Linux中硬件辅助磁盘加密的状态

Modified on: Fri, 08 Nov 2019 22:00:02 +0800

我使用 dm-crypt 来加密分区。我正在从消费者(或支持者)类硬件构建一个小型办公室服务器。这让我很奇怪,硬件辅助加密多年来一直是空中的概念,它现实吗?

我的问题的两个要点是:

  • 主流制造商(华硕,技嘉等)是否使用这些(廉价)芯片运送产品?
  • Linux内核是否有一个(相当古老的)硬件实现和与dm-crypt的集成?

奖金:与 TPM筹码相同的两个问题。制造商是否已将它们集成到硬件中?它们是否受Linux支持?他们加速了吗?他们有任何绩效优势吗?

作者:,vbence

最佳答案

Via C3系列CPU集成了一项名为“Via Padlock”的技术。这是CPU中硬件加速的加密。 Linux内核相当迅速地获得了对此的支持。同样,许多现代CPU(例如Intel Sandy Bridge)都支持AES-NI(AES Native Instruction)指令集。这些是在硬件中本地实现AES部分的指令,显着提高了加密速度。 Linux内核也支持这些说明。

我不确定你指的是哪种“廉价”芯片。虽然有硬件加密加速器,但这些都是廉价的FAR。我最后一次看他们,他们每人数千美元。它们(通常)用于VPN集中器或执行大量HTTPS流量的Web服务器。 (换句话说,几乎所有连接都被加密的系统。)Linux内核支持其中一些设备。

至于TPM芯片:TPM芯片能够存储加密密钥,我相信Linux内核支持它们。 TPM芯片不执行加密操作(从技术上来说,它们可以执行加密操作,但不能执行磁盘加密等操作),因此对dm-crypt没有任何好处。

作者:David

相关问答

添加新评论