Beeinflusst die LUKS-Verschlüsselung TRIM? (SSD und Linux)

9

Ich wechsle zu Linux, wenn die neue SSD ankommt. SSD bietet eine höhere Leistung, daher dachte ich, ich könnte alles verschlüsseln.

Aber dann dachte ich über TRIM und die Speicherbereinigung auf dem Laufwerk nach. Beeinflusst ein LUKS- verschlüsseltes Laufwerk das Garbage Collection-System? (TRIMMEN).

Algific
quelle

Antworten:

5

Ich habe ihnen eine E-Mail geschickt. Und TRIM wird nicht funktionieren. Weil das Betriebssystem nicht weiß, wo Dateien gespeichert sind. Nur das verschlüsselte System weiß es. Aufgrund der Tatsache, dass die Verschlüsselung an erster Stelle steht. Ich werde stattdessen truecrypt verwenden. Oben auf dem Dateisystem für meinen Home-Ordner.

Algific
quelle
Nur als Referenz: Können Sie uns sagen, wer "sie" ist? Die Ubuntu-Entwickler?
c089
Ich denke, er meint die LUKS-Entwickler. Ubuntu verwendet ecryptfs, afaik.
Manuel Faux
Wie hängt das mit anderen Antworten hier zusammen? Ich denke, dass dieser jetzt veraltet ist.
d33tah
2

Nein. Ein leerer Block wird weiterhin als leer aufgeführt und somit TRIMed.

Selbst wenn Ihr Laufwerk verschlüsselt ist, weiß das Laufwerk selbst nichts über die Verschlüsselung, nur wo sich welche Daten befinden (und welcher Speicherplatz derzeit nicht verwendet wird). Also wird es gut.

Was die Leistung betrifft, weiß ich nicht, wie sich dies auswirken könnte. Es scheint, dass bestimmte Optimierungen in der SSD möglicherweise nicht funktionieren, aber ich kann nicht herausfinden, welche Optimierungen Kenntnisse über die tatsächlichen Daten erfordern, sodass es aus Speichersicht wahrscheinlich keine Auswirkungen gibt.
Beachten Sie, dass für die Verschlüsselung zusätzliche CPU-Zyklen erforderlich sind, sodass die Auswirkungen dort möglicherweise spürbar sind.

Zsub
quelle
+1 für den Kommentar zu Blöcken. Der Grund dafür ist, dass LUKS jeden Block einzeln verschlüsselt. In Bezug auf die CPU-Auslastung: Laut Benchmarks kann ein P3 @ 1GHz AES mit etwa 13 MB / s verschlüsseln. Wenn Ihre Festplatte diese Rate nicht aushält, sollten Sie keinen Leistungsabfall bemerken (es sei denn, Ihre CPU ist bereits voll ausgelastet und macht etwas anderes). .
Sleske
Lustig sollte man die Schreibgeschwindigkeit erwähnen. Da es sich um SSDs handelt, besteht die Möglichkeit, dass das Laufwerk selbst schneller ist als die Verbindung zu seinem Controller. Und wir haben seit den P3 1GHz-Tagen einen ziemlich langen Weg zurückgelegt, so dass diese Zahl leider für moderne PCs in keiner Weise repräsentativ ist.
Zsub
Auf meinem läuft Core Duo 1.3Ghz. 4 GB DDR3-RAM. Ich denke nicht, dass es die CPU zu stark belasten sollte, ich werde eine gute Verschlüsselung wählen. Nicht das beste. Schließlich ist es nur so, dass der Dieb keinen Zugriff auf meine Dateien erhält. NSA nicht draußen zu halten. : p
Algific
1
Beachten Sie, dass Sie sich da sicher sind? Denn so wie ich es verstanden habe, braucht TRIM den Kernel, um mit ext4 zu kommunizieren. Und da sich ext4 auf dem verschlüsselten Laufwerk befindet, könnte man denken, dass Trim die benötigten Informationen erhält. ?
Algific
1
Nein. TRIM ist eine vom Betriebssystem oder Dateisystem eines Laufwerks unabhängige Funktionalität. Das Betriebssystem muss es unterstützen, um die entsprechenden Befehle an das Laufwerk zu senden, aber das Dateisystem muss nichts darüber wissen.
Zsub
2

Von man 5 crypttab:

Optionen

verwerfen

Ermöglichen Sie die Verwendung von TRIM-Anforderungen (Discards) für das Gerät.

WARNUNG: Bewerten Sie die spezifischen Sicherheitsrisiken sorgfältig, bevor Sie diese Option aktivieren. Das Zulassen von Verwerfungen auf verschlüsselten Geräten kann beispielsweise zum Verlust von Informationen über das Chiffretext-Gerät (Dateisystemtyp, verwendeter Speicherplatz usw.) führen, wenn die verworfenen Blöcke später problemlos auf dem Gerät gefunden werden können.

Kernel Version 3.1 oder neuer ist erforderlich. Bei älteren Versionen wird die Option ignoriert.

David Foerster
quelle
1

In den meisten Tutorials, die ich über das Einrichten von LUKS-Laufwerken gelesen habe, werden Sie aufgefordert, zuerst badblocksdas gesamte Laufwerk mit zufälligen Daten aufzurufen. Auf diese Weise kann ein Angreifer nicht wissen, welche Sektoren Daten enthalten und welche noch nicht verwendet wurden. Diese Informationen könnten verwendet werden, um Dinge über die Daten herauszufinden und mit anderen zeitbasierten Informationen zu korrelieren, die zu einem Kompromiss führen könnten.

Selbst wenn die LUKS-Module das Senden von Gruppen nicht verwendeter Blöcke an TRIM unterstützen würden, möchten Sie dies trotzdem nicht tun.

LawrenceC
quelle