¿Es posible el hardware acelerar el cifrado LUKS?

8

Mi servidor Linux pasa mucho tiempo calculando el cifrado LUKS. ¿Hay alguna forma de acelerar el hardware (con una tarjeta PCI express, por ejemplo)?

linux  hardware  encryption  luks 
Glendyr
fuente
1
Dependiendo del tipo de sistema que tenga ahora, un procesador más rápido / mejor podría funcionar. Además, defina "mucho tiempo".
Sven
Es 1/3 de velocidad de operación normal de E / S. No me complace desperdiciar los 2/3 de la velocidad debido al cifrado. Es el servidor Ubuntu.
Glendyr
1
¿Cuál es tu procesador? Los últimos modelos de Intel tienen AES-NI y VIA ha tenido hardware criptográfico durante años. Intel (no sé AMD) tiene optimizaciones especiales para AES gcc.gnu.org/onlinedocs/gcc/i386-and-x86_002d64-Options.html .
Rufo El Magufo

Respuestas:

14

A partir de Kernel 2.6.32, las instrucciones AES-NI en los procesadores Intel más nuevos son compatibles con dm-crypt. Es posible que desee comprobar / proc / cpuinfo si su procesador admite estas instrucciones. De lo contrario, la actualización de su procesador acelerará el cifrado de su disco duro (siempre que esté utilizando el cifrado AES)

Más información: http://en.wikipedia.org/wiki/AES_instruction_set

Sarek
fuente
Interesante: ¿qué tienes y documentos / enlaces sobre el tema?
Coops
2
modprobe aesni-intel o agréguelo a / etc / initramfs-tools / modules y ejecute update-initramfs -u .
earthmeLon
@earthmeLon eso es exactamente lo que estaba buscando!
ortang
3

AESNI es la aceleración de hardware para el cifrado AES. Mientras su LUKS / dmcrypt esté configurado para usar AES, lo que probablemente sea, y mientras su procesador lo admita, puede agregar el módulo de kernel AESNI de forma manual o automática.

Manual (prueba para asegurarse de que funciona / es compatible)

  • sudo modprobe aesni-intel

Automático

  • sudo vim /etc/initramfs-tools/modules
    • Añadir aesni_intel
  • sudo update-initramfs -u

Desea agregarlo a sus initramfs, y no solo a su núcleo normal porque desea que esté disponible antes de descifrar su unidad y cargar su núcleo principal.

earthmeLon
fuente
Nota La mayoría (si no todos) los Intel i3 no son compatibles con AESNI. Se puede comprobar mediante la búsqueda de "AES" en / proc / cpuinfo: grep aes /proc/cpuinfo.
earthmeLon
¿Funciona esto para los procesadores AMD que admiten AES? Ejecuté el comando @earthmeLon dice y dice que mi AMD A8-4500M es compatible con AES
Suici Doga
0

Que yo sepa, no hay tarjetas adicionales para el cifrado dm-crypt / luks. DM no los apoya.

Dicho esto, parece que hay un movimiento en marcha para obtener la aceleración de GPU en la tubería de procesamiento si está disponible. Como los servidores todavía raramente tienen GPU en ellos (aunque eso está cambiando), esto puede no ser tan útil para usted.

sysadmin1138
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.