| View previous topic :: View next topic |
| Author |
Message |
OgiHome
n00b
Joined: 31 May 2007
Posts: 1
|
 Posted: Thu May 31, 2007 1:48 pm Post subject: Festplattenverschlüsselung |
 |
|
Hallo,
ich plane grade die Anschaffung eines neuen Fileservers. Das Problem an der Sache ist, dass ich gerne ca. 3TB (8*750GB @Raid10) verschlüsseln würde. Auf meinem privaten Rechner sind die Festplatten auch mit dm verschlüsselt, allerdings merke ich ganz deutlich den Performanceverlust gegenüber unverschlüsselten Platten / Partitionen, der vor allem an der CPU Leistung liegt.
Was habe ich denn für Alternativen, um den Zugriff auf ein Crypto-Laufwerk zu beschleunigen? |
|
| Back to top |
|
 |
blu3bird
Retired Dev
Joined: 04 Oct 2003
Posts: 614
Location: Munich, Germany
|
|
| Back to top |
|
|
ScytheMan
l33t
Joined: 30 Nov 2005
Posts: 605
|
| Posted: Thu May 31, 2007 9:03 pm Post subject: |
|
|
| blu3bird wrote: |
- Und natürlich: Schnellere CPU kaufen |
nicht nur schnellere, am besten dualcore, dann kann der eine kern die verschlüsselung übernehmen während der andere für das andere krimskrams zuständig ist |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Thu May 31, 2007 9:53 pm Post subject: |
|
|
Wie kann man denn der Ver-/Entschlüsselung ein Core zuweisen? Könnte ich z.B. die vier Kerne einer der beiden Quad Core Xeon CPU nur fürs Ver- / Entschlüsseln abkommandieren?
Ich hab mir diese Crypto Accelerator Karten auch angeschaut. Ich glaube aber, dass die Verwendung hier etwas unpassend ist. Denn die meißten dinger sind hauptsächlich für VPN Geschichten ausgelegt. Dementsprechend hoch sind auch die Preise. Ich würde jetzt aber mit dem Kauf einer Quad Core CPU abwarten. Die Preise werden sehr bald fallen...
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Thu May 31, 2007 9:58 pm Post subject: |
|
|
Btw. eine Alternative zur Festplattenverschlüsselung wäre ein solid state disk. Die Laufwerke kann man mit einem PWD sperren. Die Daten sind zwar nicht verschlüsselt auf dem Ding gespeichert, aber elektronisch abgeschlossen. Und da die Daten - nicht wie bei einer normalen Festplatte - mechanisch gespeichert sind, sondern elektronisch, gespeichert sind, wird es nur mit sehr hohem Aufwand möglich sein, die Daten zu lesen. Man müsste dafür die Speicherchips einzeln vom Board abziehen und auslesen.
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
blu3bird
Retired Dev
Joined: 04 Oct 2003
Posts: 614
Location: Munich, Germany
|
| Posted: Thu May 31, 2007 10:13 pm Post subject: |
|
|
| LL0rd wrote: | | Wie kann man denn der Ver-/Entschlüsselung ein Core zuweisen? Könnte ich z.B. die vier Kerne einer der beiden Quad Core Xeon CPU nur fürs Ver- / Entschlüsseln abkommandieren? |
Nein.
Die Verschlüsselungsalgorithmen im Kernel sind nicht SMP-fähig. Sprich sie laufen nur auf einem einzigen Core egal wieviele CPUs/Cores du hast. (Auch wenn du mehrere verschlüsselte Festplatten hast laufen alle Verschlüsslungen in einem einzigen Thread ab)
Ob man sagen kann auf welche Core sie laufen sollen...Openmosix konnte das mal(zumindest in die Richtung) aber es wird automatisch auf dem Core laufen der gerade am wenigsten zu tun hat. Und wenn dann ein Core zu 100% mit verschlüsseln belegt ist werden neue Threads automatisch auf einem anderen Core gestartet(auch dem der zu dem Zeitpunkt am wenigsten zu tun hat).
_________________
Black Holes are created when God divides by zero! |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Jun 01, 2007 6:35 am Post subject: |
|
|
| blu3bird wrote: | Nein.
Die Verschlüsselungsalgorithmen im Kernel sind nicht SMP-fähig. Sprich sie laufen nur auf einem einzigen Core egal wieviele CPUs/Cores du hast. (Auch wenn du mehrere verschlüsselte Festplatten hast laufen alle Verschlüsslungen in einem einzigen Thread ab) |
Das ist mal ein echtes Manko (das mit mehreren Verschlüsselungen in einem Thread). Spricht ja fast für eine Verschlüsselung im Userspace, dann mit mehreren Threads.
Da sollte schleunigst jemand einen Patch für schreiben 
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Fri Jun 01, 2007 8:15 am Post subject: |
|
|
| Anarcho wrote: |
Da sollte schleunigst jemand einen Patch für schreiben |
Ja, die Sache mit dem "schleunigst" ist etwas schlecht. Wie willst du denn die Daten am Ende zurückbekommen? Angenommen deine Festplatte liest eine Datei. Möchtest du, dass eine CPU am Anfang der Datei anfängt zu arbeiten und die andere am Ende? Und irgendwann treffen die sich, trinken Kaffee und basteln nebenbei die Datei zusammen?
Die einzig gute Möglichkeit, die ich sehe, ist das Pipelining. Aber hier muss ein genaues Konzept her, der auch größtenteils vom Algorithmus und anzahl der Cores abhängt. Und das wird die Schwierigkeit hier sein.
Klar, es gibt auch die Möglichkeit, Dateien parallel zu lesen, ein Thread liest eine Datei, ein anderer eine andere, aber IMHO würde das nur ein Race Condition bug ins System reißen:
http://en.wikipedia.org/wiki/Race_condition
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Jun 01, 2007 1:04 pm Post subject: |
|
|
| LL0rd wrote: | | Anarcho wrote: |
Da sollte schleunigst jemand einen Patch für schreiben |
Ja, die Sache mit dem "schleunigst" ist etwas schlecht. Wie willst du denn die Daten am Ende zurückbekommen? Angenommen deine Festplatte liest eine Datei. Möchtest du, dass eine CPU am Anfang der Datei anfängt zu arbeiten und die andere am Ende? Und irgendwann treffen die sich, trinken Kaffee und basteln nebenbei die Datei zusammen?
Die einzig gute Möglichkeit, die ich sehe, ist das Pipelining. Aber hier muss ein genaues Konzept her, der auch größtenteils vom Algorithmus und anzahl der Cores abhängt. Und das wird die Schwierigkeit hier sein.
Klar, es gibt auch die Möglichkeit, Dateien parallel zu lesen, ein Thread liest eine Datei, ein anderer eine andere, aber IMHO würde das nur ein Race Condition bug ins System reißen:
http://en.wikipedia.org/wiki/Race_condition |
Ganz so parallel wollte ich es ja garnicht. Nur wäre es eben prima wenn für jedes gemountete Dateisystem ein eigener Thread offen wäre. Dann könnte man problemlos von der einen verschlüsselten Platte auf die 2. verschlüsselte Platte kopieren. Dann kann es auch keine Race-Conditions geben da jeder Thread nur in einem FS werkelt.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
LL0rd
l33t
Joined: 24 May 2004
Posts: 652
Location: Schlundcity
|
| Posted: Fri Jun 01, 2007 1:19 pm Post subject: |
|
|
Es gibt doch da ein Tool, mit dem man Streams SSL Verschlüsseln kann. Wird auch dazu genutzt, um z.B. DVDs zu verschlüsseln. Mir fällt der Name jetzt nicht ein, aber es wird da pro Stream ein neuer Thread gestartet. Aber ganz ehrlich: Ich weiß nicht ganz, wozu das ganze gut ist. Wenn ich jetzt ein 3TB Raid habe, dann habe ich das am Stück und nicht in mehrere Partitionen geteilt
_________________
Alte Mathematiker sterben nicht - sie verlieren nur einige ihrer Funktionen. |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
