Cifrado LVM de Ubuntu

13

Recientemente instalé Kubuntu y noté la opción de tener un LVM encriptado. El comportamiento sugiere que es un cifrado completo del disco, ya que necesito ingresar una contraseña antes de poder iniciar. Esto

La única razón por la que no creo que esto sea el cifrado de disco completo es porque el único software de cifrado de disco completo que he usado antes fue Truecrypt, que tardó horas en cifrar un disco duro, y cuando hice algo loco como AES > Serpent > Blowfish la máquina sería notablemente más lenta. El cifrado de Kubuntu no tardó 4 horas en configurarse y la máquina no parece en absoluto lenta.

    
pregunta Four_0h_Three 17.07.2013 - 15:15
fuente

2 respuestas

18

LVM funciona por debajo del sistema de archivos, así que, haga lo que haga, lo hace a nivel de disco. Así que sí, de hecho, cuando LVM implementa cifrado, se trata de "cifrado de disco completo" (o, más precisamente, "cifrado de partición completa").

Aplicar el cifrado es rápido cuando se realiza en creación : dado que los contenidos iniciales de la partición se ignoran, no se cifran; solo los datos nuevos serán encriptados como están escritos. Sin embargo, al aplicar el cifrado en un volumen existente (como es típico de TrueCrypt ) se requiere lectura, cifrado y escritura. respaldar todos los sectores de datos utilizados; esto incluye los sectores que estaban anteriormente en uso, incluso si no están en uso en este momento, ya que pueden contener extractos de algunos archivos que luego se copiaron. Así que ese tipo de aplicación de cifrado posterior al hecho requiere leer y volver a escribir todo el volumen. Un disco duro mecánico funcionará a aproximadamente 100 MB / s, por lo que un volumen de 1 TB necesitará 6 horas (3 para lectura, 3 para escritura).

El cifrado en sí no necesita ser lento, al menos si se ha implementado correctamente. Una PC básica podrá cifrar los datos a más de 100 MB / s, con AES, usando un solo núcleo (mi computadora portátil de baja potencia alcanza los 120 MB / s); con las últimas x86 núcleos que ofrecen las instrucciones AES-NI , se puede acceder a 1 GB / s. Por lo tanto, la CPU puede seguir el ritmo del disco y, la mayoría de las veces, el usuario no notará ninguna desaceleración.

Por supuesto, si haces "algo loco" como algoritmos en cascada, bueno, has hecho algo loco y tendrás que pagar por ello. La conexión en cascada de tres algoritmos significa tener que calcular los tres cada vez que lea o escriba datos. AES es rápido; La serpiente no es así (aproximadamente dos veces más lenta). En cualquier caso, algoritmos de cifrado en cascada no es muy racional idea . De forma predeterminada, el "volumen LVM cifrado" en Linux se basará en dm-crypt , que es configurable (varios los algoritmos son compatibles) pero no se entregan a las cascadas vudooísticas, y eso es una bendición.

(Esto muestra una de las pequeñas paradojas de la seguridad: si es demasiado transparente y eficiente, entonces la gente se pone nerviosa. Por la misma razón, las píldoras medicinales deben tener mal sabor).

    
respondido por el Thomas Pornin 17.07.2013 - 15:46
fuente
4

Es el cifrado de partición completo LUKS dm-crypt. Su partición / boot aún necesita estar sin cifrar, pero no hay mucho que alguien pueda aprender sobre usted de su / boot

Lee esta tabla para más información. enlace

    
respondido por el Rod MacPherson 17.07.2013 - 15:49
fuente

Lea otras preguntas en las etiquetas