Festplattenverschlüsselung: Vor- und Nachteile der Hardware-Festplattenbenennung im Vergleich zu dm-crypt

2718
alci

Ich werde mein System (Ubuntu) auf einer Samsung 840 pro SSD neu installieren. Diese Platte kann AES-Hardwareverschlüsselung ausführen. Ich frage mich, was die Nachteile und / oder Vorteile dieses Ansatzes im Vergleich zur Verwendung der vollständigen Festplattenverschlüsselung von LVM aus verschiedenen Perspektiven wären:

  • Sicherheit: Sind diese Methoden in Bezug auf Sicherheit gleichwertig?
  • Convenience: Ich möchte es vermeiden, viele Passwörter einzugeben
  • Wiederherstellung / Kompatibilität: Was ist, wenn ich die Festplatte in einen anderen Computer mounten muss, um meine Daten wiederherzustellen?
4
Ein zusätzlicher Kommentar zur Sicherheit: Die Verwendung von AES setzt voraus, dass Sie auch Ihrem Hardwarehersteller vertrauen. alci vor 9 Jahren 0

3 Antworten auf die Frage

4
Stefan Seidel
  • Sicherheit: Das Laufwerk bietet AES. dm-crypt bietet Ihnen die Wahl, wenn Sie mit AES nicht zufrieden sind. Beide können durch Löschen des Schlüssels sehr schnell gelöscht werden.
  • Bequemlichkeit: Beide Methoden werden beim Start einmalig zur Eingabe eines Kennworts aufgefordert. Sie können die LUKS-Schlüsseldatei jedoch auf einem externen Gerät speichern, z. B. einem USB-Speicherstick
    • Mit dm-crypt haben Sie die Flexibilität, nur Teile Ihres Systems zu verschlüsseln, z. B. nur das Verzeichnis / home (wenn Sie es auf einer separaten Partition ablegen).
  • Erholung: wenn Sie das Laufwerk Passwort vergessen, du bist kaputt . Für LUKS, man könnte (abhängig von der Höhe Paranoia möchten Sie akzeptieren) haben mehrere Kopien Ihrer Schlüssel. Gedruckt auf ein Blatt Papier, wenn Sie möchten. Oder in einem Buch versteckt. Oder ...
    • Beide sind nicht von der umgebenden Hardware abhängig, sodass Ihre Festplatte auch dann wiederhergestellt werden kann, wenn der ursprüngliche Laptop / PC stirbt.
  • Leistung: Die Geräteverschlüsselung sollte größtenteils transparent sein, so dass ich fast keinen Overhead annehme. Mit dm-crypt übernimmt Ihre CPU die Ver- und Entschlüsselung.
    • Außerdem: In Linux 3.1 und höher kann die Unterstützung für dm-crypt-TRIM-Passthrough beim Erstellen des Geräts oder beim Einhängen mit dmsetup aktiviert werden. Sie müssen also einige Schritte unternehmen, aber TRIM wird unterstützt.

Zusammenfassend lässt sich sagen: Die integrierte Verschlüsselung ist die schnelle (Laufzeit und Einrichtung) und bequeme Option ohne Schnickschnack. dm-crypt / LuKS bietet viele weitere Optionen und Funktionen, ist jedoch zeitaufwendiger beim Einrichten und verringert die Leistung etwas.

Beachten Sie bei der Wiederherstellung, dass der integrierte AES davon abhängt, wie das BIOS das Kennwort an die Festplatte übermittelt. Siehe beispielsweise http://monitor.espec.ws/files/lewnovo_password_399.pdf alci vor 9 Jahren 0
3
Shiki

Use the built-in AES.
Why?

  • It's powerful enough.
  • It supports TRIM and it's supported by the manufacturer.
  • You don't have to use a strong password as your Linux login pass.
  • As far as I know, you can use it in an other system.
0
user384816

eingebaut: + viel schneller + einfacher einzurichten - Sie haben keine Ahnung von der Implementierung, sind vielleicht großartig, möglicherweise Mist

dm-crypt: + langsamer - Sie können die Implementierung selbst überprüfen (theoretisch sowieso)

recovery - mit dm crypt, was ypu gesagt hat, funktioniert, mit dem Build ist es unbekannt, theoretisch, wenn das BIOS das ata-Passwort unverändert weitergibt, sollte es gut funktionieren, sonst ...

In Bezug auf die Wiederherstellung habe ich festgestellt, dass mein Bios kein Kennwort unverändert lässt (Lenovo Thinkpad Bios). Scheint so zu funktionieren http://monitor.espec.ws/files/lewnovo_password_399.pdf aber als hdparm --security-set-pass kann das binäre Passwort nicht ... alci vor 10 Jahren 0

Verwandte Probleme