Üdv!
RPi SD kártyájának a tartalmát (egész SD v. könyvtárát) mivel érdemes lekódolni?
Olvastam a neten:
sudo apt-get install ecryptfs-utils
sudo apt-get install lsof
sudo ecryptfs-migrate-home -u pi
Ezzel lehet az egész SD-t is kódolni?
Van hátránya? (A visszafejtő kulcsot tárolni kell... stb. ez ok.) Erőforrásigénye van ennek?
- 9619 megtekintés
Hozzászólások
Minden bootnal be kell irni a kodot (?)
- A hozzászóláshoz be kell jelentkezni
dotnetlinux: Igen, és pont ezért nem használja a kutya sem ezt a megoldást...
makgab: Ezzel a megoldással, csak a home könyvtár kódolható, de ahhoz is körülményes!
Inkább ajánlom a Cryptsetup-os (Luks) megoldást, a boot-on kívül mindent le tudsz vele titkosítani.
https://www.raspberrypi.org/forums/viewtopic.php?f=66&t=80265
vagy itt egy bővebb leírás is róla:
https://gist.github.com/martijnvermaat/7864115
Oykawa
- A hozzászóláshoz be kell jelentkezni
ok, köszönöm megnézem.
erőforrásigénye jelentős ennek a megoldásnak?
- A hozzászóláshoz be kell jelentkezni
Boot távoli SSH elérésig, majd
Cryptsetup ---> partíció, amelyet esetleg célszerű LVM-mel tovább bontani logikai kötetekre.
Oka:
- home - ugye innen indultunk
- tmp - ide kerülhetnek érzékeny tmp file-k
- swap - memória leképezés, érzékeny adatrészletek
Erőforrásigény:
- Intel i3-ason kevésbé érezhető
- klasszikus Intel ATOM-on és HP Microserver (N54) esetén jelentős lassulás a fájlműveleteknél
- ARM Cortex: érezni fogod, bár általánosságban nem az erőteljes I/O-ról híres.
Odroid-U3 esetén, amely egy Rpi3-nál nagyobb számítási tempójú vas USB-s HDD-t teszteltem "hdparm -t" módszerrel. Ha natív USB-s meghajtó (/dev/sda) 19 MB/s tempóval olvasódott, cryptsetup után a létrejövő /dev/mapper/teszt 15 MB/s tempóval. Közben a top szerint 40 %-os terhelést okozott egyetlen szálon, azaz egyetlen magnak.
- A hozzászóláshoz be kell jelentkezni
Hello,
Haver LUKS-al próbálkozott 1es Pi-n. Nagy előny, hogy mint fentebb írták SSH-n keresztül is be lehet tolni a jelszót (vagy mondjuk egy pendrive-ra, amit kiszedegetsz).
Amiért ő eldobta a megoldást az pont az erőforrásigénye volt, az amúgy se túl fickós egyes Rpi teljesítményét nagyon csúnyán lerántotta, igaz itt kérdés, hogy mire akarod majd használni.
Kicsit offtopic, mivel windows és mcafee féle titkosítás, de azért szerintem mutat valamit, hogy a céges i5ös laptopon a bootidő titkosítással 10-20 perc (jó van ott minden más is nyílván), titkosítás nélkül 2-3...
FathoM
- A hozzászóláshoz be kell jelentkezni
Tényleg 10-20 perc? Számomra nem hihető ekkora különbség.
- A hozzászóláshoz be kell jelentkezni
Pedig ez a helyzet. Van egy-két olyan laptop, ami laborban van ott nem kell titkosítani a vinyót (de nem is lehet kivinni onnan), 100%ig ugyanolyan HP laptopok, i5ös procival, 8GB rammal.
Ez a McAfee-féle titkosítóprogram amúgy sebesség szempontjából hírhedten szar.
FathoM
Ui.: A 10-20 perc úgy értendő, hogy valamiért idővel egyre lassabbak lesznek, de ezt inkább a windows 7 számlájára írnám.
- A hozzászóláshoz be kell jelentkezni
SSD? Mert akkor, ha a titkosító program nem trimmel, akkor az az SSD-nek olyan, mintha tele lenne írva, és tudjuk, hogy azt nem szereti.
- A hozzászóláshoz be kell jelentkezni
Nem, sajna valami lassított energiatakarékos normál vinyó, alapjáraton is nagyon soknak tartom a 2-3 perces boot időt főleg, hogy ennek elenyésző része a domainba lépés és hasonló cuccok, a legtöbb amíg eljut addig (windows ikon középen), plusz amíg a vírusirtót meg a citrixes szarokat betölti.
De igazából ezen úgysem lehet változtatni, csak érdekességnek említettem.
FathoM
- A hozzászóláshoz be kell jelentkezni
De legalább jó érzés (nekem), hogy van ami a symantec-es titkosítónál is "innovatívabb".
- A hozzászóláshoz be kell jelentkezni
Tudomásom szerint minden i5-ös hardveresen gyorsítja az AES titkosítást (fixme). Ha ilyen lassú, akkor vagy azért lehet, mert nem használja ki a hardveres gyorsítást, vagy használ valami nem-AES algoritmust is. A hardveres AES titkosítás sebessége egy i5-2540M processzoron négy szálon 1.7 GB/sec, a VeraCrypt 1.17 benchmark-ja szerint. Ez egy szálra vetítve is ~425 MB/sec, ami szerintem nem szabad észrevehetően lelassítsa a gépet.
- A hozzászóláshoz be kell jelentkezni
Nem tudom. A tények a fentiek. McAfee disk encryption, nem tudom mit használ, de lassú. Nagyon.
FathoM
- A hozzászóláshoz be kell jelentkezni
+1
Gondolom az emlegetett McAfee disk encryption nem használja az AES-NI -t, vagy olyan AES-módot használ, amire nincs AES-NI utasítás, és/vagy HMAC-ezik is, ami iszonyatosan megfogja a dolgot.
- A hozzászóláshoz be kell jelentkezni
AES-NI tapasztalatom szerint kb. csak másfélszeres tempót ad a mai i3/i5 prociknál. Oka: SIMD elég gyors lett, így AES-NI nélkül is valójában gyors - ha a szoftver jól van megírva és jól használja a SIMD utasításkészletet.
- A hozzászóláshoz be kell jelentkezni
Lehet, hogy igazad van. Én E5 Xeon procikkal használok AESNI-t, viszont ott azt vettem észre, hogy az 1,5-szeresnél jóval nagyobb a különbség.
Emellett AESNI nélkül jelentős a cpu használat, AESNI-vel meg jelentéktelen.
- A hozzászóláshoz be kell jelentkezni
RPi2-höz próbálnám. Elvileg elég a /home-hoz. Ez kb. 200MB.
- A hozzászóláshoz be kell jelentkezni
szerintem lehet különböző algoritmusokat választani. LUKS esetén a cryptsetup benchmark beszédes,
Persze az is kérdés, hogy mennyire kell biztonságosnak lennie. Engem itthoni himihumi titkosításnál baromira nem zavarva, ha pl. az nsa percek alatt tudná törni és tízezer dolláros befektetéssel mondjuk 1 nap alatt törhető lenne, inkább legyen gyors. Valóban érzékeny adatoknál nyilván más a helyzet.
- A hozzászóláshoz be kell jelentkezni
Nem az a fő kérdés, hogy mekkora a partíció, hanem hogy hány MB/s olvasási tempót szeretnél a titkosított partícióról.
- A hozzászóláshoz be kell jelentkezni
mennyi az erőforrásigénye? ha a /home titkosítva van egy RPi2-n, akkor az mekkora sebességcsökkenést eredményez (normál esetben)?
ez nagyjából megadható v. nem ilyen egyzserű?
- A hozzászóláshoz be kell jelentkezni
Hát, még mindig az a kérdés, hogy mire használod/használnád a pit?
Ha a home mappából csak a pár config fájlt olvastatod néha fel, akkor gondolom nulla erőforrás igénye van, de ha mondjuk ott van a böngésző cache, vagy valami média fájlt onnan osztasz meg/játszol le, akkor bizzosan észrevehető. (állandó írás - olvasás)
Egyébként próbáld ki, az a biztos, aztán majd látod. Ha csak egy magon/egy szálon tud futni a dekódolás, akkor az majdnem biztosan az egyébként sem gyorsat is lassúvá teszi. A pi-nek egy magot tekintve eléggé nulla a teljesítménye, több magot használó alkalmazások jól futnak.
- A hozzászóláshoz be kell jelentkezni
Mondjuk egy camera prg futna rajta. Lemez művelet nem sok lenne alapvetően.
- A hozzászóláshoz be kell jelentkezni