LINUX.ORG.RU

Geli vs ZFS encryption

 , ,


1

4

Сабж. Сам в вопросе не разбираюсь.

Интересует:

  • Скорость (поддерживает ли ZFS мой aes-ni? geli — да)
  • Комфорт использования для шифрования всей системы
  • Безопасность? AES-XTS везде? Есть ил выбор? Где хранятся ключи?

UPD

В итоге в инсталлере выбрал Auto(ZFS) и поставил галочку Encrypt filesystems. Настроило GELI поверх всего, так что всё почти так же просто, как в опёнке.

Native ZFS encryption в данный момент есть только у Oracle. Tom Caputi из Datto написал поддержку шифрования для ZFS on Linux, но ее еще не приняли в апстим, полируют. А в OpenZFS не берут пока ее в ZoL не оттестируют, ведь они на этой ФС деньги делают и не хотят тестировать на своих клиентах. Во FreeBSD она появится не раньше чем в OpenZFS а это еще не скоро. Следовательно у вопрос выбора GELI или Native ZFS encryption во Фрее еще даже не стоит. Пока есть только GELI для всего пула или pefs для директории. Удачи.

anonymous ()
Ответ на: комментарий от BruteForce

Хорошо ответили в комментарии выше. На FreeBSD об этом пока думать рано и выбора нет. Когда родное шифрование ZFS появится, то думаю что уж AES-NI прикрутить не сложно, учитывая что там AES по-умолчанию. Из плюсов родного шифрования (не считая удобство администрирования): возможность выполнять scrub/resilver, send/recv, dedup без необходимости открытия GELI. Из недостатков: утекают метаданные (размеры и какие ФС (zfs) присутствуют), утекает информация об одинаковых блоках (dedup), из-за сжатия можно сделать аналог CRIME-атаки. Как правило, большинству жить с этими недостатками можно, но GELI с XTS-режимом чисто криптографически будет лучше (когда-то давно кстати писал про режимы полнодискового шифрования: http://www.stargrave.org/Disk-encryption.html).

stargrave ()