dm 암호화 장치의 I / O 오버 헤드?

10

Linux 데스크톱 (우분투)에서 dm-crypt (LUKS)를 전체 디스크 암호화 (루트 파티션 포함)로 사용할 때 읽기 / 쓰기 오버 헤드는 무엇입니까? LUKS> LVM> ext4 시스템에서 사용중인 CPU는 4GB의 RAM이있는 Core2 Duo 2.1GHz입니다.

  • 그러한 시스템의 암호화로 인해 눈에 띄는 오버 헤드가 발생합니까?
  • 인터넷에서 볼 수있는 최근 벤치 마크가 있습니까? 개인적인 경험은 무엇입니까?
  • 성능을 향상시키기 위해 설정할 수있는 설정이 있습니까?

도와 주셔서 감사합니다.

security  filesystems  performance  encryption 
요트 르
소스

답변:

12

dm-crypt와 관련된 I / O 오버 헤드가 없습니다. CPU 오버 헤드 만 있습니다.

예를 들어 Athlon 64 2.6GHz 듀얼 코어 시스템에서 ~ 40MB / 초 (2.6.26 커널, Seagate 1.5TB SATA 디스크)로 하나의 dm-crypt 디스크에서 다른 dm-crypt 디스크로 복사 할 수 있습니다.

성능을 위해 아키텍처에 최적화 된 AES 모듈이로드되어 있는지 확인하십시오 (예 :

$ lsmod | grep aes
aes_x86_64             12416  6 
aes_generic            32552  1 aes_x86_64

데이터 안전성과 관련하여 dm-crypt로 인해 쓰기 캐시를 비활성화 할 필요가 없습니다. 이전 버전은 쓰기 장벽을 지원하지 않았지만 2010 년 이후 (커널 2.6.31 정도) dm-crypt 는이를 지원합니다 (각각 강제 단위 액세스-FUA).

Btw는 루트 파티션을 암호화하는 것이 실제로 의미가 없다고 주장 할 수 있습니다.

그러나 스왑 암호화는 의미가 있습니다.

막스 sch 프
소스
1
자신이하고있는 일 을 모르 거나 알고 있다고 생각할 때 hdparm을 뒤섞 으면 하드 드라이브가 손상 될 수 있다고 주장 할 수도 있습니다 .
amphetamachine 2012
위협 모델에 악의적 인 사용자가 일시적으로 물리적으로 액세스하여 단일 사용자 모드 또는 USB 드라이브에서 부팅하고 키 로거 또는 루트킷과 같은 맬웨어를 설치할 가능성이있는 경우 루트 파티션을 암호화하는 것이 좋습니다. 일반 사용자의 경우, /tmp(tmpfs로 마운트되지 않은 경우) 암호화 및 개인 데이터가 유출 될 수있는 다른 디렉토리를 잊어 버릴 염려 가 없습니다.
Anthony Geoghegan
1
@AnthonyGeoghegan, 이것은 아마도 일부 적들에게 효과적입니다. 그러나 위협 모델로부터 보호하려면 부트 로더를 보호해야합니다 (예 : 부트 로더를 실행하기 전에 암호로 확인하는 펌웨어로).
maxschlepzig
@maxschlepzig 그 의견은 내가 이전에 의견을 썼을 때 나에게 일어 났지만 작은 의견 상자에 면책 조항과 조항으로 넘어 가고 싶지 않았습니다. 두 번째 이유는 아마도 더 중요 할 것입니다 : 나는 10 살짜리 랩톱에서 FDE를 사용하므로 자격 증명과 개인 키 /etc또는 다른 중요한 데이터 에 대해 걱정하지 않아도 됩니다 /var/(업데이트, BTW) ).
Anthony Geoghegan
0

LVM 스냅 샷을 수행하려는 경우 Ext4가 파일 시스템을 잘못 선택했을 수 있습니다. FS 및 LVM 모두에서 블록 크기로 실험을 시작하기 전에 상당한 디스크 성능 검사를 수행하는 것이 좋습니다. 내 경험은 Ext3에 관한 것이었지만 당시 내가 본 다른 기사는 Ext4에 비슷한 문제가 있음을 암시했습니다.

XFS를 파일 시스템으로 사용하여 해결했습니다.

마이클 쇼
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.