Hallo!

Habe einen älteren Laptop (i3 3110M, 8GB Ram), dem ich gestern eine frei gewordene SSD verpasst habe. Nutze den Laptop seit eh und je mit Linux, zur Zeit mit Mint.
Da ich ihn von Zeit zu Zeit mit auf Reisen nehme, habe ich meine Daten darauf verschlüsselt. Bisher habe ich dazu nur den Home-Ordner verschlüsselt, nun wollte ich mal testweise auf full-disk-Verschlüsselung umsteigen.

Was mir direkt aufgefallen ist, größere Dateitransfers bremsen das ganze System ein wenig aus (nicht total, aber es ruckelt hin und wieder ein wenig).
Ich vermute, dass die fehlende AES-Unterstützung des älteren Prozessors ihren Teil dazu beiträgt?

Was würdet ihr hier empfehlen? Ich benötige keine totale Absicherung, möchte aber im Falle eines Diebstahls oder sonstigen Verlusts eben sicher sein, dass nicht jeder einfach an den Inhalt des Laptops kommt.
Gleichzeitig möchte ich aber nicht zu viel Leistung opfern.

Ohne Hardware-Support ist das natürlich schon eine echte Bremse. Letztendlich steigerst du dann die Last auf das System noch mehr weil das Öffnen von Anwendungen, das Schreiben von Log-Files usw. ebenfalls alles durch die Ver/Entschlüsselung muss.

Wenn es nur darum geht, dass niemand an deine Daten kommt, dann sollte die Verschlüsselung des HOME Ordners reichen.

Ist ein Problem von Teilverschlüsselungen nicht nach wie vor, dass sensible Daten in nicht verschlüsselten Bereichen wie TEMP abgelegt werden und auf diese Weise für Dritte zugänglich/einsehbar sein könnten?

Kommt halt auf die Daten und die dazugehörigen Anwendungen an. Regulär werden keine Daten in /tmp abgelegt. Einige Anwendungen machen es (Blender z.B.), aber es ist kein Regelfall. Bei allem was ich bisher gesehen habe, ist /tmp aber sowieso ein tmpfs oder wird bei jedem Reboot geleert. Von daher ist das auch nicht so kritisch.

Je nachdem vor wem man sich schützen will. Wenn man meint man wird von wem auch immer ausspioniert, dann sollte es immer Full-Disc-Encryption sein. Wenn man einfach nur verhindern will, dass ein Dieb in den eigenen Daten rumstöbert, dann reicht auch eine Verschlüsselung vom Home-Ordner.

Ich habe mal ein wenig im Netz recherchiert. Leider findet man fast nur (aktuelle) Tests, die zeigen dass full disk mit AES deutlich schneller ist, als Home-Ordner-Verschlüsselung, aber praktisch nichts mehr zur Geschwindigkeit ohne AES. In den wenigen älteren, die ich gefunden habe scheint aber full-disk auch ohne AES leicht schneller zu sein, wenigstens was absolute Transferraten angeht. Nur verursacht die erhöhte CPU-Last bei größeren Transfers eben bei mir leichte Ruckler.
Im Alltag (Office/Browser) scheint es wiederum keine nennenswerten Auswirkungen zu haben.

Kommt halt auf die Daten und die dazugehörigen Anwendungen an. Regulär werden keine Daten in /tmp abgelegt. Einige Anwendungen machen es (Blender z.B.), aber es ist kein Regelfall.
Thunderbird packt da sogar Entwürfe von Emails rein. :freak:

Auch Anhaenge von gelesenen Mails z.B.

Grundsaetzlich koennte man /tmp natuerlich auch irgendwo innerhalb des home dirs mounten, oder /tmp extra verschluesseln, wenn es denn kein tmpfs sein soll. Das ist auch nicht ueberall Standard, iirc nicht mal bei Ubuntu.

Ich denke aber auch, dass /tmp im Modell von Dino wenig Relevanz hat.

In den wenigen älteren, die ich gefunden habe scheint aber full-disk auch ohne AES leicht schneller zu sein, wenigstens was absolute Transferraten angeht.

Es kommt halt darauf an wie dein Home-Verzeichnis verschlüsselt ist. Liegt dein Home auf einer extra Parition kannst du diese auch auf Block-Layer Ebene verschlüsseln und es sollte im Grunde keine Unterschiede geben. Es gibt aber auch Software die auf Dateiebene verschlüsseln und auf einem anderen Dateisystem laufen.

Oder in Kurz:
- Full-Disc-Encryption funktioniert unterhalb des Dateisystems
- Dinge wie ecryptfs funktionieren oberhalb des Dateisystems

Das Eine ist halt tendenziell schneller, das Andere tendenziell flexibler. Aber ohne AES-NI ist beides eine Krücke, gerade auf einer SSD.