Корзинка
Количество просмотров: 143

Быстрый mount ecryptfs с шифрованием имен файлов

Вот пример для AES-256 с шифрованием имен файлов:

mount -t ecryptfs /home/user/.encrypted/ /home/user/encrypted/ -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,ecryptfs_fn_cipher=aes,ecryptfs_fnek_sig={сигнатура для шифрование имен файлов}


или (вызов рута)

sudo root -c 'mount -t ecryptfs /home/user/.encrypted/ /home/user/encrypted/ -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,ecryptfs_fn_cipher=aes,ecryptfs_fnek_sig={сигнатура для шифрование имен файлов}'

В этом случае ecryptfs спросит лишь:

Select key type to use for newly created files:
1) tspi
2) passphrase

На что мы выбираем passphrase и вводим её. Но в плане секьюрности не очень хорошо светить сигнатурой пароля в конфиге (так как уже не дать неверный пароль, если вас кто вдруг спросит, ибо сига не совпадет). В этом случае надо просто удалить ecryptfs_fnek_sig из команды и добавить ecryptfs_enable_filename_crypto=yes, конечным результатом будет

mount -t ecryptfs /home/user/.encrypted/ /home/user/encrypted/ -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_passthrough=no,ecryptfs_fn_cipher=aes,ecryptfs_enable_filename_crypto=yes

. В данном случае ecryptfs спросит лишь Filename Encryption Key (FNEK) Signature [сигнатура]:, который равен сиге пароля, так что просто прожать enter если ничего не меняли.

128/192/256

Проверить скорость работы того или иного шифра можно командой openssl speed aes. В конечном итоге получите что-то вроде вот таких результатов:

The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 149187.19k 162885.48k 164761.00k 166449.49k 167141.46k
aes-192 cbc 125263.57k 135438.23k 136691.97k 133065.05k 139559.90k
aes-256 cbc 108253.39k 116614.14k 118682.28k 119084.03k 118956.03k
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 97168.47k 107595.22k 104662.02k 238811.53k 233477.46k
aes-192 cbc 88849.18k 91516.70k 87354.28k 187820.37k 199172.10k
aes-256 cbc 69128.16k 77224.30k 84696.83k 164531.54k 182864.55k

AES-128 дает 30%-40% к скорости, но 2128 против 2256 из AES-256. Да и значание скоростей на современном железе вполне позволяют использовать такой раздел сразу в AES-256.

Кстати, я тут проверил, что файлы зашифрованные на сервере в ecryptfs-utils 111-3 расшифровываются в 103-5+deb8u1 на домашнем лаптопе, что не может не радовать 🙂

Facebooktwittergoogle_plusredditpinterestlinkedintumblrFacebooktwittergoogle_plusredditpinterestlinkedintumblr

Comments are closed.