Kürzlich habe ich versucht, 200 GB auf eine externe / USB2 / verschlüsselte 1-TB-Festplatte zu kopieren, und es hat 36 Stunden gedauert. Dieselbe Kopie, wenn die Festplatte nicht verschlüsselt war, dauerte nicht länger als 1 Stunde.
Ich verwende dm-crypt (LUKS) mit der Standardverschlüsselung und dem ext4-Dateisystem. Ich würde gerne wissen, was ich tun kann, um die Leistung zu optimieren.
security
encryption
dm-crypt
Francisco Garcia
quelle
quelle
Antworten:
Neuere Intel- und AMD-Prozessoren verfügen über einen kryptografischen Beschleuniger namens AES-NI . Dies kann zu einer sichtbaren Beschleunigung beim Verschlüsseln eines großen Datenvolumens führen. Es liegt an Ihnen, zu entscheiden, ob eine Beschleunigung der Verschlüsselung den Kauf eines neueren Prozessors wert ist.
Die Standardverschlüsselung ist etwas konservativ. Wählen Sie beim Erstellen des verschlüsselten Volumes AES als Verschlüsselung (dies ist normalerweise die Standardeinstellung) und 128 als Schlüsselgröße (anstelle von 256). Die Verwendung eines 128-Bit-Schlüssels kann eine spürbare Beschleunigung ohne praktische Einschränkung der Sicherheit bewirken. Insbesondere wenn Ihre Passphrase weniger als 128 Entropiebits enthält (das sind 20 zufällig druckbare Zeichen und weit mehr als wenn die Passphrase nicht zufällig ist), bietet das Erhöhen der Schlüsselgröße über 128 hinaus keine zusätzliche Sicherheit. Beachten Sie, dass Sie beim Erstellen des Volumes eine Schlüsselgröße festlegen müssen. Dies können Sie anschließend nicht mehr ändern.
Die relative Leistung von Dateisystemen ist gleich, unabhängig davon, ob die Festplatte verschlüsselt ist oder nicht.
quelle
Besorgen Sie sich einen Prozessor, der AES-NI unterstützt , falls Sie noch keinen haben.
Andernfalls könnten Sie versuchen, zu einer anderen Chiffre wie Blowfish zu wechseln, aber ich weiß nicht, ob das helfen wird. Blowfish ist schneller zum Verschlüsseln von Verschlüsselungsblöcken, aber ich habe gelesen, dass AES sehr schnell zu initialisieren ist und da dm-crypt jeden Festplattenblock separat verschlüsselt (Sie müssen also nicht die gesamte Festplatte von Anfang an entschlüsseln, um auf Daten zuzugreifen In der Mitte kann die Notwendigkeit, die Verschlüsselung für jeden Plattenblock neu zu initialisieren, AES den Vorteil verschaffen. Ich habe jedoch keinen Leistungsvergleich durchgeführt.
quelle