View previous topic :: View next topic |
Author |
Message |
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Fri Jul 31, 2009 1:03 pm Post subject: |
|
|
Hab seit ca 4-5 Jahren XFS ohne jemals ein Problem gehabt zu haben und seit 1,7 Jahren XFS und ext3 und ebenfalls niemals Probleme gehabt. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2285 Location: Adendorf, Germany
|
Posted: Sat Aug 01, 2009 2:43 pm Post subject: |
|
|
Haha! Quote: | Der Angriff gegen AES-256 mit neun Runden benötigt Zeit in der Größenordnung 2^39, die selbst ein regulärer PC bewältigen kann, und mit zehn Runden 2^45. Der Zeitaufwand gegen elf Runden liegt mit 2^70 jedoch knapp oberhalb der Durchführbarkeit. | Und weiter unten: Quote: | AES-256 verwendet standardmäßig 14 Runden. | Alleine mit der Steigerung von 10 auf 11 Runden zeigt, wie es wohl bei 12 aussieht. Da sind 14 wohl noch eine Weile recht sicher.... _________________ Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Sun Aug 02, 2009 2:10 pm Post subject: |
|
|
Aber eben nur -256. AES128 kann weiterhin als sicher angesehen werden.
Bei -192/-256 ist es bedingt durch die zu niedrige Anzahl der Runden vergleichsweise leichter den Schlüssel herauszubekommen. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Wed Aug 05, 2009 10:35 pm Post subject: |
|
|
hab seit ein paar monaten eine 1tb festplatte mit luks und aes verschluesselt
hab die festplatte mit aes-cbc-essiv verschluesselt
auf der festplatte sind ca 200.000 dateien
texte, bilder, musik und videodateien
wenn ich ein verzeichnis erstellen will dauert es 3 bis 5 sekunden bis es erstellt ist (sehe im gkrellm das er in der zeit mit 400...700kb/s liest)
das kopieren von dateien geht mit bis zu 70mb/s aber ich sehe bei munin das es sehr viele io-wait erzeugt
ich bin nicht wirklich zu frieden damit |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6749
|
Posted: Thu Aug 06, 2009 9:15 am Post subject: |
|
|
pieter_parker wrote: | wenn ich ein verzeichnis erstellen will dauert es 3 bis 5 sekunden bis es erstellt ist |
Bist Du sicher, dass das ein Problem der Verschluesselung ist? Das klingt eher so, als wenn sich die Platte zwischenzeitlich schlafengelegt hat und erst wieder hochlaeuft.
Quote: | aber ich sehe bei munin das es sehr viele io-wait erzeugt |
USB-Platte? Moeglicherweise kann die Platte bei Dir wegen Hardwareinkompatibilität nicht im optimalen Modus betrieben werden. Bist Du sicher, dass das nicht auch ohne Verschluesselung auftritt?
Außerdem: Hast in /etc/modules.d Aliase für die prozessoroptimierten Algorithmen gesetzt, oder benutzt Du nur die generischen? |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Tue Aug 11, 2009 1:59 pm Post subject: |
|
|
mv wrote: |
Außerdem: Hast in /etc/modules.d Aliase für die prozessoroptimierten Algorithmen gesetzt, oder benutzt Du nur die generischen? |
sry fürs hijacken, aber muss man das (spreche jetzt von dem aes modul das es ja generisch und als 64bit optimierte version gibt)?
Angenommen ich baue es fest in den Kernel ein, wie mache ich dann davon Nutzen? Ich dachte der Kernel nutzt die optmierte Version automatisch.
gruß ScytheMan |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6749
|
Posted: Tue Aug 11, 2009 9:54 pm Post subject: |
|
|
ScytheMan wrote: | Ich dachte der Kernel nutzt die optmierte Version automatisch. |
Die optimierte Version ist ja anscheinend als eigenes Modul implementiert, nicht nur als "Verbesserung" einiger Code-Teile des alten Moduls. Weshalb sollte der Kernel also automatisch ein per Userspace explizit angefordertes Modul gegen ein anderes austauschen? (Falls er nicht mit "alias" dazu angewiesen wurde?). Sicher war ich zunaechst auch nicht, aber einfache Benchmarks reichen aus, das zu bestaetigen. |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Tue Aug 11, 2009 10:09 pm Post subject: |
|
|
Quote: | 4.2. Implementing a cipher
A cipher is the basic of an cryptographic encryption algorithm that can be registered. The user has to fill the struct crypto_alg, and the struct cipher_alg which is embedded in the first one.
1struct crypto_alg {
2 struct list_head cra_list;
3 struct list_head cra_users;
4
5 u32 cra_flags;
6 unsigned int cra_blocksize;
7 unsigned int cra_ctxsize;
8 unsigned int cra_alignmask;
9
10 int cra_priority;
11 atomic_t cra_refcnt;
12
13 char cra_name[CRYPTO_MAX_ALG_NAME];
14 char cra_driver_name[CRYPTO_MAX_ALG_NAME];
15
16 const struct crypto_type *cra_type;
17
18 union {
19 struct ablkcipher_alg ablkcipher;
20 struct blkcipher_alg blkcipher;
21 struct cipher_alg cipher;
22 struct digest_alg digest;
23 struct hash_alg hash;
24 struct compress_alg compress;
25 } cra_u;
26
27 int (*cra_init)(struct crypto_tfm *tfm);
28 void (*cra_exit)(struct crypto_tfm *tfm);
29 void (*cra_destroy)(struct crypto_alg *alg);
30
31 struct module *cra_module;
32};
33
34struct cipher_alg {
35 unsigned int cia_min_keysize;
36 unsigned int cia_max_keysize;
37 int (*cia_setkey)(struct crypto_tfm *tfm, const u8 *key,
38 unsigned int keylen);
39 void (*cia_encrypt)(struct crypto_tfm *tfm, u8 *dst, const u8 *src);
40 void (*cia_decrypt)(struct crypto_tfm *tfm, u8 *dst, const u8 *src);
41};
Listing 4.1: struct crypto_alg and struct cipher_alg
Here is a brief description of the most important fields from listing 4.1:
cra_flags This field determines the type of the crypto algorithm. In the case of
CRYPTO_ALG_TYPE_CIPHER it treats the algorithm as an cipher and the member cipher within cra_u is accessed, in the case of CRYPTO_ALG_TYPE_DIGEST the digest member is accessed.
cra_blocksize The block size which the algorithm expects.
cra_ctxsize The size of the private context which is used to identify the state.
cra_alignmask The alignmask that is required by the algorithm. Some algorithms require a special alignment of their private context data structure or the data that they have to process.
cra_priority The priority of the algorithm. Usually generic implementations of an algorithm have a priority of 100, assembly optimized 200 and hardware support 300. The API takes the algorithm with the highest priority if there is more than one available. |
Quelle: http://diploma-thesis.siewior.net/html/diplomarbeitch4.html
somit dürfte im Idealfall die Software bzw. userspace selbst das passende assembler-basierte Module (falls vorhanden) verwenden
update:
also anscheinend fehlt cryptsetup diese funktion optimierte module zu erkennen (stand 2007):
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg400433.html
Quote: |
Bug#445186: cryptsetup: Please load optimized cipher kernel modules by default | : http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg400205.html
wenn jemand mehr darüber weiß - nur zu
ich würde gerne meine datei transfers mit verschlüsselung beschleunigen
update2:
sorry falls ich nur stuss schreib - ich komm im mom. zu recht wenig schlaf
anscheinend beziehen sich die patches nur auf das laden von asm-Modulen, dass diese unterstützt werden - davon wird auszugehen sein .... _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6749
|
Posted: Wed Aug 12, 2009 6:43 pm Post subject: |
|
|
kernelOfTruth wrote: | ich würde gerne meine datei transfers mit verschlüsselung beschleunigen |
Falls ich die alias-Geschichte unklar formuliert haben sollte. Bei mir sieht es so aus:
/etc/modoprobe.d/x86_64.conf wrote: | #alias aes aes-x86_64
alias aes aes-ni_intel
alias salsa20 salsa20-x86_64
alias twofish twofish-x86_64 | bzw. /etc/modprobe.d/i586.conf wrote: | alias aes aes-i586
alias salsa20 salsa20-i586
alias twofish twofish-i586 |
Ob dies das empfohlene Vorgehen ist, weiss ich nicht, aber die cryptsetup-Partionen sind damit merklich schneller geworden. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Thu Aug 13, 2009 12:26 pm Post subject: |
|
|
Erste Passwort-Erzwingungshaft in Großbritannien
In Großbritannien sind zwischen 1. April 2008 und 31. März 2009 erste Haftstrafen verhängt worden, weil Beschuldigte die Herausgabe von Passwörtern bzw. von kryptografischen Schlüsseln verweigerten
http://www.heise.de/newsticker/meldung/143462
wie ist das bei uns in .de ? |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Thu Aug 13, 2009 12:50 pm Post subject: |
|
|
sowas wie beugehaft für passwörter gibts imho in deutschland (noch) nicht, ansonst hilft nur plausible deniability |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Sat Aug 15, 2009 6:42 am Post subject: |
|
|
mv wrote: | bzw. /etc/modprobe.d/i586.conf wrote: | alias aes aes-i586
alias salsa20 salsa20-i586
alias twofish twofish-i586 |
|
Ich weiß nicht, ob das wirklich nötig ist - ich habe das nicht eingestellt, dennoch sagt bei mir lsmod folgendes:
Code: |
Module Size Used by
aes_i586 7892 12
aes_generic 26932 1 aes_i586
|
_________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6749
|
Posted: Sat Aug 15, 2009 9:04 am Post subject: |
|
|
schachti wrote: | ich habe das nicht eingestellt, dennoch sagt bei mir lsmod folgendes:
Code: |
Module Size Used by
aes_i586 7892 12
aes_generic 26932 1 aes_i586
|
|
lsmod gibt ja keine Auskunft darüber, welche Module benutzt werden, sondern nur, welche geladen wurden: Es spiegelt eher das wieder, was in Deiner /etc/conf.d/modules steht (falls Du baselayout-2 benutzt; wie das bei baselayout-1 war, habe ich schon lange vergessenI).
Die Module werden ja nicht automatisch von cryptsetup geladen (außer, das ist in den letzten Versionen geändert worden), sondern cryptsetup spricht nur die geladenen Module an und gibt einen (IIRC ziemlich unverständlichen) Fehler aus, wenn sie nicht geladen wurden. |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Sat Aug 15, 2009 10:15 am Post subject: |
|
|
Also ich habe einfach das jeweils richtige AES Modul im Kernel drin, das andere erst garnicht aktiviert. Da brauche ich doch nicht den Unsinn mit mod aliases usw.
Einfach gleich das richtig auswählen und gut ist. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6749
|
Posted: Sat Aug 15, 2009 10:41 am Post subject: |
|
|
Anarcho wrote: | Also ich habe einfach das jeweils richtige AES Modul im Kernel drin, das andere erst garnicht aktiviert. |
Das geht nicht immer, etwa wenn man den selben Kernel auf mehreren Rechnern haben will. Außerdem ist nicht ganz klar, ob dies den gewünschten Effekt hat: Für CONFIG_CRYPTO_AES_586 musst Du CONFIG_CRYPT_AES automatisch mitselektieren. (Zum Vergleich: Bei CONFIG_CRYPTO_TWOFISH_586 wird nur CONFIG_CRYPTO_TWOFISH_COMMON nicht aber CONFIG_CRYPTO_TWOFISH mitselektiert.) |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Sun Aug 16, 2009 3:21 pm Post subject: |
|
|
mv wrote: | lsmod gibt ja keine Auskunft darüber, welche Module benutzt werden, sondern nur, welche geladen wurden: Es spiegelt eher das wieder, was in Deiner /etc/conf.d/modules steht (falls Du baselayout-2 benutzt; wie das bei baselayout-1 war, habe ich schon lange vergessenI).
Die Module werden ja nicht automatisch von cryptsetup geladen (außer, das ist in den letzten Versionen geändert worden), sondern cryptsetup spricht nur die geladenen Module an und gibt einen (IIRC ziemlich unverständlichen) Fehler aus, wenn sie nicht geladen wurden. |
Ich lade keine AES-Module explizit, sondern die werden automatisch von cryptsetup (oder pam_mount) geladen. Über /etc/conf.d/modules lade ich nur nvidia, aufs, fuse und die VirtualBox-Module. Und die Spalte count in der Ausgabe von lsmod gibt an, wie oft das Modul genutzt wird. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Mon Aug 17, 2009 6:54 pm Post subject: |
|
|
wenn ich so um die 50mb/s an datendurchsatz haben moechte und eine intel atom cpu mit 2 kernen verwende, welche verschluesselung koennte ich dann fuer die festplatte im besten fall benutzen ?
gibt es kein geraet das ich zwischen mainboardsataport und festplattesataport haenge das mir die daten ent und ver -schluesselt ? meine fuer ide mal soetwas gesehen zuhaben ... |
|
Back to top |
|
|
avx Advocate
Joined: 21 Jun 2004 Posts: 2152
|
Posted: Mon Aug 17, 2009 8:52 pm Post subject: |
|
|
Quote: | wenn ich so um die 50mb/s an datendurchsatz haben moechte und eine intel atom cpu mit 2 kernen verwende | Könnte schwierig werden, ich schaff das mit ach und krach auf einem E6600 - gut, bei mir ist's auch Serpent. Wenn's um Speed geht, dürfte Blowfish bei dem System wohl erste Wahl sein.
Quote: | gibt es kein geraet das ich zwischen mainboardsataport und festplattesataport haenge das mir die daten ent und ver -schluesselt ? | Klar gibt es Crypto-Karten, z.B. von Sun, die sind aber alles andere als billig(600€+, jedenfalls bei meinen Bedürfnissen). |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2285 Location: Adendorf, Germany
|
Posted: Tue Aug 18, 2009 8:51 am Post subject: |
|
|
pieter_parker wrote: | Erste Passwort-Erzwingungshaft in Großbritannien
In Großbritannien sind zwischen 1. April 2008 und 31. März 2009 erste Haftstrafen verhängt worden, weil Beschuldigte die Herausgabe von Passwörtern bzw. von kryptografischen Schlüsseln verweigerten | Lösung: TrueCrypt benutzen und "Hidden Volumes" erstellen. _________________ Important German:- "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
- "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
|
|
Back to top |
|
|
avx Advocate
Joined: 21 Jun 2004 Posts: 2152
|
Posted: Tue Aug 18, 2009 2:37 pm Post subject: |
|
|
Quote: | Lösung: TrueCrypt benutzen und "Hidden Volumes" erstellen. | Na, das ist wieder so ein "Argument", was einem in dieser Situation mehr Ärger einbringt als es nutzt.
Wenn die nicht beweisen können, dass es existiert, kannst du auch nicht beweisen, dass es nicht existiert - ausser natürlich man legt alles offen. Bei einem Gegner, der nicht fair spielt, beisst man sich damit selbst ziemlich in den Hintern. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sat Nov 07, 2009 1:13 pm Post subject: |
|
|
in raum1 steht computer1 (itx intel atom mainboard)
in raum2 steht computer2 (mittelgrosser server computer, ausreichend leistung)
raum1 ist von raum2 etwa 12m per kabelweg entfernt, es liegen netzwerkkabel
an computer1 sind 2 sata wechselfestplatten mit je 2tb groesse angeschlossen und die sollen an computer2 gemountet werden
die wechselfestplatten sollen verschluesselt werden
die festplatten per dm_crypt in computer1 einhaengen und dann eine nfs freigabe darauf ?
oder die festplatten unverschluesselt in computer1 einhaengen und dann computer2 eine 2tb grosse verschluesselte datei erstellen lassen die dann in computer2 eingehangen wird?
wie wuerdet ihr es machen ? |
|
Back to top |
|
|
papahuhn l33t
Joined: 06 Sep 2004 Posts: 626
|
Posted: Sat Nov 07, 2009 1:34 pm Post subject: |
|
|
Für sowas wären Network Block Devices prädestiniert. Ich hab das mal vor Jahren getestet, aber das wars noch nicht ganz stabil. Vielleicht ist es heute besser geworden.
pieter_parker wrote: | in raum1 steht computer1 (itx intel atom mainboard)
in raum2 steht computer2 (mittelgrosser server computer, ausreichend leistung)
raum1 ist von raum2 etwa 12m per kabelweg entfernt, es liegen netzwerkkabel
an computer1 sind 2 sata wechselfestplatten mit je 2tb groesse angeschlossen und die sollen an computer2 gemountet werden
die wechselfestplatten sollen verschluesselt werden
die festplatten per dm_crypt in computer1 einhaengen und dann eine nfs freigabe darauf ?
oder die festplatten unverschluesselt in computer1 einhaengen und dann computer2 eine 2tb grosse verschluesselte datei erstellen lassen die dann in computer2 eingehangen wird?
wie wuerdet ihr es machen ? |
_________________ Death by snoo-snoo! |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sun Nov 08, 2009 3:43 pm Post subject: |
|
|
koennen nbd festplatten auch jederzeit in andere computer eingebaut werden und dann da benutzt werden ?
welche nachteile bringt es wenn ueber das netzwerk und die nfs freigabe in einer 2tb grossen verschluesselten datei geschrieben und von gelesen wird ? |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Sun Nov 08, 2009 3:52 pm Post subject: |
|
|
Die Verschlüsselung sollte der Rechner machen, an dem die Platten hängen. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
|