Шифрование диска: преимущества и недостатки аппаратного шифрования диска по сравнению с dm-crypt

2507
alci

Я собираюсь переустановить свою систему (Ubuntu) на Samsung 840 pro SSD. Этот диск может выполнять аппаратное шифрование AES. Интересно, каковы будут недостатки и / или преимущества использования этого подхода по сравнению с использованием полного шифрования диска LVM с разных точек зрения:

  • безопасность: эти методы эквивалентны с точки зрения безопасности?
  • удобство: я хотел бы избежать ввода многих паролей
  • восстановление / совместимость: что если мне нужно взять диск и смонтировать его на другом компьютере, чтобы восстановить мои данные?
4
Добавлен комментарий относительно безопасности: использование встроенного AES также требует от вас доверия к производителю оборудования ... (ну, просто использование их диска означает, что вы должны доверять им) alci 8 лет назад 0

3 ответа на вопрос

4
Stefan Seidel
  • security: The drive offers AES. dm-crypt offers your own choice, if you're not satisfied with AES. Both can be erased very quickly by erasing the key.
  • convenience: both methods will prompt for a password once, at startup; although you could store the LUKS keyfile on an external device, e.g. a USB memory stick
    • with dm-crypt, you have the flexibility to only encrypt parts of your system, e.g. only the /home directory (when put on a separate partition)
  • recovery: if you forget the drive password, you're busted. For LUKS, you could (depending on the level paranoia you want to accept) have multiple copies of your key. Printed on a sheet of paper, if you want to. Or hidden inside a book. Or ...
    • Both are not dependent on the surrounding hardware, so your disk can be recovered even if the original laptop/PC dies.
  • performance: the device built-in encryption should be mostly transparent, so I assume almost no overhead. With dm-crypt, your CPU does the en-/decryption.
    • Also: In linux 3.1 and up, support for dm-crypt TRIM pass-through can be toggled upon device creation or mount with dmsetup. So you need to take some steps, but TRIM is supported.

To summarize: the built-in encryption is the fast (runtime and setup) and convenient option with no frills. dm-crypt/LuKS offer many more options and features, but is more time-consuming to set up and reduces performance somewhat.

Что касается восстановления, обратите внимание, что встроенный AES зависит от способа, которым BIOS передает пароль на диск. Например, см. Http://monitor.espec.ws/files/lewnovo_password_399.pdf. alci 8 лет назад 0
3
Shiki

Use the built-in AES.
Why?

  • It's powerful enough.
  • It supports TRIM and it's supported by the manufacturer.
  • You don't have to use a strong password as your Linux login pass.
  • As far as I know, you can use it in an other system.
0
user384816

built in: + much faster + easier to set up - you have no idea about the implementation, might be superb, might be crap

dm-crypt: + slower - you can check the implementation yourself (theoretically anyway)

recovery - with dm crypt what ypu said works, with the build in it's unknown, theoretically if the bios passes the ata password unchanged it should work fine, otherwise...

Что касается восстановления, я обнаружил, что мой биос не оставляет пароль Ата без изменений (биос Lenovo Thinkpad). Кажется, работает так http://monitor.espec.ws/files/lewnovo_password_399.pdf, но, поскольку hdparm --security-set-pass не может справиться с двоичным паролем, я не смог проверить ... alci 9 лет назад 0

Похожие вопросы