SSD mit Linux, verschlüsselt

I

intelkuchen

Neuling
Thread Starter
Mitglied seit
11.05.2010
Beiträge
9
Ich will eine neue SSD (80GB Postville) einbauen und verschlüsselt mit Linux benutzen. Fragen:

-Gibt's alternativen zur Verschlüsselung mit dm-crypt? Denn Truecrypt läuft ja nicht (zum Booten), aber dm-crypt benutzt nur einen Kern.

-Muss man irgendwas beachten? Oder geht wie bei Festplatten dm-crypt -> LVM -> ext3?

-Wieviel Platz unpartitioniert lassen? Denn Trimmen geht ja nicht mehr. Intels Drive Tool läuft eh nicht mit Linux.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du kannst auch unter Linux trimmen. Hmm ok eine verschlüsselte Partition könnte schwierig werden. Weis nicht wie sich das verhält wenn man das Loop Device trimmen will.

Verschlüsseln geht auch mit LUKS. Ist aber praktisch eine Erweiterung von DM-Crypt . Zu mehr Prozessoren, weis nciht ob das jetzt mit LRW geht.
Schau dir mal diesen letzten Absatz an:
Festplattenverschlüsselung mit DM-Crypt und Cryptsetup-LUKS: Technik und Anwendung « 08 « 2005 « Ausgaben « Heft & Abo « Linux-Magazin Online

"LRW behebt alle bekannten Sicherheitsprobleme von CBC und glänzt zudem mit besserer Performance. Während CBC nicht mit der Anzahl der Prozessoren skaliert, da die Rekursion für jeden Rechenschritt das Ergebnis des vorherigen benötigt, können bei LRW mehrere Prozessoren gleichzeitig arbeiten. Der Autor von LUKS und Koautor dieses Artikels, Clemens Fruhwirth, hat LRW für DM-Crypt implementiert, getestet und stand schon kurz vor der Fertigstellung. "

LRW gilt aber heutzutage auch schon wieder als veraltet. Besser ist XTS.
 
Zuletzt bearbeitet:
TheCritter schrieb:
Der Autor von LUKS und Koautor dieses Artikels, Clemens Fruhwirth, hat LRW für DM-Crypt implementiert, getestet und stand schon kurz vor der Fertigstellung. "[/I]

LRW gilt aber heutzutage auch schon wieder als veraltet. Besser ist XTS.
Zum Vergrößern anklicken....
Also hier postet jemand benchmarks für LRW. Scheint fertig zu sein.
 
Ja, inzwischen ist das LRW aus dem Experimentierstadium heraus. Der Artikel war ja auch schon von 2005. Aber man sieht auch bei dem Benchmark das AES LRW 256 und AES XTS 265 schneller sind als AES CBC 256.
Leigt möglicherweise auch daran dass LRW und auch XTS mehrere Prozessorkerne ansprechen kann. Ob es so implementiert wurde, weis ich aber nicht.
 
Das Verschlüsseln von ganzen Laufwerken hat zur Folge, dass TRIM nicht! funktioniert.
 
Truecrypt schrieb:
Das Verschlüsseln von ganzen Laufwerken hat zur Folge, dass TRIM nicht! funktioniert.
Zum Vergrößern anklicken....
Das glaube ich. Ist ja wohl so gedacht. Sollte mich das aus irgendeinem Grund stören?

---------- Beitrag hinzugefügt um 22:31 ---------- Vorheriger Beitrag war um 22:29 ----------

Natürlich wird mich stören, dass ich dann 20% oder so unpartitioniert lassen muss, damit das Laufwerk sich intern reorganisieren kann. Ansonsten dürfte das trim aber wohl überflüssig sein.
 
Oder du hast sowas wie eine Backup Lösung. Also alle paar Monate das Image sichern, Platte löschen mit so einem Eraser und Image zurück spielen.
 
intelkuchen schrieb:
[/COLOR]Natürlich wird mich stören, dass ich dann 20% oder so unpartitioniert lassen muss, damit das Laufwerk sich intern reorganisieren kann. Ansonsten dürfte das trim aber wohl überflüssig sein.
Zum Vergrößern anklicken....

Platz frei lassen bringt dir nur mehr Zeit. Ohne TRIM bricht die Performance immer ein. Deshalb ist TRIM nie überflüssig.
 
Morpog schrieb:
Platz frei lassen bringt dir nur mehr Zeit. Ohne TRIM bricht die Performance immer ein. Deshalb ist TRIM nie überflüssig.
Zum Vergrößern anklicken....
Wobei der Einbruch bei zusätzlichen 20% Spare Area nicht mehr so stark ist und der Intel-Controller dank seiner sehr guten Garbage Collection die Leistung auch recht gut halten kann, solange man ihn nicht die ganze Zeit mit Random Writes quält.
 
TheCritter schrieb:
Also alle paar Monate das Image sichern, Platte löschen mit so einem Eraser und Image zurück spielen.
Zum Vergrößern anklicken....

Ja, so dachte ich mir das. 80GB auf Festplatte habe ich frei, da bewege ich eben jedes halbe Jahr alle Daten hin, mache Secure Erase (wie mache ich das eigentlich ohne Windows?) , dann ist das SSD wie neu und ich kann alles zurückspielen. Das dürfte nicht lange dauern, 2 kurze Befehle und ein paar Minuten Warten eben jedes halbe Jahr.
 
trim mit wiper.sh script für partitionen mit dmcrypt verschlüsselung:
SourceForge.net: hdparm: Detail: 2997551 - TRIM support on LVM and dm-crypt

hab das bei mir getestet und es dürfte funktionieren, natürlich hab ich auch vorher immer backups gemacht :)

[edit]
hab nochmal den thread gelesen und beantworte noch ein paar fragen :)
1) brauchbare alternative kenn ich leider auch keine, TC geht ja leider nicht für root-partition.
dmcrypt unterstützt derzeit nur 1 core pro device. aber wenn du z.b. mehrere verschiedene partitionen hast, dann werden sehr wohl auch mehrere cores/threads verwendet, siehe lange discussion "Multicore Support" von 2008, aussage vom entwickler: Multicore Support?

2) SSD = grundsätzlich wie HDD, abgesehen davon dass du unnötige writes vermindern solltest (zb. mount mit noatime,...), partitionen alignen musst usw (gibt genügend infos im netz hierzu).

3) ich hab in der firma eine intel x25-m 160gb seit ca. 3/4 jahr, habe alles partitioniert und bisher ohne trim verwendet. es ist schon langsamer geworden als zu beginn (ich quäle das ding berufs+OS-bedingt schon stark), aber trotz kompletter verschlüsselung noch unvergleichbar schnell.
[/edit]
 
Zuletzt bearbeitet:
Danke für die guten Tipps, 0x00 und TheCritter!

0x00 schrieb:
trim mit wiper.sh script für partitionen mit dmcrypt verschlüsselung:
SourceForge.net: hdparm: Detail: 2997551 - TRIM support on LVM and dm-crypt
Zum Vergrößern anklicken....
Sehr interessant, dass das doch geht. Klingt ein klein wenig unsicher, TRIM zu erlauben, aber manche brauchen es ja vielleicht auch nicht besonders sicher. Werde ich mal testen.

0x00 schrieb:
hab nochmal den thread gelesen und beantworte noch ein paar fragen :)
Zum Vergrößern anklicken....
Vielen Dank!
0x00 schrieb:
dmcrypt unterstützt derzeit nur 1 core pro device
Zum Vergrößern anklicken....
Schade. Die Entwickler sollten das modernisieren, aber wenn die nicht gerade hier lesen, hat dieser Satz ja keine Auswirkung.


0x00 schrieb:
aber wenn du z.b. mehrere verschiedene partitionen hast, dann werden sehr wohl auch mehrere cores/threads verwendet
Zum Vergrößern anklicken....
Guter Plan. Wie kann ich mehrere Partitionen benutzen, um das Tempo zu erhöhen? Traditionell gibt's ja Extrapartitionen für /var, /tmp und so, aber das hilft hier wohl nicht weiter, weil wohl die Daten fast alle aus derselben Partition kommen werden.

Kann man die SSD in ein RAID-0 verwandeln mit z.B. 10000 "Laufwerken"? Dann würde auch das Lesen einer großen Einzeldatei (ooffice oder so) vermutlich mehrere "Laufwerke" betreffen und daher schneller werden. Bloß wie richtet man das ein? Partitionieren im MBR wohl kaum, da passen ja nur ganz wenige Partitionen rein.


0x00 schrieb:
2) partitionen alignen musst usw (gibt genügend infos im netz hierzu).
Zum Vergrößern anklicken....
Ich finde die Infos dazu extrem spärlich. Noch das Beste habe ich in einem Blog von Tso gefunden, und das ist sehr schwer zu verstehen: idiotische fdisk-Parameter (224/56), idiotische pvcreate-Parameter (250k), ... Wenn man dagegen logisch vorgeht (hab ich auch probiert) und alles an 8M-Blöcken ausrichtet, wird's langsamer.

0x00 schrieb:
ich hab in der firma eine intel x25-m 160gb seit ca. 3/4 jahr
[...] trotz kompletter verschlüsselung noch unvergleichbar schnell.
Zum Vergrößern anklicken....
Wie schnell ist es denn mit dm-crypt und LVM? Hast du mal gemessen? Würde mich wirklich interessieren.
 
intelkuchen schrieb:
Ich will eine neue SSD (80GB Postville) einbauen und verschlüsselt mit Linux benutzen. Fragen:

-Gibt's alternativen zur Verschlüsselung mit dm-crypt? Denn Truecrypt läuft ja nicht (zum Booten), aber dm-crypt benutzt nur einen Kern.

-Muss man irgendwas beachten? Oder geht wie bei Festplatten dm-crypt -> LVM -> ext3?

-Wieviel Platz unpartitioniert lassen? Denn Trimmen geht ja nicht mehr. Intels Drive Tool läuft eh nicht mit Linux.
Zum Vergrößern anklicken....

Also i würd an Deiner Stelle eher auf "ext4" setzen, das läuft wesentlich schneller als ext3
 
die entwickler von cryptsetup/dmcrypt wollen eh schon länger multicore vernünftig unterstützen (s. thread von 2008) dürfte aber wohl schwieriger zu implementieren sein.

bzgl. alignment werden die tools langsam besser. du musst aktuelle util-linux-ng und cryptsetup tools verwenden, dann wird schon automatisch aligned. hat bei mir bei meiner vertex2 gut funktioniert (sämtliche partitionen automatisch aligned). hier ist ein brauchbarer blog-post von jemanden: Random Technical Outbursts: 4K alignment for disks: IMPORTANT!!!

du kannst unter linux soviele partitionen machen wie du willst und diese dann über die /etc/fstab auch überall einhängen. aber praktikabel ist das sicher nicht, weil du ja beim booten auch für jede die passrphase oder wie auch immer eingeben musst.

ich verwende kein LVM, kanns daher auch nicht testen.

ext4 ist für SSDs ein muss :)
 
Zuletzt bearbeitet:
Also unter Linux sind glaube nur 16 Partitionen erlaubt, nicht unendlich. Bin jedenfalls schon mal an diese Grenze gestoßen.
 
0x00 schrieb:
die entwickler von cryptsetup/dmcrypt wollen eh schon länger multicore vernünftig unterstützen (s. thread von 2008) dürfte aber wohl schwieriger zu implementieren sein.
Zum Vergrößern anklicken....
Dann wird das wohl so schnell nichts :( Wobei Truecrypt das schon lange kann, unmöglich ist es also nicht.

bzgl. alignment werden die tools langsam besser. du musst aktuelle util-linux-ng und cryptsetup tools verwenden, dann wird schon automatisch aligned. hat bei mir bei meiner vertex2 gut funktioniert (sämtliche partitionen automatisch aligned). hier ist ein brauchbarer blog-post von jemanden: Random Technical Outbursts: 4K alignment for disks: IMPORTANT!!!
Zum Vergrößern anklicken....
Vielen Dank. Wobei ich auch noch ein LVM dazwischen habe. Das muss doch auch noch irgendwie aligned werden, oder?

du kannst unter linux soviele partitionen machen wie du willst und diese dann über die /etc/fstab auch überall einhängen. aber praktikabel ist das sicher nicht, weil du ja beim booten auch für jede die passrphase oder wie auch immer eingeben musst.
Zum Vergrößern anklicken....
Soviele Partitionen wie in den MBR / in die Partitionstabelle passen, sind sicher nicht viele. Der Nachposter schreibt ja auch von 16.
Mit der passphrase ist das nicht so ein Problem, der Schlüssel kann ja meinetwegen per Skript aus einer Datei gelesen werden. Dann ist nur noch eine passphrase nötig für die Partition, auf der diese Datei ist.

ext4 ist für SSDs ein muss :)
Zum Vergrößern anklicken....
Ach, ist das soviel besser/schneller? Werde ich dann gleich mal benutzen. Bei Wikipedia lese ich gar nichts von schneller (außer beim fsck, aber den braucht man ja immer nur einmal pro Booten). Ich habe gehört, dass KDE beim Booten auf ext4 Dateiverluste hatte?
 
ext4 oder btrfs bei ssds - die unterstuetzen trim out of the box
alles andere ist zur zeit bei ssds pfusch
 
Anmelden, um zu antworten.

Ähnliche Themen

R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
W
[Kaufberatung] Nach 7/8 Jahren neuer Gaming-PC
Antworten
6
Aufrufe
1K
Scrush
Scrush
S
[User-Review] FractalDesign North – Design auf Kosten der Funktion?
Antworten
2
Aufrufe
3K
Slippin' Jimmy
S
N
[User-Review] HP Omen 16-wf0077ng Shadow Black (geizhals) / Geliefert 16-wf0276ng - i7-13700HX - Geforce 4080 - 32GB RAM - 1TB SSD - 2023
Antworten
0
Aufrufe
1K
nemihome
N
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
841
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh