web-dev-qa-db-fra.com

Cryptage Ubuntu LVM

J'ai récemment installé Kubuntu et j'ai remarqué la possibilité d'avoir un LVM chiffré. Le comportement suggère qu'il s'agit d'un cryptage complet du disque car je dois saisir un mot de passe avant de pouvoir démarrer. This article et d'autres que j'ai lus suggèrent qu'il s'agit d'un cryptage complet du disque. S'agit-il en fait d'un chiffrement complet du disque? Si oui, quel type de cryptage utilise-t-il? ou est-ce juste un mot de passe que je dois saisir avant qu'il ne touche grub ou lilo mais le disque lui-même n'est pas crypté.

La seule raison pour laquelle je ne crois pas que ce soit le cryptage complet du disque est parce que le seul logiciel de cryptage complet que j'ai utilisé auparavant était truecrypt qui a pris des heures pour crypter un disque dur et quand j'ai fait quelque chose de fou comme AES> Serpent> Blowfish la machine serait sensiblement plus lent. Le cryptage de Kubuntu n'a pas pris 4 heures à configurer et la machine ne semble pas du tout plus lente.

16
Four_0h_Three

LVM fonctionne sous le système de fichiers, donc quoi qu'il fasse, il le fait au niveau du disque. Alors oui, en effet, lorsque LVM implémente le cryptage, il s'agit du "cryptage complet du disque" (ou, plus précisément, du "cryptage complet de la partition").

L'application du chiffrement est rapide lorsqu'elle est effectuée lors de la création : depuis l'initiale le contenu de la partition est ignoré, il n'est pas chiffré; seules les nouvelles données seront cryptées lors de leur écriture. Cependant, lors de l'application du chiffrement sur un volume existant (comme c'est le cas pour TrueCrypt ), il faut lire, chiffrer et réécrire tous les éléments utilisés. secteurs de données; cela inclut les secteurs qui étaient précédemment utilisés, même s'ils ne sont pas utilisés actuellement, car ils peuvent contenir des extraits de certains fichiers qui ont ensuite été copiés environ. Ce type d'application de chiffrement après coup nécessite donc la lecture et la réécriture de tout le volume. Un disque dur mécanique fonctionnera à environ 100 Mo/s, donc un volume de 1 TB aura besoin de 6 heures (3 pour la lecture, 3 pour l'écriture).

Le chiffrement lui-même n'a pas besoin d'être lent, du moins s'il a été correctement mis en œuvre. Un PC de base sera capable de crypter des données à plus de 100 Mo/s, avec AES, en utilisant un seul cœur (mon ordinateur portable sous-alimenté atteint 120 Mo/s); avec des cœurs x86 récents offrant les instructions AES-NI , 1 Go/s est accessible. Ainsi, le processeur peut suivre le rythme du disque et, la plupart du temps, l'utilisateur ne remarquera aucun ralentissement.

Bien sûr, si vous faites "quelque chose de fou" comme les algorithmes en cascade, eh bien, vous avez fait quelque chose de fou et vous devrez payer pour cela. La mise en cascade de trois algorithmes signifie que vous devez calculer les trois lorsque vous lisez ou écrivez des données. AES est rapide; Serpent pas si (environ deux fois plus lent). Dans tous les cas, les algorithmes de chiffrement en cascade ne sont pas une idée très rationnelle . Par défaut, le "volume LVM chiffré" sous Linux reposera sur dm-crypt , qui est configurable (plusieurs algorithmes sont pris en charge) mais ne se livre pas à des cascades vaudou, et c'est une bénédiction.

(Cela montre l'un des petits paradoxes de la sécurité: si elle est trop transparente et efficace, alors les gens deviennent nerveux. Pour la même raison, les pilules médicinales doivent mauvais goût.)

22
Thomas Pornin

Il s'agit du chiffrement complet de la partition LUKS dm-crypt. Votre partition/boot doit toujours être non chiffrée, mais il n'y a pas grand-chose que quiconque puisse apprendre à votre sujet à partir de votre/boot

Lisez ce tableau pour plus d'informations. https://wiki.archlinux.org/index.php/Disk_Encryption#Comparison_table

5
Rod MacPherson