Czy szyfrowanie LUKS wpływa na TRIM? (SSD i Linux)

9

Przechodzę do systemu Linux, kiedy pojawi się nowy dysk SSD. Dysk SSD zapewnia zwiększoną wydajność, więc pomyślałem, że mogę zaszyfrować wszystko.

Ale potem pomyślałem o TRIM i wyrzucaniu elementów bezużytecznych na dysku. Czy zaszyfrowany dysk LUKS wpłynie na system usuwania śmieci? (TRYM).

linux ssd trim luks Algifikacja
źródło

Odpowiedzi:

5

Wysłałem im e-mailem. I TRIM nie będzie działać. Ponieważ system operacyjny nie wie, gdzie są przechowywane pliki. Tylko zaszyfrowany system o tym wie. Ponieważ szyfrowanie jest najważniejsze. Zamiast tego użyję truecrypt. Na górze systemu plików dla mojego folderu domowego.

Algifikacja
źródło
Tylko w celach informacyjnych: czy możesz nam powiedzieć, kto jest „nimi”? Programiści Ubuntu?
c089
Myślę, że ma na myśli programistów LUKS. Ubuntu używa ecryptfs, afaik.
Manuel Faux
Jak to się ma do innych odpowiedzi tutaj? Myślę, że ten jest już nieaktualny.
d33tah
2

Nie. Pusty blok będzie nadal wyświetlany jako pusty, a tym samym zostanie PRZYCINANY.

Nawet jeśli dysk jest zaszyfrowany, sam dysk nic nie wie o szyfrowaniu, tylko gdzie są dane (i która przestrzeń nie jest w tej chwili używana). Więc będzie dobrze.

Jeśli chodzi o wydajność, nie wiem, jaki może być wpływ. Wydaje się, że niektóre optymalizacje na dysku SSD mogą nie działać, ale nie mogę ustalić, które z nich wymagają wiedzy o rzeczywistych danych, więc prawdopodobnie nie będzie to miało wpływu z punktu widzenia przechowywania.
Pamiętaj, że szyfrowanie wymaga dodatkowych cykli procesora, więc wpływ może być tam zauważalny.

Zsub
źródło
+1 za komentarz na temat bloków. Powodem tego jest to, że LUKS szyfruje każdy blok osobno. Jeśli chodzi o obciążenie procesora: zgodnie z testami P3 @ 1GHz może szyfrować AES z prędkością około 13 MB / s, więc jeśli twój HD nie wytrzyma tej prędkości, nie powinieneś zauważać spadku wydajności (chyba że twój procesor jest już w pełni załadowany, robiąc coś innego) .
śleske
Zabawne, że powinieneś wspomnieć o prędkości zapisu. Ponieważ pytanie dotyczy dysków SSD, istnieje prawdopodobieństwo, że sam dysk jest szybszy niż połączenie z kontrolerem. I przeszliśmy dość długą drogę od czasów P3 1GHz, więc obawiam się, że ta liczba nie jest reprezentatywna dla nowoczesnych komputerów.
Zsub,
Mój działa z Core Duo 1.3Ghz. 4 GB pamięci RAM DDR3 Nie powinienem zbytnio obciążać procesora, wybiorę ok zaszyfrowane. Nienajlepszy. W końcu to tylko po to, żeby złodziej nie miał dostępu do moich plików. Nie powstrzymywać NSA. : p
Algific
1
Uwaga, czy jesteś tego pewien? Ponieważ, jak zrozumiałem, TRIM potrzebuje jądra do rozmowy z ext4. A ponieważ ext4 znajduje się na zaszyfrowanym dysku, można by pomyśleć, że trim dostanie potrzebne informacje. ?
Algific
1
Nie. TRIM to funkcjonalność niezależna od systemu operacyjnego lub systemu plików na dysku. System operacyjny musi go obsługiwać, aby wysyłać odpowiednie polecenia na dysk, ale system plików nie musi o tym wiedzieć.
Zsub,
2

Od man 5 crypttab:

Opcje

odrzucać

Zezwalaj na stosowanie odrzutów (TRIM) dla urządzenia.

OSTRZEŻENIE: Przed włączeniem tej opcji należy dokładnie ocenić konkretne zagrożenia bezpieczeństwa. Na przykład zezwolenie na odrzucanie zaszyfrowanych urządzeń może prowadzić do wycieku informacji o urządzeniu zaszyfrowanym (typ systemu plików, wykorzystana przestrzeń itp.), Jeśli odrzucone bloki można później łatwo zlokalizować na urządzeniu.

Wymagane jest jądro w wersji 3.1 lub nowszej. W przypadku starszych wersji opcja jest ignorowana.

David Foerster
źródło
1

Większość samouczków, które przeczytałem na temat konfigurowania dysków LUKS, najpierw pytają o badblockscały dysk z losowymi danymi. W ten sposób osoba atakująca nie może wiedzieć, które sektory zawierają dane, a które nie zostały jeszcze wykorzystane. Informacje te można wykorzystać do odkrywania różnych danych i korelowania z innymi informacjami opartymi na czasie, co może prowadzić do kompromisu.

Tak więc, nawet jeśli moduły LUKS obsługują wysyłanie grup nieużywanych bloków do TRIM, i tak nie chciałbyś tego robić.

LawrenceC
źródło