标签: disk-encryption

SSD，尤其是常见的 MLC 类型，在存储单元磨损之前具有有限的写入次数。通过使用磨损均衡算法，可以有效地解决此问题，从而使驱动器具有使用寿命。磨损均衡的另一方面是它通过写入未使用的块来提高性能，而不是读取、擦除、写入现有使用块的慢得多的操作。但是这些算法依赖于它们是可用的未使用块。

所以问题是如果你用 BestCrypt 或 TrueCrypt 之类的东西加密整个驱动器会发生什么？这两者都会将看似随机的数据写入整个驱动器。这是否会有效地使驱动器进入完全使用状态，这将如何影响驱动器的磨损平衡和性能？

我知道出于这个原因，某些驱动器确实保留了一些容量。当您看到标有 60 或 120GB 驱动器的驱动器时，它可能是 64 或 128GB 驱动器，其部分容量已被保留，无法供您使用。但是，标榜自己为 64/128/256GB 的驱动器是否也以这种方式保留空间，还是纯粹依赖于驱动器从未被完全填充以具有用于磨损均衡的可用块？

...

我可能担心一些在实践中不会成为问题的事情。但我很好奇磨损均衡算法的智能程度。它们是否允许对看起来已满的驱动器进行连续读取/修改/写入？

我已经在三个硬盘驱动器上设置了 Linux 软件 RAID5，并想用 cryptsetup/LUKS 对其进行加密。我的测试表明加密会导致我无法解释的大量性能下降。

RAID5 无需加密即可写入 187 MB/s [1]。通过加密，写入速度降至约 40 MB/s。

RAID 具有 512K 的块大小和写意图位图。我用作-c aes-xts-plain -s 512 --align-payload=2048的参数cryptsetup luksFormat，因此有效载荷应对齐到 2048 个 512 字节的块（即 1MB）。cryptsetup luksDump显示负载偏移量为 4096。所以我认为对齐是正确的并且适合 RAID 块大小。

CPU 不是瓶颈，因为它具有对 AES (aesni_intel) 的硬件支持。如果我在另一个同样加密的驱动器（带有 LVM 的 SSD）上写入，我的写入速度为 150 MB/s。top显示CPU使用率确实很低，只有RAID5 xor占用14%。

我还尝试将文件系统 (ext4) 直接放在未加密的 RAID 上，以便查看分层是否有问题。文件系统按预期稍微降低了性能，但到目前为止还没有那么多（写入速度不同，但 > 100 MB/s）。

总结：
磁盘+RAID5：好
磁盘+RAID5+ext4：好
磁盘+RAID5+加密：坏
SSD+加密+LVM+ext4：好

读取性能不受加密影响，无加密时为 207 MB/s，加密时为 205 MB/s（也表明 CPU 能力不是问题）。

如何提高加密RAID的写入性能？

[1] 所有速度测量都是通过多次运行完成的dd if=/dev/zero of=DEV bs=100M count=100（即以 100M …

我想在我的 ext4-data 分区上创建一个加密文件夹，我可以将一些秘密数据移入其中。

如何创建这样的文件夹？

驱动器已经半满了，那么有没有办法让我在创建文件夹时不必定义文件夹的大小？

最佳情况下，它会随着填充而增长。

更新：

谢谢，由于您的回答，我将使用ecryptfs。

请在此处显示 bash 命令如何配置它，因此最后我将拥有/data/可以将文件移动到的文件夹（我想加密我的照片库文件夹，该文件夹位于另一个硬盘驱动器上）

以及何时何地我必须在引导过程中输入密码才能在每次重新启动后使该文件夹可用。

如何删除或暂时禁用McAfee 文件和可移动媒体保护？它想在 USB 设备插入时对其进行加密，否则将它们设置为只读。知道如何摆脱那个烦人的功能吗？

这里有一个注释：https : //kc.mcafee.com/corporate/index?page=content&id=KB81439 但是我不知道如何找到那里提到的cd Product_Installation_Path。

也许有一些更轻松的方法可以在某处取消选中该选项？

我有哪些加密 Ubuntu 笔记本电脑的 /home 目录的选项？它们目前设置为没有任何加密，有些将 /home 作为单独的分区，而有些则没有。这些笔记本电脑中的大多数是单用户独立笔记本电脑，经常在路上使用。

ecryptfs 和加密的 Private 目录是否足够好，或者有更好、更安全的选择吗？如果有人拿到笔记本电脑，他们访问加密文件有多容易？

有关加密 lvm、truecrypt 和我可能不知道的任何其他解决方案的类似问题。

我想加密我的主硬盘驱动器（我有我的操作系统、程序等），我已经在网上寻找教程，但每个教程似乎都遵循不同的步骤，有人说我需要另一个分区来放置恢复文件（主，系统保留和其他）和其他人说我必须修改注册表中的某些内容。

我之前曾将 bitlocker 用于两个外部驱动器，但我知道对于系统驱动器是不同的，我必须遵循哪些步骤来加密我的硬盘？

更多（可能相关）信息：我确实有一些教程提到的“系统保留”分区，这是加密我的主硬盘驱动器所必需的，并且硬盘有 465GB（434GB 免费）。

我们想要建立一个 Linux 服务器（托管 Git 或更高版本的 SVN 存储库），它应该对所有存储的数据进行高度加密，以便如果有人窃取服务器，则无法读取数据。例如，我们的笔记本将所有重要数据都存储在“真正加密”的分区上。

我们计划使用 SSH 私钥访问它，并且只有在成功登录后才能读取数据。服务器将位于我们的办公室，在晚上关闭并且不直接连接到 Internet，而只能在我们的内部网中访问。

你有什么建议？我只是一个零星的 Linux 用户，因此不是很能干。

我正在一些笔记本电脑上安装 Debian wheezy。我有一个大约 750GB 的大分区和一个 4GB 的交换分区。我在两个分区上启用了加密，现在正在进行加密过程。

安装正在进行中Erasing data on SCSI3 (0,0,0), partition #1 (sda)，并且已经持续了 18 小时。进度条仅在 50% 处。

1. 为什么这一步这么长？

2. 我可以做些什么来加快这个过程吗？（我必须对其他笔记本电脑执行此操作。）

我想使用 BitLocker 使用密码 ( manage-bde -protectors -add c: -pw) 加密系统分区，但如果我忘记了密码，则（安全地）将密钥存储在其他地方。

我应该添加恢复密钥 ( -rk) 还是启动密钥 ( -sk)？

看来我可以在紧急情况下使用两者来访问数据。

有什么可以用恢复密钥做而用启动密钥不能做的事情吗？反之亦然？

我有两台安装了 Devuan 的笔记本电脑。关闭时，当 cryptsetup 尝试关闭加密分区时，它会挂起大约一分钟。

留言：

Stopping remaining crypto disks...sda5_crypt (busy)... failed.\nStopping early crypto disks...sda5_crypt (busy)... failed.\n

分区：

sda5\n\xe2\x94\x94\xe2\x94\x80sda5_crypt\n  \xe2\x94\x9c\xe2\x94\x80vg-root\n  \xe2\x94\x9c\xe2\x94\x80vg-var\n  \xe2\x94\x9c\xe2\x94\x80vg-swap_1\n  \xe2\x94\x9c\xe2\x94\x80vg-tmp\n  \xe2\x94\x9c\xe2\x94\x80vg-home\n

修改脚本 ( /lib/cryptsetup/cryptodisks.functions) 后，我知道 LVM 卷仍然处于活动状态，并且我认为它会阻止 cryptsetup 关闭分区。如果我dmsetup remove_all在 cryptsetup 关闭分区之前添加，大多数 LVM 卷都会被删除，但 vg-root 仍然存在，因此它会再次失败。