headers
Vladimir Macek | 10 Jun 2012 10:35
Picon
Favicon
Gravatar

system-wide antisync, filesystem-wide komprese

Zdravim,

narazil jsem na cerstvy blogpost
http://novacisko.blog.root.cz/2012/06/09/jak-zakazat-explicitni-fsync-v-ubuntu/

Jsou tam dva zajimave aspekty: Autor na flashdiskach pouziva BTRFS kvuli
podpore transparentni komprese.

Pak se mu drasticky zpomalily utility, ktere casto provadeji sync. Povazuje
sync za zlo obecne a tak uvedl zpusob, jak vsem programum v divokem
syncovani zamezit. To mi napriklad na notebooku neprijde jako spatny napad.

Vyrojilo se mi v hlave nekolik otazek. Chystam se svuj hlavni system
prenest na SSD (jisteze, budu velmi casto inkrementalne zalohovat :).

SSD v prijatelnych cenach ma malou kapacitu a samozrejme jej jednou
zaplnim. Ma nekdo z vas dobrou/spatnou zkusenost s pouzitim filesystemu
podporujicim transparentni kompresi? (Vim, ze si tim disk zase trochu
zpomalim, ale pri dnesnich vypocetnich vykonech a mych nevelkych narocich
na I/O to asi preziju.)

Pokud doporucite, tak jak mate ten FS nastaven?

A ktery FS zvolit? Prave BTRFS? Nepatrim vetsinou mezi dobrodruzne early
adoptery, ale kdyz by slo o neco vyjimecneho...

Mate taky jako autor postu zkusenosti se zpomalenim diky syncovani?

Resili jste to?
(Continue reading)

Permalink | Reply |
headers
Jan Krajdl | 10 Jun 2012 16:33
Picon
Favicon

Re: system-wide antisync, filesystem-wide komprese

> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese? Jak?

Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) + LUKS
není tak úplně sranda. Problém je s (ne)používáním funkce trim. Pokud se
nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se. Pokud se
používá (což od nějaké verze cryptsetupu už snad i možné je), tak je
zase dobře vidět na kterých místech disku data nejsou a šifrování to
oslabuje...

--

-- 
Jan Krajdl
_______________________________________________
Linux mailing list
Linux <at> linux.cz
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |
headers
Vladimir Macek | 13 Jun 2012 13:20
Picon
Favicon
Gravatar

Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

On 10.6.2012 16:33, Jan Krajdl wrote:
>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>> Jak?
>
> Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) +
> LUKS není tak úplně sranda. Problém je s (ne)používáním funkce trim.
> Pokud se nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se.
> Pokud se používá (což od nějaké verze cryptsetupu už snad i možné
> je), tak je zase dobře vidět na kterých místech disku data nejsou a
> šifrování to oslabuje...

To je důležitá informace, moc díky za upozornění!

Něco jsem o tom četl a patrně bych bral TRIM a sníženou bezpečnost. Při
úniku dat nepůjde o život a plausible deniability pro mě není důležitá.

V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:

    256GB Self Encrypting Mobility Solid State Drive Opal Standard
    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]

Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
- ale nějak bude třeba disk odemknout.

Díky.

BTW k původnímu dotazu: Došlo mi, že LUKS asi komprimovat nemůže, protože
předpokládám mapuje bloky 1:1, takže to asi zůstane FS. O LVM jsem kompresi
(Continue reading)

Permalink | Reply |
headers
Petr Simek | 13 Jun 2012 13:49
Picon

Re: Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

On Wed, 13 Jun 2012, Vladimir Macek wrote:

> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
>
>    256GB Self Encrypting Mobility Solid State Drive Opal Standard
>    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
>
>
> Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
> důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
> Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
> - ale nějak bude třeba disk odemknout.

To je asi spis dobre proti odcizeni, ale jak zalohovat data z takoveho
disku ? Kdyz si udelate soubor a v nem sifrovany filesystem tak zalohujete 
ten soubor a mate data zasifrovana i v zalohach ale zalohovat cely
sifrovany disk jako image je narocne.

> :  Vladimir Macek  :  http://macek.sandbox.cz  :  +420 608 978 164

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek <at> jcu.cz                              |
*------------------------------------------------------------------------*
_______________________________________________
Linux mailing list
Linux <at> linux.cz
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |
headers
Miroslav Pragl | 13 Jun 2012 13:54
Picon
Favicon

Re: Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

sifrovani (FDE) je snad HW vlastnost vsech soucasnych disku

MP

-----Original Message----- 
From: Petr Simek
Sent: Wednesday, June 13, 2012 1:49 PM
To: Diskuse o Linuxu v cestine
Subject: Re: Sifrovani na SSD (was: Re: system-wide antisync, 
filesystem-wide komprese)

On Wed, 13 Jun 2012, Vladimir Macek wrote:

> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
>
>    256GB Self Encrypting Mobility Solid State Drive Opal Standard
>    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
>
>
> Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
> důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
> Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
> - ale nějak bude třeba disk odemknout.

To je asi spis dobre proti odcizeni, ale jak zalohovat data z takoveho
disku ? Kdyz si udelate soubor a v nem sifrovany filesystem tak zalohujete
ten soubor a mate data zasifrovana i v zalohach ale zalohovat cely
sifrovany disk jako image je narocne.

> :  Vladimir Macek  :  http://macek.sandbox.cz  :  +420 608 978 164
(Continue reading)

Permalink | Reply |
headers
Miroslav Pragl | 13 Jun 2012 13:54
Picon
Favicon

Re: Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

sifrovani (FDE) je snad HW vlastnost vsech soucasnych disku

MP

-----Original Message----- 
From: Petr Simek
Sent: Wednesday, June 13, 2012 1:49 PM
To: Diskuse o Linuxu v cestine
Subject: Re: Sifrovani na SSD (was: Re: system-wide antisync, 
filesystem-wide komprese)

On Wed, 13 Jun 2012, Vladimir Macek wrote:

> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
>
>    256GB Self Encrypting Mobility Solid State Drive Opal Standard
>    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
>
>
> Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
> důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
> Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
> - ale nějak bude třeba disk odemknout.

To je asi spis dobre proti odcizeni, ale jak zalohovat data z takoveho
disku ? Kdyz si udelate soubor a v nem sifrovany filesystem tak zalohujete
ten soubor a mate data zasifrovana i v zalohach ale zalohovat cely
sifrovany disk jako image je narocne.

> :  Vladimir Macek  :  http://macek.sandbox.cz  :  +420 608 978 164
(Continue reading)

Permalink | Reply |
headers
Petr Simek | 13 Jun 2012 13:49
Picon

Re: Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

On Wed, 13 Jun 2012, Vladimir Macek wrote:

> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
>
>    256GB Self Encrypting Mobility Solid State Drive Opal Standard
>    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
>
>
> Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
> důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
> Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
> - ale nějak bude třeba disk odemknout.

To je asi spis dobre proti odcizeni, ale jak zalohovat data z takoveho
disku ? Kdyz si udelate soubor a v nem sifrovany filesystem tak zalohujete 
ten soubor a mate data zasifrovana i v zalohach ale zalohovat cely
sifrovany disk jako image je narocne.

> :  Vladimir Macek  :  http://macek.sandbox.cz  :  +420 608 978 164

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek@...                              |
*------------------------------------------------------------------------*
_______________________________________________
Linux mailing list
Linux@...
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |
headers
Jan Hrach | 25 Jun 2012 12:39
Picon

Re: Sifrovani na SSD

Nevěřte tomu. Nikdy. Je to proprietární implementace, security-by-obscurity a výrobci mají
tendenci šetřit. Neuvěřitelné případy, co se v takových „superbezpečných“
řešeních našlo, namátkou:
https://www.zdnet.com/blog/hardware/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/6655
(heslo ke klíčence se ověřuje V OBSLUŽNÉM SOFTWARU a ten POTOM pošle disku klíč, který je NA
VŠECH ZAŘÍZENÍCH STEJNÝ (!!!))

On 13.6.2012 13:20, Vladimir Macek wrote:
> On 10.6.2012 16:33, Jan Krajdl wrote:
>>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>>> Jak?
>>
>> Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) +
>> LUKS není tak úplně sranda. Problém je s (ne)používáním funkce trim.
>> Pokud se nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se.
>> Pokud se používá (což od nějaké verze cryptsetupu už snad i možné
>> je), tak je zase dobře vidět na kterých místech disku data nejsou a
>> šifrování to oslabuje...
> 
> To je důležitá informace, moc díky za upozornění!
> 
> Něco jsem o tom četl a patrně bych bral TRIM a sníženou bezpečnost. Při
> úniku dat nepůjde o život a plausible deniability pro mě není důležitá.
> 
> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
> 
>     256GB Self Encrypting Mobility Solid State Drive Opal Standard
>     Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
> 
>
(Continue reading)

Permalink | Reply |
headers
Tomas Vondra | 25 Jun 2012 14:26
Picon
Gravatar

Re: Sifrovani na SSD

Nebyl bych tak příkrý - samozřejmě ten uvedený příklad s USB klíčenkami je
ukázka absolutního diletantismu, neumětelství a ignorantství výrobců, o
tom není sporu. Ale nevyvozoval bych z toho že všechna proprietární řešení
jsou na tom stejně zle - je potřeba zkoumat jednotlivé varianty.

Např. to udělátko které nabízí Dell vypadá celkem slušně, myslím že kolega
měl v notebooku buď přímo tohle nebo něco podobného, v rámci možností
hledal jestli to nemá nějaká známá slabá místa a na nic neřišel.

Samozřejmě dmcrypt apod. vám dávají možnosti které u podobných
proprietárních řešení mít nebudete (ať už v konfiguraci nebo kontrole
zdrojáků), no ale zase je to o něco složitější na konfiguraci a není to
tak transparentní (např. pokud chcete šifrovat celý disk pro multiboot
systém).

T.

On 25 Červen 2012, 12:39, Jan Hrach wrote:
> Nevěřte tomu. Nikdy. Je to proprietární implementace,
> security-by-obscurity a výrobci mají tendenci šetřit. Neuvěřitelné
> případy, co se v takových „superbezpečných“ řešeních našlo, namátkou:
> https://www.zdnet.com/blog/hardware/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/6655
> (heslo ke klíčence se ověřuje V OBSLUŽNÉM SOFTWARU a ten POTOM pošle disku
> klíč, který je NA VŠECH ZAŘÍZENÍCH STEJNÝ (!!!))
>
>
> On 13.6.2012 13:20, Vladimir Macek wrote:
>> On 10.6.2012 16:33, Jan Krajdl wrote:
>>>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>>>> Jak?
(Continue reading)

Permalink | Reply |
headers
Karel Zak | 25 Jun 2012 17:38
Picon
Favicon
Gravatar

Re: Sifrovani na SSD

On Mon, Jun 25, 2012 at 02:26:16PM +0200, Tomas Vondra wrote:
> Nebyl bych tak příkrý - samozřejmě ten uvedený příklad s USB klíčenkami je
> ukázka absolutního diletantismu, neumětelství a ignorantství výrobců, o
> tom není sporu. Ale nevyvozoval bych z toho že všechna proprietární řešení
> jsou na tom stejně zle - je potřeba zkoumat jednotlivé varianty.

Ale jde o zakladni princip a to totalni zavislost na necem co ty
data sifruje -- pokud nemate zdrojaky, nevite nic o tom HW tak tahate
za hodne kratky konec. Nemate garanci ze tam neni backdoor, nemate
garanci ze v pripade poruchy bude dostupna kompatibilni soucastka
apod. Tedy i pokud je to bezpecne (jak se to overuje bez zdrojaku?) 
tak porad zustava hromada problemu.

    Karel

--

-- 
 Karel Zak  <kzak <at> redhat.com>
 http://karelzak.blogspot.com
_______________________________________________
Linux mailing list
Linux <at> linux.cz
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |
headers
Karel Zak | 25 Jun 2012 17:38
Picon
Favicon
Gravatar

Re: Sifrovani na SSD

On Mon, Jun 25, 2012 at 02:26:16PM +0200, Tomas Vondra wrote:
> Nebyl bych tak příkrý - samozřejmě ten uvedený příklad s USB klíčenkami je
> ukázka absolutního diletantismu, neumětelství a ignorantství výrobců, o
> tom není sporu. Ale nevyvozoval bych z toho že všechna proprietární řešení
> jsou na tom stejně zle - je potřeba zkoumat jednotlivé varianty.

Ale jde o zakladni princip a to totalni zavislost na necem co ty
data sifruje -- pokud nemate zdrojaky, nevite nic o tom HW tak tahate
za hodne kratky konec. Nemate garanci ze tam neni backdoor, nemate
garanci ze v pripade poruchy bude dostupna kompatibilni soucastka
apod. Tedy i pokud je to bezpecne (jak se to overuje bez zdrojaku?) 
tak porad zustava hromada problemu.

    Karel

--

-- 
 Karel Zak  <kzak@...>
 http://karelzak.blogspot.com
_______________________________________________
Linux mailing list
Linux@...
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |
headers
Tomas Vondra | 25 Jun 2012 14:26
Picon
Gravatar

Re: Sifrovani na SSD

Nebyl bych tak příkrý - samozřejmě ten uvedený příklad s USB klíčenkami je
ukázka absolutního diletantismu, neumětelství a ignorantství výrobců, o
tom není sporu. Ale nevyvozoval bych z toho že všechna proprietární řešení
jsou na tom stejně zle - je potřeba zkoumat jednotlivé varianty.

Např. to udělátko které nabízí Dell vypadá celkem slušně, myslím že kolega
měl v notebooku buď přímo tohle nebo něco podobného, v rámci možností
hledal jestli to nemá nějaká známá slabá místa a na nic neřišel.

Samozřejmě dmcrypt apod. vám dávají možnosti které u podobných
proprietárních řešení mít nebudete (ať už v konfiguraci nebo kontrole
zdrojáků), no ale zase je to o něco složitější na konfiguraci a není to
tak transparentní (např. pokud chcete šifrovat celý disk pro multiboot
systém).

T.

On 25 Červen 2012, 12:39, Jan Hrach wrote:
> Nevěřte tomu. Nikdy. Je to proprietární implementace,
> security-by-obscurity a výrobci mají tendenci šetřit. Neuvěřitelné
> případy, co se v takových „superbezpečných“ řešeních našlo, namátkou:
> https://www.zdnet.com/blog/hardware/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/6655
> (heslo ke klíčence se ověřuje V OBSLUŽNÉM SOFTWARU a ten POTOM pošle disku
> klíč, který je NA VŠECH ZAŘÍZENÍCH STEJNÝ (!!!))
>
>
> On 13.6.2012 13:20, Vladimir Macek wrote:
>> On 10.6.2012 16:33, Jan Krajdl wrote:
>>>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>>>> Jak?
(Continue reading)

Permalink | Reply |
headers
Jan Hrach | 25 Jun 2012 12:39
Picon

Re: Sifrovani na SSD

Nevěřte tomu. Nikdy. Je to proprietární implementace, security-by-obscurity a výrobci mají
tendenci šetřit. Neuvěřitelné případy, co se v takových „superbezpečných“
řešeních našlo, namátkou:
https://www.zdnet.com/blog/hardware/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/6655
(heslo ke klíčence se ověřuje V OBSLUŽNÉM SOFTWARU a ten POTOM pošle disku klíč, který je NA
VŠECH ZAŘÍZENÍCH STEJNÝ (!!!))

On 13.6.2012 13:20, Vladimir Macek wrote:
> On 10.6.2012 16:33, Jan Krajdl wrote:
>>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>>> Jak?
>>
>> Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) +
>> LUKS není tak úplně sranda. Problém je s (ne)používáním funkce trim.
>> Pokud se nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se.
>> Pokud se používá (což od nějaké verze cryptsetupu už snad i možné
>> je), tak je zase dobře vidět na kterých místech disku data nejsou a
>> šifrování to oslabuje...
> 
> To je důležitá informace, moc díky za upozornění!
> 
> Něco jsem o tom četl a patrně bych bral TRIM a sníženou bezpečnost. Při
> úniku dat nepůjde o život a plausible deniability pro mě není důležitá.
> 
> V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:
> 
>     256GB Self Encrypting Mobility Solid State Drive Opal Standard
>     Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]
> 
>
(Continue reading)

Permalink | Reply |
headers
Vladimir Macek | 13 Jun 2012 13:20
Picon
Favicon
Gravatar

Sifrovani na SSD (was: Re: system-wide antisync, filesystem-wide komprese)

On 10.6.2012 16:33, Jan Krajdl wrote:
>> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese?
>> Jak?
>
> Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) +
> LUKS není tak úplně sranda. Problém je s (ne)používáním funkce trim.
> Pokud se nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se.
> Pokud se používá (což od nějaké verze cryptsetupu už snad i možné
> je), tak je zase dobře vidět na kterých místech disku data nejsou a
> šifrování to oslabuje...

To je důležitá informace, moc díky za upozornění!

Něco jsem o tom četl a patrně bych bral TRIM a sníženou bezpečnost. Při
úniku dat nepůjde o život a plausible deniability pro mě není důležitá.

V konfigurátoru Dellu jsem nicméně našel i tuto možnost disku:

    256GB Self Encrypting Mobility Solid State Drive Opal Standard
    Compliant (Unavailable for Russia) [přidat 6 725,20 Kč]

Máte někdo se samošifrujícími disky dobré/špatné zkušenosti? Je to
důvěryhodné? Našel jsem o tom nějaké články, ale nikoli o Linuxu.
Předpokládám transparentní blokové zařízení a tedy že Linuxu to bude jedno
- ale nějak bude třeba disk odemknout.

Díky.

BTW k původnímu dotazu: Došlo mi, že LUKS asi komprimovat nemůže, protože
předpokládám mapuje bloky 1:1, takže to asi zůstane FS. O LVM jsem kompresi
(Continue reading)

Permalink | Reply |
headers
Jan Krajdl | 10 Jun 2012 16:33
Picon
Favicon

Re: system-wide antisync, filesystem-wide komprese

> Pokud to neumi, zkousel nekdo z vas takovy setup SSD+LUKS+komprese? Jak?

Nezkoušel, ale co jsem to tak zkoumal, tak jenom SSD (desktopové) + LUKS
není tak úplně sranda. Problém je s (ne)používáním funkce trim. Pokud se
nepoužívá, SSD disk se kompletně časem zaplní a zpomalí se. Pokud se
používá (což od nějaké verze cryptsetupu už snad i možné je), tak je
zase dobře vidět na kterých místech disku data nejsou a šifrování to
oslabuje...

--

-- 
Jan Krajdl
_______________________________________________
Linux mailing list
Linux@...
http://www.linux.cz/mailman/listinfo/linux
Permalink | Reply |

Gmane