Re: Cryptsetup-luks
On Sun, 04 Oct 2009, Henrique de Moraes Holschuh wrote:
> On Sun, 04 Oct 2009, Pedro Celio wrote:
> > Agora uma coisa que não consegui achar nas pesquisas e documentação do
> > software é se ocorrer algum bad block ou algum problema lógico no sistema
> > de arquivos do dispositivo criptografado, até que ponto isso pode
> > interferir no processo de descriptografia do mesmo.
>
> Em geral não há realimentação de um setor para outro, então danos a um setor
> serão restritos ao mesmo. Mas é sempre necessário verificar para cada
> aplicação. No caso do dm-crypt, não tem realimentação.
>
> Leia isso:
> http://clemens.endorphin.org/LinuxHDEncSettings
>
> e isso:
> http://mareichelt.de/pub/notmine/linuxbsd-comparison.html
>
> Aliás, recomendo adicionar uma camada FEC (forward-error-correction) na
> mídia de backup caso a mesma seja usada para retenção. O FEC pode ficar,
> inclusive, em mídia separada (mas *tem* que ser cifrado também, óbvio).
Leia também: http://en.wikipedia.org/wiki/Disk_encryption_theory
O modo recomendado é aes-xts-essiv, ou seja algo do tipo:
cipher=aes-xts-essiv:sha256,size=256,hash=sha256 pro LUKS. Se for para
retencão, eu usaria tudo com 512, já que a rentenção tem que aguentar segura
por uns 10 anos...
Pode ser que no seu caso não faça diferença usar XTS ou CBC. CBC é mais
rápido.
--
"One disk to rule them all, One disk to find them. One disk to bring
them all and in the darkness grind them. In the Land of Redmond
where the shadows lie." -- The Silicon Valley Tarot
Henrique Holschuh
Reply to: