Вопросы по шифрованию разделов

Казалось бы, зачем придумали «соль».

соль придумали для тех юзеров, которые не в состоянии придумать пароль, который не ломаем словарём ЭллочкиЛюдоедочки.

Из скорости функции никак не следует наличие в ней уязвимостей.

что-бы обратить необратимую функцию, H(x) потребуется примерно X вычислений H(x), где X — число значений x. Таким образом, время обращения функции прямо пропорционально времени работы этой функции и мощности входного множества.

ты просто почему-то думаешь, что «множество очень большое, потому не важно, сколько занимает одна проверка». На самом деле, это не так. Множество не такое и большое. Выше я привёл хеш всем известного русского слова, которое часто пишут на заборах. Вариантов да, МНОГО, но на практике — увы. Их никто не использует. Придумать можно что угодно, но IRL на заборе пишут одно и то же. Как и в поле «пароль».

Из-за этого, время вычисления хеша имеет огромное значение.

Нет, это не другой вопрос. И учти, что хеш функция там не sha512, а sha512(salt+sha512(salt+(... sha512(salt+x)...)))

ну вот ты вместо «быстрой» функции sha, применяешь медленную. И доказываешь мне тут, что «функция должна быть быстрой». Делить на ноль нельзя.

я чёта не понял про аес256. ну выпустила интел проц с поддерждкой аес. ну это ж для криптовки, как это влияет на криптостойкость то? если я ничего не путаю, вообще никак не должно влиять.

ну вот например возможны такие атаки:

В октябре 2005 года Даг Арне Освик, Ади Шамир и Эран Трумер представили работу с описанием нескольких атак, использующих время выполнения операций для нахождения ключа. Одна из представленных атак получала ключ всего лишь после 800 операций шифрования. Атака требовала от криптоаналитика возможности запускать программы на той же системе, где выполнялось шифрование[17].

В декабре 2009 года была опубликована работа, в которой использование дифференциального анализа ошибок (англ. Differential Fault Analysis) позволило восстановить ключ за 2^32 операций[18].

это самое понятие «та же система» было-бы очень дорогим удовольствием, если-бы было реализовано программно (это потребовало-бы точного соответствия чипсета/памяти/процессора, причём не только типа, но и даже серии устройств, вплоть до ревизии). Однако, в процессорах от intel лепят одну и ту же схему, как известно. Да и купить процессор «как у тебя» можно ведь за <$100. Я угадал? Ну а 2^32 блока по 128 бит, это ведь всего 64Гб информации. Не так уж и много для криптоФС.

соль придумали для тех юзеров, которые не в состоянии придумать пароль, который не ломаем словарём ЭллочкиЛюдоедочки.

Не важно для кого ее там придумали, она не даст тебе составить словарь.

ну вот ты вместо «быстрой» функции sha, применяешь медленную.

Что бы пользователь не выбрал, сложность вывода ключа из пароля будет одна, и определяется она параметром --iter-time. Так что брать нужно не самую медленную, а самую криптостойкую.

ты просто почему-то думаешь, что «множество очень большое, потому не важно, сколько занимает одна проверка»

Проверка будет занимать примерно одно время. Можно было бы еще как-то понять совет типа «бери ту хеш-функцию, для которой пока нет эффективной аппаратной реализации». Но выбрать такую функцию — задача намного более сложная, чем просто «взять самое медленное из того, что предлагает бенчмарк».

Атака требовала от криптоаналитика возможности запускать программы на той же системе, где выполнялось шифрование

[offtop]Гопник Вася проводит side-channel-attack на отжатом ноутбуке.[/offtop]

Они замеряли время выполнения операций во время работы с зашифрованным разделом. Просто иметь шифротекст недостаточно.

Не важно для кого ее там придумали, она не даст тебе составить словарь.

мне — даст. А вот тебе — она даёт чувство сухости и защищённости, как и твой allways.

Что бы пользователь не выбрал, сложность вывода ключа из пароля будет одна, и определяется она параметром --iter-time. Так что брать нужно не самую медленную, а самую криптостойкую.

что значит «самую криптостойкую»? md5 по твоему «не самая»? Обоснуй.

Проверка будет занимать примерно одно время. Можно было бы еще как-то понять совет типа «бери ту хеш-функцию, для которой пока нет эффективной аппаратной реализации». Но выбрать такую функцию — задача намного более сложная, чем просто «взять самое медленное из того, что предлагает бенчмарк».

дык думаешь у злоумышленника бенчмарк покажет что-то принципиально иное? А я думаю — тоже самое. (исключая AES, для которого у меня нет реализации, а вот у врага — может и есть в его CPU).

угу, спасибо большое за ссылочки. проерять лень поэтому верю на слово что «на той же системе» означает «на такой же».

а вот по второму вопросу - я не спец в вопросе, так, любопытствующий, но

1)

Ну а 2^32 блока по 128 бит, это ведь всего 64Гб информации.

разве не порядка 500Гб? что то дважды пересчитал, у меня получаетяс в районе 500Гб, а не 64Гб как у тебя.

2) разве речь не об aes256? тогда кол во информации увеличится вдвое(?) т.е. не 500Гб а порядка 1Tb

3) не понял при чём здесь количество информации в ФС, честно говоря, но если считать что ты прав и это важно, то важно ли что 64 увеличилось до 1Тб?

Гопник Вася проводит side-channel-attack на отжатом ноутбуке

кто тебе сказал, что гопник вася действует именно по своей инициативе? Откуда он знает, что у тебя есть ноут с инфой, которую можно выгодно продать?

Они замеряли время выполнения операций во время работы с зашифрованным разделом. Просто иметь шифротекст недостаточно.

просто иметь шифротекст недостаточно. Но достаточно иметь аналогичную машину. И ещё — шифротекст.

Раньше этот риск был гипотетическим, ибо типов машин было слишком много, и было-бы сложно узнать, на какой шифровали. Но сейчас всё несколько изменилось, ибо выкрасть десктоп намного сложнее лаптопа. А ещё и инициатива intel...

мне — даст.

Нет, не даст. Размер словаря умножится на количество возможных вариантов соли.

что значит «самую криптостойкую»?

Для которой выявлено меньше уязвимостей. Это конечно для особых параноиков, которых дефолт не устраивает.

дык думаешь у злоумышленника бенчмарк покажет что-то принципиально иное?

Наоборот. Можешь хеш функцией считать PBKDF, время выполнения которой всегда равно одной секунде, независимо от того, что там указано в --hash.

поэтому верю на слово что «на той же системе» означает «на такой же».

дык процессоры все одинаковые. И легко детектируются. Это если процессор данные из внешней памяти может ждать и 35 и 36 тактов, то внутри он полностью детерминирован AFAIK.

разве не порядка 500Гб? что то дважды пересчитал, у меня получаетяс в районе 500Гб, а не 64Гб как у тебя.

128 бит == 16 байт. 2^32 == 4Г. 4Г*16 == 64Г

разве речь не об aes256? тогда кол во информации увеличится вдвое(?)

там ключ 128/192/256, а данные всегда 128.

не понял при чём здесь количество информации в ФС, честно говоря, но если считать что ты прав и это важно, то важно ли что 64 увеличилось до 1Тб?

да, важно. Ключ в 256 бит выбирается случайным один раз в начале сессии, и потом шифруется достаточно длинным ключом как минимум в 1024 бита(в OpenPGP дефолт 2048, а как в криптоФС я не в курсе. По разному). Но вот криптование самой ФС происходит сессионным ключом в 256 бит(или даже меньшим, например 128 или даже 64 бита. Чем меньше, тем меньше оверхед)

Вряд-ли кто-то за сессию запишет 1Т. А вот 64Г — легко.

просто иметь шифротекст недостаточно. Но достаточно иметь аналогичную машину. И ещё — шифротекст.

Дай ка ссылку. То о чем ты говоришь, называется атака по сторонним каналам, для которой требуется косвенный доступ к системе. То есть например, один пользователь работает с зашифрованными файлами, а другой зашел через ssh и мониторит загрузку процессора процессами первого пользователя.

Нет, не даст. Размер словаря умножится на количество возможных вариантов соли.

да. Но только если мне эта соль не известна. А она — известна, и лежит рядом с данными в открытом виде.

Для которой выявлено меньше уязвимостей. Это конечно для особых параноиков, которых дефолт не устраивает.

это бред сивой кобылы в лунную ночь: я тебе сейчас придумаю функцию, для которой НЕТ выявленных уязвимостей(я же её только-что придумал!), она по твоему «самая лучшая»? С другой стороны, используют как раз те функции, для которых уязвимости таки есть. Все идиоты, а только ты самый умный?

Наоборот. Можешь хеш функцией считать PBKDF, время выполнения которой всегда равно одной секунде, независимо от того, что там указано в --hash.

в таком случае её стойкость в «моём» смысле тоже будет одинаковой.

То о чем ты говоришь, называется атака по сторонним каналам

это пример. Одна из атак, для которой не нужно обращать хеш. Есть и другие атаки. И чем быстрее мы умеем применять функцию шифрования, тем быстрее мы её взломаем.

128 бит == 16 байт. 2^32 == 4Г. 4Г*16 == 64Г

твоя правда, забыл перевести биты в байты.

спасибо за ответы

А она — известна, и лежит рядом с данными в открытом виде.

У тебя не будет готового словаря хеш->пароль. Соответственно обратить хеш за константное время ты уже не сможешь.

я тебе сейчас придумаю функцию, для которой НЕТ выявленных уязвимостей

Прекращай шланговать. Твою функцию никто в глаза не видел, какие могут быть выявленные уязвимости.

в таком случае её стойкость в «моём» смысле тоже будет одинаковой.

И сложность перебора будет одинаковой. А значит все равно, что там внутри - быстрый sha1 или медленный rmd160.

Есть и другие атаки.

Где же они? Везде либо требуется терабайты пар открытый текст-широтекст либо они ускоряют перебор всего в 2-4 раза.

У тебя не будет готового словаря хеш->пароль. Соответственно обратить хеш за константное время ты уже не сможешь.

это смотря что за соль, что за хеш, и что за пароль.

Прекращай шланговать. Твою функцию никто в глаза не видел, какие могут быть выявленные уязвимости.

это ты прекращай. В твоём критерии не было «в глаза видел».

И сложность перебора будет одинаковой. А значит все равно, что там внутри - быстрый sha1 или медленный rmd160.

да, если криптоаналитег будет делать точно также как ты, и не придумает ничего лучше.

Где же они?

может займёшься самообразованием? Направления я показал. А ты как гоблин какой: «сломай „мою“ страничку фконтакте, тогда поверю». Тебе надо — ты и ломай. Не надо — не ломай, и свято верь в свою неуязвимость.

это ты прекращай. В твоём критерии не было «в глаза видел».

Продолжаешь шланговать? Мы про cryptsetup говорим и про поддерживаемые им алгоритмы.

да, если криптоаналитег будет делать точно также как ты, и не придумает ничего лучше.

Ты мысль на середине не обрывай, продолжай.

может займёшься самообразованием? Направления я показал. А ты как гоблин какой: «сломай „мою“ страничку фконтакте, тогда поверю».

Да нет, это ты тут утверждаешь что знаешь какие-то способы легко сломать aes или построить словарь для любых хешей и солей. Только единственный пример, которого я от тебя дождался — цитата с википедии.

КУДА вводишь? Система-то зашифрована паролем, который лежит на $HOME. Как ты её загрузил с зашифрованного винчестера ПЕРЕД расшифровкой?

В приглашение cryptsetup ввести пароль.
Объясняю ещё раз: система стоит на ssd, зашифрован хомяк, для его активации при загрузке системы вводится пароль, хомяк монтируется и на нём лежит ключ от винта с бекапами и прочим хламом, винт монтируется без пароля. Похерится хомяк - всё равно будет возможность восстановить зашифрованные данные с винта, т.к. кроме ключа можно использовать и пароль. Это как с ссш - можно каждый раз вводить пароль, а можно скопировать на сервер публичный ключ в ~/.ssh/authorized_keys.

что, дал свой ноут какому-то му*аку, и он не смог загрузится?

При чём тут какой-то мудак? Всё делается и проверяется собственноручно.

Вообще у SSD и жестких дисков есть функция — пароль. Задаётся в BIOS. Шифрования может там и нет или есть но ненадёжное, но чтоб сбросить пароль, не уничтожив данные придётся повозиться.

У меня было много компов с разными биосами и я почему-то нигде такой функции не видел. Пароль ставится обычно на сам биос и он благополучно сбрасывается путём изъятия батарейки. Пойду покопаюсь, но говорю, для меня пароль на винт/ssd - новость.

Бываешь когда нибудь в жаббере указанном в анкете? Добавил тебя, когда будешь - свистни плз.

Ну что, можешь поздравить, я на aes-cbc-essiv:sha256 :)

Разбил SSD таким образом:

1. GPT (2mb)
2. boot, ext4 (200mb)
3. lvm
      |_ lvm - root, 15Gb (aes-cbc-essiv:sha256)
      |_ lvm - home, 20Gb (aes-cbc-essiv:sha256)
      |_ lvm - data, остальное место (без шифрования)

Root монтируется по паролю, хомяк автоматом по ключу через /etc/home.key (и винт с бэкапом через backup.key). Пока что полёт нормальный :)

/me пошёл курить TRIM

TRIM завёл. Решил отписать сюда, вдруг кому ещё пригодится.

/etc/fstab:

/dev/mapper/root       	/         	ext4  	discard,noatime,nodiratime,errors=remount-ro,commit=600	0 1 
/dev/mapper/home        /home           ext4    discard,noatime,nodiratime,errors=remount-ro,commit=600 0 2

root		/dev/mapper/MySSD-root		none	luks,discard
home	       /dev/mapper/MySSD-home		/etc/home.key	luks,discard

...
    issue_discards = 1 
...

GRUB_CMDLINE_LINUX="cryptdevice=/dev/mapper/MySSD-root:root:allow-discards"

# grub-mkconfig >/boot/grub/grub.cfg

Проверяем:

# fstrim -v / ...
# fstrim -v /home ...

Добавил в джаббере.

Разбил SSD таким образом:

Ну вобщем нормально, хотя при такой конструкции теряешь возможность иметь блочный своп-раздел, файл хоть и будет шифрован, но будет размазываться с фрагментацией файловой системы, опять же зависит от того насколько часто пользуешься s2disk.

Root монтируется по паролю, хомяк автоматом по ключу

Да, у меня data монтируется похоже.

Какой алгоритм, скорость на реальном диске? (всегда люблю данные по скорости с реальных разделов и файловых систем, а не в ramfs)

Тут ещё некоторые цифры.

Ты живёшь в каком-то придуманном мире

А где я говорил, что крипторут панацея от 3х кг героина и от войны во всём мире? Не надо додумывать за меня.

Я просто указал, что помимо защиты от несанкционированного доступа к личным секретам, шифрование обеспечивает целостность и неподменяемость данных в указанных случаях и при указанных условиях.

Просто такого риска не существует. Если ты конечно действительно не являешься [список врагов человечества]

Да вот как раз существует. Скажем, ты хакер-энтузиаст, столманист, коммунист, открыл эксит-ноду, отключил кеши, или например открыл онион сайт, на котором вывесил лозунг «Свободу Леонарду Пелтиеру!»

В достаточно сильно формализованном и заурегулированном государстве будет не просто взять и найти у тебя данные которых там нет.

Доводы уровня «терморектальный криптоанализ» и «3кг героина» оставь для срачей в толксах.

На самом деле, полно других рисков, от которых и нужно защищаться.

Это выходит за рамки конкретной линии о конкретном преимуществе шифрования.

К слову шифрование в таком случае обоюдоострое, если ты согласился и под хэши выдал пароли - то тут уже что найдут - то твоё. Что тоже надо понимать.

Какой алгоритм, скорость на реальном диске? (всегда люблю данные по скорости с реальных разделов и файловых систем, а не в ramfs)

Тоже интересно, еще интересно насколько LVM добавляет тормозов, хочу у себя на нетпуке так же разбить. Мне LVM сильно бы пригодился, но это все таки слабый нетбук.

еще интересно насколько LVM добавляет тормозов

Не добавляет.

еще интересно насколько LVM добавляет тормозов

Не добавляет.

Поверю на слово :)

Да нет, это ты тут утверждаешь что знаешь какие-то способы легко сломать aes или построить словарь для любых хешей и солей. Только единственный пример, которого я от тебя дождался — цитата с википедии.

ты наверное ждал, что я сломаю твою асечку в качестве пруфа? Или может выложу твою фотку с флажком в попе?

Не, не туда ты пишешь, и не тому.

Главное — не слушайте emulek'а, у которого на одно зерно мудрости приходится тонна словесного бреда.

Объясняю ещё раз: система стоит на ssd, зашифрован хомяк, для его активации при загрузке системы вводится пароль, хомяк монтируется и на нём лежит ключ от винта с бекапами и прочим хламом, винт монтируется без пароля. Похерится хомяк - всё равно будет возможность восстановить

у тебя тут три сущности: 1. система

2. хомяк

3. файлопомойка

Причём пароль от №3 хранится в двух местах: во первых в №2, во вторых в твоей голове.

У меня что-то вроде этого. Но иначе:

1. система

2. хомяк(в RAM), ключ от которого лежит в №1 но зашифрован пассфразой в моей голове

3. файлопомойка. Ключ лежит на №2, но зашифрован другой пассфразой

Это как с ссш - можно каждый раз вводить пароль, а можно скопировать на сервер публичный ключ в ~/.ssh/authorized_keys.

там не так.

emulek (01.12.2013 11:26:02) «специалист» по криптографии>ты наверное ждал, что я сломаю твою асечку в качестве пруфа? Или может выложу твою фотку с флажком в попе?

Ты бы сливался молча и не позорился.

Я просто указал, что помимо защиты от несанкционированного доступа к личным секретам, шифрование обеспечивает целостность и неподменяемость данных в указанных случаях и при указанных условиях.

нет. Ты мешаешь всё в одну кучу. Давай таки разделим:

1. симметричное шифрование. Да, спасает. Но к сожалению, от ректального криптоанализа НЕ помогает. Паяльник тебе в задницу, и ты сам выдашь свой пароль кому угодно. Далее на твой диск пишем зашифрованное «тобой» CP, и закрываем следствие. А на суде рассказываем судье про «наших хакеров, взломавших пароль педофила». Доказательства — вот они, на твоём диске, зашифрованные твоим паролем.

2. асимметричное шифрование помогает от ректального криптоанализа. Можно уничтожить секретный ключ. Даже если его не уничтожить, то всё равно, CP может кто угодно положить на твой диск. Это не баг, а фича. Потому невозможно доказать, что это сделал ты.

Доказать, что CP твоё можно лишь тогда, и только тогда, когда ты это CP подписал своей подписью. Но ЗАЧЕМ тебе это делать??? Разве что это CP лежит на криптоФС, которая ВСЁ подписывает и шифрует. В том числе и CP, которое шифровать может и нужно, но вот подписывать как раз наоборот — опасно.

К слову шифрование в таком случае обоюдоострое

симметричное — да, это так. Также и асимметричное, если у тебя шифрование И подпись сразу.

1. да, иногда надо И шифрование, И подпись

2. иногда нужно только шифрование, например для CP. В этом случае нельзя доказать, что файл твой.

3. иногда нужна только подпись. Например для системных файлов. Зачем их скрывать? Достаточно только проверить.

Ты бы сливался молча и не позорился.

ну так какого рода «пруфов» ты от меня ждёшь?

Это ты решай, какого рода пруфы ты можешь предоставить.

я уже решил — ищи пруфы в другом месте. Если не желаешь знать теорию, ломай асечки и общайся с себе подобными.

вот любят у нас люди приписывать терморектальному криптоанализу припысываются прямо волшебные свойства...

... только как то забывают, что а) такой тип криптоанализа незаконный б) если к человеку не просто так пришли, то успешный криптоанализ может привести к многолетнему продолжению в ИК.

P.s.: псевдо позитивная мотивация лучше.

вот любят у нас люди приписывать терморектальному криптоанализу припысываются прямо волшебные свойства...

ты читай внимательно.

такой тип криптоанализа незаконный

а дубинкой по почкам законно? Ну значит будут дубинкой пароли выбивать, тебе от этого легче? Есть ещё родственники, есть ещё медикаменты. Много чего есть у следователя-криптоаналитика.

если к человеку не просто так пришли, то успешный криптоанализ может привести к многолетнему продолжению в ИК.

приходят не «просто так», а исключительно по доносу. И в Этой Стране есть только одна эффектная защита от доноса — стань бомжом. (тогда и только тогда)Даже если на тебя донесут, менты тебя не заметут, ибо ты не нужен.

Ты рисуешь какую-то анархичную страну, с пытками и прочими крайностями...

Все же намного проще. Есть фирма, есть компы, есть желание конкурентов фирму закрыть. Серьезным гос. структурам я думаю абсолютно пофиг на нас. Мы сайты не ломаем, деньги не крадем, оружия и наркотиков не производим и не продаем, к массовым волнениям и митингам отношения не имеем. Эдакое типовое микропредприятие или малый бизнес. И вообще мы налоги все платим, поэтому государство и муниципалитет должны нам всячески способствовать и защищать... так то.

Никаких доносов или еще чего-то с такими небольшими (для уровня организаций) капиталами = в реальности нет. Эти все «заявления», если и существуют, то только на бумаге и пишутся часто по согласованию. Пример, нашумевший случай с Ив-роше (заявление написали, а потом вспомнить не могут что же написали). Фактически же всегда есть реальный экономический интерес и заказ конкурентов, конечная цель который вытеснить фирму с рынка или же забрать какой-то крупный заказ. Действовать конкуренты будут с наименьшими затратами для них.

Способов этому масса, наиболее радикальным как раз являются маски шоу с изъятием техники. Некоторые русские люди ратуют только за этот способ, поскольку это красочно и круто... Для малого бизнеса изъятие дорогостоящей техники (а у нас скажем на рендеринге несколько компов нафаршированные i7 EE с еще более дорогими GPU) - это уже равноценно разорению... абсолютно реально встрять на бабки, когда ты подписался под контракт и за каждый день просрочки с тебя потребуют процент. Скажем, рабочая станция работника не работает... а работник творческий, возглавляет конструкторское бюро и без мощной системы он не сможет поиграть в GTA 25 строительство стадионов или олимпийских объектов ))) Один день простоя такой системы это десятки тысяч рублей. А что будет если выйдут из строя все такие компы и еще огромные плоттеры и 3д принтеры? Фирма уйдет в глубокий кредит на много-много лет.

Хотя вместо этих всех ректальных извращенств и масок шоу, достаточно просто изучить структуру атакуемой организации и может быть организовать эдакий «гипер-квантовый» скачок напряжения, чтобы незащищенное оборудование отправилось в ремонт. Еще дешевле наверно будет заразить компы каким-нибудь целевым деструктивным вирусом, который бы нарушал работу. Скажем все работает, печатается, но при сохранении ничего не происходит. Ну и чтобы после того, как все в офисе переругались и не сдали работу => они пошли к продвинутой кофеварке на *никсах и протрояненная кофеварка выдали бы им адской слабительной смеси. * дешево, умно и заказчик в тени... ... а жопы атакуемых все равно пострадали :D :D :D

Ты рисуешь какую-то анархичную страну, с пытками и прочими крайностями...

хм... А вы в России бывали?

Хотя вместо этих всех ректальных извращенств и масок шоу, достаточно просто изучить структуру атакуемой организации и может быть организовать эдакий «гипер-квантовый» скачок напряжения, чтобы незащищенное оборудование отправилось в ремонт. Еще дешевле наверно будет заразить компы каким-нибудь целевым деструктивным вирусом, который бы нарушал работу. Скажем все работает, печатается, но при сохранении ничего не происходит.

ну всё так и делается конечно. Но со скачками напряжения справляются UPSы. А вот с вирусами — тут сложнее. Обычно достаточно обеспечить отсутствие маздая и соцсетей(или анально их огородить). Этого достаточно. Способ с «мегавирусом» становится намного более дорогим, чем все остальные. Ну а остальные — это уже не моя головная(и анальная) боль. Этим другой отдел СБ занимается.

Вопрос только в стоимости атаки. Необходимо и достаточно обеспечить чуть большую стоимость, и тогда атака будет направлена по иному вектору.

Если вдруг кому интересно, то я выбрал следующее:

thinkpad # cryptsetup luksDump /dev/mapper/MySSD-home

LUKS header information for /dev/mapper/MySSD-home

Version:       	1
Cipher name:   	twofish
Cipher mode:   	xts-plain64
Hash spec:     	sha512
Payload offset:	4096
MK bits:       	256

Хотя сначала поставил aes-cbc-essiv:sha256. Сменил потому что скорость просто бешено отличалась (особенно с чтением). Советую погонять сначала в памяти `cryptsetup benchmark` и посмотреть с чем ваш проц справляется лучше всего, а потом погонять на том устройстве куда вы собираетесь это ставить например с помощью этого скрипта.

Пока всем доволен. Спасибо всем тем кто принимал участие. Интересный топик получился :)

С aesni выбор невелик (%

#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   606,0 MiB/s  2168,0 MiB/s
 serpent-cbc   128b    88,3 MiB/s   301,0 MiB/s
 twofish-cbc   128b   188,4 MiB/s   349,3 MiB/s
     aes-cbc   256b   440,6 MiB/s  1639,0 MiB/s
 serpent-cbc   256b    88,9 MiB/s   299,0 MiB/s
 twofish-cbc   256b   187,1 MiB/s   351,0 MiB/s
     aes-xts   256b  1813,0 MiB/s  1815,0 MiB/s
 serpent-xts   256b   308,7 MiB/s   295,1 MiB/s
 twofish-xts   256b   346,7 MiB/s   348,0 MiB/s
     aes-xts   512b  1401,0 MiB/s  1416,0 MiB/s
 serpent-xts   512b   305,1 MiB/s   290,1 MiB/s
 twofish-xts   512b   343,0 MiB/s   346,7 MiB/s

иногда нужна только подпись. Например для системных файлов.

Ну мы тут типа заждались пруф-оф-консепт.

Паяльник

Фраза «в указанных случаях и при указанных условиях» тебе видимо не понятна.

aes-xts 256b 1813,0 MiB/s 1815,0 MiB/s

Нифига себе скорость! Даа, теперь я понимаю что такое проц с поддержкой аппаратного шифрования AES.

С aesni выбор невелик (%

Ну так он не все доступные алгоритмы просто тестирует. Посмотри вот тут более полный список: http://blog.wpkg.org/2009/04/23/cipher-benchmark-for-dm-crypt-luks/ (если я всё правильно понял)

иногда нужна только подпись. Например для системных файлов.

Ну мы тут типа заждались пруф-оф-консепт.

пруф чего, простите?

Нифига себе скорость! Даа, теперь я понимаю что такое проц с поддержкой аппаратного шифрования AES.

это не скорость. Это верхний теоретический предел в сферическом вакууме.