Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
mit welcher verschluesselung verschluesselt ihr festplatten?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sun Nov 08, 2009 4:46 pm    Post subject: Reply with quote

ich befuerchte nur das ein rechner mit atom cpu zuschwach ist und dann nicht genug mb/s rumkommen werden
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Mon Nov 09, 2009 4:39 am    Post subject: Reply with quote

Dann würde ich persönlich die Platten an den Rechner anschließen, der sie im wesentlichen auch nutzt.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Mon Nov 09, 2009 7:58 am    Post subject: Reply with quote

schachti wrote:
Dann würde ich persönlich die Platten an den Rechner anschließen, der sie im wesentlichen auch nutzt.


bietest du dich als dj an ? :D

nein, immer in raum2 der auf einer anderen etage liegt zulaufen um die platte(n) zuwechseln waere nicht gut
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Mon Nov 09, 2009 4:30 pm    Post subject: Reply with quote

ok, mir war irgendwie entgangen, dass das Wechsel-Festplatten sind - das macht's nicht einfacher.

Ich persönlich vertrete immer noch die Philosophie, dass die Verschlüsselung derjenige Rechner machen sollte, an den die Platten angeschlossen sind. Teste doch einfach mal, welchen Durchsatz Du auf dem Rechner mit entsprechender Verschlüsselung erreichst (zum Beispiel eine Datei als Loopback-Device einhrichten und dann mit dmcrypt verschlüsseln). Ich kenne mich mit den Interna des Blocklayers und von dmcrypt nicht aus, daher weiß ich nicht, was schiefgehen könnte, wenn der Client selbst verschlüsselt.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
root_tux_linux
l33t
l33t


Joined: 21 Dec 2003
Posts: 966

PostPosted: Mon Nov 09, 2009 6:43 pm    Post subject: Reply with quote

LUKS + Serpent
_________________
Intel Core i7 6700K@4.6GHz, Gigabyte GTX 980 Ti G1, Gigabyte Gaming 7, Hyper X Fury 32GB, 2 TB Samsung EVO 840 Basic
ASUS ROG Swift PG348Q Display
ASUS ROG ASUS G771JW Notebook
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Wed Dec 16, 2009 8:44 pm    Post subject: Reply with quote

ist es inzwischen moeglich die gpu fuer festplattenverschluesselungsberechnungen mit einzubeziehen ?
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Fri Jan 01, 2010 5:47 pm    Post subject: Reply with quote

fragezeichen
Back to top
View user's profile Send private message
Max Steel
Advocate
Advocate


Joined: 12 Feb 2007
Posts: 2229
Location: My own world! I and Gentoo!

PostPosted: Fri Jan 01, 2010 10:59 pm    Post subject: Reply with quote

Unter Umständen ist da was mit CUDA möglich. Allerdings kann ich dazu nichts weiter sagen. Leider.

Ich weiß genaugenommen nichteinmal was alles mit CUDA möglich ist.
_________________
mfg
Steel
___________________

Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2)
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Sat Jan 02, 2010 1:22 pm    Post subject: Reply with quote

Max Steel wrote:
Unter Umständen ist da was mit CUDA möglich. Allerdings kann ich dazu nichts weiter sagen. Leider.

Ich weiß genaugenommen nichteinmal was alles mit CUDA möglich ist.


mit CUDA ist einiges möglich:

unter anderem wird jetzt die Analyse im neuen Intrusion Detection System Suricata beschleunigt

http://linux.slashdot.org/story/09/12/31/2143250/New-Open-Source-Intrusion-Detector-Suricata-Released

Kaspersky nutzt CUDA auch in der Analyse von Viren,


es sollte wohl außer Frage stehen, ob CUDA die Verschlüsselung beschleunigen kann - die Frage wird sein, wo es als erstes aufschlägt ...

ist CUDA nicht proprietär bzw. nicht opensource'd ?

so wird evtl. TrueCrypt damit als erstes anfangen

ich wage es zu bezweifeln, dass Linus Support für so etwas in den Linux-Kernel lässt :roll:
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Tue Mar 16, 2010 1:57 am    Post subject: Reply with quote

hab ein 1tb grosses laufwerk mit ca 1.000.000 dateien und aes-cbc-essiv:sha256 verschluesselung
das laufwerk schafte früher 70 bis 100 mb/s beim lesen und schreiben, in letzter zeit ist die schreibrate bei ca 3 bis 10 mb/s
im syslog kommen bei laengerem schreiben diese meldungen
Code:
Mar 16 02:49:49 pc1 kernel: [1312854.000075] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:49:49 pc1 kernel: [1312854.000083] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 02:49:49 pc1 kernel: [1312854.000084]          res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 02:49:49 pc1 kernel: [1312854.000091] ata3.00: status: { DRDY }
Mar 16 02:49:49 pc1 kernel: [1312854.000096] ata3: hard resetting link
Mar 16 02:49:54 pc1 kernel: [1312858.847040] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:49:54 pc1 kernel: [1312858.849448] ata3.00: configured for UDMA/133
Mar 16 02:49:54 pc1 kernel: [1312858.849465] ata3: EH complete
Mar 16 02:53:58 pc1 kernel: [1313103.000870] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:53:58 pc1 kernel: [1313103.000878] ata3.00: cmd b0/d8:00:00:4f:c2/00:00:00:00:00/00 tag 0
Mar 16 02:53:58 pc1 kernel: [1313103.000879]          res 40/00:48:17:f6:82/00:00:72:00:00/40 Emask 0x4 (timeout)
Mar 16 02:53:58 pc1 kernel: [1313103.000881] ata3.00: status: { DRDY }
Mar 16 02:53:58 pc1 kernel: [1313103.000887] ata3: hard resetting link
Mar 16 02:53:59 pc1 kernel: [1313103.510269] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:53:59 pc1 kernel: [1313103.544298] ata3.00: configured for UDMA/133
Mar 16 02:53:59 pc1 kernel: [1313103.544314] ata3: EH complete
Mar 16 02:56:34 pc1 kernel: [1313259.001032] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 02:56:34 pc1 kernel: [1313259.001040] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 02:56:34 pc1 kernel: [1313259.001041]          res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 02:56:34 pc1 kernel: [1313259.001044] ata3.00: status: { DRDY }
Mar 16 02:56:34 pc1 kernel: [1313259.001049] ata3: hard resetting link
Mar 16 02:56:37 pc1 kernel: [1313262.264029] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 02:56:37 pc1 kernel: [1313262.266451] ata3.00: configured for UDMA/133
Mar 16 02:56:37 pc1 kernel: [1313262.266469] ata3: EH complete
Mar 16 03:00:53 pc1 kernel: [1313517.991176] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 03:00:53 pc1 kernel: [1313517.991184] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 03:00:53 pc1 kernel: [1313517.991185]          res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 03:00:53 pc1 kernel: [1313517.991188] ata3.00: status: { DRDY }
Mar 16 03:00:53 pc1 kernel: [1313517.991193] ata3: hard resetting link
Mar 16 03:00:55 pc1 kernel: [1313519.572150] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 03:00:55 pc1 kernel: [1313519.574564] ata3.00: configured for UDMA/133
Mar 16 03:00:55 pc1 kernel: [1313519.574588] ata3: EH complete
Mar 16 03:03:32 pc1 kernel: [1313676.991359] ata3.00: NCQ disabled due to excessive errors
Mar 16 03:03:32 pc1 kernel: [1313676.991365] ata3.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x6 frozen
Mar 16 03:03:32 pc1 kernel: [1313676.991376] ata3.00: cmd b0/d0:01:00:4f:c2/00:00:00:00:00/00 tag 0 pio 512 in
Mar 16 03:03:32 pc1 kernel: [1313676.991378]          res 40/00:00:00:4f:c2/00:00:00:00:00/00 Emask 0x4 (timeout)
Mar 16 03:03:32 pc1 kernel: [1313676.991382] ata3.00: status: { DRDY }
Mar 16 03:03:32 pc1 kernel: [1313676.991390] ata3: hard resetting link
Mar 16 03:03:35 pc1 kernel: [1313680.051052] ata3: SATA link up 3.0 Gbps (SStatus 123 SControl 300)
Mar 16 03:03:35 pc1 kernel: [1313680.053496] ata3.00: configured for UDMA/133
Mar 16 03:03:35 pc1 kernel: [1313680.053518] ata3: EH complete

von dem laufwerk lässt sich problemlos mit bis 100 mb/s lesen
es macht beim lesen und schreiben keine unnatürlichen geräusche, daher schliesse ich ein mechanischen fehler sogut wie aus
ist dm_crypt mit den fast 1.000.000 dateien überfordert ? cpu auslastung hab und hatte ich nie viel beim lesen/schreiben
sind die daten zusehr quer auf dem datenträger verteilt ?
Back to top
View user's profile Send private message
py-ro
Veteran
Veteran


Joined: 24 Sep 2002
Posts: 1734
Location: Velbert

PostPosted: Tue Mar 16, 2010 9:37 am    Post subject: Reply with quote

Die Meldungen deuten recht eindeutig auf Hardware hin, wir sehen die hier öfters.

Bei uns ist es dann der Dreisatz: Wechselrahmen, SATA-Kabel, Festplatte.

Und ganz selten der Controller.

MfG

Py
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Tue Mar 16, 2010 11:25 am    Post subject: Reply with quote

wenn er problemlos lesen kann, handelt es sich wohl weniger um ein Kabel- oder Controller-Problem:

Quote:
NCQ disabled due to excessive errors


<-- das scheint ein NCQ-(Firmware) Problem zu sein ;)

versuch einmal Folgendes:

Quote:
echo "the following practically disables NCQ which is buggy"
echo "on a lot of drives and known to drive CFQ and other i/o schedulers crazy :D"
for i in /sys/block/sd*; do
/bin/echo "2" > $i/device/queue_depth
done


andernfalls könnte es auch ein Problem mit Barrier-Write-Support sein: das Laufwerk braucht zu lange zum Schreiben, dem System/Kernel dauert das zu lange und gibt Fehler aus

oder natürlich auch der schieren Menge an Dateien wegen:

bei mir tritt sowas ähnliches ab und zu mal auf, wenn ich sehr viele Dateien zum auf die Platte schreiben habe, in dem Falle:

Quote:
echo "5" > /proc/sys/vm/dirty_background_ratio

echo "6" > /proc/sys/vm/dirty_ratio

echo "100" > /proc/sys/vm/vfs_cache_pressure
(oder auf 50 testen)


einmal testen, ob das Besserung bringt

wenn du einen etwas älteren Kernel hast (und cfq):

Quote:
for i in /sys/block/sd*; do
# /bin/echo "cfq" > $i/queue/scheduler
/bin/echo "0" > $i/queue/iosched/slice_idle # default: 6; 0 fixes low throughput with drives which have a buggy ncq implementation
done

_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sat Apr 10, 2010 5:52 pm    Post subject: Reply with quote

die fehlermeldungen haben sich von heute auf morgen gelegt, ich weiss nicht was das war oder woher es kam und warum es jetzt verschwunden ist


screenshot von der gkrellm cpu und festplatten anzeige
http://img3.imageshack.us/img3/3687/25725228.png
von sdf wird gelesen und auf sde wird geschrieben
beide laufwerke sind das gleiche model
beide schaffen bis zu 80..90mb/s schreiben
und beim lesen sogar etwas über 100mb/s
die cpu ist ein intel q6600 mit 4 echten kernen, die kiste hat 8gig ram
auf dem system lauft neben 2 vm die am ideln sind nichts
warum ist da soviel oranger cpu verbrauch ?
und warum so abgehackt auf jedem kern so ein bischen ?
bei dem laufwerk sde wo geschrieben wird, ist zubeobachten das das was geschrieben wird wellenförmig steigt und sinkt, hat das was zubedeuten ?
die schreibraten bei sde fallen manchmal auf bis zu 15mb/s fuer ein paar sekunden
bei einem dd if=/dev/sde oder sdf und of=/dev/null komme ich auf werte von über 100mb/s
beim lesen von /dev/mapper/verschluesseletefestplatte-sde1 oder sdf1 komme ich auf werte von 70 bis 80mb/s
irgendwie hab ich das gefühl als ob nicht genug cpu leistung die ja da ist genutzt wird
was kann ich tun für mehr datendurchsatz ?
Back to top
View user's profile Send private message
bbgermany
Veteran
Veteran


Joined: 21 Feb 2005
Posts: 1844
Location: Oranienburg/Germany

PostPosted: Sat Apr 10, 2010 6:08 pm    Post subject: Reply with quote

Hi,

was für eine Virtualisierungslösung hast du denn am laufen? KVM, vmware, VBox...?

Ich hab vmware-server am laufen und bei mir sind die CPUs auch recht häufig am arbeiten, obwohl die VM selber nichts macht.

MfG. Stefan
_________________
Desktop: Ryzen 5 5600G, 32GB, 2TB, RX7600
Notebook: Dell XPS 13 9370, 16GB, 1TB
Server #1: Ryzen 5 Pro 4650G, 64GB, 16.5TB
Server #2: Ryzen 4800H, 32GB, 22TB
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sat Apr 10, 2010 6:21 pm    Post subject: Reply with quote

hab vmware-server 2 laufen, auch wenn ich ihn stoppe ändert sich an der cpu auslastung und den transferraten leider nicht
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Mon Apr 12, 2010 10:36 am    Post subject: Reply with quote

kann es vielleicht sein das das laufwerk zu langsamme reaktionszeiten für das system und für die verschlüsselung hat und dadurch alles irgendwie ins stocken kommt ?
wenn dem so ist, was tut man per software um dem entgegen zuwirken ?
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Mon Apr 12, 2010 11:43 pm    Post subject: Reply with quote

oder kann es an der groesse vom laufwerk liegen ? hatte bisher nie laufwerke über 500gb verschlüsselt
das jetzige ist 1tb gross, und es lässt sich nur mit 5 bis 15mb/s darauf schreiben
wie bekomme ich es schneller ?
ohne verschlüsselung ist schreiben mit bis zu 70mb/s möglich
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Wed Apr 14, 2010 12:16 pm    Post subject: Reply with quote

*) ich würd auf jedenfall von aes-cbc-essiv:sha256 ----> aes-lrw-benbi:sha256 --key-size 384

das ist sicherer und performanter


*) welches Dateisystem setzt du denn ein ?


bei etwas älteren Kerneln hab ich Probleme mit reiser4 & reiserfs beim Schreiben großer Datenmengen mit Verschlüsselung gehabt


*) ncq abschalten bzw. die Queue verringern bringt nix ?

*) wenn er viele Daten im Cache ansammelt und mit dem Schreiben nicht nachkommt, ist es evtl. besser, den Cache zu verkleinern:

Quote:
/proc/sys/vm/dirty_background_ratio
/proc/sys/vm/dirty_ratio


<-- beide mal auf 5 setzen, vielleicht hilft das

*) /proc/sys/vm/vfs_cache_pressure
damit könntest du auch etwas herumspielen

*) setzt du 64bit ein ? mit den 64bit assembler-modulen dürfte der Durchsatz etwas besser sein
bei x86 die 586 assembler-Module nicht vergessen !


*) einmal Folgendes versuchen:
Quote:
# playing it safe
for i in /sys/block/sd*; do
/bin/echo "256" > $i/queue/read_ahead_kb
/bin/echo "192" > $i/queue/max_sectors_kb
/bin/echo "1" > $i/queue/rq_affinity
/bin/echo "0" > $i/queue/nomerges
done


*) du setzt CFQ als I/O-Scheduler ein?
versuch einmal den deadline scheduler, damit sollte der Durchsatz (noch) besser sein, dafür aber die Reaktionsfähigkeit schlechter

*) du könntest noch etwas mit CFQ herumspielen:

Quote:
for i in /sys/block/sd*; do
/bin/echo "cfq" > $i/queue/scheduler
# /bin/echo "6" > $i/queue/iosched/slice_idle # default: 6, 0 fixes low throughput with drives which have a buggy ncq implementation
# /bin/echo "4" > $i/queue/iosched/slice_async_rq # default: 2
# /bin/echo "16384" > $i/queue/iosched/back_seek_max # default: 16384
/bin/echo "16" > $i/queue/iosched/quantum # default: 4
/bin/echo "1" > $i/queue/iosched/low_latency # default: 1
/bin/echo "2048" > $i/queue/nr_requests # recommended: 1024
done


*) evtl. liegt es am CPU scaling governor, dann einmal diesen aussetzen bzw. permanent auf Leistung stellen:

Quote:
echo performance > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor

(und der anderen CPUs / Kerne einmal auf "performance" stellen, vielleicht hilft das)

ist


*) der Stromsparende CPU- bzw. SMT-Scheduler könnte auch aktiviert sein, diesen deaktivieren:

Quote:
echo "0" > /sys/devices/system/cpu/sched_mc_power_savings


und

Quote:
echo "0" > /sys/devices/system/cpu/sched_smt_power_savings


*) performance counter deaktivieren:

Quote:
echo "vboxdrv: Trying to deactivate the NMI watchdog permanently..."
echo "vboxdrv: Warning: 2.6.31+ kernel detected. Most likely the hardware p'erformance"
echo "vboxdrv: counter framework which can generate NMIs is active. You have to prevent"
echo "vboxdrv: the usage of hardware p'erformance counters by"
echo "vboxdrv: echo 2 > /proc/sys/kernel/perf_counter_paranoid"
echo "now disabling hardware p'erformance counter framework"
echo "2" > /proc/sys/kernel/perf_counter_paranoid
echo "if the number is '2' it has been disabled"
cat /proc/sys/kernel/perf_counter_paranoid



mehr fällt mir gerade nicht ein ...
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Wed Apr 14, 2010 8:37 pm    Post subject: Reply with quote

kernelOfTruth wrote:
aes-lrw-benbi

Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)?
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Thu Apr 15, 2010 12:36 am    Post subject: Reply with quote

das sind eine ganze menge sachen zum durchprobieren
64bit benutze ich nicht, nein
da das laufwerk auch ohne verschlüsselung ab und zu probleme macht, macht es jetzt noch keinen sinn an der verschlüsselung selbst zu optimieren


http://en.wikipedia.org/wiki/AES_instruction_set
Quote:
CPUs with AES instruction set

* Intel
o Intel Clarkdale processor (except Core i3).
o Intel Arrandale processor (except Core i3 and Core i5-430M).
o Intel Westmere processor
* AMD:
o Future Bulldozer processor, 2011[2].

hat von euch jemmand ein upgrade auf eine der cpus gemacht und kann von eventuellen geschwindigkeits veränderungen berichten ?
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Thu Apr 15, 2010 1:23 am    Post subject: Reply with quote

mv wrote:
kernelOfTruth wrote:
aes-lrw-benbi

Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)?


das hab ich ganz vergessen: ja, xts sollte man eher nehmen

der Grund ist Abwärtskompatibilität mit 2.6.25 (wenn ich mich richtig erinner setzt meine alte liveCD diesen oder so einen ähnlichen ein, der noch kein XTS kann)

ich hab kein Problem damit, weil ich aes-cbc-essiv auf meiner swap benutze und darum nicht vom Sicherheitsproblem betroffen bin ... (ist natürlich eigentlich Blödsinn weil aes-cbc-essiv weniger performant ist und bei Swap spielt das eh keine Rolle, ich werd also wohl demnächst wechseln :wink: )

Danke für den HInweis !
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Thu Apr 15, 2010 1:25 am    Post subject: Reply with quote

pieter_parker wrote:
das sind eine ganze menge sachen zum durchprobieren
64bit benutze ich nicht, nein
da das laufwerk auch ohne verschlüsselung ab und zu probleme macht, macht es jetzt noch keinen sinn an der verschlüsselung selbst zu optimieren


http://en.wikipedia.org/wiki/AES_instruction_set
Quote:
CPUs with AES instruction set

* Intel
o Intel Clarkdale processor (except Core i3).
o Intel Arrandale processor (except Core i3 and Core i5-430M).
o Intel Westmere processor
* AMD:
o Future Bulldozer processor, 2011[2].

hat von euch jemmand ein upgrade auf eine der cpus gemacht und kann von eventuellen geschwindigkeits veränderungen berichten ?


die Beschleunigung dürfte 10-fach sein: http://www.tomshardware.de/Intel-Clarkdale-Core-i5-661,testberichte-240477-3.html

leider unterstützt mein Lynnfield das noch nicht :(
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Fri Apr 30, 2010 10:42 pm    Post subject: Reply with quote

kernelOfTruth wrote:
mv wrote:
kernelOfTruth wrote:
aes-lrw-benbi

Gibt es einen Grund, dass Du lrw empfiehlst anstelle des Nachfolgers xts (also etwa aes-xts-essiv)?


das hab ich ganz vergessen: ja, xts sollte man eher nehmen


also das wäre dann aes-xts-plain:sha256 richtig? keysize müsste ja dann 256 sein, da man mit xts ja kein benbi braucht?
Back to top
View user's profile Send private message
Jimini
l33t
l33t


Joined: 31 Oct 2006
Posts: 601
Location: Germany

PostPosted: Tue May 25, 2010 8:15 pm    Post subject: Reply with quote

Ich habe vor ein paar Wochen meinen Laptop verschlüsselt. Jetzt bin ich diesen Thread hier mal wieder durchgegangen und dabei stellte sich mir folgende Frage: da ein gutes Passwort einiges zur Sicherheit der Verschlüsselung beiträgt - wie sicher ist da ein Keyfile, welches mit 4096 Byte Zufallsdaten "gefüllt" wurde? Die Datei liegt natürlich nicht auf dem Rechner, sondern samt /boot auf einem USB-Stick. Klar, würde jemand den Stick in die Finger bekommen, wäre das eh hinfällig, aber mich würde mal interessieren, wie sicher 4096 Zufallsdatensalat sind.

Als Verschlüsselungsalgorithmus habe ich Blowfish gewählt, werde aber wohl auf AES umsteigen (nach dem was ich bisher gelesen habe, ist AES schneller und sicherer). Aufgesetzt habe ich das ganze mit dm-crypt und luks. Beispiel:
Code:
cryptsetup -c blowfish -h sha256 -d /dev/urandom create swap /dev/sda2

cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda2
(Verständnisfrage hier: im 1. Schritt wurde die Festplatte verschlüsselt, was geschah noch gleich im 2. Schritt?)

Kann man das ganze noch irgendwie optimieren? Außer natürlich, dass ich statt Blowfish AES wählen werde.

MfG Jimini
_________________
"The most merciful thing in the world, I think, is the inability of the human mind to correlate all its contents." (H.P. Lovecraft: The Call of Cthulhu)
Back to top
View user's profile Send private message
tulali
n00b
n00b


Joined: 27 Feb 2012
Posts: 17

PostPosted: Mon Feb 27, 2012 8:19 am    Post subject: Reply with quote

was ist heut zu tage, anfang zwanzigzwölf die sicherste methode den zugriff und inhalt eines flash laufwerks (ssd) unbefugten personen jetzt und in naher zukunft zuerschweren?


ich würde mir gerne ein system zusammenstellen ... bin mir aber über einiges noch im unklaren
sicher bin ich mir aber das es eine intel cpu mit aes-ni wird

die maschiene soll 24 stunden 7 tage die woche laufen
es soll um die 10 virtuelle maschienen geben in denen sich dann fast alles abspielt

ich dachte an ein 240 gig grosses ssd
wovon ich nur 200 nutzen möchte, und 40 gig unberührt lassen möchte damit das ssd es nutzen kann um sich selbst ordentlich zuhalten - macht das sinn?

auf die anderen 200 gig soll das gesamte system
das home vom user der die vms nutzt wollte ich nochmal zusätzlich verschlüsseln
im home vom user liegen die einzelnen vms die ich alle einzeln auch zusätzlich verschlüsseln wollte

da das system vielleicht einmal im monat wegen kernel updates neugestartet wird, dachte ich boot komplett auf einen usbstick/sdkarte or whatever zulegen und nur bei einem start/reboot/kernelupdate anzustecken

im kopf dachte ich mir "ok, wenn mal jemmand durch die erste verschlüsselung kommt, hat er das home und darin dann noch die einzelnen vms - da hat der/die ganz schön was vorsich..."

zusätzlich dachte ich schon darüber nach ein ssd zunehmen das hardware verschlüsselung macht

weiter hatte ich über eine 3tb festplatte nachgedacht, und diese auch zuverschlüsseln, und darin nochmal eine 3tb datei anzulegen und diese ebenfalls zuverschlüsseln und darein dann erst die "nutzdaten"
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6  Next
Page 5 of 6

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum