Шифрование диска: преимущества и недостатки аппаратного шифрования диска по сравнению с dm-crypt

Question

Я собираюсь переустановить свою систему (Ubuntu) на Samsung 840 pro SSD. Этот диск может выполнять аппаратное шифрование AES. Интересно, каковы будут недостатки и / или преимущества использования этого подхода по сравнению с использованием полного шифрования диска LVM с разных точек зрения:

• безопасность: эти методы эквивалентны с точки зрения безопасности?
• удобство: я хотел бы избежать ввода многих паролей
• восстановление / совместимость: что если мне нужно взять диск и смонтировать его на другом компьютере, чтобы восстановить мои данные?

Answer 1

• безопасность: диск предлагает AES. dm-crypt предлагает свой выбор, если вы не удовлетворены AES. Оба могут быть стерты очень быстро, стирая ключ.
• удобство: оба метода запрашивают пароль один раз при запуске; хотя вы можете хранить ключевой файл LUKS на внешнем устройстве, например, на карте памяти USB
  • с помощью dm-crypt у вас есть возможность шифровать только части вашей системы, например, только каталог /home (при размещении в отдельном разделе)
• Восстановление: если вы забыли пароль диска, вы лопнул. Для LUKS вы можете (в зависимости от уровня паранойи, который вы хотите принять) иметь несколько копий вашего ключа. Напечатано на листе бумаги, если хотите. Или спрятан внутри книги. Или же ...
  • Оба не зависят от окружающего оборудования, поэтому ваш диск может быть восстановлен, даже если умирает оригинальный ноутбук / ПК.
• производительность: встроенное шифрование устройства должно быть в основном прозрачным, поэтому я полагаю, что никаких накладных расходов почти нет. С помощью dm-crypt ваш процессор выполняет расшифровку.
  • Также: в linux 3.1 и выше поддержка прохода TRIM через dm-crypt может быть переключена при создании устройства или при монтировании с помощью dmsetup. Так что вам нужно предпринять некоторые шаги, но TRIM поддерживается.

Подводя итог: встроенное шифрование является быстрым (время выполнения и настройка) и удобным вариантом без излишеств. dm-crypt/LuKS предлагает гораздо больше опций и функций, но требует больше времени на настройку и несколько снижает производительность.

Answer 2

Используйте встроенный AES.
Зачем?

• Это достаточно мощный.
• Он поддерживает TRIM и поддерживается производителем.
• Вам не нужно использовать надежный пароль для входа в Linux.
• Насколько я знаю, вы можете использовать его в другой системе.

Answer 3

встроенный:+ гораздо быстрее + проще в настройке - вы понятия не имеете о реализации, может быть превосходно, может быть дерьмо

dm-crypt:+ медленнее - вы можете проверить реализацию самостоятельно (теоретически в любом случае)

восстановление - с помощью dm crypt работает то, что сказал ypu, а сборка неизвестна, теоретически, если BIOS передает пароль ata без изменений, он должен работать нормально, в противном случае ...