Как работает шифрование накопителя?

как оно работает?

Молча и коварно. )

Нет, сразу все данные не расшифровываются. Ты просто ввел ключ, он лежит в оперативной памяти, а данные расшифровываются по мере необходимости.

На диске данные всегда шифрованы, но вот в кеше в оперативной памяти хранятся порции расшифрованных, там же меняются, потом шифруются обратно и пишутся на диск.

И да, это замедляет работу, но на современном железе почти неощутимо.

Молча и коварно. )

И иногда больно бьёт по рукам.

Или замедление скорости работы будет

This

на современном железе почти неощутимо

Хз что насчёт ощущений, а вот бенчмарки фороникса показывают серьёзное замедление. При том что фороникс проводит тесты совсем не на бюджетном железе.

Какие-то гуманитарные рассуждения. У шифрования есть конкретная скорость с мбайт/с (зависит от проца и памяти в основном), у диска тоже есть скорость в мбайт/с (зависит от диска). Если первое больше второго то замедление будет незаметно. Шифрование на современных процах не медленнее, чем скорость обычных HDD (около 100мбайт/с) или бюджетных ссд (около 200мбайт/с). А всякие мажоры со своими топовыми nvme будут страдать да, их скорость окажется невостребованной. Впрочем она и без шифрования такая не нужна, на мой взгляд, ни для чего кроме свапа.

Какие-то гуманитарные рассуждения

Очень точное описание твоего коммента.

Как пользователь LUKS/dm-crypt/TrueCrypt/VeraCrypt с почти двадцатилетним стажем, могу ответственно заявить, что проблемы с производительностью при использовании шифрования перестали лежать в области процессора с выпуском в свет набора инструкций AES-NI.

Сейчас основной затык находится в области работы подсистемы ввода-вывода, например, вот небольшой экскурс в историю: https://blog.cloudflare.com/speeding-up-linux-disk-encryption/

А что скажете про self encrypting drive?

Ненужность какая-то, вероятно, с бэкдорами. А если дисков 2 или 4, пароли устанешь на каждый вводить для того, чтобы все массивы собрались…

Ненужность какая-то, вероятно, с бэкдорами…

… А если дисков 2 или 4…

Это скорее всего для корпоративного сектора, там ноутбуки с одним диском и секреты не твои.

Это скорее всего для корпоративного сектора, там ноутбуки с одним диском и секреты не твои.

Там битлокер и лукс использовать стараются

Там битлокер и лукс использовать стараются

Я думал там используют эту фичу(BDE ЕМНИП) вместе с удаленным управлением и фичей диска по уничтожению всех данных на диске которая активируется удалено например в случае кражи ноутбука.

бенчмарки фороникса показывают серьёзное замедление

Недавно ради интереса сделал phoronix benchmark pts/fio на двух ноутах:

1. Fedora 38, Ryzen 7 5850U, nvme pcie 3.0, ext4, без шифрования
2. OpenSUSE Tumbleweed, Intel i5-1340P, nvme pcie 4.0, btrfs, LUKS FDE

Первый ноут примерно в 1.5 слабее второго по всем параметрам. Это конечно сравнение яблок с апельсинами, но бенчмарк показал на втором ноуте результат в 1.5-2 раза медленнее чем на первом (там много вариаций теста).

Производительнось по ощущениям всё равно на втором ноуте быстрее, но не могу спокойно спать от того, что pcie 4.0 от шифрования стал медленее чем pcie 3.0.

Производительнось по ощущениям всё равно на втором ноуте быстрее, но не могу спокойно спать от того, что pcie 4.0 от шифрования стал медленее чем pcie 3.0.

есть мнение, что не вывозит dm-crypt, который по своей природе блочный. и гонять его на nvme устройстве, пусть и через блочный драйвер - такое себе. попробуй вместо fde настроить какой нить fbe, через fscrypt или ecryptfs

f(x) = y...
условный crypto-ip в кремнии реализует преобразование, обратимое, с помощью предоставляемым вами ключом.

Шифрование на современных процах не медленнее, чем скорость обычных HDD (около 100мбайт/с) или бюджетных ссд (около 200мбайт/с). А всякие мажоры со своими топовыми nvme будут страдать да, их скорость окажется невостребованной.

У бюджетных ssd скорость скорее 500МБ/с. А nvme - это уже не мажоры, а стандарт. По стоимости sata и nvme почти не отличаются. В ноутах часто места для sata ssd/hdd не предусмотрено.

Cryptsetup немного замедляет для одного nvme диска, для зеркальных рейдов падение может быть значительным.

Но объективно говоря, мне сложно придумать ситуацию, где это станет проблемой для мелкого бизнеса. А для серьезных enterprise решений есть отдельные решения и по железу, и по софту.

  (AMD EPYC 7662) $ cryptsetup benchmark 
  aes-xts        512b      2357,4 MiB/s      2363,4 MiB/s

  nvme $ hdparm -tT --direct 
  Timing O_DIRECT cached reads:   6102 MB in  2.00 seconds = 3050.96 MB/sec
  Timing O_DIRECT disk reads: 8110 MB in  3.00 seconds = 2702.78 MB/sec

Ну у меня вот есть mdraid RAID1 из двух PM9A3, для десктопа - разница лежит за пределами чего-то заметного в том числе и по результатам fio.

Имею в виду - заметного для работы/глаза. Результаты, конечно, отличаются.