ディスク暗号化:ハードウェアディスク暗号化とdm-cryptの長所と短所
システム(Ubuntu)をSamsung 840 proSSDに再インストールします。このディスクはAESハードウェア暗号化を実行できます。さまざまな観点からLVMフルディスク暗号化を使用するのと比較して、このアプローチを採用することの欠点や利点は何でしょうか。
- セキュリティ:これらの方法はセキュリティの点で同等ですか?
- 利便性:多くのパスワードを入力することは避けたい
- 回復/互換性:データを回復するためにディスクを取り出して別のコンピューターにマウントする必要がある場合はどうなりますか?
- security:ドライブはAESを提供します。 AESに満足できない場合は、dm-cryptが独自の選択肢を提供します。キーを消去することで、両方をすばやく消去できます。
- convenience:どちらの方法でも、起動時に一度パスワードの入力を求められます。ただし、LUKSキーファイルを外部デバイスに保存できます。 USBメモリースティック
- dm-cryptを使用すると、システムの一部のみを暗号化する柔軟性があります。/homeディレクトリのみ(別のパーティションに配置する場合)
- recovery:ドライブのパスワードを忘れた場合、バストになります。 LUKSの場合、could(受け入れたいレベルのパラノイアに応じて)キーの複数のコピーを持っている可能性があります。必要に応じて、1枚の紙に印刷します。または本の中に隠されています。または...
- どちらも周囲のハードウェアに依存しないため、元のラップトップ/ PCが故障した場合でもディスクを回復できます。
- performance:デバイスの組み込み暗号化はほとんど透過的である必要があるため、オーバーヘッドはほとんどないと想定しています。 dm-cryptを使用すると、CPUが暗号化/復号化を実行します。
- また:Linux 3.1以降では、dm-crypt TRIMパススルーのサポートは、デバイスの作成時に切り替えるか、dmsetupでマウントできます。したがって、次のことを行う必要があります。いくつかの手順を実行しますが、TRIMはサポートされています。
要約すると、組み込みの暗号化は、フリルのない高速(実行時とセットアップ)で便利なオプションです。 dm-crypt/LuKSはさらに多くのオプションと機能を提供しますが、セットアップに時間がかかり、パフォーマンスがいくらか低下します。
組み込みのAESを使用します。
なぜ?
- それは十分に強力です。
- TRIMをサポートし、製造元によってサポートされています。
- Linuxログインパスとして強力なパスワードを使用する必要はありません。
- 私の知る限り、 他のシステムでも使用できます 。
組み込み:+はるかに高速+セットアップが簡単-実装についての見当がつかない、すばらしいかもしれない、くだらないかもしれない
dm-crypt:+遅い-実装を自分で確認できます(理論的にはとにかく)
リカバリ-dmcryptを使用すると、ypuが機能すると言ったことが機能しますが、ビルドインは不明です。理論的には、BIOSがataパスワードを変更せずに渡した場合、正常に機能するはずです。