시스템의 반응성을 높이기 위해 노트북용 SSD(예: Samsung 830 또는 840) 구입을 고려하고 있습니다. 내 시스템(적어도 기본 파티션)을 암호화하고 싶습니다. 그러나 SSD 암호화에 문제가 있을 수 있다는 소문이 있다는 것을 알고 있습니다. 하지만 이 문제에 대한 설명은 시간이 지나면서 빠르게 변합니다. 특히 나는 큰 성능 저하를 원하지 않으며(위에서 언급했듯이 SSD가 시스템의 응답성을 훨씬 더 좋게 만들기를 원함) SSD의 수명을 단축하고 싶지 않습니다.
이를 염두에 두고 SSD에서 시스템을 암호화하는 가장 좋은 방법은 무엇입니까?
중요한 경우 SSD가 Samsung 830, 840 또는 840 pro라고 가정할 수 있습니다.
편집하다
내 CPU는 2.53GHz에서 실행되는 꽤 오래된 Core2 Duo P8700이며 AES-NI는 없고 SATA II만 있습니다. 그래서 질문을 추가하고 싶습니다. Samsung 830으로 업그레이드하고 dm-crypt/luks 또는 ecryptfs를 사용하는 것이 합리적입니까? 아니면 CPU와 SATA 포트로 인해 SSD 속도가 느려지나요? 저는 벤치마크 경쟁에서 이기려는 것이 아니라 단지 시스템의 반응성을 눈에 띄게 향상시키고 싶을 뿐입니다.
다음 내용이 시스템 속도를 나타내는 좋은 지표인지 확실하지 않으므로 누군가 의견을 제시해 주시면 좋을 것 같습니다.
현재 저는 기본 파티션을 암호화하기 위해 ecryptfs를 사용하고 있습니다.
하나
LC_ALL=C dd if=/dev/zero of=tempfile bs=1M count=1024 conv=fdatasync,notrunc
암호화된 기본 파티션에는 다음이 표시됩니다.
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 56.4674 s, 19.0 MB/s
CPU는 40%에서 60% 사이에서 작동합니다.
암호화되지 않은 파티션에도 제공됩니다.
LC_ALL=C dd if=/dev/zero of=tempfile bs=1M count=1024 conv=fdatasync,notrunc
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 29.6554 s, 36.2 MB/s
CPU는 0%에서 20% 사이에서 작동합니다.
내 /tmp
폴더는 tempfs
ie를 통해 마운트되었으며 RAM에 있습니다. 동일한 작업을 수행하면 다음이 /tmp
제공됩니다.
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 0.941708 s, 1.1 GB/s
ecryptfs
그런 다음 아래에 새 디렉터리를 만들고 /tmp
거기에서 다시 실행했습니다.
1024+0 records in
1024+0 records out
1073741824 bytes (1.1 GB) copied, 10.1884 s, 105 MB/s
한 코어는 100%로 작동하고 다른 코어는 20%로 작동합니다.
ecryptfs 디렉터리는 다음과 같이 생성됩니다.
sudo mount -t ecryptfs /tmp/encrypted/ /tmp/decrypted
옵션으로 기본 옵션(우분투 시스템)을 선택했습니다: AES, 16비트, 일반 텍스트 통과 없음, 파일 이름 암호화 없음.
이 결과를 고려하면 구형 WD-scorpion black 7200을 Samsung 830 SSD로 교체하고 ecryptfs를 사용하면 쓰기 속도가 19.0MB/s에서 105MB/s로 증가할 것으로 예상됩니다. 이는 분명한 성능 향상으로 보입니다. dm-crypt가 더 빠를 것 같아요.
SSD가 상당한 성능 향상을 가져올지 여부를 예측하기 위한 보다 안정적인 테스트에 대한 제안 사항입니다.
편집 2 다음은 독일 데비안 위키에서 dm-crypt를 사용한 유사한 테스트입니다: http://wiki.debianforum.de/Benchmark_f%C3%BCr_Festplattenverschl%C3%BCsselung
나는 이것을했고 약 95MB/s를 얻었습니다.
답변1
언급하신 SSD(Samsung 830, 840 또는 840 Pro)에는 암호화 하드웨어가 있습니다. 최고의 성능을 위해서는 이것을 사용해야 한다고 생각합니다. 많으니 참고하세요기사 비평대부분은 이전 버전의 소비자 기반 암호화 드라이브 펌웨어를 기반으로 합니다. Security Avenue에는 다음과 같은 제목의 또 다른 기사가 있습니다.Crucial 및 삼성 SSD 암호화는 안전하지 않아 데이터 유출로 이어집니다."이러한 문제 중 일부를 피할 수 있는 방법이 있습니다.내 다른 답변보기Crypto.SE에서.
하드웨어는 하드웨어를 사용하거나 저렴한 SSD를 구입할 때 제공되는 소프트웨어 암호화에 비해 암호화를 활성화하면 아무것도 잃지 않기 때문에 비용을 지불하는 것입니다.
필요한 소프트웨어가 포함된 부팅 가능한 USB 드라이브를 사용하여 암호화를 활성화하고 새 비밀번호를 설정할 수 있습니다. Puget Systems 웹 페이지에 예가 제공됩니다.자체 암호화 드라이브(SED) 소개"다음을 포함한 부팅 가능한 DVD 이미지를 제공합니다.HD 매개변수, 사용할 수 있는 다른 프로그램은 다음과 같습니다.sedutil리눅스와 윈도우에서 사용 가능합니다. VxLabs 기사도 참조하십시오: "msed와 함께 TCG Opal SSD의 하드웨어 기반 전체 디스크 암호화 사용기사 하단의 링크가 업데이트되었습니다. 이 글은 구체적이다삼성 840 Pro 언급그리고 hdparm.
드라이브의 하드웨어 암호화 외에도 소프트웨어 암호화를 사용하여 보안을 강화할 수 있습니다.하드웨어 암호화 드라이브는 전원이 꺼진 경우에만 안전합니다.. 전원이 공급되는 시스템(예: 절전 모드의 노트북)에서 잠금 해제된 하드웨어 암호화 드라이브아니요안전.
"2.53GHz에서 상당히 오래된 Core2 Duo P8700, AES-NI 없음"을 사용하고 있으므로AES 256 이외의 소프트웨어를 고려하십시오..
구글의 최신 알고리즘은메이든헤어 고사리에 추가되고 있습니다리눅스 커널 v5.0그리고Android 공통 커널 v4.9 이상. AES 하드웨어 지원이 있는 경우 AES는 Adiantum보다 빠릅니다. 저가형 프로세서의 경우 ARM Cortex-A7 프로세서의 Adiantum(빠른 해싱(NH + Poly1305) 및 빠른 스트림 암호(XChaCha12))은 AES-256-XTS보다 5배 이상 빠릅니다. 하나 있다GitHub의 참조 구현그리고 그 논문의 제목은 "Adiantum: 보급형 프로세서를 위한 길이 보존 암호화”. 참고: Maidenhair fern은아니요AES는 안전하지만 저가형 프로세서에서는 속도가 매우 느리므로 쓸모가 없습니다.
Caesar(Certified Encryption Competition: 보안, 적합성 및 견고성) 항목에 대한 다양한 웹 페이지를 살펴보면 일부 항목은 AES보다 빠르며 AES보다 더 뛰어난 보안을 제공하는 것으로 알려졌습니다.
미확인 동물학 대회: 카이사르그리고의견서(힌트: 견고함에서는 COLM이 승리하고 속도에서는 Morus가 승리합니다).
벤치마킹FPGA의 Caesar 참가자
GitHub 페이지에 관심이 있을 수 있습니다: "MORUS-1280-256 비밀번호 확인".
답변2
Linux에서는 다음을 사용하십시오.DM 비밀번호, 이는 Linux의 기본 블록 장치 암호화 메커니즘입니다. 많은 배포판의 설치 프로그램은 Dm-crypt를 지원합니다("고급" 또는 "서버" 설치 미디어를 사용해야 할 수도 있음). 이것cryptsetup
유틸리티는 암호화된 볼륨을 관리합니다. TRIM을 지원하려면 최신 버전이 필요합니다.커널 ≥3.1 및 cryptsetup ≥1.4.