Le chiffrement LUKS affecte-t-il TRIM? (SSD et linux)

9

Je passe à Linux lorsque le nouveau SSD arrivera. Le SSD offre des performances accrues, j'ai donc pensé que je pouvais tout chiffrer.

Mais ensuite, je suis venu à penser à TRIM et à la collecte des ordures sur le disque. Un lecteur chiffré LUKS affectera-t-il le système de récupération de place? (RÉDUIRE).

Algific
la source

Réponses:

5

Je leur ai envoyé un e-mail. Et TRIM ne fonctionnera pas. Parce que le système d'exploitation ne sait pas où les fichiers sont stockés. Seul le système crypté le sait. En raison du fait que le cryptage vient en premier. J'utiliserai à la place truecrypt. En plus du système de fichiers de mon dossier personnel.

Algific
la source
Juste pour référence: pourriez-vous nous dire qui est "eux"? Les développeurs Ubuntu?
c089
Je suppose qu'il signifie les développeurs LUKS. Ubuntu utilise ecryptfs, afaik.
Manuel Faux
Comment cela se rapporte-t-il aux autres réponses ici? Je suppose que celui-ci est obsolète maintenant.
d33tah
2

Non. Un bloc vide sera toujours répertorié comme vide et sera donc TRIMed.

Même si votre disque est chiffré, le disque lui-même ne sait rien du chiffrement, juste où se trouvent les données (et quel espace n'est pas utilisé pour le moment). Donc ça ira bien.

En ce qui concerne les performances, je ne sais pas quel pourrait être l'impact. Il semblerait que certaines optimisations dans le SSD pourraient ne pas fonctionner, mais je ne peux pas déterminer lesquelles nécessitent des connaissances sur les données réelles, de sorte qu'il n'y aura probablement aucun impact du point de vue du stockage.
Notez que le chiffrement nécessite des cycles de processeur supplémentaires, de sorte que l'impact pourrait y être perceptible.

Zsub
la source
+1 pour le commentaire sur les blocs. La raison pour laquelle cela fonctionne est que LUKS crypte chaque bloc individuellement. En ce qui concerne la charge du processeur: selon les critères de référence, un P3 à 1 GHz peut chiffrer AES à environ 13 Mo / s, donc à moins que votre HD ne puisse maintenir ce taux, vous ne devriez pas remarquer de baisse de performances (à moins que votre processeur soit déjà complètement chargé en faisant quelque chose de différent) .
sleske
Drôle, vous devez mentionner la vitesse d'écriture. Comme la question concerne les SSD, il est possible que le disque lui-même soit plus rapide que la connexion à son contrôleur. Et nous avons parcouru un long chemin depuis les jours P3 1GHz, donc ce chiffre n'est en aucun cas représentatif pour les PC modernes, je le crains.
Zsub
Mon tourne sous Core Duo 1.3Ghz. 4 Go de RAM ddr3. Je ne pense pas que cela devrait être trop difficile pour le processeur, je choisirai un cryptage correct. Pas le meilleur. Après tout, c'est juste pour que le voleur n'ait pas accès à mes fichiers. Ne pas empêcher la NSA. : p
Algific
1
Remarquez-vous sûr de cela? Parce que si j'ai bien compris, TRIM a besoin du noyau pour parler à ext4. Et comme ext4 est au-dessus du lecteur chiffré, on pourrait penser que le trim obtiendrait les informations dont il a besoin. ?
Algific
1
Non. TRIM est une fonctionnalité indépendante du système d'exploitation ou du système de fichiers sur un lecteur. Le système d'exploitation doit le prendre en charge pour envoyer les commandes appropriées au lecteur, mais le système de fichiers n'a pas besoin de le savoir.
Zsub
2

De man 5 crypttab:

Les options

Jeter

Autoriser l'utilisation des demandes de rejet (TRIM) pour le périphérique.

AVERTISSEMENT: évaluez soigneusement les risques de sécurité spécifiques avant d'activer cette option. Par exemple, autoriser les rejets sur les appareils cryptés peut entraîner une fuite d'informations sur le périphérique de texte chiffré (type de système de fichiers, espace utilisé, etc.) si les blocs supprimés peuvent être facilement localisés ultérieurement sur le périphérique.

La version 3.1 ou plus récente du noyau est requise. Pour les versions plus anciennes, l'option est ignorée.

David Foerster
la source
1

La plupart des didacticiels que j'ai lus sur la configuration des lecteurs LUKS vous demandent d'abord badblocksle lecteur entier avec des données aléatoires. De cette façon, un attaquant ne peut pas savoir quels secteurs contiennent des données et lesquels n'ont pas encore été utilisés. Ces informations pourraient être utilisées pour découvrir des choses sur les données et corréler avec d'autres informations temporelles qui pourraient conduire à un compromis.

Donc, même si les modules LUKS prenaient en charge l'envoi de groupes de blocs inutilisés à TRIM, vous ne voudriez pas le faire de toute façon.

LawrenceC
la source