ディスクスペースの一部を暗号化するためにcryptsetupを使用する方法を紹介しましたが、書き込みが非常に遅いです。 cryptodevモジュールを使用して、暗号化タスクにハードウェアを直接活用できるモジュールがあることを発見しました。
cryptodevをインストールして実行しています。
openssl speed -evp aes-128-cbc -engine cryptodev
書き込み速度をテストしました
time dd bs=5000k count=1 if=/dev/zero of=/home/... conv=fsync
cryptodevモジュールを含める前後にこのコントロールを使用すると、改善は見られません。このエンジンを使用するには、cryptsetupに定義する必要がある他のものがありますか?ありがとう
[編集] - - - - - - - - - - - - - - - - - - - - - - - - -
$ cryptsetup luksDump DISK --debug
# cryptsetup 1.7.0 processing "cryptsetup luksDump DISK --debug"
# Running command luksDump.
# Locking memory.
# Installing SIGINT/SIGTERM handler.
# Unblocking interruption on signal.
# Allocating crypt device DISK context.
# Trying to open and read device DISK with direct-io.
# Initialising device-mapper backend library.
# Trying to load LUKS1 crypt type from device DISK.
# Crypto backend (OpenSSL 1.0.2h 3 May 2016) initialized in cryptsetup library version 1.7.0.
# Detected kernel Linux 4.1.15-xuelk-2.0.1-dirty armv7l.
# Reading LUKS header of size 1024 from device DISK
# Key length 32, device size 204800 sectors, header size 2050 sectors.
LUKS header information for DISK
Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256
Hash spec: sha256
Payload offset: 4096
MK bits: 256
MK digest: 00 a6 fb a5 64 1d 08 47 9d ea 76 d3 34 f2 19 cf 66 b7 e7 94
MK salt: 8c 14 4e 3a 97 d6 d7 18 ca 46 f9 f0 47 d5 44 3f
46 0c c5 4e d7 35 1d 46 ca 2b fc af 13 14 d1 98
MK iterations: 13500
UUID: a808c328-0c0e-43a7-9057-b6b9a49afeb9
Key Slot 0: ENABLED
Iterations: 108472
Salt: 76 be 3e a1 5f 37 9b bc 1b 84 69 9e 36 db 5f ba
43 93 96 34 57 02 59 df 2c 19 f4 df 1a 09 53 7a
Key material offset: 8
AF stripes: 4000
答え1
このコマンドはcryptsetupデフォルトでdm-cryptカーネルモジュールを設定します。これは、ディスクの暗号化/暗号解読がカーネル内で発生することを意味します。カーネルはopensslをまったく使用しません。
次の方法で、現在のハードドライブ暗号化パフォーマンスを確実にテストできます。
cryptsetup benchmark
これcryptsetup のデフォルト値は aes-xts,256b です。、暗号化装置を作成するときcryptsetup luksCreate(出力を参照cryptsetup luksDump)
中規模ハードウェアのいくつかの実験結果:
CPU cryptsetup benchmark
AMD Phenom 9750 2.4 GHz aes-xts 256b 146.7 MiB/s 148.5 MiB/s
Intel Atom C3758 2.2 GHz aes-xts 256b 874.0 MiB/s 875.4 MiB/s
Intel i5-4250U 1.3 GHz aes-xts 256b 1703.3 MiB/s 1723.1 MiB/s
Intel i7-6600U 2.6 GHz aes-xts 256b 2978.0 MiB/s 3117.5 MiB/s
Linuxカーネルには、暗号化の作業を高速化する複数のハードウェアドライバが含まれています。通常、デフォルトではロードされ、カーネルの暗号化サブシステムで使用されます。
たとえば、最新のIntel CPUには以下が装備されています。AES-NI命令セットAES速度が大幅に向上します。 CPUが次のようにAESをサポートしていることを確認できます。
tr ' ' '\n' < /proc/cpuinfo | grep aes
一部のシステムには暗号化補助プロセッサも搭載されています。インテルクイックアシスト-QAT)。スピードを上げることもできますが、スピードを遅くすることもできます。したがって、ベンチマーク時にブートログを確認して、これらの特別なハードウェアがカーネルによって構成されていること、および必要なモジュール/ファームウェアがロードされていることを確認することをお勧めします。そのようなハードウェアがある場合は、セカンダリプロセッサのパフォーマンスを有効または無効にしたことを確認する必要があります(たとえば、*qat*関連モジュールをブラックリストに追加)。