SSD mit Linux, verschlüsselt

[intelkuchen]

Ich will eine neue SSD (80GB Postville) einbauen und verschlüsselt mit Linux benutzen. Fragen:

-Gibt's alternativen zur Verschlüsselung mit dm-crypt? Denn Truecrypt läuft ja nicht (zum Booten), aber dm-crypt benutzt nur einen Kern.

-Muss man irgendwas beachten? Oder geht wie bei Festplatten dm-crypt -> LVM -> ext3?

-Wieviel Platz unpartitioniert lassen? Denn Trimmen geht ja nicht mehr. Intels Drive Tool läuft eh nicht mit Linux.

[TheCritter]

Du kannst auch unter Linux trimmen. Hmm ok eine verschlüsselte Partition könnte schwierig werden. Weis nicht wie sich das verhält wenn man das Loop Device trimmen will.

Verschlüsseln geht auch mit LUKS. Ist aber praktisch eine Erweiterung von DM-Crypt . Zu mehr Prozessoren, weis nciht ob das jetzt mit LRW geht.
Schau dir mal diesen letzten Absatz an:
Festplattenverschlüsselung mit DM-Crypt und Cryptsetup-LUKS: Technik und Anwendung « 08 « 2005 « Ausgaben « Heft & Abo « Linux-Magazin Online

"LRW behebt alle bekannten Sicherheitsprobleme von CBC und glänzt zudem mit besserer Performance. Während CBC nicht mit der Anzahl der Prozessoren skaliert, da die Rekursion für jeden Rechenschritt das Ergebnis des vorherigen benötigt, können bei LRW mehrere Prozessoren gleichzeitig arbeiten. Der Autor von LUKS und Koautor dieses Artikels, Clemens Fruhwirth, hat LRW für DM-Crypt implementiert, getestet und stand schon kurz vor der Fertigstellung. "

LRW gilt aber heutzutage auch schon wieder als veraltet. Besser ist XTS.

[intelkuchen]

Der Autor von LUKS und Koautor dieses Artikels, Clemens Fruhwirth, hat LRW für DM-Crypt implementiert, getestet und stand schon kurz vor der Fertigstellung. "[/I]

LRW gilt aber heutzutage auch schon wieder als veraltet. Besser ist XTS.

Also hier postet jemand benchmarks für LRW. Scheint fertig zu sein.

[TheCritter]

Ja, inzwischen ist das LRW aus dem Experimentierstadium heraus. Der Artikel war ja auch schon von 2005. Aber man sieht auch bei dem Benchmark das AES LRW 256 und AES XTS 265 schneller sind als AES CBC 256.
Leigt möglicherweise auch daran dass LRW und auch XTS mehrere Prozessorkerne ansprechen kann. Ob es so implementiert wurde, weis ich aber nicht.

[Truecrypt]

Das Verschlüsseln von ganzen Laufwerken hat zur Folge, dass TRIM nicht! funktioniert.

[intelkuchen]

Das Verschlüsseln von ganzen Laufwerken hat zur Folge, dass TRIM nicht! funktioniert.

Das glaube ich. Ist ja wohl so gedacht. Sollte mich das aus irgendeinem Grund stören?

---------- Beitrag hinzugefügt um 22:31 ---------- Vorheriger Beitrag war um 22:29 ----------

Natürlich wird mich stören, dass ich dann 20% oder so unpartitioniert lassen muss, damit das Laufwerk sich intern reorganisieren kann. Ansonsten dürfte das trim aber wohl überflüssig sein.

[TheCritter]

Oder du hast sowas wie eine Backup Lösung. Also alle paar Monate das Image sichern, Platte löschen mit so einem Eraser und Image zurück spielen.

[Morpog]

[/COLOR]Natürlich wird mich stören, dass ich dann 20% oder so unpartitioniert lassen muss, damit das Laufwerk sich intern reorganisieren kann. Ansonsten dürfte das trim aber wohl überflüssig sein.

Platz frei lassen bringt dir nur mehr Zeit. Ohne TRIM bricht die Performance immer ein. Deshalb ist TRIM nie überflüssig.

[DoubleJ]

Platz frei lassen bringt dir nur mehr Zeit. Ohne TRIM bricht die Performance immer ein. Deshalb ist TRIM nie überflüssig.

Wobei der Einbruch bei zusätzlichen 20% Spare Area nicht mehr so stark ist und der Intel-Controller dank seiner sehr guten Garbage Collection die Leistung auch recht gut halten kann, solange man ihn nicht die ganze Zeit mit Random Writes quält.

[intelkuchen]

Also alle paar Monate das Image sichern, Platte löschen mit so einem Eraser und Image zurück spielen.

Ja, so dachte ich mir das. 80GB auf Festplatte habe ich frei, da bewege ich eben jedes halbe Jahr alle Daten hin, mache Secure Erase (wie mache ich das eigentlich ohne Windows?) , dann ist das SSD wie neu und ich kann alles zurückspielen. Das dürfte nicht lange dauern, 2 kurze Befehle und ein paar Minuten Warten eben jedes halbe Jahr.

[0x00]

trim mit wiper.sh script für partitionen mit dmcrypt verschlüsselung:
SourceForge.net: hdparm: Detail: 2997551 - TRIM support on LVM and dm-crypt

hab das bei mir getestet und es dürfte funktionieren, natürlich hab ich auch vorher immer backups gemacht

[edit]
hab nochmal den thread gelesen und beantworte noch ein paar fragen
1) brauchbare alternative kenn ich leider auch keine, TC geht ja leider nicht für root-partition.
dmcrypt unterstützt derzeit nur 1 core pro device. aber wenn du z.b. mehrere verschiedene partitionen hast, dann werden sehr wohl auch mehrere cores/threads verwendet, siehe lange discussion "Multicore Support" von 2008, aussage vom entwickler: Multicore Support?

2) SSD = grundsätzlich wie HDD, abgesehen davon dass du unnötige writes vermindern solltest (zb. mount mit noatime,...), partitionen alignen musst usw (gibt genügend infos im netz hierzu).

3) ich hab in der firma eine intel x25-m 160gb seit ca. 3/4 jahr, habe alles partitioniert und bisher ohne trim verwendet. es ist schon langsamer geworden als zu beginn (ich quäle das ding berufs+OS-bedingt schon stark), aber trotz kompletter verschlüsselung noch unvergleichbar schnell.
[/edit]

[intelkuchen]

Danke für die guten Tipps, 0x00 und TheCritter!

trim mit wiper.sh script für partitionen mit dmcrypt verschlüsselung:
SourceForge.net: hdparm: Detail: 2997551 - TRIM support on LVM and dm-crypt

Sehr interessant, dass das doch geht. Klingt ein klein wenig unsicher, TRIM zu erlauben, aber manche brauchen es ja vielleicht auch nicht besonders sicher. Werde ich mal testen.

hab nochmal den thread gelesen und beantworte noch ein paar fragen

Vielen Dank!

dmcrypt unterstützt derzeit nur 1 core pro device

Schade. Die Entwickler sollten das modernisieren, aber wenn die nicht gerade hier lesen, hat dieser Satz ja keine Auswirkung.

aber wenn du z.b. mehrere verschiedene partitionen hast, dann werden sehr wohl auch mehrere cores/threads verwendet

Guter Plan. Wie kann ich mehrere Partitionen benutzen, um das Tempo zu erhöhen? Traditionell gibt's ja Extrapartitionen für /var, /tmp und so, aber das hilft hier wohl nicht weiter, weil wohl die Daten fast alle aus derselben Partition kommen werden.

Kann man die SSD in ein RAID-0 verwandeln mit z.B. 10000 "Laufwerken"? Dann würde auch das Lesen einer großen Einzeldatei (ooffice oder so) vermutlich mehrere "Laufwerke" betreffen und daher schneller werden. Bloß wie richtet man das ein? Partitionieren im MBR wohl kaum, da passen ja nur ganz wenige Partitionen rein.

2) partitionen alignen musst usw (gibt genügend infos im netz hierzu).

Ich finde die Infos dazu extrem spärlich. Noch das Beste habe ich in einem Blog von Tso gefunden, und das ist sehr schwer zu verstehen: idiotische fdisk-Parameter (224/56), idiotische pvcreate-Parameter (250k), ... Wenn man dagegen logisch vorgeht (hab ich auch probiert) und alles an 8M-Blöcken ausrichtet, wird's langsamer.

ich hab in der firma eine intel x25-m 160gb seit ca. 3/4 jahr
[...] trotz kompletter verschlüsselung noch unvergleichbar schnell.

Wie schnell ist es denn mit dm-crypt und LVM? Hast du mal gemessen? Würde mich wirklich interessieren.

[DFHighSpeedLine]

Ich will eine neue SSD (80GB Postville) einbauen und verschlüsselt mit Linux benutzen. Fragen:

-Gibt's alternativen zur Verschlüsselung mit dm-crypt? Denn Truecrypt läuft ja nicht (zum Booten), aber dm-crypt benutzt nur einen Kern.

-Muss man irgendwas beachten? Oder geht wie bei Festplatten dm-crypt -> LVM -> ext3?

-Wieviel Platz unpartitioniert lassen? Denn Trimmen geht ja nicht mehr. Intels Drive Tool läuft eh nicht mit Linux.

Also i würd an Deiner Stelle eher auf "ext4" setzen, das läuft wesentlich schneller als ext3

[0x00]

die entwickler von cryptsetup/dmcrypt wollen eh schon länger multicore vernünftig unterstützen (s. thread von 2008) dürfte aber wohl schwieriger zu implementieren sein.

bzgl. alignment werden die tools langsam besser. du musst aktuelle util-linux-ng und cryptsetup tools verwenden, dann wird schon automatisch aligned. hat bei mir bei meiner vertex2 gut funktioniert (sämtliche partitionen automatisch aligned). hier ist ein brauchbarer blog-post von jemanden: Random Technical Outbursts: 4K alignment for disks: IMPORTANT!!!

du kannst unter linux soviele partitionen machen wie du willst und diese dann über die /etc/fstab auch überall einhängen. aber praktikabel ist das sicher nicht, weil du ja beim booten auch für jede die passrphase oder wie auch immer eingeben musst.

ich verwende kein LVM, kanns daher auch nicht testen.

ext4 ist für SSDs ein muss

[TheCritter]

Also unter Linux sind glaube nur 16 Partitionen erlaubt, nicht unendlich. Bin jedenfalls schon mal an diese Grenze gestoßen.

[intelkuchen]

die entwickler von cryptsetup/dmcrypt wollen eh schon länger multicore vernünftig unterstützen (s. thread von 2008) dürfte aber wohl schwieriger zu implementieren sein.

Dann wird das wohl so schnell nichts Wobei Truecrypt das schon lange kann, unmöglich ist es also nicht.

bzgl. alignment werden die tools langsam besser. du musst aktuelle util-linux-ng und cryptsetup tools verwenden, dann wird schon automatisch aligned. hat bei mir bei meiner vertex2 gut funktioniert (sämtliche partitionen automatisch aligned). hier ist ein brauchbarer blog-post von jemanden: Random Technical Outbursts: 4K alignment for disks: IMPORTANT!!!

Vielen Dank. Wobei ich auch noch ein LVM dazwischen habe. Das muss doch auch noch irgendwie aligned werden, oder?

du kannst unter linux soviele partitionen machen wie du willst und diese dann über die /etc/fstab auch überall einhängen. aber praktikabel ist das sicher nicht, weil du ja beim booten auch für jede die passrphase oder wie auch immer eingeben musst.

Soviele Partitionen wie in den MBR / in die Partitionstabelle passen, sind sicher nicht viele. Der Nachposter schreibt ja auch von 16.
Mit der passphrase ist das nicht so ein Problem, der Schlüssel kann ja meinetwegen per Skript aus einer Datei gelesen werden. Dann ist nur noch eine passphrase nötig für die Partition, auf der diese Datei ist.

ext4 ist für SSDs ein muss

Ach, ist das soviel besser/schneller? Werde ich dann gleich mal benutzen. Bei Wikipedia lese ich gar nichts von schneller (außer beim fsck, aber den braucht man ja immer nur einmal pro Booten). Ich habe gehört, dass KDE beim Booten auf ext4 Dateiverluste hatte?

[ulukay]

ext4 oder btrfs bei ssds - die unterstuetzen trim out of the box
alles andere ist zur zeit bei ssds pfusch