Questions tagged «dm-crypt»

我正在研究一个问题，其中对块设备进行加密在写入时会带来巨大的性能损失。数小时的互联网阅读和实验并没有为我提供适当的了解，更不用说解决方案了。 简而言之，问题是：为什么在将btrfs放在块设备上时，我能获得非常快的写入速度（〜170MB / s），而在两者之间放置dm-crypt / LUKS时，写入速度却急剧下降（〜20MB / s）。文件系统和块设备，尽管该系统还能够维持足够高的加密吞吐量？ 情境 /home/schlimmchen/random是一个4.0GB的文件，其中填充了/dev/urandom以前的数据。 dd if=/dev/urandom of=/home/schlimmchen/Documents/random bs=1M count=4096 读起来超级快： $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 6.58036 s, 648 MB/s $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 0.786102 s, 5.4 GB/s （第二次，显然是从缓存中读取了文件）。 未加密的btrfs 该设备直接使用btrfs格式化（块设备上没有分区表）。 $ sudo mkfs.btrfs …

21 performance  btrfs  luks  dm-crypt  cryptsetup 

我尝试按照本教程在ubuntu 13.04上使用LVM和dm-crypt设置TRIM： http://blog.neutrino.es/2013/howto-properly-activate-trim-for-your-ssd-on-linux-fstrim-lvm-and-dmcrypt/ 请参阅下面有关我的配置和测试过程的说明。 问题 TRIM是否正常工作，是否有可靠的测试？ 我的测试程序是否错误或TRIM无法正常工作？ 如果它不起作用：我的设置有什么问题？ 如何调试设置的TRIM并使TRIM工作？ 组态 这是我的配置： cat /etc/crypttab sda3_crypt UUID=[...] none luks,discard 和 cat /etc/lvm/lvm.conf # [...] devices { # [ ... ] issue_discards = 1 # [ ... ] } # [...] SSD是Samsung 840 Pro。 这是我的测试程序 为了测试我刚刚做的设置sudo fstrim -v /，结果 /: [...] bytes were …

21 lvm  ssd  troubleshooting  dm-crypt  trim 

我的系统已使用dm-crypt和完全加密LVM。我最近将加密分区从/dev/sda5移至/dev/sda2。 我的问题是：我怎么能更改加密分区是从映射到名字sda5_crypt来sda2_crypt？ 我可以启动系统。但是我在启动时得到的提示说，(sda5_crypt)尽管UUID映射到/dev/sda2： Volume group "vg" not found Skipping volume group vg Unlocking the disk /dev/.../UUID (sda5_crypt) Enter passphrase: 我想现场引导，解密sda2，激活vg，chroot来/dev/vg/root和运行update-grub2，但无济于事。 仅仅编辑/etc/crypttab也不起作用。

17 dm-crypt 

我刚收到一个新的USB闪存驱动器，并在其上设置了2个加密分区。我通过使用了dm-crypt（LUKS模式）cryptsetup。通过附加的非加密分区，驱动器具有以下结构： /dev/sdb1加密后，隐藏标记为“分区1”的ext4文件系统。 /dev/sdb2加密，隐藏另一个名为“分区2”的ext4文件系统。 /dev/sdb3，清晰可见的ext4文件系统，标记为“分区3”。 因为标签是贴在ext4文件系统上的，所以只要分区未被解密，前两个标签就完全不可见。这意味着，与此同时，LUKS容器没有标签。使用GNOME（自动挂载）时，这尤其令人讨厌，在这种情况下，分区显示为“ x GB加密 ”和“ y GB加密 ”，直到我决定将其解锁。 这并不是一个真正的阻塞问题，但是很烦人，因为我真的很喜欢我的标签，并且希望即使在我的分区仍被加密的情况下也能看到它们。 因此，有没有办法将标签附加到dm-crypt + LUKS容器，就像我们将标签附加到ext4文件系统一样？dm-crypt + LUKS标头是否为此留有空间，如果可以的话，如何设置标签？ 请注意，我不想在解密之前公开ext4标签，这很愚蠢。我想在容器中添加其他标签，这些标签可能在ext4标签被隐藏时出现。

12 partition  gnome  luks  dm-crypt  cryptsetup 

如何更改现有 dm-crypt LUKS设备的哈希规范和迭代时间？ 显然，如果我创建新设备，则可以传递选项，例如： sudo cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 --key-size 256 --iter-time 2100 --hash sha512 /dev/loop0 但是，如果该设备已经存在，我怎么能例如更改sha256到sha1或改变迭代时间没有“破坏”的设备。（显然，由于将生成新的哈希，因此您必须重新输入密码。）

11 luks  dm-crypt 

我通过创建了一个加密的容器 #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV 例如container，为此脚本指定的文件将包含通过加密的ext3文件系统cryptsetup luksFormat。 要安装它，我目前使用另一个脚本，说dm.mount container /mnt/decrypted： #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

9 mount  luks  dm-crypt  cryptsetup 

我目前正在尝试以纯模式使用dm-crypt来实现全盘加密，而没有带有单独/bootUSB记忆棒的LUKS头。 我的主要目标是在基于Debian的发行版上实现合理的可否认性。目前，我已经设法使用加密分区cryptsetup并将/boot分区安装到单独的USB密钥。一切都按预期进行，因为加密头未存储在LUKS中，所以我需要在initramfs屏幕上手动输入它，但是在这一步，我只是得到一个错误，指示initramfs中没有cryptsetup（“ / bin / sh：cryptsetup：未找到”），同时尝试解析标头。 结论： dev/sda使用dm-crypt（/root和/home卷）通过以下方式加密： cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 create crypt /dev/sda dev/sdb 装有grub的靴子 我可以从引导杆成功引导。我看到Ubuntu屏幕启动画面大约20秒钟，这是我希望达到合理的可否认性的目的，然后它落入抱怨无法找到的initramfs之中，/dev/mapper/root这也是我想要实现的目标。 问题是，当我想解析允许我输入密码并继续引导的cryptsetup行时，initramfs会抱怨“ cryptsetup：not found”。 我猜这个抱怨是真的。我的问题是：如何将cryptsetup安装到initramfs中，以便允许进一步启动密码提示？ 另外，我知道我省略了在中添加相应条目的内容/etc/fstab，/etc/crypttab并且在启动过程中未找到任何设备。 这些是我找到并用于设置所有当前配置的指南，也许这可以清除我在问题中未涉及的内容： http://and1equals1.blogspot.ro/2009/10/encrypting-your-hdd-with-plausible.html https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Plain_dm-crypt 第一个版本有些过时，第二个版本是Arch Linux的版本，但是我使用了其中两个版本，并进行了一些微调，安装了最新的Lubuntu。

8 ubuntu  encryption  dm-crypt 

我决定用LUKS + LVM加密我的根分区。 我的ThinkPad设置： 三星830 128GB SSD 750GB硬盘 酷睿2双核2.5 GHz P9500 8GB RAM 但是我读得越多，对以下两个主题的理解就越少： 1a。密码 我打算使用SHA1而不是2/512（如某些建议所示），因为cryptsetupFAQ 中的引号是： 5.20 LUKS坏了！它使用SHA-1！ 不它不是。SHA-1（在学术上）被破坏是为了查找冲突，但不是为了在密钥派生函数中使用它。并且该碰撞漏洞仅用于非迭代用途。并且您需要逐字地散列值。 这基本上意味着，如果您已经有一个插槽键，并且已将PBKDF2迭代计数设置为1（通常大于10,000），则可以（也许）派生出不同的密码短语，从而为您提供相同的插槽-键。但是，如果您具有插槽键，则已经可以解锁键槽并获得主键，从而破坏了一切。因此，从根本上讲，此SHA-1漏洞使您可以在打开LUKS容器时费劲地打开它。 真正的问题是人们不了解加密并声称事物被破坏只是因为某些特定用途的机制被破坏了。该机制的使用方式非常重要。一种用途被破坏的哈希可以完全安全地用于其他用途，这里就是。 我读为“除了SHA-1之外，没有任何其他用途”。但是后来有人告诉我，那不完全是那样。所以我不再知道该怎么想。 1b。 另外，一旦磁盘解锁并登录系统，我就找不到密码对磁盘读/写/查找性能是否有任何影响的任何信息。 那么，密码的复杂性只会影响密码输入阶段的“性能”，还是会影响系统的正常使用？ 2.算法 几天以来，我一直在阅读有关此内容的文章，但阅读的内容越多，我就会越困惑。我读到的一切都说AES是最快的，而Serpent是最慢的。但不是根据我的笔记本电脑： $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 iterations per second …

8 linux  encryption  luks  dm-crypt  cryptsetup