View previous topic :: View next topic |
Author |
Message |
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sun Nov 08, 2009 4:46 pm Post subject: |
|
|
ich befuerchte nur das ein rechner mit atom cpu zuschwach ist und dann nicht genug mb/s rumkommen werden |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Mon Nov 09, 2009 4:39 am Post subject: |
|
|
Dann würde ich persönlich die Platten an den Rechner anschließen, der sie im wesentlichen auch nutzt. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Mon Nov 09, 2009 7:58 am Post subject: |
|
|
schachti wrote: | Dann würde ich persönlich die Platten an den Rechner anschließen, der sie im wesentlichen auch nutzt. |
bietest du dich als dj an ? :D
nein, immer in raum2 der auf einer anderen etage liegt zulaufen um die platte(n) zuwechseln waere nicht gut |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Mon Nov 09, 2009 4:30 pm Post subject: |
|
|
ok, mir war irgendwie entgangen, dass das Wechsel-Festplatten sind - das macht's nicht einfacher.
Ich persönlich vertrete immer noch die Philosophie, dass die Verschlüsselung derjenige Rechner machen sollte, an den die Platten angeschlossen sind. Teste doch einfach mal, welchen Durchsatz Du auf dem Rechner mit entsprechender Verschlüsselung erreichst (zum Beispiel eine Datei als Loopback-Device einhrichten und dann mit dmcrypt verschlüsseln). Ich kenne mich mit den Interna des Blocklayers und von dmcrypt nicht aus, daher weiß ich nicht, was schiefgehen könnte, wenn der Client selbst verschlüsselt. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
root_tux_linux l33t
Joined: 21 Dec 2003 Posts: 966
|
Posted: Mon Nov 09, 2009 6:43 pm Post subject: |
|
|
LUKS + Serpent _________________ Intel Core i7 6700K@4.6GHz, Gigabyte GTX 980 Ti G1, Gigabyte Gaming 7, Hyper X Fury 32GB, 2 TB Samsung EVO 840 Basic
ASUS ROG Swift PG348Q Display
ASUS ROG ASUS G771JW Notebook |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Wed Dec 16, 2009 8:44 pm Post subject: |
|
|
ist es inzwischen moeglich die gpu fuer festplattenverschluesselungsberechnungen mit einzubeziehen ? |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Fri Jan 01, 2010 5:47 pm Post subject: |
|
|
fragezeichen |
|
Back to top |
|
|
Max Steel Advocate
Joined: 12 Feb 2007 Posts: 2231 Location: My own world! I and Gentoo!
|
Posted: Fri Jan 01, 2010 10:59 pm Post subject: |
|
|
Unter Umständen ist da was mit CUDA möglich. Allerdings kann ich dazu nichts weiter sagen. Leider.
Ich weiß genaugenommen nichteinmal was alles mit CUDA möglich ist. _________________ mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Tue Mar 16, 2010 1:57 am Post subject: |
|
|
hab ein 1tb grosses laufwerk mit ca 1.000.000 dateien und aes-cbc-essiv:sha256 verschluesselung
das laufwerk schafte früher 70 bis 100 mb/s beim lesen und schreiben, in letzter zeit ist die schreibrate bei ca 3 bis 10 mb/s
im syslog kommen bei laengerem schreiben diese meldungen
Code: | Mar 16 02:49:49 pc1 kernel: [1312854.000075] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:49:49 pc1 kernel: [1312854.000083] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 02:49:49 pc1 kernel: [1312854.000084] res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 02:49:49 pc1 kernel: [1312854.000091] ata3.00: status: { DRDY }
Mar 16 02:49:49 pc1 kernel: [1312854.000096] ata3: hard resetting link
Mar 16 02:49:54 pc1 kernel: [1312858.847040] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:49:54 pc1 kernel: [1312858.849448] ata3.00: configured for UDMA/133
Mar 16 02:49:54 pc1 kernel: [1312858.849465] ata3: EH complete
Mar 16 02:53:58 pc1 kernel: [1313103.000870] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:53:58 pc1 kernel: [1313103.000878] ata3.00: cmd b0/d8:00:00:4f:c2/00:00:00:00:00/00 tag 0
Mar 16 02:53:58 pc1 kernel: [1313103.000879] res 40/00:48:17:f6:82/00:00:72:00:00/40 Emask 0x4 (timeout)
Mar 16 02:53:58 pc1 kernel: [1313103.000881] ata3.00: status: { DRDY }
Mar 16 02:53:58 pc1 kernel: [1313103.000887] ata3: hard resetting link
Mar 16 02:53:59 pc1 kernel: [1313103.510269] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:53:59 pc1 kernel: [1313103.544298] ata3.00: configured for UDMA/133
Mar 16 02:53:59 pc1 kernel: [1313103.544314] ata3: EH complete
Mar 16 02:56:34 pc1 kernel: [1313259.001032] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:56:34 pc1 kernel: [1313259.001040] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 02:56:34 pc1 kernel: [1313259.001041] res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 02:56:34 pc1 kernel: [1313259.001044] ata3.00: status: { DRDY }
Mar 16 02:56:34 pc1 kernel: [1313259.001049] ata3: hard resetting link
Mar 16 02:56:37 pc1 kernel: [1313262.264029] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:56:37 pc1 kernel: [1313262.266451] ata3.00: configured for UDMA/133
Mar 16 02:56:37 pc1 kernel: [1313262.266469] ata3: EH complete
Mar 16 03:00:53 pc1 kernel: [1313517.991176] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 03:00:53 pc1 kernel: [1313517.991184] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 03:00:53 pc1 kernel: [1313517.991185] res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 03:00:53 pc1 kernel: [1313517.991188] ata3.00: status: { DRDY }
Mar 16 03:00:53 pc1 kernel: [1313517.991193] ata3: hard resetting link
Mar 16 03:00:55 pc1 kernel: [1313519.572150] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 03:00:55 pc1 kernel: [1313519.574564] ata3.00: configured for UDMA/133
Mar 16 03:00:55 pc1 kernel: [1313519.574588] ata3: EH complete
Mar 16 03:03:32 pc1 kernel: [1313676.991359] ata3.00: NCQ disabled due to excessive errors
Mar 16 03:03:32 pc1 kernel: [1313676.991365] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 03:03:32 pc1 kernel: [1313676.991376] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 03:03:32 pc1 kernel: [1313676.991378] res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 03:03:32 pc1 kernel: [1313676.991382] ata3.00: status: { DRDY }
Mar 16 03:03:32 pc1 kernel: [1313676.991390] ata3: hard resetting link
Mar 16 03:03:35 pc1 kernel: [1313680.051052] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 03:03:35 pc1 kernel: [1313680.053496] ata3.00: configured for UDMA/133
Mar 16 03:03:35 pc1 kernel: [1313680.053518] ata3: EH complete |
von dem laufwerk lässt sich problemlos mit bis 100 mb/s lesen
es macht beim lesen und schreiben keine unnatürlichen geräusche, daher schliesse ich ein mechanischen fehler sogut wie aus
ist dm_crypt mit den fast 1.000.000 dateien überfordert ? cpu auslastung hab und hatte ich nie viel beim lesen/schreiben
sind die daten zusehr quer auf dem datenträger verteilt ? |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Tue Mar 16, 2010 9:37 am Post subject: |
|
|
Die Meldungen deuten recht eindeutig auf Hardware hin, wir sehen die hier öfters.
Bei uns ist es dann der Dreisatz: Wechselrahmen, SATA-Kabel, Festplatte.
Und ganz selten der Controller.
MfG
Py |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Tue Mar 16, 2010 11:25 am Post subject: |
|
|
wenn er problemlos lesen kann, handelt es sich wohl weniger um ein Kabel- oder Controller-Problem:
Quote: | NCQ disabled due to excessive errors |
<-- das scheint ein NCQ-(Firmware) Problem zu sein
versuch einmal Folgendes:
Quote: | echo "the following practically disables NCQ which is buggy"
echo "on a lot of drives and known to drive CFQ and other i/o schedulers crazy "
for i in /sys/block/sd*; do
/bin/echo "2" > $i/device/queue_depth
done
|
andernfalls könnte es auch ein Problem mit Barrier-Write-Support sein: das Laufwerk braucht zu lange zum Schreiben, dem System/Kernel dauert das zu lange und gibt Fehler aus
oder natürlich auch der schieren Menge an Dateien wegen:
bei mir tritt sowas ähnliches ab und zu mal auf, wenn ich sehr viele Dateien zum auf die Platte schreiben habe, in dem Falle:
Quote: | echo "5" > /proc/sys/vm/dirty_background_ratio
echo "6" > /proc/sys/vm/dirty_ratio
echo "100" > /proc/sys/vm/vfs_cache_pressure
(oder auf 50 testen) |
einmal testen, ob das Besserung bringt
wenn du einen etwas älteren Kernel hast (und cfq):
Quote: | for i in /sys/block/sd*; do
# /bin/echo "cfq" > $i/queue/scheduler
/bin/echo "0" > $i/queue/iosched/slice_idle # default: 6; 0 fixes low throughput with drives which have a buggy ncq implementation
done |
_________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sat Apr 10, 2010 5:52 pm Post subject: |
|
|
die fehlermeldungen haben sich von heute auf morgen gelegt, ich weiss nicht was das war oder woher es kam und warum es jetzt verschwunden ist
screenshot von der gkrellm cpu und festplatten anzeige
http://img3.imageshack.us/img3/3687/25725228.png
von sdf wird gelesen und auf sde wird geschrieben
beide laufwerke sind das gleiche model
beide schaffen bis zu 80..90mb/s schreiben
und beim lesen sogar etwas über 100mb/s
die cpu ist ein intel q6600 mit 4 echten kernen, die kiste hat 8gig ram
auf dem system lauft neben 2 vm die am ideln sind nichts
warum ist da soviel oranger cpu verbrauch ?
und warum so abgehackt auf jedem kern so ein bischen ?
bei dem laufwerk sde wo geschrieben wird, ist zubeobachten das das was geschrieben wird wellenförmig steigt und sinkt, hat das was zubedeuten ?
die schreibraten bei sde fallen manchmal auf bis zu 15mb/s fuer ein paar sekunden
bei einem dd if=/dev/sde oder sdf und of=/dev/null komme ich auf werte von über 100mb/s
beim lesen von /dev/mapper/verschluesseletefestplatte-sde1 oder sdf1 komme ich auf werte von 70 bis 80mb/s
irgendwie hab ich das gefühl als ob nicht genug cpu leistung die ja da ist genutzt wird
was kann ich tun für mehr datendurchsatz ? |
|
Back to top |
|
|
bbgermany Veteran
Joined: 21 Feb 2005 Posts: 1844 Location: Oranienburg/Germany
|
Posted: Sat Apr 10, 2010 6:08 pm Post subject: |
|
|
Hi,
was für eine Virtualisierungslösung hast du denn am laufen? KVM, vmware, VBox...?
Ich hab vmware-server am laufen und bei mir sind die CPUs auch recht häufig am arbeiten, obwohl die VM selber nichts macht.
MfG. Stefan _________________ Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sat Apr 10, 2010 6:21 pm Post subject: |
|
|
hab vmware-server 2 laufen, auch wenn ich ihn stoppe ändert sich an der cpu auslastung und den transferraten leider nicht |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Mon Apr 12, 2010 10:36 am Post subject: |
|
|
kann es vielleicht sein das das laufwerk zu langsamme reaktionszeiten für das system und für die verschlüsselung hat und dadurch alles irgendwie ins stocken kommt ?
wenn dem so ist, was tut man per software um dem entgegen zuwirken ? |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Mon Apr 12, 2010 11:43 pm Post subject: |
|
|
oder kann es an der groesse vom laufwerk liegen ? hatte bisher nie laufwerke über 500gb verschlüsselt
das jetzige ist 1tb gross, und es lässt sich nur mit 5 bis 15mb/s darauf schreiben
wie bekomme ich es schneller ?
ohne verschlüsselung ist schreiben mit bis zu 70mb/s möglich |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Wed Apr 14, 2010 12:16 pm Post subject: |
|
|
*) ich würd auf jedenfall von aes-cbc-essiv:sha256 ----> aes-lrw-benbi:sha256 --key-size 384
das ist sicherer und performanter
*) welches Dateisystem setzt du denn ein ?
bei etwas älteren Kerneln hab ich Probleme mit reiser4 & reiserfs beim Schreiben großer Datenmengen mit Verschlüsselung gehabt
*) ncq abschalten bzw. die Queue verringern bringt nix ?
*) wenn er viele Daten im Cache ansammelt und mit dem Schreiben nicht nachkommt, ist es evtl. besser, den Cache zu verkleinern:
Quote: | /proc/sys/vm/dirty_background_ratio
/proc/sys/vm/dirty_ratio |
<-- beide mal auf 5 setzen, vielleicht hilft das
*) /proc/sys/vm/vfs_cache_pressure
damit könntest du auch etwas herumspielen
*) setzt du 64bit ein ? mit den 64bit assembler-modulen dürfte der Durchsatz etwas besser sein
bei x86 die 586 assembler-Module nicht vergessen !
*) einmal Folgendes versuchen:
Quote: | # playing it safe
for i in /sys/block/sd*; do
/bin/echo "256" > $i/queue/read_ahead_kb
/bin/echo "192" > $i/queue/max_sectors_kb
/bin/echo "1" > $i/queue/rq_affinity
/bin/echo "0" > $i/queue/nomerges
done |
*) du setzt CFQ als I/O-Scheduler ein?
versuch einmal den deadline scheduler, damit sollte der Durchsatz (noch) besser sein, dafür aber die Reaktionsfähigkeit schlechter
*) du könntest noch etwas mit CFQ herumspielen:
Quote: | for i in /sys/block/sd*; do
/bin/echo "cfq" > $i/queue/scheduler
# /bin/echo "6" > $i/queue/iosched/slice_idle # default: 6, 0 fixes low throughput with drives which have a buggy ncq implementation
# /bin/echo "4" > $i/queue/iosched/slice_async_rq # default: 2
# /bin/echo "16384" > $i/queue/iosched/back_seek_max # default: 16384
/bin/echo "16" > $i/queue/iosched/quantum # default: 4
/bin/echo "1" > $i/queue/iosched/low_latency # default: 1
/bin/echo "2048" > $i/queue/nr_requests # recommended: 1024
done |
*) evtl. liegt es am CPU scaling governor, dann einmal diesen aussetzen bzw. permanent auf Leistung stellen:
Quote: | echo performance > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor |
(und der anderen CPUs / Kerne einmal auf "performance" stellen, vielleicht hilft das)
ist
*) der Stromsparende CPU- bzw. SMT-Scheduler könnte auch aktiviert sein, diesen deaktivieren:
Quote: | echo "0" > /sys/devices/system/cpu/sched_mc_power_savings |
und
Quote: | echo "0" > /sys/devices/system/cpu/sched_smt_power_savings |
*) performance counter deaktivieren:
Quote: | echo "vboxdrv: Trying to deactivate the NMI watchdog permanently..."
echo "vboxdrv: Warning: 2.6.31+ kernel detected. Most likely the hardware p'erformance"
echo "vboxdrv: counter framework which can generate NMIs is active. You have to prevent"
echo "vboxdrv: the usage of hardware p'erformance counters by"
echo "vboxdrv: echo 2 > /proc/sys/kernel/perf_counter_paranoid"
echo "now disabling hardware p'erformance counter framework"
echo "2" > /proc/sys/kernel/perf_counter_paranoid
echo "if the number is '2' it has been disabled"
cat /proc/sys/kernel/perf_counter_paranoid |
mehr fällt mir gerade nicht ein ... _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Wed Apr 14, 2010 8:37 pm Post subject: |
|
|
kernelOfTruth wrote: | aes-lrw-benbi |
Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)? |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Thu Apr 15, 2010 12:36 am Post subject: |
|
|
das sind eine ganze menge sachen zum durchprobieren
64bit benutze ich nicht, nein
da das laufwerk auch ohne verschlüsselung ab und zu probleme macht, macht es jetzt noch keinen sinn an der verschlüsselung selbst zu optimieren
http://en.wikipedia.org/wiki/AES_instruction_set
Quote: | CPUs with AES instruction set
* Intel
o Intel Clarkdale processor (except Core i3).
o Intel Arrandale processor (except Core i3 and Core i5-430M).
o Intel Westmere processor
* AMD:
o Future Bulldozer processor, 2011[2]. |
hat von euch jemmand ein upgrade auf eine der cpus gemacht und kann von eventuellen geschwindigkeits veränderungen berichten ? |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Thu Apr 15, 2010 1:23 am Post subject: |
|
|
mv wrote: | kernelOfTruth wrote: | aes-lrw-benbi |
Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)? |
das hab ich ganz vergessen: ja, xts sollte man eher nehmen
der Grund ist Abwärtskompatibilität mit 2.6.25 (wenn ich mich richtig erinner setzt meine alte liveCD diesen oder so einen ähnlichen ein, der noch kein XTS kann)
ich hab kein Problem damit, weil ich aes-cbc-essiv auf meiner swap benutze und darum nicht vom Sicherheitsproblem betroffen bin ... (ist natürlich eigentlich Blödsinn weil aes-cbc-essiv weniger performant ist und bei Swap spielt das eh keine Rolle, ich werd also wohl demnächst wechseln )
Danke für den HInweis ! _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Fri Apr 30, 2010 10:42 pm Post subject: |
|
|
kernelOfTruth wrote: | mv wrote: | kernelOfTruth wrote: | aes-lrw-benbi |
Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)? |
das hab ich ganz vergessen: ja, xts sollte man eher nehmen
|
also das wäre dann aes-xts-plain:sha256 richtig? keysize müsste ja dann 256 sein, da man mit xts ja kein benbi braucht? |
|
Back to top |
|
|
Jimini l33t
Joined: 31 Oct 2006 Posts: 601 Location: Germany
|
Posted: Tue May 25, 2010 8:15 pm Post subject: |
|
|
Ich habe vor ein paar Wochen meinen Laptop verschlüsselt. Jetzt bin ich diesen Thread hier mal wieder durchgegangen und dabei stellte sich mir folgende Frage: da ein gutes Passwort einiges zur Sicherheit der Verschlüsselung beiträgt - wie sicher ist da ein Keyfile, welches mit 4096 Byte Zufallsdaten "gefüllt" wurde? Die Datei liegt natürlich nicht auf dem Rechner, sondern samt /boot auf einem USB-Stick. Klar, würde jemand den Stick in die Finger bekommen, wäre das eh hinfällig, aber mich würde mal interessieren, wie sicher 4096 Zufallsdatensalat sind.
Als Verschlüsselungsalgorithmus habe ich Blowfish gewählt, werde aber wohl auf AES umsteigen (nach dem was ich bisher gelesen habe, ist AES schneller und sicherer). Aufgesetzt habe ich das ganze mit dm-crypt und luks. Beispiel:
Code: | cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2 |
cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda2
(Verständnisfrage hier: im 1. Schritt wurde die Festplatte verschlüsselt, was geschah noch gleich im 2. Schritt?)
Kann man das ganze noch irgendwie optimieren? Außer natürlich, dass ich statt Blowfish AES wählen werde.
MfG Jimini _________________ "The most merciful thing in the world, I think, is the inability of the human mind to correlate all its contents." (H.P. Lovecraft: The Call of Cthulhu) |
|
Back to top |
|
|
tulali n00b
Joined: 27 Feb 2012 Posts: 17
|
Posted: Mon Feb 27, 2012 8:19 am Post subject: |
|
|
was ist heut zu tage, anfang zwanzigzwölf die sicherste methode den zugriff und inhalt eines flash laufwerks (ssd) unbefugten personen jetzt und in naher zukunft zuerschweren?
ich würde mir gerne ein system zusammenstellen ... bin mir aber über einiges noch im unklaren
sicher bin ich mir aber das es eine intel cpu mit aes-ni wird
die maschiene soll 24 stunden 7 tage die woche laufen
es soll um die 10 virtuelle maschienen geben in denen sich dann fast alles abspielt
ich dachte an ein 240 gig grosses ssd
wovon ich nur 200 nutzen möchte, und 40 gig unberührt lassen möchte damit das ssd es nutzen kann um sich selbst ordentlich zuhalten - macht das sinn?
auf die anderen 200 gig soll das gesamte system
das home vom user der die vms nutzt wollte ich nochmal zusätzlich verschlüsseln
im home vom user liegen die einzelnen vms die ich alle einzeln auch zusätzlich verschlüsseln wollte
da das system vielleicht einmal im monat wegen kernel updates neugestartet wird, dachte ich boot komplett auf einen usbstick/sdkarte or whatever zulegen und nur bei einem start/reboot/kernelupdate anzustecken
im kopf dachte ich mir "ok, wenn mal jemmand durch die erste verschlüsselung kommt, hat er das home und darin dann noch die einzelnen vms - da hat der/die ganz schön was vorsich..."
zusätzlich dachte ich schon darüber nach ein ssd zunehmen das hardware verschlüsselung macht
weiter hatte ich über eine 3tb festplatte nachgedacht, und diese auch zuverschlüsseln, und darin nochmal eine 3tb datei anzulegen und diese ebenfalls zuverschlüsseln und darein dann erst die "nutzdaten" |
|
Back to top |
|
|
|