LUKS暗号化はTRIMに影響しますか? (SSDおよびLinux)
新しいSSDが到着したら、Linuxに移行します。 SSDはパフォーマンスが向上するので、すべてを暗号化できると思いました。
しかし、それから私は [〜#〜] trim [〜#〜] とドライブ上のガベージコレクションについて考えるようになりました。 [〜#〜] luks [〜#〜] 暗号化されたドライブはガベージコレクションシステムに影響しますか? (トリム)。
私は彼らに電子メールを送りました。そして、TRIMは機能しません。 OSはファイルがどこに保存されているかを知らないからです。暗号化されたシステムだけがそれを知っています。暗号化が最初に来るという事実のため。代わりにtruecryptを使用します。ホームフォルダのファイルシステムの上に。
いいえ。空のブロックは引き続き空としてリストされるため、TRIMされます。
ドライブが暗号化されている場合でも、ドライブ自体は暗号化について何も認識せず、どのデータがどこにあるか(および現在どのスペースが使用されていないか)だけを認識します。だから大丈夫です。
パフォーマンスに関しては、どのような影響があるのかわかりません。 SSDの特定の最適化が機能しないように思われるかもしれませんが、実際のデータに関する知識が必要な最適化がわからないため、ストレージの観点からはおそらく影響はありません。
暗号化には追加のCPUサイクルが必要なため、影響が顕著になる可能性があることに注意してください。
から man 5 crypttab :
オプション
破棄する
デバイスの破棄(TRIM)要求の使用を許可します。
警告:このオプションを有効にする前に、特定のセキュリティリスクを慎重に評価してください。たとえば、暗号化されたデバイスでの破棄を許可すると、破棄されたブロックを後でデバイス上で簡単に見つけることができる場合、暗号文デバイスに関する情報(ファイルシステムの種類、使用済みスペースなど)が漏洩する可能性があります。
カーネルバージョン3.1以降が必要です。古いバージョンの場合、オプションは無視されます。
LUKSドライブのセットアップについて読んだチュートリアルのほとんどは、最初にランダムデータを使用してドライブ全体をbadblocksするように求めています。このように、攻撃者はどのセクターにデータが含まれていて、どのセクターがまだ使用されていないかを知ることができません。この情報は、データに関することを発見し、妥協につながる可能性のある他の時間ベースの情報と相関させるために使用できます。
したがって、LUKSモジュールが未使用のブロックのグループをTRIMに送信することをサポートしていても、とにかくそれをしたくないでしょう。
はい、テストアップデートを含む最新のFedora17の場合
http://vpv.kapsi.fi/blog/2012/07/ssd-trimdiscard-on-Fedora-17-with-encypted-partitions/