7
Verschlüsselung einer VM
Hallo,
ich habe eine Verständnisfrage zum Thema Verschlüsselung.
Ich würde gerne ein Windows in einer VM komplett mit Veracrypt verschlüsseln.
Ist es ratsam, zusätzlich dazu, das Hostsystem (Ubuntu) zu verschlüsseln, oder ist das überflüssig?
Sind die Daten auch so sicher genug?
Würde eine Verschlüsselung des Hostsystems das Windows in der VM wesentlich langsamer machen?
Bin dankbar für jeden Tipp.
ich habe eine Verständnisfrage zum Thema Verschlüsselung.
Ich würde gerne ein Windows in einer VM komplett mit Veracrypt verschlüsseln.
Ist es ratsam, zusätzlich dazu, das Hostsystem (Ubuntu) zu verschlüsseln, oder ist das überflüssig?
Sind die Daten auch so sicher genug?
Würde eine Verschlüsselung des Hostsystems das Windows in der VM wesentlich langsamer machen?
Bin dankbar für jeden Tipp.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312040
Url: https://administrator.de/contentid/312040
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Hi.
Es ist immer ratsam, alles zu verschlüsseln, wenn man Sorge hat, dass physikalischer Zugriff auf die Geräte durch unerwünschte Personen statt finden könnte. Und dann ist es wesentlich besser auf dem Host, als auf einzelnen Gästen.
Wenn Du Fragen zu Gründen dafür hast, solltest du mehr zu deinen Befürchtungen schreiben.
Der Performanceverust ist gering, viele bemerken es nicht einmal.
Es ist immer ratsam, alles zu verschlüsseln, wenn man Sorge hat, dass physikalischer Zugriff auf die Geräte durch unerwünschte Personen statt finden könnte. Und dann ist es wesentlich besser auf dem Host, als auf einzelnen Gästen.
Wenn Du Fragen zu Gründen dafür hast, solltest du mehr zu deinen Befürchtungen schreiben.
Der Performanceverust ist gering, viele bemerken es nicht einmal.
Es ist aus Performancegründen ratsamer auf dem Host und nicht in der VM zu verschlüsseln.
Der Hintergrund ist, dass das Hostsystem die AES-Instruktionen der CPU nutzen kann und so viel schneller ver- und entschlüsseln kann.
Bei einem i7 Gen 4 liegt der Unterschied bei 580 MB/s im Vergleich zu 4,1 GB/s bei Verwendung von AES-NI.
Die VM kann diese Instruction-Sets nicht verwenden (zumindest auf aktuellen CPUs ist das nicht virtualisierbar) und muss über den herkömmlichen Weg verschlüsseln, was mehr CPU-Last bedeutet.
Gerade dann, wenn mehrere VMs parallel auf die Festplatten zugreifen bemerkt du dabei einen Performancegewinn.
Außerdem ist bei Verschlüsselung des Hostsystems auch i.d.R. gewährleistet, dass der Swap-Bereich des Hosts nicht im Klartext vorliegt - sonst hast du ggf. RAM-Inhalte der VM unverschlüsselt auf der Festplatte liegen und das will man ja auch nicht
Der Hintergrund ist, dass das Hostsystem die AES-Instruktionen der CPU nutzen kann und so viel schneller ver- und entschlüsseln kann.
Bei einem i7 Gen 4 liegt der Unterschied bei 580 MB/s im Vergleich zu 4,1 GB/s bei Verwendung von AES-NI.
Die VM kann diese Instruction-Sets nicht verwenden (zumindest auf aktuellen CPUs ist das nicht virtualisierbar) und muss über den herkömmlichen Weg verschlüsseln, was mehr CPU-Last bedeutet.
Gerade dann, wenn mehrere VMs parallel auf die Festplatten zugreifen bemerkt du dabei einen Performancegewinn.
Außerdem ist bei Verschlüsselung des Hostsystems auch i.d.R. gewährleistet, dass der Swap-Bereich des Hosts nicht im Klartext vorliegt - sonst hast du ggf. RAM-Inhalte der VM unverschlüsselt auf der Festplatte liegen und das will man ja auch nicht
Danke für die Antworten.
@LordGurke
Danke für die sehr detaillierten Ausführungen. Allerdings bin ich nicht so tief in der Materie drin.
Kann mal also sagen, dass die Ubuntu-interne Verschlüsselung (bei der Installation ausgewählt) für mein Vorhaben ausreicht?
Sprich, ich muss die Windows in der VM nicht noch extra verschlüsseln?
Außerdem würde ich gerne wissen, ob ich zusätzlich unter Ubuntu mein Homeverzeichnis verschlüsseln muss.
Diese Option wird ja auch bei der Installation angezeigt. Ist das Homeverzeichnis nicht schon durch die "Hauptverschlüsselung" abgesichert?
@LordGurke
Danke für die sehr detaillierten Ausführungen. Allerdings bin ich nicht so tief in der Materie drin.
Kann mal also sagen, dass die Ubuntu-interne Verschlüsselung (bei der Installation ausgewählt) für mein Vorhaben ausreicht?
Sprich, ich muss die Windows in der VM nicht noch extra verschlüsseln?
Außerdem würde ich gerne wissen, ob ich zusätzlich unter Ubuntu mein Homeverzeichnis verschlüsseln muss.
Diese Option wird ja auch bei der Installation angezeigt. Ist das Homeverzeichnis nicht schon durch die "Hauptverschlüsselung" abgesichert?
@LordGurke
Danke für die sehr detaillierten Ausführungen. Allerdings bin ich nicht so tief in der Materie drin.
Kann mal also sagen, dass die Ubuntu-interne Verschlüsselung (bei der Installation ausgewählt) für mein Vorhaben ausreicht?
Sprich, ich muss die Windows in der VM nicht noch extra verschlüsseln?
Danke für die sehr detaillierten Ausführungen. Allerdings bin ich nicht so tief in der Materie drin.
Kann mal also sagen, dass die Ubuntu-interne Verschlüsselung (bei der Installation ausgewählt) für mein Vorhaben ausreicht?
Sprich, ich muss die Windows in der VM nicht noch extra verschlüsseln?
Die Verschlüsselung bei der Ubuntu-Installation ist ausreichend. Bei der Verschlüsselung darauf achten das die komplette Festplatte überschrieben wird.
Die VMs sollten dann auch auf der verschlüsselten Festplatte liegen.
Außerdem würde ich gerne wissen, ob ich zusätzlich unter Ubuntu mein Homeverzeichnis verschlüsseln muss.
Diese Option wird ja auch bei der Installation angezeigt. Ist das Homeverzeichnis nicht schon durch die "Hauptverschlüsselung" abgesichert?
Diese Option wird ja auch bei der Installation angezeigt. Ist das Homeverzeichnis nicht schon durch die "Hauptverschlüsselung" abgesichert?
Das Homeverzeichniss musst du nicht mehr verschlüsseln. Dies ist bereits durch die Installation verschlüsselt.
Zitat von @LordGurke:
Bei einem i7 Gen 4 liegt der Unterschied bei 580 MB/s im Vergleich zu 4,1 GB/s bei Verwendung von AES-NI.
Die VM kann diese Instruction-Sets nicht verwenden (zumindest auf aktuellen CPUs ist das nicht virtualisierbar) und muss über den herkömmlichen Weg verschlüsseln, was mehr CPU-Last bedeutet.
Kannst du das vllt mit einen Link untermauern?Bei einem i7 Gen 4 liegt der Unterschied bei 580 MB/s im Vergleich zu 4,1 GB/s bei Verwendung von AES-NI.
Die VM kann diese Instruction-Sets nicht verwenden (zumindest auf aktuellen CPUs ist das nicht virtualisierbar) und muss über den herkömmlichen Weg verschlüsseln, was mehr CPU-Last bedeutet.
Beim meiner openSUSE Leap 41.1 Testinstallation (sowohl host als auch client mit kernel 4.7, virtualiserung mit KVM und qemu) auf aktuellem E3-1245-v5 klappt das. Kein Unterschied in der Geschwindigkeit von "openssl speed -elapsed -evp aes-128-ecb" feststellbar.
Hab bei aktivieren AES-NI ca 5.5 GB/s sowohl am Host als auch Client und bei deaktiviertem AES-NI nur noch 350 MB/s.
Weiht mich bitte mal ein: wo schafft eine Maschine denn mehrere GB/s Festplattendurchsatz? Ihr kennt die Limits von Sata3, schätze ich?
Die Verschlüsselung bei der Ubuntu-Installation ist ausreichend. Bei der Verschlüsselung darauf achten das die komplette Festplatte überschrieben > wird. Die VMs sollten dann auch auf der verschlüsselten Festplatte liegen.
Bei nur einer Partition verstehe ich die Vorgehensweise.
Wie sieht es aus, wenn ich 2 Partitinonen habe? Wo kann ich einstellen, dass ich beide/alle verschlüsseln möchte?
