É possível acelerar o hardware da criptografia LUKS?

8

Meu servidor Linux gasta muito tempo computando a criptografia LUKS. Existe alguma maneira de acelerá-lo por hardware (com uma placa PCI Express, por exemplo)?

linux  hardware  encryption  luks 
Glendyr
fonte
1
Dependendo do tipo de sistema que você possui agora, um processador mais rápido / melhor pode funcionar. Além disso, defina "muito tempo".
Sven
É 1/3 da velocidade da operação normal de E / S. Não estou feliz em desperdiçar os 2/3 da velocidade de criptografia. É o Ubuntu Server.
Glendyr
1
Qual é o seu processador? Os últimos modelos da Intel possuem AES-NI e a VIA possui hardware criptográfico há anos. A Intel (não conheço a AMD) possui otimizações especiais para o AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo

Respostas:

14

A partir do Kernel 2.6.32, as instruções da AES-NI nos processadores Intel mais recentes são suportadas pelo dm-crypt. Você pode verificar / proc / cpuinfo se o seu processador suporta essas instruções. Caso contrário, a atualização do processador acelerará a criptografia do disco rígido (desde que você esteja realmente usando a criptografia AES)

Mais informações: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
fonte
Interessante - o que você tem e documentos / links sobre o assunto?
Coops
2
modprobe aesni-intel ou adicione-o a / etc / initramfs-tools / modules e execute update-initramfs -u .
usar o seguinte código
@earthmeLon é exatamente o que eu estava procurando!
ortang
3

AESNI é a aceleração de hardware para criptografia AES. Desde que o seu LUKS / dmcrypt esteja configurado para usar o AES, o que provavelmente é, e enquanto o seu processador o suportar, você poderá adicionar o módulo do kernel do AESNI manual ou automaticamente.

Manual (teste para garantir que funcione / seja suportado)

  • sudo modprobe aesni-intel

Automático

  • sudo vim /etc/initramfs-tools/modules
    • Adicionar aesni_intel
  • sudo update-initramfs -u

Você deseja adicioná-lo ao seu initramfs, e não apenas ao seu kernel normal, porque deseja que ele esteja disponível antes de descriptografar sua unidade e carregar o kernel principal.

earthmeLon
fonte
Nota A maioria (se não todos) dos Intel i3 não suporta AESNI. Você pode verificar, procurando por "AES" em / proc / cpuinfo: grep aes /proc/cpuinfo.
earthmeLon
Isso funciona para processadores AMD que suportam AES? Corri o @earthmeLon comando diz e ele diz que a AMD A8-4500M suporta AES
Suici Doga
0

Que eu saiba, não existem placas complementares para criptografia dm-crypt / luks. DM não os suporta.

Dito isso, parece que há uma ação em andamento para acelerar a GPU no pipeline de processamento, se disponível. Como os servidores ainda raramente possuem GPUs (embora isso esteja mudando), isso pode não ser útil para você.

sysadmin1138
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.