我应该将 LUKS 与 SED 结合使用吗?

我应该将 LUKS 与 SED 结合使用吗?

我有几个问题。

1) 使用 LUKS 加密启用 SED 的驱动器是否会对驱动器产生积极影响?我的猜测是,它将提供双层加密作为积极因素,但我不确定,这就是我在这里的原因。

2) 如果有积极影响,那么这些影响与可能的负面影响相比如何?对我来说,这似乎是减慢了驾驶速度,但我还是不确定。

3) 如果没有或几乎没有积极影响,我应该购买支持 SED 的驱动器或使用 LUKS 加密它吗?

答案1

同时运行两者的优势很小,但更好的解决方案取决于您的目标。

SED 技术内置于驱动器中,因此可能与操作系统无关。另一方面,它是闭源的,一些版本存在重大安全漏洞。它也是满盘。不确定 LUKS 是否允许您勾选一些合规性框,如果您为需要它的公司购买,SED 会勾选这些框。

另一方面,LUKS 是开源的、特定于操作系统的并且需要 CPU - 值得注意的是,如果你的 CPU 是现代的(例如具有 Intel AES-NI 支持,则开销很低)另外要注意的是,LUKS 通常不是完整磁盘,而是完整分区。

双层加密可能是一个优点,但可能不值得这么复杂——尤其是在使用 LUKS 的情况下。另一方面,如果您有未加密的数据,SED 驱动器提供的自擦除功能可能会很有用。

只有您自己才能判断在您的案例中,成本效益是否值得采用 SED 驱动器。

答案2

作为对 davidgo 答案的补充:

除了 LUKS 之外,使用 SED 也是加密启动分区的一种简单方法(单独使用 LUKS 即可,但并不总是简单易行),并且是加密 EFI 分区的唯一方法。

另外,如果我理解正确的话,SED 驱动器无论如何都已经加密了。问题是它的加密密钥没有通过身份验证密钥进行开箱保护。一旦您设置了身份验证密钥,加密密钥就会受到保护。因此,默认情况下,您无论如何都会使用 SED 的加密,只是没有保护其加密密钥。

因此,当您拥有 SED 驱动器时,唯一的问题是:我是否要输入另一个密码?在某些情况下,将 SED(例如,设置身份验证密钥)与 LUKS 一起使用可能会很有趣,例如,如果您选择通过将密钥存储在 TPM 中来自动解密 LUKS。这样,您的磁盘就受到长 LUKS 密码的保护,但您不必输入它,只需输入较短的 SED 密码(我相信 SED 具有反暴力破解机制)。

尽管如此,我相信自 Systemd v251 以来,TPM 也可以受到 PIN 码的保护,因此您仅使用 LUKS 就可以获得相同的功能(将您的 LUKS 密钥存储在 TPM 中,并使用较短的密码保护它 - 我相信 TPM 也有反暴力破解机制)。

相关内容