Linuxデスクトップで、ストレージ暗号化ソリューションを選択します。長年にわたり、LUKSのLVMは優れたパフォーマンスと安定性のための最高の選択肢でした。しかし、LinuxのZFSは新しい機能を積極的に開発しているので、今では選択肢があります。
LUKSとZFSのLVMを、開発者とメンテナが提供したデフォルトの暗号化設定(LUKSの場合はaes-xts-512b、ZFSの場合はaes-256-gcm)を使用して、さまざまなfioテストと比較しました。各ボリュームタイプのRAMブロックデバイスの平均帯域幅と待ち時間指標は次のとおりです。
一見すると、チャートの比較は議論の余地があるように見えます。任意の小さなブロックでは、XTSはGTCよりはるかに高速です。しかし、順次読み書きすると、ZFSはかなりの待ち時間を示し、帯域幅が大幅に増加します!
次のうち、パフォーマンスの観点からデスクトップ作業に最適なソリューションは何ですか?今は選ぶのが難しいです。どんなアドバイスでもいただければ幸いです。
UPD1:
たとえば、一般的なストレージ操作は次のとおりです。
- Webブラウザのロード:ローカルキャッシュから100〜1000 KBに達するファイルの読み取りと書き込みの混合。
- アプリケーションの起動: 100-1000KB に近いシステム バイナリをランダムに読み込みます。
- 編集ソフトウェア:多数の小さなファイルを読み書きします。
- 写真のようなアーカイブを保存する:ほとんどの作成されたファイルは最大10 MBで、ほとんど読みません。
- ホームメディア用のUltra HDビデオなどの大容量ファイルを提供する:最大100 GBの連続書き込みまたは読み取り。
- そしてもっと。
各個々のタスクに合わせてシステムを最適化するのは簡単です。しかし、これらすべての問題に最適なソリューションは何ですか?
UPD2:
ベストアンサー1
LUKSとZFS暗号化の中からext4のfscryptを選択しました。
Fscryptはいくつかの点でわずかに弱い保護を提供します。
- ファイルメタデータ(既存のファクト、サイズ、ディレクトリ内のファイル数)を公開します。
- フルルート暗号化には使用できません。システムログまたはファイルインデックスから機密データが漏洩する可能性があります。 Exchange暗号化には追加の手順が必要です。
- 一部の構成では、暗号化が弱いハッシュによって異なる場合があります。システムパスワード影の中で。ただし、この目的のために、最新のディストリビューションではsha512をより安全な(fixme)yescryptアルゴリズムに置き換えています。
一方、fscrypt はデータに対して aes-256-xts 暗号化を提供し、ファイル名に対して aes-256-cts 暗号化をほぼライン暗号化速度で提供します。
fscryptの制限が脅威モデルに適している場合は、スループットとレイテンシの面で最高のソリューションです。