Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 19

Thema: LUKS/dm-crypt-Verschlüsselung auf Atom-Netbook - empfehlenswertes Setup?

  1. #1
    Registrierter Benutzer
    Registriert seit
    Aug 2005
    Beiträge
    138

    LUKS/dm-crypt-Verschlüsselung auf Atom-Netbook - Erfahrungen in Beitrag #15

    Hallo,

    letztens bin ich auf die Möglichkeit gestossen mir ein günstiges Atom-Netbook ohne OS zuzulegen und habe zugeschlagen.

    Nun beabsichtige ich darauf Debian Lenny zu installieren. Da es sich um ein portables Gerät handelt, auf dem ich wohl meine Diplomarbeit schreiben werde, habe ich mich für ein Verschlüsselung mit LUKS/dm-cypt entschieden. Die Verschlüsselung selbst sollte dank zahlreicher tutorials kein grosses Problem sein (z.B. http://www.andreas-janssen.de/cryptodisk.html).

    Allerdings bin ich mir noch darüber unschlüssig ob ich eine
    - Vollverschlüsselung verwenden soll oder nur
    - einzelne Partitionen verschlüssel soll (/swap, /home, /var, /tmp).

    Unsicher bin ich mir, da ich den Rechner nicht übermässig belasten will und nicht beurteilen kann, ob die Verschlüsselung grössere Leistungseinbrüche (deutlich langsameres System) nach sich ziehen wird.
    Ich vermute, dass es bei kleineren Dateien nicht besonders problematisch sein sollte, aber ich bin auf ein Programm angewiesen, dass nur für Windows erhältlich ist und ich will es mittels VMware laufen lassen. Wird die Geschwindigkeit der Virtualisierung deutlich unter der Verschlüsselung leiden? Sollte ich das VMware-Image auf einer unverschlüsselte Partition ablegen?

    Also noch einmal meine eigentliche Frage:
    1. Bring mir eine Begrenzung der Verschlüsselung auf die Daten-Partitionen einen Geschwindigkeitsvorteil im Allgemeinen?
    2. Sollte das VMware-Image (im Speziellen) auf einer unverschlüsselten Partition liegen?

    Danke für's Lesen und Grüsse

    E. coli

    Ps.: ich weiss natürlich, dass ein Atom-Netbook kein Highend-Rechner ist. Aber selbst mein 6 Jahr altes Notebook (1,3 GHz Pentium M, mit 512 MB Ram) laste ich kaum aus, auch nicht mit Virtualisierung. Dabei wird mir das Netbook sogar 1 GB Ram bieten (notfalls rüste ich auf 2 GB auf).

    Edit:
    Erfahrungen siehe Beitrag #15.
    Geändert von E.coli (10.05.09 um 15:08 Uhr)

  2. #2
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.261
    Bei nem mobilen Gerät würd ich (nahezu) komplett auf Verschlüsselung verzichten. Besonders bei ner schwachen CPU.
    Verschlüsselte Daten laufen immer über die CPU, was ner Platte ohne DMA in etwa gleich kommt.
    Obendrein wird eben die CPU stärker beansprucht, was natürlich der Akku-Laufzeit nicht grad zu gute kommt.

    Ich würd einfach ein normales System einrichten, und wenn es was wirklich sensibles zu verschlüsseln gibt, einen Crypt-Container nutzen.
    RTFM you have to, young padawan.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Ort
    Rheinland-Pfalz
    Beiträge
    2.489
    Ich würde das System auf keinen Fall vollständig verschlüsseln. Ich habe einen Laptop mit einem Pentium M (1,4 Ghz) und hatte diesen eine Zeit lang komplett mit dm_crypt/LUKS verschlüsselt. Das hat sich deutlich bemerkbar gemacht. Nicht so sehr in der Akkulaufzeit, aber der Festplattendurchsatz betrug danach noch ~ 5 mb/s (gegenüber bereits eher langsamen 20 mb/s im unverschlüsselten Zustand). Je nach Anwendung war das System quälend langsam.

    Wenn dann würde ich /home sowie entsprechend swap & Co. verschlüsseln (und dann natürlich nicht das VMWare-Image unter /home ablegen ) oder einen Truecrypt-Container verwenden.

    Bei entsprechender Hardware spricht natürlich nichts gegen eine Vollverschlüsselung, nutze ich ja selbst ohne spürbare Leistungseinbußen auf meinem Desktoprechner. Aber der ist auch "unwesentlich" flotter als mein Laptop bzw. ein Atom-System.

    -hanky-
    85.214.20.141 - Anti-Zensur-DNS-Server (FoeBuD)
    "Die Nicht-Lösung eines nicht existierenden Problems" - Ron Gonggrijp über Wahlmaschinen

  4. #4
    ... Avatar von Flummi
    Registriert seit
    Sep 2005
    Beiträge
    358
    Zitat Zitat von HirschHeisseIch Beitrag anzeigen
    Bei nem mobilen Gerät würd ich (nahezu) komplett auf Verschlüsselung verzichten.
    Gerade bei einem mobilen Gerät, sollte man nicht auf Verschlüsselung verzichten, da die Wahrscheinlichkeit, dass es in falsche Hände gelangt realtiv hoch ist.

    Ich habe ein ca. 6 Jahre altes Notebook mit Pentium M mit 1,7 GHz und 512 MB RAM und ich habe mit Vollverschlüsselung keinerlei Probleme. Normale Desktopaufgaben gehen flott, Virtualisierung weiß ich nicht, sollte aber auch kein Problem sein, musst du aber testen.

  5. #5
    Registr. Linux Benutzer
    Registriert seit
    Dec 2004
    Ort
    Fellbach
    Beiträge
    322
    Zitat Zitat von Flummi Beitrag anzeigen
    Gerade bei einem mobilen Gerät, sollte man nicht auf Verschlüsselung verzichten, da die Wahrscheinlichkeit, dass es in falsche Hände gelangt realtiv hoch ist.

    Ich habe ein ca. 6 Jahre altes Notebook mit Pentium M mit 1,7 GHz und 512 MB RAM und ich habe mit Vollverschlüsselung keinerlei Probleme. Normale Desktopaufgaben gehen flott, Virtualisierung weiß ich nicht, sollte aber auch kein Problem sein, musst du aber testen.
    Genau aus diesem Grund habe auch ich die Festplatte in meinem kleinen Atom-Netbook komplett verschlüsselt. Da ich das mitgelieferte Linpus ziemlich schnell entfernt hatte, weiss ich gar nicht mehr so, wie schnell das war, aber ich habe das Gefühl, dass das Netbook das gut packt ohne nennenswerten Festplatten-Performance-Einbrüchen. Virtualisierung habe ich mit Virtual-Box eigentlich nur aus Spass ausprobiert und wurde angenehm überrascht. Ich habe Windows XP testweise installiert und es rennt sehr angenehm flüssig.
    Desktop1: Intel C2D 1.86GHz,8 GB RAM,2.5TB HDD,Nv GF 8600 GT,Gentoo
    Desktop2: Intel P4 2.6 GHz,2 GB DDR RAM,160GB HDD,Nv GF 7600GS,Win 7,ArchLinux
    Mobil: IBM/Lenovo Thinkpad x60s,CoreDuo L2400,2GB ddr2,160GB hdd,ArchLinux

  6. #6
    Linux auf Laptop nutzer Avatar von ThE_FiSh
    Registriert seit
    Jan 2005
    Beiträge
    826
    also meine platte is teilweise verschlüsselt
    centrino 1,4GHz mit 1,5GB RAM

    kopieren von nicht verschlüsselten (großen) daten zum verschlüsselten ordern (per ecryptfs) dauert schon ne ewigkeit
    alle daten die nicht wichtig sind - sind bei mir unverschlüsselt - ob ich swap verschlüsseln würde weiß ich nicht

    1. swapped der so gut wie nie
    2. ist nach nem reboot doch das swap eh wieder neu (oder lieg ich da falsch)
    Is the audience listening?
    Wissen ist die (einzige) Ressource, die sich vermehrt, wenn sie geteilt wird!
    http://tinyurl.com/ln5njc

  7. #7
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.261
    Physisch sind die Daten auch nach dem Reboot noch vorhanden.
    Und nach nem Suspend-to-Disk ists, als wäre der Rechner nie aus gewesen (Zumindest sollte es so sein )
    RTFM you have to, young padawan.

  8. #8
    Registrierter Benutzer
    Registriert seit
    Apr 2003
    Beiträge
    306
    Besteht ein Zusammenhang zwischen dem Performanceverlust und dem Grad der Verschlüssung?

  9. #9
    ... Avatar von Flummi
    Registriert seit
    Sep 2005
    Beiträge
    358
    Zitat Zitat von 123Linux Beitrag anzeigen
    Besteht ein Zusammenhang zwischen dem Performanceverlust und dem Grad der Verschlüssung?
    Ja. Je größer der Grad des Problems ist, dass ein Angreifer zu lösen hätte, desto mehr Ressourcen musst du in der Regel investieren, dieses Problem zu erschaffen. Zum Beispiel ein längerer Key oder mehrere verschiedene Verschlüsselungsverfahren kombinieren.

  10. #10
    Registrierter Benutzer
    Registriert seit
    Aug 2005
    Beiträge
    138
    Nach einer Woche Internetabstinenz und den ganzen Antworten hier habe ich mich für eine teilweise Verschlüsselung entschieden (swap, home, tmp und evtl. var). Ich werde das VMware-Image dann einfach einmal mit und ohne Verschlüsselung testen.

    Danke für die Antworten!

  11. #11
    Registrierter Benutzer
    Registriert seit
    Jan 2009
    Beiträge
    17
    habe auf meinem Desktop eine Komplettverschlüsselung mit DM-Crypt/Luks
    laufen (ausser /boot) , bei 2GB RAM und 2,8 Ghz CPU.
    Alle Partitionen liegen im LVM.
    Seit einem halben Jahr benutze ich stattdessen einen Laptop mit gleicher
    Konstellation (LVM auf Cryptluks-Partition), bei 4 GB Ram und 2,2 Ghz CPU.

    Ich kann auf dem Laptop keine nennenswerten Geschwindigkeitseinbußen feststellen. Durch die Vollverschlüsselung brauch ich mir keine Gedanken machen, ob ich irgendwelche sicherheitsrelevante Daten evtl. nicht verschlüsselt habe (z.B. Konfigurationsdaten etc.). Nach ca. 2 Jähriger Erfahrung mit CryptLuks bin ich der Meinung, daß eventuelle Geschwindigkeitseinbußen zwar messbar sind, für den praktischen Betrieb jedoch vernachlässigbar. Ein
    Code:
    hdparm -t /dev/mapper/home
    bringt mir die folgenden Werte:
    /dev/mapper/home:
    Timing buffered disk reads: 156 MB in 3.01 seconds = 51.89 MB/sec

    Unter VirtualBox laufendes WIN-XP läuft ebenfalls sehr flüssig.

    Gruß
    Topaz
    Kernel: 2.6.26-sidux-amd64
    HW: HP Pavilion DV9832 eg | nVidia GeForce 8400M GS | Broadcom BCM4328.11a/b/g/n | Memory 3810.7MB | HDD 2x ATA 250Gb | Network: FritzBox 7170

  12. #12
    Registrierter Benutzer
    Registriert seit
    Aug 2005
    Beiträge
    138
    Hab jetzt endlich meine Installation durchgeführt und dabei doch eine andere Variante gewählt:

    Vollverschlüsselung mit DM-Crypt/Luks und darin LVM (LVM wollte ich mir erst ersparen, da ich mich noch nie damit befasst hatte, aber die Einrichtung war dann doch weniger komplixiert als erwartet).

    Mittels hdparm -tT habe ich nun noch einmal die Performance der Festplatte getestet.
    Wie gesagt Vollverschlüsselung unter Debian 5.0 mit DM-Crypt/Luks und LVM, auf Atom-Netbook:

    Code:
    hdparm -tT /dev/sda6 (unverschlüsselt)
     Timing cached reads:   1318 MB in 2.00 seconds = 658.47 MB/sec
     Timing buffered disk reads:   170 MB in 3.02 seconds = 56.21 MB/sec
    
    hdparm -tT /dev/sda6_cypt/root (verschlüsselt)
     Timing cached reads:   1226 MB in 2.00 seconds = 613.24 MB/sec
     Timing buffered disk reads:   68 MB in 3.06 seconds = 22.20 MB/sec
    Der Geschwindigkeitsverlust ist also schon merklich. Allerdings kann ich mit einem Duchsatz von 22 MB/sec noch ganz gut leben. Mein altes Notebook hat ohne Verschlüsselung keine viel bessere Geschwindigkeit erzielt.

  13. #13
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    20.427
    wichtig ist ja nicht nur der reine Durchsatz, sondern auch, wie sich das restliche System dabei verhält. Der User will ja evtl. auch noch was von der CPU haben...

    Im Normalfall sollte für den reinen Office-Betrieb aber wohl kein gravierender Einbruch fühlbar sein...
    Ich bin root - ich darf das.

  14. #14
    Registrierter Benutzer
    Registriert seit
    Aug 2005
    Beiträge
    138
    Zitat Zitat von marce Beitrag anzeigen
    wichtig ist ja nicht nur der reine Durchsatz, sondern auch, wie sich das restliche System dabei verhält. Der User will ja evtl. auch noch was von der CPU haben...

    Im Normalfall sollte für den reinen Office-Betrieb aber wohl kein gravierender Einbruch fühlbar sein...
    Das stimmt natürlich, aber noch habe ich nicht viel mit dem System gearbeitet. Nur einige Dateioperationen mit Konqueror, mit Kpackage Paket installiert und mp3s mit audicious abgespielt. Dabei hat sich da System noch sehr flüssig angefühlt, ist aber natürlich keine besonders anspruchsvolle Aufgabe gewesen.

    In einem Monat oder zweien kann ich wahrscheinlich mehr dazu sagen.

  15. #15
    Registrierter Benutzer
    Registriert seit
    Aug 2005
    Beiträge
    138
    Wie versprochen, will ich an dieser Stelle noch einmal eine Rückmeldung zu meinen bisherigen Erfahrungen mit der Vollverschlüsselung auf meinem Netbook geben.

    Bislang bin ich mit meiner Entscheidung auf eine Vollverschlüsselung zu setzen sehr zufrieden. Selbst suspend to ram funktioniert ohne Probleme, sogar die Tastenkombination mit Fn hat sofort funktioniert (Debian Lenny und MSI Wind). Suspend to disk ist jedoch nicht besonders hilfreich, da hier gegenüber dem normalen Bootvorgang nur minimal Zeit eingespart werden kann. Ich könnte mir vorstellen, dass die Verschlüsselung hier einiges an Zeit verschlingt.

    Im Weiteren habe ich mit Virtualbox ein XP virtualisiert, dessen Image ebenfalls auf dem verschlüsselten Bereich lokalisiert ist. Trotz Verschlüsselung läuft das Ganze angenehm schnell.

    Dank Systemmonitor (gkrellm) habe ich die meiste Zeit die CPU-Auslastung im Blick, wobei während der normalen Arbeit keine aussergewöhnlichen Lastspitzen auftreten. Die stärkste Auslastung wird meist beim Drehen des Compiz-Cube erreicht, wofür die Verschlüsselung natürlich nicht ursächlich ist.

    Fazit:
    Jedem, der sehr auf Datensicherheit Wert legt, würde ich die Vollverschlüsselung mit DM-Crypt/LUKS empfehlen. Die grösste Einschränkung habe ich bei der Geschwindigkeit der Festplatte beobachtet (siehe die obigen hdparm-Messung). Ich denke, hierdurch wird der Bootvorgang etwas verlangsamt sowie suspend to disk stark ausgebremst (ist nur eine Mutmassung). Darüberhinaus ist mir bislang nichts negatives aufgefallen.

    Grüsse
    E. coli

Ähnliche Themen

  1. Was haltet ihr von WINDOWS ?
    Von Odin3011 im Forum Meldungen und Mitglieder
    Antworten: 144
    Letzter Beitrag: 06.11.07, 21:39

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •