di crittografia a cascata non sono molto razionali idea . Per impostazione predefinita, il "volume LVM crittografato" in Linux si baserà su dm-crypt , che è configurabile (diverse gli algoritmi sono supportati), ma non indulgere in cascate voodooistiche, e questa è una benedizione.

(Questo mostra uno dei piccoli paradossi della sicurezza: se è troppo trasparente ed efficiente, la gente si innervosisce. Per lo stesso motivo, le pillole medicinali devono assaggiare fallo.)

    
risposta data 17.07.2013 - 15:46
fonte
4

È la crittografia completa della partizione dm-crypt di LUKS. La tua partizione / boot deve ancora essere criptata, ma non c'è molto che qualcuno possa imparare su di te dal tuo / boot

Leggi questa tabella per maggiori informazioni. link

    
risposta data 17.07.2013 - 15:49
fonte

Leggi altre domande sui tag