questor17
Goto Top

Server Performance mit LUKS Verschlüsselung

Option 1: Eine große verschlüsselte LUKS-Partition, die dann über LVM in viele LVs unterteilt wird

Option 2: Die LUKS-Verschlüsselung erfolgt dediziert auf der LV Ebene.

Was ist hier best practice unter performance Gesichtspunkten?

Content-Key: 553767

Url: https://administrator.de/contentid/553767

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Alchimedes
Alchimedes 03.03.2020 um 22:34:26 Uhr
Goto Top
Hallo,


kommt darauf an:
A) Was muss Verschlüsselt werden ?
B) Welche Hardware ist vorhanden ?
C) Welcher Algorithmus bei LUKS ?

Verschlüsselst Du halt nur Container also dediziert sehe ich keine Probleme.
Ich hab mit LUKS auch schon direkt Server-Festplatten verschlüsselt und gab
keine Performance Probleme.

Gruss
Mitglied: questor17
questor17 04.03.2020 aktualisiert um 04:10:17 Uhr
Goto Top
kommt darauf an:
A) Was muss Verschlüsselt werden ?

Datenbank Daten, Web Content etc. Idealer weise wollte ich eine whole disk encryption wie auf einem Ubuntu/Mint Desktop Systemen üblich nutzen, das geht leider nicht ohne größere Probleme auf den Root-Servern um die es hier geht.

B) Welche Hardware ist vorhanden ?

Server mit AMD Opteron 6338P und 64 GB RAM

C) Welcher Algorithmus bei LUKS ?

blowfish-cbc-essiv:sha256 hatte ich in der Vergangenheit genutzt (da gab es mal eine Empfehlung). Hier habe ich mich aber noch nicht entschieden.

# cryptsetup benchmark 
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1       756548 iterations per second for 256-bit key
PBKDF2-sha256     987359 iterations per second for 256-bit key
PBKDF2-sha512     820482 iterations per second for 256-bit key
PBKDF2-ripemd160  438367 iterations per second for 256-bit key
PBKDF2-whirlpool  260580 iterations per second for 256-bit key
argon2i       4 iterations, 710117 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
argon2id      4 iterations, 691164 memory, 4 parallel threads (CPUs) for 256-bit key (requested 2000 ms time)
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b       396.3 MiB/s      1565.9 MiB/s
    serpent-cbc        128b               N/A               N/A
    twofish-cbc        128b       128.2 MiB/s       173.2 MiB/s
        aes-cbc        256b       303.6 MiB/s      1234.0 MiB/s
    serpent-cbc        256b               N/A               N/A
    twofish-cbc        256b       128.4 MiB/s       173.1 MiB/s
        aes-xts        256b       820.4 MiB/s       821.3 MiB/s
    serpent-xts        256b               N/A               N/A
    twofish-xts        256b       170.2 MiB/s       169.5 MiB/s
        aes-xts        512b       700.3 MiB/s       700.6 MiB/s
    serpent-xts        512b               N/A               N/A
    twofish-xts        512b       169.7 MiB/s       169.5 MiB/s