複数の暗号化されたLUKSボリュームの構成

複数の暗号化されたLUKSボリュームの構成

ターゲット:(ほとんど)複数のボリュームを使用したフルディスク暗号化(一部は独立して暗号化)

理由:暗号化はブートされていないディスクを保護しますが、年中無休システムの場合、正しい状況では多くのセキュリティを提供しません。また、認証されたユーザーに一部のデータが必要ない場合でも、そのデータをオフロードして安全に保つことが望ましいです。

考えられる解決策:

LVMのマルチLUKS

  • 欠点:動作する必要がありますが、しばしば無分別で複雑です。

LUKSのLVM + LUKSのLVMを持つ別々のパーティション

  • 欠点:パーティションがあると、LVMの柔軟性の利点が減ります。

一部のボリュームがLVM-on-LUKS-on-LVM-on-LUKSであるLUKSのLVM、つまりデュアル暗号化

  • 欠点:デュアル暗号化はパフォーマンスに影響を与える可能性があります。また、複雑/混乱しています。ただし、LVMの柔軟性は維持されます。

次のうちどれが最適ですか?

二重暗号化によってどのようにパフォーマンスが低下しますか?hdparm -t結果は、SATA SSDの暗号化されていないボリューム、暗号化されたボリューム、またはダブル暗号化されたボリューム間のディスクの読み取りに違いがないことを示しました。

他の解決策がありますか?

答え1

ほとんどの意見に基づく内容なので回答が難しいです。 LUKSのLVMとLVMのLUKSのどちらが良いか尋ねることもできます。どちらも機能し、特定の要件に適している可能性があります。

スタンドアロンLUKSコンテナの場合、LVM - > LUKSは確かにLUKS - > LVMよりも興味深く聞こえますが、LVMメタデータが暗号化されず、論理ボリューム名、サイズ、作成時間などが情報を漏洩する可能性があるという欠点があります。

デュアル暗号化には間違いなくパフォーマンスが低下します(AES-NIの場合でも)。しかし、いくつかのユースケースではまだ大丈夫です。 CPUが非常にアイドル状態であるため(超強力なデスクトップシステムでは一般的です)、違いを感じることができず、二重暗号化されたデータがパフォーマンスにとって重要ではない可能性があります。

おそらくこれを終えるでしょう。すでにLUKS - > LVMがあるので、別の暗号化レイヤが必要な場合は、LUKS - > LVM - > LUKSです。代わりに、別のLVを作成してLUKSに入れる方が簡単で安全です。たとえば、別々のLUKSパーティション用のスペースを作成するためにPVを縮小します(これらのスタントを実行すると問題が発生する可能性があります)。

しかし、私はLVM内のLVMのポイントをよく理解していないので、その上に別のLVMレイヤーを配置しません。だから私はLUKS - > LVM - > LUKSの終わりです。

理論的には、二重暗号化なしで二重暗号化設定が可能です。つまり、デバイスマッパーを使用すると、内部LUKSコンテナはデータを2回暗号化することなく外部デバイスに直接渡すことができます。デバイスマッパーはこれを達成するのに十分強力でなければなりませんが、LVMとcryptsetupはほとんど確実にこれらの機能をサポートしません。

関連情報