(del676)
2005-04-05, 22:40:40
mir war langweilig und deshalb habe ich ein bisl rumgespielt :)
und zwar mit dm-crypt und loop-aes
mit denen kann man eine partition (oder containerfile) verschlüsseln
damits vergleichbar ist habe ich folgendes gebencht:
unverschlüsseltes reiserfs3.6
unverschlüsseltes xfs
dm-crypt aes 256bit xfs (mit passwort authentifizierung)
loop-aes 256bit xfs (ebenfalls mit passwort authentifizierung)
loop-aes 256bit (multi-key-v3) xfs (mit key und passwort authentifizierung) (den key kann man z.b. auf einer floppy oder nem usbstick lagern und nach dem mounten entfernen)
dm-crypt ist einfacher zu installieren weil fast alles schon fertig im kernel ist.
allerdings ist dm-crypt unsicherer da man watermark attacken darauf ausführen kann.
loop-aes nur mit passwort authentifizierung hat diesselbe watermark schwäche.
d.h. loop-aes 256bit multi-key-v3 ist am sichersten
(wenn jemand anderes gehört hat bitte melden :) )
loop-aes zum laufen zu bringen ist auch nicht schwer, erfordert aber dass man den kernel unter umständen neu kompilieren muss. ebenso müssen ein paar programme installiert werden.
benches an sich wurden nur verdammt simple gemacht, aber alle auf der selben partition, mit reboots dazwischen, d.h. die ergebnisse sollten halbwegs verwertbar sein:
reiserfs:
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m53.920s
user 0m0.001s
sys 0m3.326s
cp test1 test2
real 2m32.297s
user 0m0.022s
sys 0m5.603s
cat test2 > /dev/null
real 1m11.391
user 0m0.014s
sys 0m2.174s
xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 1m4.826
user 0m0.009s
sys 0m2.940s
cp test1 test2
real 2m8.458s
user 0m0.126s
sys 0m4.781s
cat test2 > /dev/null
real 1m9.741s
user 0m0.056s
sys 0m1.845s
loop-aes encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m53.871s
user 0m0.013s
sys 0m2.734s
cp test1 test2
real 2m16.222s
user 0m0.157s
sys 0m4.557s
cat test2 > /dev/null
real 1m9.556s
user 0m0.092s
sys 0m1.820s
loop-aes (multi-key-v3) encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m54.776s
user 0m0.007s
sys 0m2.677s
cp test1 test2
real 2m15.610s
user 0m0.148s
sys 0m4.542s
cat test2 > /dev/null
real 1m9.346s
user 0m0.085s
sys 0m1.780s
dm-crypt - 256bit aes encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 1m0.485s
user 0m0.007s
sys 0m22.268s
cp test1 test2
real 2m39.265s
user 0m0.140s
sys 0m13.330s
cat test2 null
real 1m23.747s
user 0m0.078s
sys 0m1.506s
mache tests habe ich 2x gemacht (wie z.b. "dd if=/dev/zero of=test1 bs=1M count=2048" auf xfs und loop-aes xfs - encrypted schneller? ja warum auch immer (wahrscheinlich weil die festplatte nicht direkt angesprochen wird sondern übern loop device?))
Fazit: "loop-aes (multi-key-v3) encrypted xfs" ist nur sehr knapp hinter dem normalen loop-aes mit passwort auth (eigentlich messungenauigkeit :) ) (edit: eigentlich isses overall garned langsamer X-D ) dafür sicherer.
dm-crypt ist einfacher, dafür unsicherer und langsam.
wenn bedarf besteht mach ich ein howto für loop-aes für datenpartitionen
und zwar mit dm-crypt und loop-aes
mit denen kann man eine partition (oder containerfile) verschlüsseln
damits vergleichbar ist habe ich folgendes gebencht:
unverschlüsseltes reiserfs3.6
unverschlüsseltes xfs
dm-crypt aes 256bit xfs (mit passwort authentifizierung)
loop-aes 256bit xfs (ebenfalls mit passwort authentifizierung)
loop-aes 256bit (multi-key-v3) xfs (mit key und passwort authentifizierung) (den key kann man z.b. auf einer floppy oder nem usbstick lagern und nach dem mounten entfernen)
dm-crypt ist einfacher zu installieren weil fast alles schon fertig im kernel ist.
allerdings ist dm-crypt unsicherer da man watermark attacken darauf ausführen kann.
loop-aes nur mit passwort authentifizierung hat diesselbe watermark schwäche.
d.h. loop-aes 256bit multi-key-v3 ist am sichersten
(wenn jemand anderes gehört hat bitte melden :) )
loop-aes zum laufen zu bringen ist auch nicht schwer, erfordert aber dass man den kernel unter umständen neu kompilieren muss. ebenso müssen ein paar programme installiert werden.
benches an sich wurden nur verdammt simple gemacht, aber alle auf der selben partition, mit reboots dazwischen, d.h. die ergebnisse sollten halbwegs verwertbar sein:
reiserfs:
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m53.920s
user 0m0.001s
sys 0m3.326s
cp test1 test2
real 2m32.297s
user 0m0.022s
sys 0m5.603s
cat test2 > /dev/null
real 1m11.391
user 0m0.014s
sys 0m2.174s
xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 1m4.826
user 0m0.009s
sys 0m2.940s
cp test1 test2
real 2m8.458s
user 0m0.126s
sys 0m4.781s
cat test2 > /dev/null
real 1m9.741s
user 0m0.056s
sys 0m1.845s
loop-aes encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m53.871s
user 0m0.013s
sys 0m2.734s
cp test1 test2
real 2m16.222s
user 0m0.157s
sys 0m4.557s
cat test2 > /dev/null
real 1m9.556s
user 0m0.092s
sys 0m1.820s
loop-aes (multi-key-v3) encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 0m54.776s
user 0m0.007s
sys 0m2.677s
cp test1 test2
real 2m15.610s
user 0m0.148s
sys 0m4.542s
cat test2 > /dev/null
real 1m9.346s
user 0m0.085s
sys 0m1.780s
dm-crypt - 256bit aes encrypted xfs
dd if=/dev/zero of=test1 bs=1M count=2048
real 1m0.485s
user 0m0.007s
sys 0m22.268s
cp test1 test2
real 2m39.265s
user 0m0.140s
sys 0m13.330s
cat test2 null
real 1m23.747s
user 0m0.078s
sys 0m1.506s
mache tests habe ich 2x gemacht (wie z.b. "dd if=/dev/zero of=test1 bs=1M count=2048" auf xfs und loop-aes xfs - encrypted schneller? ja warum auch immer (wahrscheinlich weil die festplatte nicht direkt angesprochen wird sondern übern loop device?))
Fazit: "loop-aes (multi-key-v3) encrypted xfs" ist nur sehr knapp hinter dem normalen loop-aes mit passwort auth (eigentlich messungenauigkeit :) ) (edit: eigentlich isses overall garned langsamer X-D ) dafür sicherer.
dm-crypt ist einfacher, dafür unsicherer und langsam.
wenn bedarf besteht mach ich ein howto für loop-aes für datenpartitionen