Šifrování disku bez přesunu dat

Logik

  • *****
  • 1 022
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #15 kdy: 24. 03. 2015, 15:14:06 »
Výpadek napájení můžeš řešit tak, že budeš šifrovat např. po 100MB kouscích a ne inplace.
Tzn. zašifruju 100MB, zkontroluju konzistenci, přepíšu nezašifrované zašifrovaným, jdu na dalších 100MB.

Pokud to spadne v prostřed, tak vždy bude jedna kopie dat správně.


pedro

Re:Šifrování disku bez přesunu dat
« Odpověď #16 kdy: 24. 03. 2015, 15:30:33 »
Těch 100MB se přeci nebude zapisovat v nějaké transakci (nejsme na úrovni (transakčního) filesystému) a bude se zapisovat nenulový čas. IMO nebudeme vědět, kolik z těch 100MB se opravdu zapsalo na disk v okamžiku výpadku.

NooN

Re:Šifrování disku bez přesunu dat
« Odpověď #17 kdy: 24. 03. 2015, 15:36:47 »
Na to je potrebne to miesto navyse aby vzdy existovala zaloha nezapisaneho bloku a info o tom, ktory posledny blok bol zapisany.

czipis

  • ***
  • 225
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #18 kdy: 24. 03. 2015, 15:38:27 »
diky pedro, konecne nejaka uzitecna rada na moji otazku a ne offtopic.
Podivuju se, ze to funguje, ale sam jsem to vyzkousel a dava to ocekavane vysledky ;-)

Re:Šifrování disku bez přesunu dat
« Odpověď #19 kdy: 24. 03. 2015, 15:44:01 »
Taky je potreba resit otazku, zda to, co je "zapsane", je skutecne zapsane a nevisi to nekde v cache...

Dohromady to neni uplne jednoduche udelat poradne.


trubicoid2

Re:Šifrování disku bez přesunu dat
« Odpověď #20 kdy: 24. 03. 2015, 15:46:41 »
no ja bych to stejne udelal tim reencrypt, ted ve verzi 1.6.7 je i podpora rozsifovani za chodu

* Support permanent device decryption for cryptsetup-reencrypt.
  To remove LUKS encryption from a device, you can now use --decrypt option.

ad Pedro: -xts-plain se uz dlouho nedoporucuje kvuli opakovani na velkych zarizenich (coz je asi ten pripad) dej -xts-plain64 a sifru aes, jestli mas aes-ni, jinak twofish taky dobry

czipis

  • ***
  • 225
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #21 kdy: 24. 03. 2015, 16:10:01 »
udelal jsem ted lehky benchmark a jeden server (250GB) to zasifruje za necele 2 hodiny, coz je uplne v pohode. Za tu dobu mi nehty stihnou povyrust o cca 8μm, coz se da prezit  :P

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #22 kdy: 24. 03. 2015, 19:19:46 »
udelal jsem ted lehky benchmark a jeden server (250GB) to zasifruje za necele 2 hodiny, coz je uplne v pohode. Za tu dobu mi nehty stihnou povyrust o cca 8μm, coz se da prezit  :P

To jo. Akorat jste rikal, ze tech serveru jsou desitky. A nejvetsi p​r​d​e​l by pak byla, kdybyste nekam zabordelil klic. To by pak data byla uplne v bezpeci. ;-)

Re:Šifrování disku bez přesunu dat
« Odpověď #23 kdy: 24. 03. 2015, 19:46:45 »
udelal jsem ted lehky benchmark a jeden server (250GB) to zasifruje za necele 2 hodiny, coz je uplne v pohode. Za tu dobu mi nehty stihnou povyrust o cca 8μm, coz se da prezit  :P

To jo. Akorat jste rikal, ze tech serveru jsou desitky. A nejvetsi p​r​d​e​l by pak byla, kdybyste nekam zabordelil klic. To by pak data byla uplne v bezpeci. ;-)

Zabordelit klic, to je skutecne pravdepodobny scenar... Ale pokud te trapi tahle vec, muzes si predstavit dva yubikey, tiskarnu a obalku jako reseni.

Chapu to spravne, ze navrhujes ty servery sifrovat sekvencne, aby to trvalo dyl? :-D

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #24 kdy: 24. 03. 2015, 20:47:50 »
Chapu to spravne, ze navrhujes ty servery sifrovat sekvencne, aby to trvalo dyl? :-D

Ne. Nicmene to sifrovani budes minimalne sekvencne spoustet. Pokud nehodlas ke kazdemu serveru poslat extra manika s live distrem. Coz asi neudelas, protoze jim nebudes verit, ze to aspon jeden nezkurvi. A, BTW, pokud to nechces sifrovat sekvencne, aby to trvalo dyl, tak si priprav desitky klicenek, na kazdy server jednu. Pak si ale dej pozor, aby se ti nejaka nezabehla, protoze bacha, je tam ten klic.

czipis

  • ***
  • 225
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #25 kdy: 24. 03. 2015, 21:59:54 »
co jsem potreboval vedet jsem uz zjistil, neni treba vymyslet dalsi coby kdyby.
trollum netreba vysvetlovat PXE boot a remote management.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #26 kdy: 24. 03. 2015, 22:28:39 »
co jsem potreboval vedet jsem uz zjistil, neni treba vymyslet dalsi coby kdyby.
trollum netreba vysvetlovat PXE boot a remote management.

Tak jo. Budete se babrat s PXE kvuli tomu, abyste to jednou zabootoval a zasifroval? A mate vsude boot rom?

Re:Šifrování disku bez přesunu dat
« Odpověď #27 kdy: 25. 03. 2015, 07:27:06 »
Myslím, že docela dobře ví, co dělá. Možná bys měl přehodnotit svůj postoj, podle kterého jsou všichni zlí blbci, co si ani nedovedou zavázat tkaničky ;)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Šifrování disku bez přesunu dat
« Odpověď #28 kdy: 25. 03. 2015, 09:08:13 »
Myslím, že docela dobře ví, co dělá. Možná bys měl přehodnotit svůj postoj, podle kterého jsou všichni zlí blbci, co si ani nedovedou zavázat tkaničky ;)

Ja nerikam, ze je blbec. Jen si nejsem jisty, jestli se vyplati delat se s PXE jen kvuli jednorazovemu bootu pro sifrovani. Ono rozchodit PXE take leckdy neni zalezitost na deset minut a take ne vsude je vzdycky boot ROM, protoze ho tam dosud nikdo nepotreboval. Nakonec by mohlo byt jednodussi nakopirovat dvacet flashek s live distrem.

nobody

Re:Šifrování disku bez přesunu dat
« Odpověď #29 kdy: 25. 03. 2015, 09:48:39 »
tak boot bude nejmin dvourazovej, bodA-zasifrovat, bodB-desifrovat, pri desitkach serveru by tedy pxe boot probehl celkem tedy treba 75x...

cas na zprovozneni pxa bude naprosto minimalni(nebo uz je k dispozici) v porovnani s casem cele akce, pripadne servery bez bootrom (pokud vubec budou) lze obejit s ipxe na cd/usb...