磁盘加密:硬件磁盘加密与 dm-crypt 的优缺点

磁盘加密:硬件磁盘加密与 dm-crypt 的优缺点

我将在三星 840 pro SSD 上重新安装我的系统 (Ubuntu)。此磁盘可以进行 AES 硬件加密。我想知道从以下角度来看,采用这种方法与使用 LVM 全盘加密相比有哪些缺点和/或优势:

  • 安全性:这些方法在安全性方面是否等效?
  • 方便:我想避免输入太多密码。
  • 恢复/兼容性:如果我必须取出磁盘并将其安装到另一台计算机上来恢复我的数据,该怎么办?

答案1

  • 安全:该驱动器提供 AES。如果您对 AES 不满意,dm-crypt 会提供您自己的选择。两者都可以通过擦除密钥快速擦除。
  • 方便:两种方法都会在启动时提示输入一次密码;尽管你可以将 LUKS 密钥文件存储在外部设备上,例如 USB 记忆棒
    • 使用 dm-crypt,您可以灵活地仅加密系统的部分内容,例如仅加密 /home 目录(放在单独的分区上时)
  • 恢复:如果你忘记了驱动器密码,你破获. 对于 LUKS,您可以(取决于你想接受的偏执程度)保留多份钥匙。如果你愿意,可以打印在一张纸上。或者藏在一本书里。或者……
    • 两者都不依赖于周围的硬件,因此即使原始笔记本电脑/PC 坏了,您的磁盘也可以恢复。
  • 表现:设备内置加密应该基本透明,因此我认为几乎没有开销。使用 dm-crypt,您的 CPU 会进行加密/解密。
    • 还:在 Linux 3.1 及更高版本中,可以在创建设备或使用 dmsetup 挂载时切换对 dm-crypt TRIM 直通的支持。因此您需要采取一些步骤,但 TRIM 是受支持的。

总结一下:内置加密是一种快速(运行时和设置)且方便的选项,没有任何多余的装饰。dm-crypt/LuKS 提供了更多的选项和功能,但设置起来更耗时,并且会在一定程度上降低性能。

答案2

使用内置 AES。
为什么?

  • 够强大了。
  • 它支持 TRIM,并且得到制造商的支持。
  • 您不必使用强密码作为您的 Linux 登录密码。
  • 据我所知,你可以在其他系统中使用它

答案3

内置:+ 速度更快 + 更容易设置 - 你不知道具体实现,可能很棒,也可能很糟糕

dm-crypt:+ 速度较慢 - 您可以自己检查实现情况(理论上如此)

恢复 - 使用 dm crypt 就像你所说的那样有效,在构建时则未知,理论上如果 bios 传递 ata 密码不变它应该可以正常工作,否则......

相关内容