Il formato del file immagine qcow2 per KVM può utilizzare la crittografia AES . La crittografia viene applicata a livello di cluster :
Ogni settore all'interno di ciascun cluster viene crittografato in modo indipendente utilizzando la modalità AES Cipher Block Chaining, utilizzando l'offset del settore (relativo all'inizio del dispositivo) in formato little-endian come i primi 64 bit del vettore di inizializzazione a 128 bit.
La dimensione del cluster può essere impostata da 512 byte a 2 M (64 KB sembra essere il valore predefinito).
Uno dei problemi principali con l'utilizzo della crittografia qcow2 è il successo delle prestazioni per la CPU: ogni scrittura su disco o lettura non memorizzata nella cache deve essere crittografata o non crittografata.
Quello che mi piacerebbe sapere è che QEMU / KVM utilizza le istruzioni Intel AES per mitigare il calo delle prestazioni se la CPU host li ha? In tal caso, l'utilizzo o le prestazioni dipendono in modo significativo dalle dimensioni del cluster?
Le istruzioni Intel® AES sono un nuovo set di istruzioni disponibili a partire dalla nuova famiglia di processori Intel® Core ™ 2010 basata sul nome in codice di microarchitettura Intel® a 32 nm Westmere. Queste istruzioni consentono la crittografia e la decrittografia dei dati rapide e sicure, utilizzando Advanced Encryption Standard (AES), definito dal numero di pubblicazione FIPS 197. Poiché AES è attualmente il codice a blocchi dominante e viene utilizzato in vari protocolli, le nuove istruzioni sono utili per una vasta gamma di applicazioni.