Est-il possible d'accélérer matériellement le chiffrement LUKS?

8

Mon serveur Linux passe beaucoup de temps à calculer le chiffrement LUKS. Existe-t-il un moyen d'accélérer le matériel (avec une carte PCI express par exemple)?

linux hardware encryption luks Glendyr
la source
1
Selon le type de système dont vous disposez actuellement, un processeur plus rapide / meilleur pourrait faire l'affaire. Définissez également "beaucoup de temps".
Sven
C'est 1/3 de la vitesse de fonctionnement normal des E / S. Je ne suis pas heureux de gaspiller les 2/3 de la vitesse de chiffrement. C'est Ubuntu Server.
Glendyr
1
Quel est ton processeur? Les derniers modèles d'Intel ont AES-NI et VIA a du matériel cryptographique depuis des années. Intel (je ne connais pas AMD) a des optimisations spéciales pour AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo

Réponses:

14

À partir du noyau 2.6.32, les instructions AES-NI sur les nouveaux processeurs Intel sont prises en charge par dm-crypt. Vous voudrez peut-être vérifier / proc / cpuinfo si votre processeur prend en charge ces instructions. Sinon, la mise à niveau de votre processeur accélérera le chiffrement de votre disque dur (à condition que vous utilisiez réellement le chiffrement AES)

Plus d'informations: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
la source
Intéressant - qu'est-ce que vous avez et documents / liens sur le sujet?
Coops
2
modprobe aesni-intel ou ajoutez-le à / etc / initramfs-tools / modules et exécutez update-initramfs -u .
earthmeLon
@earthmeLon c'est exactement ce que je cherchais!
ortang
3

AESNI est l'accélération matérielle pour le chiffrement AES. Tant que votre LUKS / dmcrypt est configuré pour utiliser AES, ce qui est probablement le cas, et tant que votre processeur le prend en charge, vous pouvez ajouter le module du noyau AESNI manuellement ou automatiquement.

Manuel (testez pour vous assurer qu'il fonctionne / est pris en charge)

  • sudo modprobe aesni-intel

Automatique

  • sudo vim /etc/initramfs-tools/modules
    • Ajouter aesni_intel
  • sudo update-initramfs -u

Vous voulez l'ajouter à vos initramfs, et pas seulement à votre noyau normal, car vous voulez qu'il soit disponible avant de décrypter votre lecteur et de charger votre noyau principal.

EarthmeLon
la source
Remarque La plupart (sinon la totalité) des Intel i3 ne prennent pas en charge AESNI. Vous pouvez vérifier en recherchant « aes » dans / proc / cpuinfo: grep aes /proc/cpuinfo.
earthmeLon
Est-ce que cela fonctionne pour les processeurs AMD qui prennent en charge AES? J'ai exécuté la commande @earthmeLon dit et il dit que mon AMD A8-4500M prend en charge AES
Suici Doga
0

À ma connaissance, il n'y a pas de telles cartes d'extension pour le cryptage dm-crypt / luks. DM ne les prend pas en charge.

Cela dit, il semble qu'il y ait un mouvement en cours pour obtenir une accélération GPU dans le pipeline de traitement si elle est disponible. Comme les serveurs ont encore rarement des GPU (bien que cela change), cela peut ne pas être très utile pour vous.

sysadmin1138
la source