ubuntuusers.de

Ich habe vor Jahren mal meine externen Sicherungen so geschützt:

cryptsetup luksFormat -c serpent-xts-plain64 -s 512 -h sha512 -y /dev/sdX1

Gibt es da mittlerweile bessere Optionen?

Man nimmt normalerweise AES weil das von CPU-Beschleunigung profitiert (AESNI & Co.).

1
2
3
4
5
6

$ cryptsetup benchmark -c serpent-xts-plain64
$ cryptsetup benchmark -c aes-xts-plain64
# Tests are approximate using memory only (no storage IO).
# Algorithm |       Key |      Encryption |      Decryption
serpent-xts        256b       921.8 MiB/s       906.3 MiB/s
    aes-xts        256b      7762.3 MiB/s      7721.3 MiB/s

Ansonsten, man kann sich zwischen Sektorgröße 512 und 4096 entscheiden. Bei 4096 muss die Datei/Partition dann aber auch aligned sein (Größe durch 4096 teilbar), sonst wird das Gerät komplett abgelehnt.

Man kann mit cryptsetup config ein Label setzen. Man kann mit cryptsetup refresh Allow-Discards persistent erlauben, zuvor genutzte Kernel- oder Crypttab Parameter können dadurch entfallen.

Man kann mit cryptsetup reencrypt die Verschlüsselungsparameter zu einem späteren Zeitpunkt im laufenden Betrieb ändern (dabei werden jedoch einmal alle Daten neu geschrieben). So gesehen kann man erstmal verschlüsseln und sich auch später noch Gedanken machen.

Ansonsten, wenn dich Alternativen interessieren, es gibt hctr2-plain64 statt xts-plain64, siehe https://github.com/google/hctr2

Bei hctr2 führt ein geändertes Bit zu einem vollständig neu verschlüsselten Sektor (512 oder 4096 Byte je nach gewählter Sektorgröße). Bei aes-xts-plain64 ändern sich nur 16 Byte.

Das spielt aber nur eine Rolle, wenn du davon ausgehst, daß bei dir jemand vorher-nachher vergleichen kann. Und kostet auch Performanz.

Manche Dateisysteme verschlüsseln auch selbst, wenn man ganz von cryptsetup weggehen will, ist das auch eine Option.

Man nimmt normalerweise AES weil das von CPU-Beschleunigung profitiert

Ich habe gelesen, dass Angriffe auf "serpent" schwieriger sind, aber es nicht so performant ist.

Vom Prinzip sind das reine Sicherungspartitionen, die mit rsync gefüttert werden. Geht nur darum, fallls die externe HD verschwindet, dass sie verschlüsselt ist. Wir lagern SIcherungen auch bei voll vertrauneswürdigen Freunden und 2 HDDs (mit LUKS) sind verschwunden. Ist nicht klar, da rotierender Wechsel, wie das passiert ist.

Man kann mit cryptsetup config ein Label setzen

Ist bekannt, ich habe nur den Befehl angeführt, den ich für die Verschlüsselung wichtig finde.

zB:

mkfs.xfs -f -L EXOS_BAK1 /dev/mapper/usb-crypt

Ansonsten, man kann sich zwischen Sektorgröße 512 und 4096 entscheiden.

Schwierig, die Partition (ohne Luks) wird gerade mit voller Größe mit gparted angelegt, dauert bei 10TB schon über 10h. Geht das im Terminal schneller?

#smart
Sector Sizes:     512 bytes logical, 4096 bytes physical

Ich habe aber keine Ahnung, was das externe Gehäuse unterstützt.

Man kann mit cryptsetup refresh Allow-Discards persistent erlauben, zuvor genutzte Kernel- oder Crypttab Parameter können dadurch entfallen.

Hmmh, da wird 1x stundenlang gesynct und das war es dann wieder für längere Zeit.

Ansonsten, wenn dich Alternativen interessieren, es gibt hctr2-plain64 statt xts-plain64

Weiß nicht, Geschwindigkeit ist nicht Priorität. Ist egal, ob der Sync 9h oder 10h zB dauert, läuft über Nacht und die HD ist sowieso an. Es geht um möglichst gute Verschlüsselung, falls die HD zB zur Garantie eingesendet werden muss.

Also höher verschlüsseln ist zur Zeit nicht möglich als bei meiner Syntax?

Bei hctr2 führt ein geändertes Bit zu einem vollständig neu verschlüsselten Sektor (512 oder 4096 Byte je nach gewählter Sektorgröße). Bei aes-xts-plain64 ändern sich nur 16 Byte.

So kleine Änderungen kommen kaum vor. Ich sag mal zB, da kommen Fotos in der Größe von 10MB pro Foto neu dazu,

Manche Dateisysteme verschlüsseln auch selbst, wenn man ganz von cryptsetup weggehen will, ist das auch eine Option.

Ich weiß nicht, es geht um Lösungen für mich und meine Bekannten. Entscheidend ist, dass die HDs zum Teil extern gelagert werden, falls es einen Brand, Diebstahl etc gibt. Den Einbrecher bei mir haben die externen HDs aber gar nicht interessiert.

Danke für deinen Benchmark.