Cryptsetup 1.5.0 — с возможностью перешифрования файловых систем

Также можно зашифровать и ранее незашифрованную файловую систему на лету без копирования на новый дисковый раздел.

Возникает логичный вопрос: где будет блок метаданных LUKS?

предлашается вручную передвинуть раздел так, чтобы образовалось место для метаданных. :3

А-а. Но в случае с LVM это будет несколько нетривиальное действо, хотя и не невозможное.

Вот если бы оно поддерживало суперблок в конце, как многие форматы RAID… Но, похоже, это теперь не модно: mdadm теперь по умолчанию использует формат 1.2, в новом софтрейде OpenBSD тоже суперблок в начале.

перешифровать существующую зашифрованную файловую систему

Может всё-таки «существующее блочное устройство»?

Недавно озаботился поиском хардварного ускорителя криптографии. Ничего нет.

Так AES-NI и так во всех новых процессорах.

Так AES-NI и так во всех новых процессорах.

ну во первых, не во всех, а во вторых, имеет смысл разгружать процессор от этой работы.

А по-моему, если одно ядро из восьми будет на 20% загружено шифрованием, то этого никто и не заметит.

Какие требования к пропускной способности?

Какие требования к пропускной способности?

дык, чтобы не стать узким местом. Минимум, 100мбайт/c при условии незагрузки io и cpu

Почему восьми ядер?

Я вот на примере раида наблюдаю, что даже когда скорость есть и загрузка процессора вроде невысокая, очень сильно загружается io.

А лучше, конечно 500-1000 мбайт. Это же ускоритель, а не наоборот.

100мбайт/c

Любой десктопный процессор.

незагрузки io

/0

cpu

Любой десктопный процессор с ускорением AES. Главное, не использовать этот ускоритель для генерации ключа.

Если это не устраивает, то добро пожаловать в мир промышленных акселераторов, которые стоят дорого и обязательно соответствуют требованиям некоторых служб.

В релиз вошло несколько интересный нововведений.

две порции живительно эвтаназии этому господину

s/льно/льной/
*и мне одну порцию

Возможно вы имели в виду одно из восьми виртуальных. Про интел же говорите, а не АМД.

Любой десктопный процессор.

грузит систему так, что ни о каком применении за пределами десктопа речь не идет.

добро пожаловать в мир промышленных акселераторов,

а их нет. Все, что упоминается на сайтах про линукс уже невообразимо устарело и давно не выпускается.

У меня отнюдь не новый C2D почти 180 мб/с в openssl speed aes-256-cbc выдаёт. AES-NI должен давать в 2 раза больше. Куда ты там столько информации шифруешь?

Это сейчас такая мода везде писать долбоебское «тихо и незаметно»?

Оно до сих пор не умеет шифрование один к одному (plausible deniability) ???

Которое без LUKS? Всегда умело. Только вот эта новая фича работать не будет. Но самому налабать скрипт для оффлайнового перешифрования не трудно.

Хотя да, бесит, что всюду дискриминация plain режима. Особенно это касается всяких initramfs.

У меня отнюдь не новый C2D почти 180 мб/с в openssl speed aes-256-cbc выдаёт. AES-NI должен давать в 2 раза больше. Куда ты там столько информации шифруешь?

Речь идет про шифрование блочного устройства. Системы, хомяка. Сотни мег, это здорово, но и программы выполнять надо...

В каком дистрибутиве можно ожидать?

это новая программа cryptsetup-reencrypt... пока что это программа не оттестирована достаточно хорошо и остается экспериментальной.

Я бы потестил.

В Quantal уже не попадает насколько я понял.

Правильно ли я понимаю, что которое без LUKS это cryptoloop и вечный с ним варнинг о том, что он крешит ext3+?

Если речь идёт всего о блочном устройстве, то беспокоиться о нагрузке не придётся ни на HDD ни на SSD. Подключай AES-NI (если не подключен) и вперёд.

а много кто заметил этот релиз? много ли было криков?

тихо и незаметно, почти месяц уже прошло.

Шифрование это фикция. Кому надо всё равно получат данные, а кому не надо ты нахрен не нужен.

позволяет перешифровать существующую зашифрованную файловую систему

Офигенно. Никакой ректотермальный теперь им не поможет!

Кому надо всё равно получат данные, а кому не надо ты нахрен не нужен.

Это примерно как «кому надо, всё равно обокрадут мою^Wквартиру Reset, а кому не надо, пройдут мимо».

Правильно ли я понимаю, что которое без LUKS это cryptoloop

Нет. Это которое без заголовка LUKS со всем его палевом и соответственно без автообнаружения в initramfs и udev.

man cryptsetup

Забыл добавить, что это я о шифровании устройств хранения. Шифрование каналов передачи данных, естественно, имеет смысл.

Примерно так оно и есть.

Грамотная криптография увеличивает стоимость взлома на многие порядки, снижая порог вхождения в группу неуловимых джо до плинтуса, а затраченное на взлом время - на многие века. Главное при этом - не дожить. Легко.

А уже изобретен криптографический алгоритм, устойчивый к взлому методом терморектального криптоанализа ?

Разделённый на несколько частей ключ на легко уничтожаемых компонентах.

Уничтожимый носитель ключа спасёт ректум русской демократии.

Любой, когда ты априори знаешь, что невиновен.

Хоть обубивайте меня.

Wow! Я десять лет ждал этой фичи!

две порции

Нет, три!

Пока что это программа не оттестирована достаточно хорошо

это программа

Если невиновен, то зачем шифроваться?

Если невиновен, то зачем шифроваться?

Чтобы выполнять условия распостранения информации, к примеру?

Чтоб сберечь идентификаторы личности.

Насмешил