磁盘加密：硬件磁盘加密与 dm-crypt 的优缺点

Question

我将在三星 840 pro SSD 上重新安装我的系统 (Ubuntu)。这个磁盘可以做AES硬件加密。我想知道从不同的角度来看，与使用 LVM 全盘加密相比，采用这种方法有什么缺点和/或优点：

• 安全性：这些方法在安全性方面是否等效？
• 方便：我想避免输入很多密码
• 恢复/兼容性：如果我必须将磁盘安装在另一台计算机上以恢复我的数据怎么办？

Answer 1

• 安全性：该驱动器提供 AES。如果您对 AES 不满意，dm-crypt 可以提供您自己的选择。两者都可以通过擦除密钥来快速擦除。
• 方便：两种方法都会在启动时提示输入密码一次；尽管您可以将 LUKS 密钥文件存储在外部设备（例如 USB 记忆棒）上
  • 使用 dm-crypt，您可以灵活地仅加密系统的某些部分，例如仅加密 /home 目录（当放在单独的分区上时）
• 恢复：如果您忘记了驱动器密码，那么您就失败了。对于 LUKS，您可以（取决于您想要接受的偏执程度）拥有密钥的多个副本。如果需要的话，可以打印在一张纸上。或者藏在书里。或者 ...
  • 两者都不依赖于周围的硬件，因此即使原始笔记本电脑/PC 死机，您的磁盘也可以恢复。
• 性能：设备内置加密应该大部分是透明的，所以我假设几乎没有开销。使用 dm-crypt，您的 CPU 可以进行加密/解密。
  • 另外：在 Linux 3.1 及更高版本中，可以在创建设备或使用 dmsetup 挂载时切换对 dm-crypt TRIM 直通的支持。所以你需要采取一些步骤，但是TRIM是支持的。

总而言之：内置加密是快速（运行时和设置）且方便的选项，没有任何装饰。dm-crypt/LuKS 提供了更多选项和功能，但设置起来更耗时，并且在一定程度上降低了性能。