cryptsetup vs diskcryptor
Почему diskcryptor зашифровывает любой диск продолжительное время, а шифрованный lvm создается за секунды при установке системы?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 3 документов: 1 редакций: 10
Хотелось бы понять разницу в принципе действия.
а.) Случай с diskcryptor:
при шифровании сначала выполняется wipe (произвольно, по желанию пользователя), это продолжается несколько часов, зависит от железа.
Затем diskcryptor зашифровывает жесткий диск, что продолжается обычно ещё несколько часов.
б.) в случае с зашифрованным lvm диск заполняется случайными данными, а затем происходит luksFormat и создается lvm.
Т.е. из данных операций только первая занимает продолжительное время. Почему так быстро?
https://wiki.archlinux.org/ind.....VM#Why_So_Serious.3F
Вопрос на самом деле продиктован необходимостью понять, насколько надежно полнодисковое шифрование при установке системы в последних версиях ubuntu и linux mint.
Выходит, что нужно сначала заполнять используемый диск случайными данными, а потом устанавливать скачанный дистрибутив?
И, во-вторых, получается, что при ручной разметке (как в руководстве по ссылке) использование frandom выгоднее по времени, особенно для больших по объему hdd.
Т.е. в случае линукс шифрование всегда пройдет быстрее.
В чем преимущество подхода diskcryptor по сравнению с таким вариантом?
Может быть, потому, что фраза подразумевает, что перешифровываются все уже имеющиеся данные на диске? Грубо говоря, вы установили DC, и он зашифровал уже имеющийся диск (что нетривиально).
В LUKS не так: вы делаете бэкап данных на третий носитель, очищаете исходный (это долго), делаете разбиение диска и разметку шифрованной файловой системы (это быстро), после чего копируете данные с бэкап-носителя на исходный (это долго). В конце можно затереть носитель с бэкапом. Во всяком случае, я не слышал про зашифровывание файловой системы в Linux на лету. Может, что-то такое и есть, но это не штатная типичная фича.
Можно наоборот: сначала установить, а потом заполнить всё свободное место на дисках случайными данными. Тем не менее, первый способ предпочтительнее с точки зрения безопасности.
«О заполнении диска случайными данными для подготовки его к шифрованию»
В том, что там одна кнопка: нажал, и всё готово, а с LUKS все нужные действия надо производить самому, да ещё с пониманием:
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
После всех дискуссий этот вариант признали за оптимальный. Для перестраховки на занулённый шифрованный раздел можно заново натравить cryptFormat и второй раз уже не занулять. Тогда терабайты нулей с предыдущего раза будут зашифрованы на неизвестном ключе, который не будет иметь отношения к текущему ключу шифрования.
Командная строка: dccon -format d: -aes -ntfs -q [опционально -p password]
Какой вариант предпочесть в случае с новым, неиспользованным SSD?