Verschlüsselte Homeverzeichnisse ...
Ich habe heute neben der normalen Arbeit meine beiden Rechner mit Lucid Lynx (Ubuntu 10.04 LTS) installiert. Wie immer mit der Alternate-CD und wie immer auch nach einem vorherigen Backup. Die Installation klappte wie erwartet problemlos und ich habe mich - nach einem Denkanstoss von Roman letzten Freitag - dazu entschieden, die Homeverzeichnisse zu verschlüsseln. Auch das funktioniert wunderbar mit der Alternate-CD, der Swap-Bereich wird gleich mitverschlüsselt, so muss das sein.
Die Performance der Verschlüsselung ist für die normale Arbeit völlig in Ordnung. Allerdings musste ich heute die neue DeimHart-Episode schneiden und die Arbeit mit sehr grossen Dateien (etwas über zwei Gigabytes) ist nahezu unmöglich. Diese müssen also das Homeverzeichnis verlassen.
Die Performance der Verschlüsselung ist für die normale Arbeit völlig in Ordnung. Allerdings musste ich heute die neue DeimHart-Episode schneiden und die Arbeit mit sehr grossen Dateien (etwas über zwei Gigabytes) ist nahezu unmöglich. Diese müssen also das Homeverzeichnis verlassen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Roman am :
Ich nutze auch lieber die Alternate-CD oder dessen Abbild auf einem USB-Stick. Bei Beta-Versionen nehme ich dann aber doch lieber noch die Live-Variante, damit ich noch kurz testen kann, ob alle Hardware erkannt und richtig genutzt wird. Bei der grafischen Installation steht dann aber die Verschlüsselung nicht als Installationsoption zur Verfügung.
Dirk Deimeke am :
Martin am :
int am :
Ich würde unbedingt die ganze Platte verschlüsseln und nicht nur das Home-Verzeichnis. Man weiss nie was alles genau wo landen kann - wie wäre es z.B. mit /tmp?
Martin am :
pluvo am :
Benchmark Festplattenverschlüsselung
(Ich verschlüssele auch immer alles mit dm-crypt/LUKS und habe keine Probleme.)
@Dirk: Wie sieht denn deine Hardware aus?
Mir wäre die Verschlüsselung des persönlichen Ordners eigentlich auch zu wenig. Ich will auch nicht, dass man weiß welche Dateien sich in diesem Ordner befinden.
Siehe: /var/lib/mlocate/mlocate.db
Dirk Deimeke am :
gutsy am :
Dirk Deimeke am :
Dirk Deimeke am :
Dirk Deimeke am :
Fabrice am :
int am :
Die Performance-Einbusse ist mir auch noch kaum aufgefallen, wobei mir die eh nicht so wichtig ist.
Martin am :
Dirk Deimeke am :
Dirk Deimeke am :
Dumdidum am :
Dirk Deimeke am :
Dirk Deimeke am :
Wandeln einer 2 GB WAV-Datei von 24bit, 96 kHz auf 16bit, 44.1 kHz dauert auf einer unverschlüsselten Festplatte 120 Sekunden, bei einer verschlüsselten Platte 145 Sekunden Minuten (20% länger), Resultat ist in beiden Fällen eine 660 MB grosse Datei.
Kopie einer 2 GB Datei von unverschlüsselt auf unverschlüsselt dauert 108 Sekunden, von unverschlüsselt auf verschlüsselt 117 Sekunden, von verschlüsselt auf verschlüsselt mit der gleichen Datei 131 Sekunden und von verschlüsselt auf unverschlüsselt 124 Sekunden.
Ice am :
-> ich steh' am Zoll zur Einreise in die USA und die netten Herren wollen, dass ich das Notebook aufstarte...
Ich glaube ich mache mir da ganz falsche Vorstellungen. Vielleicht kann mir jemand solche Szenen konkret erläutern, danke.
Dirk Deimeke am :
Es ist Dein gutes Recht, private Daten zu verschlüsseln.
In die Staaten würde ich grundsätzlich nur mit einem leeren Notebook reisen und es erst in den Staaten installieren (Daten würde ich vorher auf meinen root-Server kopieren).
Gerald am :
Zwei Beispiele:
Truecrypt mischt die Sektoren physikalisch durch, das heißt, zwei Sektoren, die das Filesystem benachbart sieht, liegen physikalisch irgendwo anders. Das kostet natürlich Performance und hat außerdem den Nachteil, dass große Teile eines Truecrypt-Containers neu eingelesen werden müssen, auch wenn sich nur relativ wenig ändert. Das bemerkt man besonders krass, wenn auf den Container über ein Netz zugegriffen wird.
EncFS / EncryptFS können "Salz" mit einfügen, das heißt, Zufallsdaten, die nicht Bestandteil der Nutzdaten sind, und so die verschlüsselten Daten weiter verschleiern. Das bedeutet wiederum, dass eine physikalische Adressierung von Sektoren nicht mehr möglich ist. Wenn ich also große Dateien bearbeite, schreibe ich meist nur in Teilbereiche. Unverschlüsselt würden einfach die entsprechenden Sektoren adressiert. Verschlüsselt hingegen müssen wiederum erheblich größere Bereiche der Datei neu geschrieben werden.
In beiden Fällen spielen Rechenleistung / CPU-Last keine wesentliche Rolle; die Verzögerungen entstehen durch das physikalische Layout und die Festplattenzugriffe. Werden Dateien in einem Stück kopiert, sorgen die Caches und Puffer für einen zügigen Schreibvorgang; hier treten diese Effekte kaum in Erscheinung.
Verschlüsselung eignet sich also gut für sichere Speicherung, aber nicht als "Arbeitsbereich".
Dirk Deimeke am :