我用dm-隐窝加密分区。我正在用消费者(或专业消费者)类别的硬件构建一个小型办公服务器。这让我想知道,硬件辅助加密多年来一直是人们讨论的概念,现在它已经变成现实了吗?
我的问题有两个关键点:
- 主流制造商(华硕、技嘉等)是否有搭载这些(廉价)芯片的产品?
- Linux 内核是否有针对硬件和与 dm-crypt 集成的(相当旧的)实现?
奖励:同样的两个问题TPM 芯片制造商是否已将它们集成到硬件中?Linux 支持它们吗?它们能加快速度吗?它们具有任何性能优势吗?
答案1
Via C3 系列 CPU 集成了一项名为“Via Padlock”的技术。这是 CPU 中的硬件加速加密。Linux 内核很快就获得了对此的支持。同样,许多现代 CPU(例如 Intel Sandy Bridge)都支持 AES-NI(AES 本机指令)指令集。这些指令在硬件中本机实现 AES 的部分,从而显著提高了加密速度。Linux 内核也支持这些指令。
我不确定你指的是哪种“便宜”的芯片。虽然有硬件加密加速器,但这些芯片一点也不便宜。上次我看的时候,它们每个都要几千美元。它们通常用于处理大量 HTTPS 流量的 VPN 集中器或 Web 服务器。(换句话说,几乎所有连接都加密的系统。)Linux 内核支持这些设备中的几个。
至于 TPM 芯片:TPM 芯片能够存储加密密钥,我相信 Linux 内核支持它们。TPM 芯片不执行加密操作(好吧,从技术上讲它们会执行,但不适用于磁盘加密之类的操作),因此对 dm-crypt 没有任何好处。