кто юзал ssd с аппаратной поддержкой шифрования?

0

1

хай всем. хочу купить на ноут ssd вместо веника медленного, юзаю для криптования truecrypt. прочитал что есть кингстоны с аппаратным шифрованием. вопрос - будет ли это работать с линуксом ? каким макаром это на низком уровне реализовано ?

Ссылка

←	Samsung N150 Plus S2RAM

Kwin и Quake3

→

каким макаром это на низком уровне реализовано ?

котролёр перед записью шифрует просто.

ciiccii ★
(04.03.11 23:45:20 MSK)

Ссылка

боюсь что и на аппаратный ssd и на truecrypt есть мастеркей у соответствующих служб. может лучше dm-crypt?

dimon555 ★★★★★
(05.03.11 00:55:16 MSK)

Ответ на: комментарий от dimon555 05.03.11 00:55:16 MSK

Да и вообще как можно полагаться на контроллер которая закрытая чушка и никак не проверить что там на самом деле. По мне в вопросах безопасности лучше полагаться на софт.

anonymous
(05.03.11 03:43:28 MSK)

Ссылка

Ответ на: комментарий от dimon555 05.03.11 00:55:16 MSK

dimon555 сказать честно не задумывался насчёт надёжности. и truecrypt и dm-crypt оба опенсорсные. dm-crypt чем-то лучше?

ioan ★
(05.03.11 09:32:18 MSK) автор топика

Ответ на: комментарий от ioan 05.03.11 09:32:18 MSK

dm-crypt хуже, но только он умеет держать / шифрованным.

pekmop1024 ★★★★★
(05.03.11 09:33:53 MSK)

Ответ на: комментарий от pekmop1024 05.03.11 09:33:53 MSK

ну я например шифрую только /home, там рабочие данные, пассы и прочее. если скомуниздят ноут с нешифрованными данными, будет плохо. меня больше интересует наличие «бэкдоров», с помощью которых реально вскрыть любой контейнер, созданный truecrypt-ом или dm-crypt-ом.

ioan ★
(05.03.11 11:21:33 MSK) автор топика

Ответ на: комментарий от pekmop1024 05.03.11 09:33:53 MSK

dm-crypt хуже

Да ну?

GotF ★★★★★
(05.03.11 11:23:33 MSK)

Ответ на: комментарий от GotF 05.03.11 11:23:33 MSK

> Да ну?

Он однопоточный и сильно способствует проявлению 12309.

pekmop1024 ★★★★★
(05.03.11 11:24:48 MSK)

Ответ на: комментарий от ioan 05.03.11 11:21:33 MSK

Исходники открыты, ищи бэкдоры :)
Думаю, уже бы нашли - подобными вещами много параноиков пользуется, которым не лень исходники просмотреть.

pekmop1024 ★★★★★
(05.03.11 11:25:51 MSK)

Ссылка

Ответ на: комментарий от ioan 05.03.11 11:21:33 MSK

А как же /etc?

Alan_Steel ★★
(05.03.11 11:27:35 MSK)

Ответ на: комментарий от pekmop1024 05.03.11 11:24:48 MSK

>> Он однопоточный

У меня скорость одного потока как раз примерно соответствует скорости дисков. Процессоры быстрые, диски медленные — что толку от многопоточности? И в любом случае, для каждого устройства стартует отдельный тред kcryptd, не?

сильно способствует проявлению 12309

Отучаемся говорить за всех, да.

GotF ★★★★★
(05.03.11 11:29:00 MSK)

Ответ на: комментарий от Alan_Steel 05.03.11 11:27:35 MSK

>> А как же /etc?

Там много секретной информации? Лучше бы /var вспомнил :)

GotF ★★★★★
(05.03.11 11:30:20 MSK)

Ссылка

Ответ на: комментарий от GotF 05.03.11 11:29:00 MSK

> У меня скорость одного потока как раз примерно соответствует скорости дисков

Что толку, если оно лочит I/O?

pekmop1024 ★★★★★
(05.03.11 11:42:47 MSK)

Ответ на: комментарий от pekmop1024 05.03.11 11:42:47 MSK

>> Что толку, если оно лочит I/O?

Таки зачем переводишь тему многопоточности на 12309? :)

GotF ★★★★★
(05.03.11 11:50:24 MSK)

Ответ на: комментарий от GotF 05.03.11 11:50:24 MSK

> Таки зачем переводишь тему многопоточности на 12309? :)

Потому что обидно, что однопоточная хрень блочит 4-ядерную систему, в то время как truecrypt без проблем справляется с той же задачей и ничего не лочит, да еще и бегает быстрее

pekmop1024 ★★★★★
(05.03.11 11:53:15 MSK)

в общем вывод такой - нужно и дальше пользовать truecrypt, на флешки с аппаратным шифрованием забить болт. я так и думал. всем спасибо :)

ioan ★
(05.03.11 11:54:36 MSK) автор топика

Ответ на: комментарий от ioan 05.03.11 11:54:36 MSK

Именно. Вы тут К.О. не видели? Вроде пробегал.

pekmop1024 ★★★★★
(05.03.11 12:02:05 MSK)

Ответ на: комментарий от pekmop1024 05.03.11 12:02:05 MSK

очевидного тут нихрена нет, так как у меня не было на руках такого диска чтоб разобраться в принципе его работы. а сами разработчики ничерта про это не пишут, кроме того что это круто и давай быстрей покупай.

ioan ★
(05.03.11 13:26:38 MSK) автор топика

Ответ на: комментарий от ioan 05.03.11 13:26:38 MSK

Проприетарные контроллеры, которые шифрованием занимаются - априори не могут быть достойны доверия. Ибо что там внутри, сколько бэкдоров и для кого, потребителю знать не положено.

pekmop1024 ★★★★★
(05.03.11 13:39:10 MSK)

Ссылка

Ответ на: комментарий от pekmop1024 05.03.11 11:53:15 MSK

однопоточная хрень блочит 4-ядерную систему

Экспериментальные патчи для раскукоживания dm-crypt на несколько ядер витают в LKML (и окрестностях) с конца прошлого года. Обещают скоро допилить до апстрима...

Deleted
(05.03.11 13:56:49 MSK)

Ответ на: комментарий от Deleted 05.03.11 13:56:49 MSK

> Обещают скоро допилить до апстрима...

А там случаем BKL'ом не пахнет в этом dm-crypt? Жуть же какая тормозилка...

pekmop1024 ★★★★★
(05.03.11 14:01:00 MSK)

Ответ на: комментарий от pekmop1024 05.03.11 14:01:00 MSK

А там случаем BKL'ом не пахнет в этом dm-crypt? Жуть же какая тормозилка...

Нет, BKL'а там нет. Иначе бы нельзя было использовать одновременно несколько шифрованных устройств. А с этим проблем нет.

Кстати BKL'а в ядре уже почти нигде не осталось.

Deleted
(05.03.11 14:08:11 MSK)

Ссылка

Ответ на: комментарий от pekmop1024 05.03.11 14:01:00 MSK

А там случаем BKL'ом не пахнет в этом dm-crypt? Жуть же какая тормозилка...

Оказывается вышеупомянутые патчи для раскукоживания dm-crypt вошли в 2.6.38.

Deleted
(18.03.11 19:33:54 MSK)

Ответ на: комментарий от Deleted 18.03.11 19:33:54 MSK

> Оказывается вышеупомянутые патчи для раскукоживания dm-crypt вошли в 2.6.38.

Вчера эксперименты с .38 ставил. Либо не помогло, либо виноват не dm-crypt...

pekmop1024 ★★★★★
(18.03.11 19:57:23 MSK)

Ответ на: комментарий от pekmop1024 18.03.11 19:57:23 MSK

Вчера эксперименты с .38 ставил.

Можно узнать подробности?

Deleted
(18.03.11 19:58:01 MSK)

Ответ на: комментарий от Deleted 18.03.11 19:58:01 MSK

Собрал со стандартным арчеконфигом и стандартными же арчепатчами, добавил одну строчку в конфиг (CONFIG_IO_DELAY_NONE=y, по совету megabaks'a, собственно поэтому и пришлось пересобирать, а не взять из тестинга), прогнал dd if=/dev/zero of=test bs=1M count=8192, словил привычные тупняки и откатился обратно.

pekmop1024 ★★★★★
(18.03.11 20:02:04 MSK)

Ответ на: комментарий от pekmop1024 18.03.11 20:02:04 MSK

прогнал dd if=/dev/zero of=test bs=1M count=8192

Надо параллельно запускать несколько процессов. Тогда запись с каждого процесса будет шифроваться отдельным потоком внутри ядра.

Deleted
(18.03.11 20:19:28 MSK)

Ответ на: комментарий от Deleted 18.03.11 20:19:28 MSK

да у меня претензия не к скорости была, одного ядра Q9650 для шифрования на лету более чем достаточно. У меня проблема с тем, что активный дисковый ввод-вывод лочит систему.

pekmop1024 ★★★★★
(18.03.11 20:21:38 MSK)

Ответ на: комментарий от pekmop1024 18.03.11 20:21:38 MSK

Значит всё-таки проблема где-то в другом месте.

Deleted
(18.03.11 20:23:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Samsung N150 Plus S2RAM

Linux-hardware

Kwin и Quake3

→

Похожие темы