A criptografia LUKS afeta o TRIM? (SSD e Linux)

9

Estou mudando para o Linux quando o novo SSD chegar. O SSD oferece desempenho aprimorado, então pensei em criptografar tudo.

Mas então eu comecei a pensar no TRIM e na coleta de lixo na unidade. Uma unidade criptografada LUKS afetará o sistema de coleta de lixo? (APARAR).

linux ssd trim luks Algific
fonte

Respostas:

5

Eu lhes enviei um email. E o TRIM não funcionará. Porque o sistema operacional não sabe onde os arquivos estão armazenados. Somente o sistema criptografado sabe disso. Devido ao fato de que a criptografia vem em primeiro lugar. Vou usar truecrypt. No topo do sistema de arquivos da minha pasta pessoal.

Algific
fonte
Apenas para referência: você poderia nos dizer quem são "eles"? Os desenvolvedores do Ubuntu?
C089 26/02
Eu acho que ele quer dizer os desenvolvedores LUKS. O Ubuntu usa ecryptfs, afaik.
Manuel Faux
Como isso se relaciona com outras respostas aqui? Eu acho que este está desatualizado agora.
D33tah
2

Não. Um bloco vazio ainda será listado como vazio e, portanto, será TRIMed.

Mesmo que sua unidade seja criptografada, ela não sabe nada sobre criptografia, apenas onde estão os dados (e qual espaço não é usado no momento). Então tudo ficará bem.

Quanto ao desempenho, não sei como o impacto pode ser. Parece que certas otimizações no SSD podem não funcionar, mas não consigo descobrir quais exigem conhecimento sobre os dados reais, portanto provavelmente não haverá impacto do ponto de vista de armazenamento.
Observe que a criptografia requer ciclos extras de CPU, portanto o impacto pode ser perceptível lá.

Zsub
fonte
+1 no comentário sobre blocos. A razão pela qual isso funciona é que o LUKS criptografa cada bloco individualmente. Quanto à carga da CPU: de acordo com os benchmarks, um P3 a 1 GHz pode criptografar o AES em cerca de 13 MB / s, portanto, a menos que seu HD possa sustentar essa taxa, você não deve notar um declínio no desempenho (a menos que sua CPU já esteja totalmente carregada fazendo algo diferente) .
sleske
Engraçado você mencionar a velocidade de gravação. Como a pergunta é sobre SSDs, há uma chance de o próprio drive ser mais rápido que a conexão com seu controlador. E percorremos um longo caminho desde os dias de P3 de 1 GHz, então esse número não é de forma alguma representativo para PCs modernos, receio.
Zsub 26/03/10
Meu está executando o Core Duo 1.3Ghz. 4GB de RAM ddr3. Eu não acho que isso deve ser muito trabalhoso no processador, eu vou escolher um criptografado ok. Não o melhor. Afinal, é só para o ladrão não ter acesso aos meus arquivos. Não manter a NSA de fora. : p
Algific 26/03
1
Nota você tem certeza disso? Porque, como eu entendi, o TRIM precisa do kernel para conversar com o ext4. E como o ext4 está no topo da unidade criptografada, pode-se pensar que o acabamento obteria as informações necessárias. ?
Algific 26/03/10
1
Não. O TRIM é uma funcionalidade independente do sistema operacional ou do sistema de arquivos em uma unidade. O sistema operacional precisa suportá-lo para enviar os comandos apropriados para a unidade, mas o sistema de arquivos não precisa saber sobre isso.
Zsub 26/03/10
2

De man 5 crypttab:

Opções

descartar

Permitir o uso de solicitações de descarte (TRIM) para o dispositivo.

AVISO: Avalie cuidadosamente os riscos de segurança específicos antes de ativar esta opção. Por exemplo, permitir descartes em dispositivos criptografados pode levar ao vazamento de informações sobre o dispositivo de texto cifrado (tipo de sistema de arquivos, espaço usado etc.) se os blocos descartados puderem ser localizados facilmente no dispositivo posteriormente.

É necessária a versão 3.1 do kernel ou mais recente. Para versões mais antigas é a opção ignorada.

David Foerster
fonte
1

A maioria dos tutoriais que li sobre a configuração de unidades LUKS solicita a você badblockstoda a unidade com dados aleatórios primeiro. Dessa forma, um invasor não pode saber quais setores contêm dados e quais ainda não foram usados. Essas informações podem ser usadas para descobrir coisas sobre os dados e correlacionar-se com outras informações baseadas no tempo que podem levar a um comprometimento.

Portanto, mesmo que os módulos LUKS suportassem o envio de grupos de blocos não utilizados para o TRIM, você não desejaria fazê-lo.

LawrenceC
fonte