タグ付けされた質問 「dm-crypt」

ブロックデバイスを暗号化すると、書き込み時にパフォーマンスが大幅に低下する問題を調査しています。インターネットで何時間も読んだり実験したりしても、解決策は言うまでもなく、適切な理解が得られませんでした。 要するに、ブロックデバイスにbtrfsを入れると書き込み速度が完全に速くなる（〜170MB / s）のに、dm-crypt / LUKSを入れると書き込み速度が急落する（〜20MB / s）ファイルシステムとブロックデバイス。ただし、システムは十分に高い暗号化スループットを維持できますか？ シナリオ /home/schlimmchen/random/dev/urandom以前のデータで満たされた4.0GBファイルです。 dd if=/dev/urandom of=/home/schlimmchen/Documents/random bs=1M count=4096 それを読むことは超高速です： $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 6.58036 s, 648 MB/s $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 0.786102 s, 5.4 GB/s （2回目は、明らかにファイルはキャッシュから読み取られました）。 暗号化されていないbtrfs デバイスはbtrfsで直接フォーマットされます（ブロックデバイスにはパーティションテーブルはありません）。 $ sudo mkfs.btrfs …

21 performance  btrfs  luks  dm-crypt  cryptsetup 

このチュートリアルに従って、ubuntu 13.04でLVMとdm-cryptを使用してTRIMをセットアップしようとしました。 http://blog.neutrino.es/2013/howto-properly-activate-trim-for-your-ssd-on-linux-fstrim-lvm-and-dmcrypt/ 以下の構成とテスト手順に関する注意事項を参照してください。 ご質問 TRIMが適切に機能する場合、信頼できるテストはありますか？ テストルーチンが間違っているか、TRIMが機能していませんか？ 動作しない場合：セットアップの何が問題になっていますか？ セットアップ用にTRIMをデバッグし、TRIMを機能させるにはどうすればよいですか？ 構成 ここに私の設定があります： cat /etc/crypttab sda3_crypt UUID=[...] none luks,discard そして cat /etc/lvm/lvm.conf # [...] devices { # [ ... ] issue_discards = 1 # [ ... ] } # [...] SSDはSamsung 840 Proです。 ここに私のテスト手順があります 私がちょうどしたセットアップをテストするためsudo fstrim -v /に /: [...] bytes were …

21 lvm  ssd  troubleshooting  dm-crypt  trim 

私のシステムはとで完全に暗号化されdm-cryptていLVMます。最近、暗号化されたパーティションをから/dev/sda5に移動しました/dev/sda2。 私の質問は：どのように私は暗号化されたパーティションからにマップされている名前に変更することができますsda5_cryptにはsda2_crypt？ システムを大丈夫に起動できます。しかし、ブート時に表示されるプロンプトでは(sda5_crypt)、UUIDマップは次のように表示され/dev/sda2ます。 Volume group "vg" not found Skipping volume group vg Unlocking the disk /dev/.../UUID (sda5_crypt) Enter passphrase: 私は、ライブブート、復号化しようとしたsda2、アクティブvg、chrootに/dev/vg/rootし、実行update-grub2が、無駄に。 単なる編集も機能/etc/crypttabしません。

16 dm-crypt 

新しいUSBフラッシュドライブを受け取り、それに2つの暗号化パーティションを設定しました。私はからdm-crypt（LUKSモード）を使用しましたcryptsetup。暗号化されていないパーティションを追加すると、ドライブの構造は次のようになります。 /dev/sdb1、暗号化され、「パーティション1」というラベルの付いたext4ファイルシステムを非表示にします。 /dev/sdb2、暗号化され、「パーティション2」というラベルの付いた別のext4ファイルシステムを非表示にします。 /dev/sdb3「パーティション3」というラベルの付いた、明確で目に見えるext4ファイルシステム。 ラベルはext4ファイルシステムに添付されているため、パーティションが復号化されていない限り、最初の2つは完全に非表示のままです。つまり、当面の間、LUKSコンテナーにはラベルがありません。これは、GNOME（自動マウント）を使用する場合に特に煩わしいです。この場合、ロックを解除するまで、パーティションは「x GB暗号化」および「y GB暗号化」と表示されます。 これは実際にはブロッキングの問題ではありませんが、ラベルが本当に好きで、パーティションがまだ暗号化されている場合でもラベルが表示されるようにしたいので、非常に迷惑です。 したがって、ラベルをext4ファイルシステムに添付するのと同じように、dm-crypt + LUKSコンテナーにラベルを添付する方法はありますか？dm-crypt + LUKSヘッダーにはそのための余地がありますか？その場合、ラベルを設定するにはどうすればよいですか？ 解読前にext4ラベルを公開したくないので注意してください。これはばかげています。コンテナーに他のラベルを追加したいのですが、ext4ラベルが非表示になっているときに表示される可能性があります。

12 partition  gnome  luks  dm-crypt  cryptsetup 

既存の dm-crypt LUKSデバイスのハッシュ仕様と反復時間を変更するにはどうすればよいですか？ 明らかに、たとえば次のような新しいデバイスを作成する場合、オプションを渡すことができます。 sudo cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 --key-size 256 --iter-time 2100 --hash sha512 /dev/loop0 しかし、デバイスが既に存在する場合、デバイスを「破壊」せずに、たとえば反復時間を変更sha256しsha1たり、変更したりする方法 （明らかに、新しいハッシュが生成されるため、パスワードを再入力する必要があります。）

11 luks  dm-crypt 

暗号化されたコンテナを作成しました #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV つまり、たとえばcontainerこのスクリプトに指定されたファイルには、で暗号化されたext3ファイルシステムが含まれますcryptsetup luksFormat。 マウントするには、現在別のスクリプトを使用していますdm.mount container /mnt/decrypted。 #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

9 mount  luks  dm-crypt  cryptsetup 

現在/boot、USBスティックに別のLUKSヘッダーなしでプレーンモードでdm-cryptを使用して完全なディスク暗号化を達成しようとしています。 私の主な目標は、Debianベースのディストリビューションでもっともらしい否認を達成することです。ここでは、パーティションを暗号化して、別のUSBキーcryptsetupにインストールすることに成功しました/boot。暗号化のヘッダーはLUKSに保存されていないため、すべて正常に機能します。initramfs画面で手動で入力する必要がありますが、このステップでは、initramfsにcryptsetupがないことを示すエラーが表示されるだけです（ "/ bin / sh：cryptsetup：not found "）ヘッダーを解析しようとしました。 結論として： dev/sdadm-crypt（/rootおよび/homeボリューム）を使用して暗号化： cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda dev/sdb grubがインストールされたブートスティック ブートスティックから正常に起動できます。Ubuntuのスプラッシュスクリーンが約20秒間表示されますが、これは私がもっともらしい否認可能性を達成したかったのですが、それがinitramfsに検出されないという文句が表示されます。/dev/mapper/rootこれも達成したかったことです。 問題は、パスワードを入力してブートを続行できるcryptsetup行を解析したい場合、initramfsが「cryptsetup：not found」について文句を言うことです。 この不満は本当だと思います。私の質問は、cryptsetupをinitramfsにインストールして、パスワードプロンプトでさらに起動できるようにする方法です。 また、私は私が適切なエントリを追加することで何かを省略してることを知って/etc/fstab、/etc/crypttabそして起動時にデバイスが見つかりません。 これらは私が見つけてすべての現在の設定をセットアップするために使用したガイドです、おそらくこれは私が私の質問でカバーしなかったことを明らかにします： http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt 最初のものは少し時代遅れで、2番目のものはArch Linux用ですが、私はそれらのうち2つを最新のLubuntuインスタレーションで少し調整して使用しました。

8 ubuntu  encryption  dm-crypt 

ルートパーティションをLUKS + LVMで暗号化することにしました。 私のThinkPadセットアップ： サムスン830128GB SSD 750GB HDD Core 2 Duo 2,5 GHz P9500 8GB RAM しかし、私が読むほど、次の2つの主題について理解が深まります。 1a。暗号 cryptsetupFAQ からの引用があるため、私は2/512の代わりにSHA1を使用する予定でした（一部推奨されています）。 5.20 LUKSが壊れています！SHA-1を使用！ いいえそうではありません。SHA-1は、衝突を見つけるために（急激に）壊れますが、キー派生関数で使用するためではありません。そして、その衝突の脆弱性は非反復的な使用のみを目的としています。そして、あなたは逐語的にハッシュ値を必要とします。 これは基本的に、すでにスロットキーがあり、PBKDF2反復カウントを1（通常は10'000より大きい）に設定した場合、同じスロットを提供する別のパスフレーズを（おそらく）導出できることを意味しますキー。しかし、スロットキーを持っている場合は、キースロットのロックを解除してマスターキーを取得し、すべてを壊すことができます。したがって、基本的に、このSHA-1の脆弱性により、LUKSコンテナーを既に開いている場合に、多大な労力でLUKSコンテナーを開くことができます。 ここでの本当の問題は、暗号を理解しておらず、特定の異なる用途で壊れているメカニズムが使用されているために壊れていると主張している人々です。メカニズムの使用方法は非常に重要です。ある用途で破壊されたハッシュは、他の用途では完全に安全である可能性があります。 「SHA-1以外を使う意味はない」と読みました。しかし、一部の人々はそれが正確にそうではないことを私に言います。だから何を考えればいいかわからなくなった。 1b。 また、ディスクがロック解除されてシステムにログインすると、暗号がディスクの読み取り/書き込み/シークのパフォーマンスに影響を与えるかどうかについても情報を見つけることができませんでした。 では、暗号の複雑さは、パスワード入力段階の「パフォーマンス」だけに影響するのでしょうか、それともシステムの通常の使用中にも影響するのでしょうか。 2.アルゴリズム 私はこれを数日から読んでいますが、読むほど、混乱します。私が読んだすべてのことは、AESが最も速く、蛇が最も遅いということです。しかし、私のラップトップではそうではありません： $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 …

8 linux  encryption  luks  dm-crypt  cryptsetup