Scientific Linux(ala 'RedHat)を使用してホームディレクトリをすばやく暗号化します。

Scientific Linux(ala 'RedHat)を使用してホームディレクトリをすばやく暗号化します。

C2D T7300 CPU/4GB RAMを搭載したT61があります。 SL 6.3があり、インストール中に暗号化されたVGが確認されました。 「通常の」Windows XPを起動すると非常に遅くなります。

思考/質問:kcryptdはCPUの〜20%(!)を使用できますが、暗号化が必要です。このユーザー1人のホームディレクトリのみ(そしてAES256は必要ありません。非常に軽い暗号化、泥棒がラップトップのデータにアクセスできないようにするために、私は「CIA」:Dまたは少なくともより軽い暗号化を防御しません)

更新:私は次に投票しました:

aes-ecb-null -s 128

したがって、インストールする前に手動でパーティションを作成する必要があります。私が知る限り、デフォルトではなくこれを使用するとパフォーマンスが向上します。

アップデート2: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html- したがって、512ビットaes-xts-plain64を使用しているようです。

答え1

Linuxには3つの主要なストレージ暗号化の可能性があります。最も低いレベルから最も高いレベルに、最も速いレベルで最も遅いレベル、最も柔軟性の高いレベルから最も柔軟なレベルにソートします。

  • DM-秘密フルファイルシステム(またはより一般的にはすべてのストレージデバイス)を暗号化します。最高のパフォーマンスを得ることはできますが、ストレージパーティションを構成するときに使用するものを決定する必要があり、各パーティションにはキーがあります。
  • 暗号化されたファイルシステムユーザーのホームディレクトリを暗号化します。各ユーザーには独自のキーがあります。暗号化はカーネルで実行されますが、ブロックレベルではなくファイルレベルで実行されるため、速度が遅くなります。
  • 環境管理システム一部のファイルを暗号化します。これは管理者プロビジョニングのみを必要とするため、一般ユーザーが設定できます。ヒューズ。異なるキーを持つ複数のファイルシステムを簡単に持つことができます。他の2つより遅いです。

制約を考慮すると、dm-cryptは明らかに正しい選択です。オペレーティングシステムではなく暗号化する必要があるファイルのみを暗号化すると、より良いパフォーマンスが得られます。まだ新しいシステムの使用を開始していない場合は、再インストールする方が簡単ですが、Live CDから起動して既存のシステムで作業することもできます。システム回復ディスク

システムパーティションとは別のパーティションを作成したり、ホームディレクトリ全体を暗号化せずに選択した特定のファイルのみを暗号化したい場合は、別の/homeパーティションも作成します。/encrypted暗号化するファイルシステムのdmcryptボリュームを作成します。

最速のパスワードを選択すると、成果を上げることができます。 AES-256の代わりに、AES-128はセキュリティを損なうことなくパフォーマンスをわずかに向上させます。整合性は必要ないので、暗号化モードとしてXTSの代わりにCBCを選択してくださいcryptsetup luksCreate -c aes-cbc-sha256 -s 128。パスワードで選択することもできますaes-cbc-plain。安全ではありませんが、攻撃者がシステムに選択したファイルを植えることができる場合にのみ可能であり、パフォーマンスが向上するかどうかは不明です。ハッシュ()の選択は、-hディスクをマウントするときにパスワードを確認するのにかかる時間にのみ影響します。見落とさないでください。

関連情報