Optimieren Sie die Leistung für verschlüsselte Festplatten

7

Kürzlich habe ich versucht, 200 GB auf eine externe / USB2 / verschlüsselte 1-TB-Festplatte zu kopieren, und es hat 36 Stunden gedauert. Dieselbe Kopie, wenn die Festplatte nicht verschlüsselt war, dauerte nicht länger als 1 Stunde.

Ich verwende dm-crypt (LUKS) mit der Standardverschlüsselung und dem ext4-Dateisystem. Ich würde gerne wissen, was ich tun kann, um die Leistung zu optimieren.

Francisco Garcia
quelle
Ich bin neugierig, würde die Verwendung eines Dateisystems mit schneller transparenter Komprimierung (wie BTRFS + LZO) helfen?
Petr Pudlák

Antworten:

3

Neuere Intel- und AMD-Prozessoren verfügen über einen kryptografischen Beschleuniger namens AES-NI . Dies kann zu einer sichtbaren Beschleunigung beim Verschlüsseln eines großen Datenvolumens führen. Es liegt an Ihnen, zu entscheiden, ob eine Beschleunigung der Verschlüsselung den Kauf eines neueren Prozessors wert ist.

Die Standardverschlüsselung ist etwas konservativ. Wählen Sie beim Erstellen des verschlüsselten Volumes AES als Verschlüsselung (dies ist normalerweise die Standardeinstellung) und 128 als Schlüsselgröße (anstelle von 256). Die Verwendung eines 128-Bit-Schlüssels kann eine spürbare Beschleunigung ohne praktische Einschränkung der Sicherheit bewirken. Insbesondere wenn Ihre Passphrase weniger als 128 Entropiebits enthält (das sind 20 zufällig druckbare Zeichen und weit mehr als wenn die Passphrase nicht zufällig ist), bietet das Erhöhen der Schlüsselgröße über 128 hinaus keine zusätzliche Sicherheit. Beachten Sie, dass Sie beim Erstellen des Volumes eine Schlüsselgröße festlegen müssen. Dies können Sie anschließend nicht mehr ändern.

Die relative Leistung von Dateisystemen ist gleich, unabhängig davon, ob die Festplatte verschlüsselt ist oder nicht.

Gilles 'SO - hör auf böse zu sein'
quelle
Zunächst einmal: Gilles, ich habe größten Respekt vor Ihnen und die ganze Zeit, die Sie damit verbringen, die Fragen der Menschen zu beantworten. Trotzdem denke ich, dass Sie Ihre Kommentare hier zu 128 vs 256bit mit einem Hinweis darauf qualifizieren müssen, dass es sich um eine persönliche Meinung handelt. (Oder geben Sie eine Quelle an.)
rsaw
2

Besorgen Sie sich einen Prozessor, der AES-NI unterstützt , falls Sie noch keinen haben.

Andernfalls könnten Sie versuchen, zu einer anderen Chiffre wie Blowfish zu wechseln, aber ich weiß nicht, ob das helfen wird. Blowfish ist schneller zum Verschlüsseln von Verschlüsselungsblöcken, aber ich habe gelesen, dass AES sehr schnell zu initialisieren ist und da dm-crypt jeden Festplattenblock separat verschlüsselt (Sie müssen also nicht die gesamte Festplatte von Anfang an entschlüsseln, um auf Daten zuzugreifen In der Mitte kann die Notwendigkeit, die Verschlüsselung für jeden Plattenblock neu zu initialisieren, AES den Vorteil verschaffen. Ich habe jedoch keinen Leistungsvergleich durchgeführt.

Wyzard
quelle