È possibile accelerare hardware la crittografia LUKS?

8

Il mio server Linux impiega molto tempo a calcolare la crittografia LUKS. Esiste un modo per accelerarlo hardware (ad esempio con una scheda PCI Express)?

linux  hardware  encryption  luks 
Glendyr
fonte
1
A seconda del tipo di sistema che hai ora, un processore più veloce / migliore potrebbe fare. Inoltre, definire "molto tempo".
Sven
È 1/3 della velocità delle normali operazioni di I / O. Non sono felice di perdere i 2/3 della velocità a causa della crittografia. È Ubuntu Server.
Glendyr,
1
Qual è il tuo processore? Gli ultimi modelli di Intel hanno AES-NI e VIA ha hardware crittografico da anni. Intel (non conosco AMD) ha ottimizzazioni speciali per AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo,

Risposte:

14

A partire dal kernel 2.6.32 le istruzioni AES-NI sui processori Intel più recenti sono supportate da dm-crypt. Potresti voler controllare / proc / cpuinfo se il tuo processore supporta queste istruzioni. Altrimenti, l'aggiornamento del processore accelererà la crittografia del disco rigido (a condizione che si stia effettivamente utilizzando la crittografia AES)

Ulteriori informazioni: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
fonte
Interessante: cosa hai ottenuto e documenti / link sull'argomento?
Coops
2
modprobe aesni-intel o aggiungerlo a / etc / initramfs-tools / modules ed eseguire update-initramfs -u .
earthmeLon
@earthmeLon è esattamente quello che stavo cercando!
ortang
3

AESNI è l'accelerazione hardware per la crittografia AES. Fintanto che LUKS / dmcrypt è configurato per l'uso di AES, cosa che molto probabilmente è, e fino a quando il processore lo supporta, è possibile aggiungere il modulo del kernel AESNI manualmente o automaticamente.

Manuale (test per assicurarsi che funzioni / sia supportato)

  • sudo modprobe aesni-intel

Automatico

  • sudo vim /etc/initramfs-tools/modules
    • Aggiungi aesni_intel
  • sudo update-initramfs -u

Vuoi aggiungerlo al tuo initramfs e non solo al tuo normale kernel perché vuoi che sia disponibile prima di decrittografare il tuo disco e caricare il tuo kernel principale.

earthmeLon
fonte
Nota La maggior parte (se non tutte) Intel i3 non supporta AESNI. È possibile controllare con la ricerca di "AES" in / proc / cpuinfo: grep aes /proc/cpuinfo.
earthmeLon
Fa questo lavoro per AMD processori che supportano AES? Ho eseguito il comando @earthmeLon e dice che il mio AMD A8-4500M supporta AES
Suici Doga
0

Per quanto ne sappia, non esistono schede aggiuntive per la crittografia dm-crypt / luks. DM non li supporta.

Detto questo, sembra che ci sia una mossa in corso per ottenere l'accelerazione della GPU nella pipeline di elaborazione, se disponibile. Dato che i server hanno ancora raramente GPU (anche se questo sta cambiando), questo potrebbe non essere così utile per te.

sysadmin1138
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.