Šifrování pomocí LUKS, nebo přes ZFS?

[aigor.net]

Ahoj, kdysi jsem na tohle téma viděl nějakou delší diskusi, ještě v době, kdy ZFS poprvé šifrování umožnilo. Nemůžu to zpětně najít, ale pamatuju si, že to mělo nějaká omezení. Nicméně vývoj pokračuje a rád bych slyšel názor od někoho kdo řešil podobnou otázku.

Plně šifrovaná instalace, výkonový dopad na IOPS předpokládám bude nepodstatný. Zatím se kloním ke konzervativní klasice LUKS + ZFS, jsou nějaké benefity pro šifrování v ZFS?

[Reklama]

[Mmmartan]

Dokud nebudou vyřešené bugy a nebudou přibývat nové, tak tomu nebudu věřit:

https://github.com/openzfs/zfs/issues/12594#issuecomment-929941596

[rokk42]

Výhoda šifrování na úrovni filesystemu je v případě použití více disků. Pak se buď šifruje každý disk a data se pak šifrují zbytečně vícekrát a nebo se udělá sw raid a ten se pak zašifruje, ale pak se zase přijde o možnost upravit data z druhé kopie když zfs detekuje chybu.

Druhá výhoda je že zfs podporuje raw send. Tedy se pošlou přímo šifrovaná data. Takže můžu mít data uložená na serveru kterému úplně nevěřím, můžu tam dělat kontrolu konzistence scrubem a posílat si inkrementálně další snapshoty ale přitom šifrovací klíč nikdy neopustí můj počítač.

[aigor.net]

Prohledáno a nejvíc problémů se řeší právě při posílání raw exportu ze šifrovaného ZFS. Navíc pro mě je tohle celkem nepodstatná feature. Tedy rozhodnuto, zůstávám u tradičního LUKS, které je ověřeno a díky za názory.