Ist es möglich, die LUKS-Verschlüsselung durch Hardware zu beschleunigen?

8

Mein Linux-Server verbringt viel Zeit mit der Berechnung der LUKS-Verschlüsselung. Gibt es eine Möglichkeit, die Hardware zu beschleunigen (z. B. mit einer PCI-Express-Karte)?

Glendyr
quelle
1
Je nachdem, welche Art von System Sie jetzt haben, kann ein schnellerer / besserer Prozessor funktionieren. Definieren Sie auch "viel Zeit".
Sven
Es ist 1/3 Geschwindigkeit des normalen E / A-Betriebs. Ich bin nicht glücklich, die 2/3 der Geschwindigkeit der Verschlüsselung zu verschwenden. Es ist Ubuntu Server.
Glendyr
1
Was ist Ihr Prozessor? Die letzten Modelle von Intel verfügen über AES-NI und VIA verfügt seit Jahren über kryptografische Hardware. Intel (ich kenne AMD nicht) hat spezielle Optimierungen für AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo

Antworten:

14

Ab Kernel 2.6.32 werden die AES-NI-Anweisungen auf neueren Intel-Prozessoren von dm-crypt unterstützt. Möglicherweise möchten Sie / proc / cpuinfo überprüfen, wenn Ihr Prozessor diese Anweisungen unterstützt. Andernfalls beschleunigt ein Upgrade Ihres Prozessors Ihre Festplattenverschlüsselung (vorausgesetzt, Sie verwenden tatsächlich die AES-Verschlüsselung).

Weitere Informationen: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
quelle
Interessant - was hast du und Dokumente / Links zu diesem Thema?
Coops
2
modprobe aesni-intel oder füge es zu / etc / initramfs-tools / modules hinzu und führe update-initramfs -u aus .
EarthmeLon
@earthmeLon das ist genau das, wonach ich gesucht habe!
Ortang
3

AESNI ist die Hardwarebeschleunigung für AES - Verschlüsselung. Solange Ihr LUKS / dmcrypt für die Verwendung von AES eingerichtet ist, was höchstwahrscheinlich der Fall ist, und solange Ihr Prozessor dies unterstützt, können Sie das AESNI-Kernelmodul manuell oder automatisch hinzufügen.

Handbuch (Test, um sicherzustellen, dass es funktioniert / unterstützt wird)

  • sudo modprobe aesni-intel

Automatisch

  • sudo vim /etc/initramfs-tools/modules
    • Fügen Sie aesni_intel hinzu
  • sudo update-initramfs -u

Sie möchten es zu Ihren initramfs hinzufügen und nicht nur zu Ihrem normalen Kernel, da Sie möchten, dass es verfügbar ist, bevor Sie Ihr Laufwerk entschlüsseln und Ihren Hauptkernel laden.

ErdmeLon
quelle
Hinweis Die meisten (wenn nicht alle) Intel i3 ist nicht AESNI unterstützen. Sie können dies überprüfen, indem Sie in / proc / cpuinfo nach "aes" suchen : grep aes /proc/cpuinfo.
EarthmeLon
Funktioniert dies für AMD- Prozessoren, die AES unterstützen? Ich habe den Befehl @earthmeLon ausgeführt und es heißt, mein AMD A8-4500M unterstützt AES
Suici Doga
0

Meines Wissens gibt es keine solchen Zusatzkarten für die Verschlüsselung von dm-crypt / luks. DM unterstützt sie nicht.

Das heißt, es sieht so aus, als ob eine Bewegung im Gange ist, um die GPU-Beschleunigung in die Verarbeitungspipeline zu bringen, wenn sie verfügbar ist. Da Server immer noch selten GPUs enthalten (obwohl sich dies ändert), ist dies möglicherweise nicht so nützlich für Sie.

sysadmin1138
quelle