Beiträge von Stardenver im Thema „LUKS-Verschlüsselung am Desktop - sinnvoll oder unsinnig?“

Wie gesagt - was hat man zu verlieren? Man hat mehr Sicherheit für den Fall der Fälle, auch wenn man jetzt noch nicht absehen kann, wie ein solcher Fall aussehen würde.

Bezüglich Trim kopiere ich einfach mal eine Anleitung rein. Habe ich selbst noch nicht umgesetzt und weiß daher nicht, ob das aktuell nicht sogar schon in Distros integriert ist.

1. Make a backup of all your data. You're messing with your file system so having a backup is simply a good idea.
2. Make sure you have the required kernel and cryptsetup versions (3.1 & 1.4, e.g. in Ubuntu 12.04, beware though, at time of writing 12.04 is still beta).
3. Add discard parameter to the file system options of the encrypted LVM volume(s) in your /etc/fstab file. This makes the file system of your LVM partition aware that you want to use TRIM.
   
   Code

   /dev/mapper/volumegroup-root    /    ext4    discard,noatime,nodiratime,errors=remount-ro    0    1

4. The last step is not enough though. As long as LUKS is not aware that you want to use TRIM it will effectively block all TRIM operations coming from the LVM partition's file system, for security reasons. Add discard parameter to the cryptdevice options in /etc/crypttab to make LUKS accept the discard behavior of the LVM partition.
   Code

   sda5_crypt UUID=e364d03f-[...]6cd7e none luks,discard

5. Rebuild your initramfs. The crypttab options are stored there and used on boot.
   Code

   sudo update-initramfs -c -k all

6. Reboot.
7. Check if TRIM is now active.
   Code

   sudo dmsetup table /dev/mapper/sda5_crypt --showkeys

8. If the last command shows a result like this (1 allow_discards at the end) you're all set.
   Code

   0  77656056  crypt  aes-cbc-essiv:sha256  abc[...]c7a0c  0  8:5  2056  1  allow_discards

Zitat von LinKostik

Guten Morgen, Stardenver
danke erstmal für Deine Antwort! Ich habe einfach mal testweise einen Desktop-PC ohne LUKS installiert und ich muss im Nachhinein einen gefühlt sehr deutlichen Zugewinn an Performance feststellen. Das Booten geht mit Manjaro Linux (Xfce) ohne LUKS erheblich schneller, gefühlt habe ich auch den Eindruck, dass Anwendungen, insb. der Firefox, schneller starten. Das ist möglicherweise aber eher subjektiv. Was ich auch für nicht ganz unerheblich halte, ist die TRIM-Funktion bei SSDs, die bei vorhandener LUKS-Verschlüsselung standardmäßig deaktiviert ist - eben aus Sicherheitsgründen. Hier stellt sich dann die Frage, ob eine Einrichtung von LUKS sinnvoll ist, wenn man ohnehin wieder einen Teil von dessen Sicherheitsmechanismen quasi aushebeln muss (allow discards), um Langlebigkeit und Performance der SSD so gut wie möglich sicherzustellen. Davon, dass ich meine SSD verkaufen werde, gehe ich derzeit nicht aus. Es ist scheinbar eine Frage von Kompromissen, und gar nicht so ohne weiteres zu beantworten. Was nutzt Du denn?

Wundert mich ehrlich gesagt. Ich habe so viele Distros und Systeme getestet und ehrlich gesagt nie einen Unterschied festgestellt. Fair enough.. ich habe natürlich auch nie gemessen, ob FF jetzt in 1 sec oder 2 sec startet. Aber gerade da Verschlüsselung heutzutage schon hardwareseitig verbaut ist, würden mich große Geschwindigkeitseinbußen echt wundern.

Mein ganz persönlicher Anwendungsfall ist übrigens der Laptop. Also bis auf meine Server habe ich aktuell nur mobilde Geräte im Betrieb (auch "stationär") und schon deshalb verschlüssel ich.

Ich habe heute - wenn es denn zeitlich passt - geplant, ein System neu aufzusetzen. Wenn das heute noch fertig wird, lasse ich gerne mal ein paar Disk-Benchmarks laufen und veröffentliche die.

Ich muss allerdings sagen, dass meine Hardware auch relativ performant ist. Wenn du jetzt Linux auf einem 10 Jahre alten Laptop mit SATA-SSD installierst, macht es vielleicht wirklich einen Unterschied.

Schadet es denn, es zu machen? So rein von der Geschwindigkeit her macht es doch keinen Unterschied. Was hast du also zu verlieren, wenn du es machst und dann nie benötigst?

Auf der anderen Seite - auch wenn es vielleicht unwahrscheinlich ist - was passiert, wenn jemand an deine Festplatten kommt? Jemand bricht bei dir ein und bedient sich. Oder irgendjemand macht was mit deiner IP und es kommt zu einer Durchsuchung. Oder du verkaufst eine ausgetauschte Platte und willst ganz ganz sicher sein, dass diese leer ist, ohne sie zig-mal zu überschreiben.