Luk*_*ick 7 zfs disk-encryption
我使用 ZFS 已经有一段时间了,我想知道 ZFS 的磁盘加密有多安全以及它在确定的攻击下能坚持多久(我知道其中一些与密钥长度等有关) )。
它与其他磁盘加密技术(如 TrueCrypt、dm-crypt/cryptsetup/LUKS、FileVault 2)相比(强度方面)如何?
LSe*_*rni 13
我会说“非常”,因为文件是在 CCM 模式下使用 AES 加密的(默认情况下)。然而,AES本身并不是保证,很大程度上取决于它是如何实现的。
而且文档中有这句话让我很疑惑:
使用 ZFS 压缩、重复数据删除和加密属性时,请查看以下注意事项:
Run Code Online (Sandbox Code Playgroud)When a file is written, the data is compressed, encrypted, and the checksum is verified. Then, the data is deduplicated, if possible. When a file is read, the checksum is verified and the data is decrypted. Then, the data is decompressed, if required.
据我了解,对于加密后要进行重复数据删除的数据,应该是两个文件(或两个数据块)是相同的。但是由于块是用 AES 加密的,这要么是真实的可能性很小(默认为2 -128aes-128-ccm),因此在重复数据删除检查中花费的时间也可以完全节省,或者这意味着两个相同的文件将加密为相同的加密文件,这只有在重用初始化向量时才有可能。这正是流密码不应该做的事情,因为 CCM 模式下的 AES 归结为。
然而,在进一步搜索中,我发现IV 不断变化
默认情况下,我们从块的数据集/对象以及(其事务)写入时间的组合中得出 IV
并且重复数据删除算法主要用于克隆。从几个来源也可以看出,已经仔细考虑了安全问题和实施细节。
总之,我相信加密默认值是非常安全的;如果您觉得需要更高的安全性,您可以使用较慢的aes-256-ccm算法。然而,aes-128-ccm即使是最坚定的饼干也无法做到;过了一定程度的决心,但是,弱点是你的FS不再,你需要开始考虑,比如说,物理安全。
| 归档时间: |
|
| 查看次数: |
6440 次 |
| 最近记录: |