Re: Снова о ZFS

To: debian-russian@lists.debian.org
Subject: Re: Снова о ZFS
From: Sergey Matveev <stargrave@stargrave.org>
Date: Wed, 10 Jan 2018 18:25:13 +0300
Message-id: <[🔎] 20180110152513.GA1100@stargrave.org>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] ad322457-a6cb-e92a-4b0d-eb0b692f995d@yandex.ru>
References: <[🔎] 20180107162200.GA86101@stargrave.org> <[🔎] 68560fad-9331-6eb6-010d-d52deb8fb2e7@yandex.ru> <[🔎] 20180107172750.GA60541@stargrave.org> <[🔎] 44e365ec-59ed-a161-eeaf-65abcba2706a@yandex.ru> <[🔎] 20180107183658.GA89360@stargrave.org> <[🔎] 10b4d1b2-09f9-509d-e34d-4ca90d2a83fa@yandex.ru> <[🔎] 20180108092803.GC47803@stargrave.org> <[🔎] 09a4a5eb-8f39-c293-149f-0986304ce229@yandex.ru> <[🔎] 20180110124851.GA38895@stargrave.org> <[🔎] ad322457-a6cb-e92a-4b0d-eb0b692f995d@yandex.ru>

*** artiom [2018-01-10 18:18]:
>Если же установлена опция sync=disabled, произойдёт ошибка записи?

Если опция установлена, то не, ошибок не будет, но и fsync-а по факту не
будет происходить.

>0.4 % - не ахти, как много.

Но такой "опции" (хранить IV) никто не предлагает для полнодискового
шифрования :-). Оно должно быть максимально прозрачным и не отличимым от
обычной работы. А так как IV нельзя будет хранить где-то "рядом" с
сектором (всё же должно быть кратно размеру сектора), то IV будет где-то
в отдельной части диска -- а это значит что регулярно нужно диском ещё и
считать/писать эти IV надо будет. То есть, кроме потери места, ещё и
random seek добавляется.

>> Но на практике в LUKS конечно не нулевой вектор используется, а ESSIV
>> (encrypted salt-sector initialization vector), что уже не предсказуемо
>> для злоумышленника.
>> 
>Но один на все блоки?

Для каждого блока непредсказуемый для злоумышленника. Например вы можете
просто зашифровать номер сектора на ключе неизвестному злоумышленнику --
вот и будет is good enough IV.

>> Как вариант. У меня один гигабайтный диск так и сделан: ZFS поверх GELI
>> поверх ZVOL-а на другом ZFS :-). Просто overhead большой, что, конечно,
>> неприятно.
>> 
>А зачем так?

Основной диск с системой у меня на голом ZFS. Где-то нужно иметь
зашифрованный диск (почту например хранить). Выделять отдельную партицию
-- геморрой (с одним ZFS разделом удобно перенести все данные просто zfs
send/recv, а когда уже несколько партиций, то начинаются пляски), когда
речь о всего-то гигабайте. Поэтому проще уж, забив на overhead, сделать
поверх ZVOL-а было.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

Reply to:

Follow-Ups:
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>

References:
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: Артём Н. <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: Артём Н. <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>

Prev by Date: Re: Снова о ZFS
Next by Date: Re: Снова о ZFS
Previous by thread: Re: Снова о ZFS
Next by thread: Re: Снова о ZFS
Index(es):
- Date
- Thread