Výkon šifrovaného home adresáře v Ubuntu

No jasne, ale nasazeni databaze s ulozistem v kryptovanem adresari asi nebude nejtypictejsim pouzitim pro vetsinu lidi. Pokud tam treba mam firemni dokumenty, ktere obcas otevru, zedituji a ulozim, vysledne zpomaleni mnou moc nelomcuje a firma muze byt rada, ze se k tomu nedostane prvni stoura, ktery ukradne notebook. Je pravda, ze treba jiz vylistovani velkeho adresare je vyrazne pomalejsi, ale nikdo si snad nemyslel, ze kryptografie je zadarmo. U emailu by to mohlo trochu drhnout, pokud clovek v maileru drzi hafo starych mailu, zejmena asi u maileru, ktery drzi vsechno v jednom souboru, ale clovek si musi vybrat: rychlost nebo soukromi. Pokud nekdo potrebuje kryptovat a jeho notebook neumi primo sifrovat disk, tak je to docela sikovna vec. Navic ma treba tu vyhodu, ze neni nutno predem definovat velikost volume, jako treba u Truecryptu, kde, BTW, ke zpomaleni logicky dochazi take, protoze zadny volume neni, sifruji se jednotlive soubory, vcetne jejich nazvu.

Uz 3 mesiace mam na notebooku plne sifrovany disk, az na /boot. Vzhladom na tvrdenia o spomaleni je to zvlastne, ale ja som v prevadzke _ziaden_ rozdiel nepostrehol. Plati to rovnako pre pristup k malym suborom, kopirovanie velkych a odozvu vsetkych aplikacii, vratane Thunderbirdu s niekolko gigabajtovymi subormi.

Treba brat do uvahy ze oni pisu o sifrovanom home adresari. Sifrovana particia je nieco ine omnoho vykonnejsie ako sifrovany home. Vyskusal som oba pristupy.

Mam NB s intel core 2 duo na 2GHz. delal jsem si jednoduchy test pomoci dd if=ubuntu.iso of=/dev/null a po zasifrovani SafeGuard cele (jedine) partition spadla rychlost na polovinu proti hodnote pred zasifrovanim. (10MB/s pred; 5MB/s po)

Sluselo by se ve zpravicce zduraznit, ze pri tom testu pouzili netbook s Atomem a SSD ulozistem. Pouziti SSD muze mit na vysledky testu dost vyrazny vliv (pokud sifrovaci algoritmus pracuje s 512B bloky naivne se domnivajic, ze je pod nim normalni disk, zatimco SSD ma interni bloky mnohem vetsi). A Atom rozhodne neoplyva dostatecnym vykonem na sifrovani. Poustet na tehle sestave se sifrovanim testy vykonu databazi je pak skutecne postavene na hlavu.

Na mym domacim serveru s 3GHz C2D se sifrovani filesystemu (na urovni device mapperu – dm_crypt) projevuje pouze zvysenim zateze CPU o asi 20%, uzke misto je tam porad disk.

Na jednom starsim serveru s VIA C3 Nehemiah 1GHz je vykon sifrovani pomoci dm_crypt asi 6–8MB/s.

Ta C3 pravděpodobně nemá zavedený jaderný modul pro využití HW šifrování AES v procesoru.

V mém domácím serveru mám VIA C7 1,5 GHz a v truecryptu to dává asi 15 MB/s (tj. softwarový AES). Po zapnutí modulu pro AES to při kopírování z šifrovaného disku pomocí dm_crypt dá i po síti až 90 MB/s a CPU stále není vytížené úplně naplno.

Limitované šifrování CPU na té VIA se zdá být pouze kopírování z jednoho šifrovaného na druhý šifrovaný disk (tj. dva fyzické disky) kdy rychlost poklesne ke 30 MB/s při 100% vytížení CPU. Pravděpodobně má neustálé přepínání dvou šifrovacích klíčů značnou režii.

Proboha, proč by někdo cpal Postgres na SSD disk a navíc to šifroval přes FUSE? Ten, kdo ten test vymýšlel, to nemůže mít v hlavě v pořádku!

Mám na Athlonu X2 dvanáctidiskové šifrované (Twofish dm_crypt) RAID6 pole a podává běžně kolem 50 MBps (celkem v pohodě zvládá NFS při čtení vytížit half-duplex GLAN). Na rychlosti Postgres ani MySQL jsem rozdíl nepoznal.

A druhej blb odbornik o tom pise… Ae zvykej si.