É possível acelerar o hardware da criptografia LUKS?

8

Meu servidor Linux gasta muito tempo computando a criptografia LUKS. Existe alguma maneira de acelerá-lo por hardware (com uma placa PCI Express, por exemplo)?

linux hardware encryption luks Glendyr
fonte
1
Dependendo do tipo de sistema que você possui agora, um processador mais rápido / melhor pode funcionar. Além disso, defina "muito tempo".
Sven
É 1/3 da velocidade da operação normal de E / S. Não estou feliz em desperdiçar os 2/3 da velocidade de criptografia. É o Ubuntu Server.
Glendyr
1
Qual é o seu processador? Os últimos modelos da Intel possuem AES-NI e a VIA possui hardware criptográfico há anos. A Intel (não conheço a AMD) possui otimizações especiais para o AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo

Respostas:

14

A partir do Kernel 2.6.32, as instruções da AES-NI nos processadores Intel mais recentes são suportadas pelo dm-crypt. Você pode verificar / proc / cpuinfo se o seu processador suporta essas instruções. Caso contrário, a atualização do processador acelerará a criptografia do disco rígido (desde que você esteja realmente usando a criptografia AES)

Mais informações: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
fonte
Interessante - o que você tem e documentos / links sobre o assunto?
Coops
2
modprobe aesni-intel ou adicione-o a / etc / initramfs-tools / modules e execute update-initramfs -u .
usar o seguinte código
@earthmeLon é exatamente o que eu estava procurando!
ortang
3

AESNI é a aceleração de hardware para criptografia AES. Desde que o seu LUKS / dmcrypt esteja configurado para usar o AES, o que provavelmente é, e enquanto o seu processador o suportar, você poderá adicionar o módulo do kernel do AESNI manual ou automaticamente.

Manual (teste para garantir que funcione / seja suportado)

  • sudo modprobe aesni-intel

Automático

  • sudo vim /etc/initramfs-tools/modules
    • Adicionar aesni_intel
  • sudo update-initramfs -u

Você deseja adicioná-lo ao seu initramfs, e não apenas ao seu kernel normal, porque deseja que ele esteja disponível antes de descriptografar sua unidade e carregar o kernel principal.

earthmeLon
fonte
Nota A maioria (se não todos) dos Intel i3 não suporta AESNI. Você pode verificar, procurando por "AES" em / proc / cpuinfo: grep aes /proc/cpuinfo.
earthmeLon
Isso funciona para processadores AMD que suportam AES? Corri o @earthmeLon comando diz e ele diz que a AMD A8-4500M suporta AES
Suici Doga
0

Que eu saiba, não existem placas complementares para criptografia dm-crypt / luks. DM não os suporta.

Dito isso, parece que há uma ação em andamento para acelerar a GPU no pipeline de processamento, se disponível. Como os servidores ainda raramente possuem GPUs (embora isso esteja mudando), isso pode não ser útil para você.

sysadmin1138
fonte