%EB%A5%BC%20%EC%82%AC%EC%9A%A9%ED%95%98%EC%97%AC%20%ED%99%88%20%EB%94%94%EB%A0%89%ED%86%A0%EB%A6%AC%EB%A5%BC%20%EB%B9%A0%EB%A5%B4%EA%B2%8C%20%EC%95%94%ED%98%B8%ED%99%94%ED%95%98%EC%84%B8%EC%9A%94..png)
C2D T7300 CPU/4GB RAM을 갖춘 T61이 있습니다. SL 6.3이 있고 설치 중에 암호화된 VG가 확인되었습니다. "일반" Windows XP를 부팅하면 매우 느려집니다.. 그래서.. 약간의 성능 향상이 필요합니다 :)
생각/질문: kcryptd는 CPU의 ~20%(!)를 사용할 수 있지만 암호화가 필요합니다.. 그래서 암호화하는 방법이 궁금합니다.이 사용자 1명의 홈 디렉터리만(그리고 AES256은 필요하지 않습니다.매우 가벼운 암호화, 도둑이 노트북의 데이터에 접근할 수 없도록 하기 위해 저는 "CIA" :D 또는 최소한 더 가벼운 암호화를 방어하지 않습니다)
업데이트: 나는 다음에 투표했습니다:
aes-ecb-null -s 128
그래서 설치하기 전에 수동으로 파티션을 생성해야 합니다. 내가 아는 한, 기본값 대신 이것을 사용하면 성능이 향상됩니다.
업데이트 2: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html- 따라서 512비트 aes-xts-plain64를 사용하고 있는 것으로 보입니다.
답변1
Linux에는 세 가지 주요 스토리지 암호화 가능성이 있습니다. 가장 낮은 수준에서 가장 높은 수준으로, 가장 빠른 수준에서 가장 느린 수준, 유연성이 가장 낮은 수준에서 가장 유연한 수준으로 정렬합니다.
- DM-비밀전체 파일 시스템(또는 더 일반적으로는 모든 저장 장치)을 암호화합니다. 최고의 성능을 얻을 수 있지만 스토리지 파티션을 구성할 때 어떤 것을 사용할지 결정해야 하며 각 파티션에는 키가 있습니다.
- 암호화된 파일 시스템사용자의 홈 디렉터리를 암호화합니다. 각 사용자는 자신만의 키를 가지고 있습니다. 암호화는 커널에서 수행되지만 블록 수준이 아닌 파일 수준에서 수행되므로 속도가 느려집니다.
- 환경 관리 시스템일부 파일을 암호화합니다. 이는 관리자 프로비저닝만 필요하므로 일반 사용자가 설정할 수 있습니다.퓨즈. 서로 다른 키를 가진 여러 파일 시스템을 쉽게 가질 수 있습니다. 다른 두 개보다 느립니다.
제약 조건을 고려할 때 dm-crypt가 분명히 올바른 선택입니다. 운영 체제가 아닌 암호화해야 하는 파일만 암호화하면 더 나은 성능을 얻을 수 있습니다. 아직 새 시스템을 사용하기 시작하지 않은 경우 다시 설치하는 것이 더 쉽지만 Live CD에서 부팅하여 기존 시스템에서 작업할 수도 있습니다.시스템 복구 디스크.
시스템 파티션과 별도의 파티션을 생성하거나, 전체 홈 디렉터리를 암호화하지 않고 선택한 특정 파일만 암호화하려는 경우 /home별도의 파티션도 생성합니다. /encrypted암호화하려는 파일 시스템에 대한 dmcrypt 볼륨을 생성합니다.
가장 빠른 비밀번호를 선택하면 성과를 거둘 수 있습니다. AES-256 대신 AES-128은 보안을 손상시키지 않으면서 성능을 약간 향상시킵니다. 무결성이 필요하지 않으므로 암호화 모드로 XTS 대신 CBC를 선택하십시오 cryptsetup luksCreate -c aes-cbc-sha256 -s 128. 비밀번호로 선택할 수도 있습니다 aes-cbc-plain. 안전하지 않지만 공격자가 시스템에 선택한 파일을 심을 수 있는 경우에만 가능하며 성능이 향상되는지 여부는 알 수 없습니다. 해시( ) 선택은 -h디스크를 마운트할 때 비밀번호를 확인하는 데 걸리는 시간에만 영향을 미치므로 간과하지 마십시오.