Cifrado por software vs. hardware (OPAL)
Ola xente! Hai máis dun mes que morreu o meu portátil e, tras semanas malvivindo cun mini-pc + portátil vello nos que configurei o mínimo (estou desexando volver ao meu mutt, tras esta experiencia con webmails varios...), por fin chegou o meu novo equipo (thinkpad T470). No meu último portátil estaba a empregar cifrado por software no SSD (unha partición LVM cifrada con LUKS/cryptsetup), pero agora este novo trae a posibilidade de cifrado por hardware coa especificación OPAL. Algunha experiencia/recomendación ao respecto? Pásome ao cifrado por hardware ou manteño o software? :-? Apertas, E
El 5 de diciembre de 2017, 10:41, Emilio J. Padrón González <emilioj@udc.gal
escribió:
No meu último portátil estaba a empregar cifrado por software no SSD (unha partición LVM cifrada con LUKS/cryptsetup), pero agora este novo trae a posibilidade de cifrado por hardware coa especificación OPAL.
Algunha experiencia/recomendación ao respecto? Pásome ao cifrado por hardware ou manteño o software? :-?
Yo no tengo experiencia con cifrado por hardware... me da un poco de reparo, porque en caso de desastre, necesitaría un hardware específico para restaurar datos del disco. Yo por ahora sigo usando LVM, cifrando a nivel de PV. Supongo que el cifrado por hw es más eficiente pero... -- Francisco J. Tsao Santín http://gattaca.es Twitter: @FranTsao <http://gattaca.es> 1024D/71CF4D62 42 F1 53 35 EF 98 98 8A FC 6C 56 B3 4C A7 7D FB
Ola Fran!
[...] me da un poco de reparo, porque en caso de desastre, necesitaría un hardware específico para restaurar datos del disco.
Sip, é unha das razóns polas que dubido... Pero vaia, tamén ter o hardware para iso e gastar ciclos de CPU ao tolo... %-) :-D En fin, hai un rato xa que me chegou o portátil e a ver se mañá o instalo. Para isto teño que resolver antes as dúas cuestións que teño sobre a mesa antes de poñerme: - cifrado por software ou por hardware - e a máis importante: que nome poñerlle entre varios que valoro!! Apertas, E
El día 5 de diciembre de 2017, 13:23, Fran Tsao Santín <tsao@gpul.org> escribió:
Yo no tengo experiencia con cifrado por hardware... me da un poco de reparo, porque en caso de desastre, necesitaría un hardware específico para restaurar datos del disco. Yo por ahora sigo usando LVM, cifrando a nivel de PV.
Yo la verdad es que no tengo mucha experiencia en el tema del cifrado. No lo he usado nunca a nivel de disco nada mas que en cierto tipo de ficheros concretos. En cualquier caso he estado revisando un poco como funciona el cifrado hardware que llevan estos discos y por lo que veo es algo que depende por entero del disco, por lo que si coges un disco cifrado y te lo llevas a otra maquina deberías de poder leer los datos sin problemas. Otra cosa sería que el disco patinase, pero en ese caso te va a dar un poco lo mismo que los datos estén cifrados ya que no podrías leer el disco. En definitiva, que en este caso concreto con este tipo de discos el hardware en si mismo no va a ser un impedimento. No es como un RAID que si te peta la controladora adiós datos. Saludos. -- Óscar García Amor | ogarcia at moire.org | http://ogarcia.me
El martes, 5 de diciembre de 2017 10:41:18 (CET) Emilio J. Padrón González escribió:
No meu último portátil estaba a empregar cifrado por software no SSD (unha partición LVM cifrada con LUKS/cryptsetup), pero agora este novo trae a posibilidade de cifrado por hardware coa especificación OPAL.
Algunha experiencia/recomendación ao respecto? Pásome ao cifrado por hardware ou manteño o software? :-?
Yo lo llevo usando desde ¿2013? en los dos discos que tengo en el ThinkPad W530 y estoy contento. Para mí la ventaja principal es que al evitar cifrado software la transferencia de datos "debería" ser más rápida, al no tener que requerir procesamiento de CPU. Además, la estructura de las particiones también es más sencilla (puedes usar particiones "tradicionales", sin LVM ni esquemas complicados) y eso es de agradecer en caso de desastre para los que, como yo, nos hemos quedado un poco rezagados en conocimientos de administración de sistemas (nunca me he podido poner al día con LVM y systemd) pero aún queremos recurrir a una distribución live para acceder a los datos. Con respecto a la simplicidad, otra ventaja es que el cifrado hardware se puede activar/desactivar a voluntad en caso de necesidad. De hecho, lo que he leído es que los discos que soportan cifrado hardware "siempre están cifrados" (incluso aunque el cifrado esté desactivado) con una clave que guarda el propio disco, y es la contraseña que le pones la que permite descifrar o acceder a esa clave interna. Supongo que el riesgo de que se detecte un bug de diseño en el estándar o en el hardware siempre está ahí (hasta ocurre con los procesadores Intel!). Yo personalmente me siento "razonablemente seguro". Un saludo. -- Enrique Ocaña González
On Tue, Dec 05, 2017 at 01:47:26PM +0100, Enrique Ocaña González wrote:
Para mí la ventaja principal es que al evitar cifrado software la transferencia de datos "debería" ser más rápida, al no tener que requerir procesamiento de CPU.
Eso es algo de lo que probablemente no necesitas preocuparte. Los procesadores modernos tienen instrucciones para cifrar/descifrar AES (grep -w aes /proc/cpuinfo). También puedes medir el rendimiento de la CPU al hacer el cifrado en memoria: $ cryptsetup benchmark En mi caso (un portátil que ya tiene unos años) supera los 1,5 GB/s mientras que las unidades SSD SATA convencionales andan por 500 MB/s. Aquí también se ve que no hay demasiada diferencia: https://www.phoronix.com/scan.php?page=article&item=ubuntu_1404_encryption&num=4
Además, la estructura de las particiones también es más sencilla (puedes usar particiones "tradicionales", sin LVM ni esquemas complicados) y eso es de agradecer en caso de desastre para los que, como yo, nos hemos quedado un poco rezagados en conocimientos de administración de sistemas (nunca me he podido poner al día con LVM y systemd) pero aún queremos recurrir a una distribución live para acceder a los datos.
Yo creo que cualquier distribución live soporta LVM hoy en día sin problemas, así como los instaladores de las distribuciones. No hay que hacer nada "a mano" para instalar en un disco cifrado. Berto
El día 5 de diciembre de 2017, 10:41, Emilio J. Padrón González <emilioj@udc.gal> escribió:
Ola xente!
Hai máis dun mes que morreu o meu portátil e, tras semanas malvivindo cun mini-pc + portátil vello nos que configurei o mínimo (estou desexando volver ao meu mutt, tras esta experiencia con webmails varios...), por fin chegou o meu novo equipo (thinkpad T470).
No meu último portátil estaba a empregar cifrado por software no SSD (unha partición LVM cifrada con LUKS/cryptsetup), pero agora este novo trae a posibilidade de cifrado por hardware coa especificación OPAL.
Algunha experiencia/recomendación ao respecto? Pásome ao cifrado por hardware ou manteño o software? :-?
Na ArchWiki tes un artigo [1] bastante extenso sobre o cifrado por hardware. [1] Self-Encrypting Drives: https://wiki.archlinux.org/index.php/Self-Encrypting_Drives -- Xoan Sampaiño | https://about.me/xoan
participants (6)
-
Alberto Garcia -
Emilio J. Padrón González -
Enrique Ocaña González -
Fran Tsao Santín -
Xoan Sampaiño -
Óscar García Amor