Patsche hat geschrieben:Vorher möchte man natürlich die Festplatte mit Zufallszahlen beschreiben. Wie lange dauert so etwas für gewöhnlich? Wie ich gelesen habe kommt es natürlich "bs-Wert" und den "count-Wert" an, den ich dd mitliefere. Was empfehlt ihr?
Nimm einfach cat das setzt die blockgröße automatisch ist wesentlich pervormanter (dank asynchroner I/O). Und auf keinen Fall /dev/urandom. Das ist sticke lahm.
Als entweder einfach in das verschlüsselte device schreiben:
oder einfach zufällig aes-verschlüsseltes zeug:
Code: Alles auswählen
openssl aes-128-cbc -in /dev/zero -kfile /dev/urandom > /dev/sdx
Das ist etwa 10 mal schneller als die dd Variante mit /dev/urandom
Patsche hat geschrieben:Ich habe hier eine externe Festplatte, welche im NTFS-Format formiert wurde. Ist es möglich LUKS mit dem NTFS-Dateisystem zu nutzen?
Du kannst da rein setzen was du willst. Leider gibt es keine Windows Programme mehr, die LUKS öffnen können. (FreeOTFE hat das früher können.) Somit finde ich das ziemlich sinnlos.
Patsche hat geschrieben:Ein Key-File, welches auf dem verschlüsselten System hinterlegt ist. So muss man ja dennoch nur 1 Passwort im Kopf behalten.
Der von cryptsetup empfohle Weg und auch absolut der robusteste und Angenehmste. Weiß nicht, warum der Debianinstaller das anders macht.
Patsche hat geschrieben:der braucht jedoch ca. 5 Stunden
Klingt als ob der mit /dev/urandom überschreibt.
niemand hat geschrieben:Möglicherweise gibt’s da sogar native Methoden für – müsste sich jemand zu äußern, der sich damit auskennt.
Ja. Aber die sind inkompatibel zwischen Systemd-cryptsetup und cryptsetup.
Patsche hat geschrieben:Kann man die Verschlüsselungsart im Installer festlegen? Also beispielsweise "cbc-essiv:sha256" oder "xts". Oder gibt der Installer das vor?
Beim Installer kann man zwar wählen aber nur zwischen ein paar wenigen. Der Kernel im Installer ist (warum auch immer) um die performantesten Methoden beschnitten. Ich habe mein System deswegen aes-128-essiv:sha256 aufgesetzt. Und es dann per LiveCD cat in eine serpent-ctr partition kopiert. (Der kernel den der Installer dann installiert ist nämlich zu mehr oder weniger allem in der Lage.)
Patsche hat geschrieben:nd eventuell noch zur Geschwindigkeit.
Ich werde nacher (Spätestens 19:00Uhr) noch ein benchmark veröffentlichen.
Patsche hat geschrieben:Macht sich eine Verlangsamung durch die Verschlüsselung bei einem T60 oder T400 bemerkbar?
Bei normalen Fesplatten kannst du bei weitem nicht so schnell lesen, dass du deine CPU ernsthaft belasten kannst. Selbst beim Messen bekommt man da probleme Unterschiede nachzuwißen. (Wenn du gerade mit fullspeed ließt brauchst du typischerweise deine CPU eh nicht. Da kann die auch ein bisschen crypto machen. Man merkt also lediglich ein kleinen Anstieg bei der CPU auslastung aber keine verlangsamung.)
Mit SSDs sieht das anders aus: Mein T400 hat keine Hardwarebschleunigung für AES und ich habe eine SAMSUNG 840 SSD nachgerüstet. Da komme ich nur noch auf 2/3 der Geschwindigkeit. Weswegen ich mich dazu entschlossen habe /usr nicht zu verschlüsseln. Da habe ich das nur gemerkt, als ich mit Gigabit torrents geleecht habe.Was defakto ein mal im Jahr vorkommt.