¿El cifrado LUKS afecta a TRIM? (SSD y Linux)

9

Me mudaré a Linux cuando llegue el nuevo SSD. SSD ofrece un mayor rendimiento, por lo que pensé que podría cifrar todo.

Pero luego pensé en TRIM y en la recolección de basura en el disco. ¿Una unidad encriptada LUKS afectará el sistema de recolección de basura? (PODAR).

Algific
fuente

Respuestas:

5

Les envié un correo electrónico. Y TRIM no funcionará. Porque el sistema operativo no sabe dónde se almacenan los archivos. Solo el sistema encriptado lo sabe. Debido al hecho de que el cifrado es lo primero. Usaré truecrypt en su lugar. En la parte superior del sistema de archivos para mi carpeta de inicio.

Algific
fuente
Solo como referencia: ¿Podría decirnos quién es "ellos"? ¿Los desarrolladores de ubuntu?
c089
Supongo que se refiere a los desarrolladores de LUKS. Ubuntu usa ecryptfs, afaik.
Manuel Faux
¿Cómo se relaciona esto con otras respuestas aquí? Supongo que este está desactualizado ahora.
d33tah
2

No. Un bloque vacío seguirá apareciendo como vacío y, por lo tanto, se RECORTARÁ.

Incluso si su unidad está encriptada, la unidad en sí no sabe nada de la encriptación, solo dónde están los datos (y qué espacio no se usa en este momento). Entonces estará bien.

En cuanto al rendimiento, no sé cómo podría ser el impacto. Parece que ciertas optimizaciones en el SSD podrían no funcionar, pero no puedo entender cuáles requieren conocimiento sobre los datos reales, por lo que probablemente no habrá impacto desde el punto de vista del almacenamiento.
Tenga en cuenta que el cifrado requiere ciclos de CPU adicionales, por lo que el impacto puede ser notable allí.

Zsub
fuente
+1 para el comentario sobre bloques. La razón por la que esto funciona es que LUKS cifra cada bloque individualmente. En cuanto a la carga de la CPU: según los puntos de referencia, un P3 @ 1GHz puede cifrar AES a aproximadamente 13 MB / s, por lo que a menos que su HD pueda mantener esa velocidad, no debería notar una disminución del rendimiento (a menos que su CPU ya esté completamente cargada haciendo algo diferente) .
sleske
Es curioso que debas mencionar la velocidad de escritura. Como la pregunta es sobre los SSD, existe la posibilidad de que el disco en sí sea más rápido que la conexión a su controlador. Y hemos recorrido un largo camino desde los días de P3 a 1 GHz, por lo que esa cifra no es representativa para las PC modernas, me temo.
Zsub
Mi está ejecutando Core Duo 1.3Ghz. 4GB ddr3 ram. No debería ser una gran presión para la CPU, elegiré un cifrado correcto. No es lo mejor. Después de todo, es solo para que el ladrón no tenga acceso a mis archivos. No para mantener a la NSA fuera. : p
Algific
1
Tenga en cuenta que está seguro de esto? Porque, como lo entendí, TRIM necesita el núcleo para hablar con ext4. Y dado que ext4 está en la parte superior de la unidad encriptada, uno podría pensar que trim obtendría la información que necesita. ?
Algific
1
No. TRIM es una funcionalidad independiente del sistema operativo o del sistema de archivos en una unidad. El sistema operativo debe admitirlo para enviar los comandos apropiados a la unidad, pero el sistema de archivos no necesita saberlo.
Zsub
2

De man 5 crypttab:

Opciones

descarte

Permitir el uso de solicitudes de descartes (TRIM) para el dispositivo.

ADVERTENCIA: Evalúe los riesgos de seguridad específicos cuidadosamente antes de habilitar esta opción. Por ejemplo, permitir descartes en dispositivos cifrados puede conducir a la pérdida de información sobre el dispositivo de texto cifrado (tipo de sistema de archivos, espacio utilizado, etc.) si los bloques descartados se pueden ubicar fácilmente en el dispositivo más adelante.

Se requiere Kernel versión 3.1 o más reciente. Para versiones anteriores se ignora la opción.

David Foerster
fuente
1

La mayoría de los tutoriales que he leído sobre la configuración de unidades LUKS le piden badblocksprimero a toda la unidad con datos aleatorios. De esta forma, un atacante no puede saber qué sectores contienen datos y cuáles aún no se han utilizado. Esta información podría usarse para descubrir cosas sobre los datos y correlacionarla con otra información basada en el tiempo que podría llevar a un compromiso.

Por lo tanto, incluso si los módulos LUKS admitieran el envío de grupos de bloques no utilizados a TRIM, no querrá hacerlo de todos modos.

LawrenceC
fuente