LVM-Verschlüsselung

german
lvm
security
ucs

#1

Hallo,

wie viel langsamer macht eine LVM-Verschlüsselung UCS?
Wäre eine solche Verschlüsselung z.B. für einen Standortserver außerhalb des RZs sinnvoll?
Wenn UCS virtualisiert wird (Host ist verschlüsselt) ist hier noch eine LVM-Verschlüsselung sinnvoll, falls z.B. die virtuelle Disk mal exportiert oder gesichert wird und auf dem Zielmedium ist keine Verschlüsselung vorhanden? Erhöht eine verschachtelte Verschlüsselung die Sicherheit?


#2

Moin,

wie viel langsamer macht eine LVM-Verschlüsselung UCS?

Sofern Deine CPU AES-NI unterstuetzt, sollte es keinen merkbaren Unterschied in der Performance geben.

Wäre eine solche Verschlüsselung z.B. für einen Standortserver außerhalb des RZs sinnvoll?

Wenn die Gefahr besteht, dass jemand ungehindert an die Hardware kommt, dann ist es durchaus sinnvoll.

Wenn UCS virtualisiert wird (Host ist verschlüsselt) ist hier noch eine LVM-Verschlüsselung sinnvoll, falls z.B. die virtuelle Disk mal exportiert oder gesichert wird und auf dem Zielmedium ist keine Verschlüsselung vorhanden? Erhöht eine verschachtelte Verschlüsselung die Sicherheit?

Wenn Du bereits den Host verschluesselt hast, waere eine zusaetzliche Verschluesselung im LVM kein Mehrgewinn an Sicherheit. Abgesehen davon kommt es drauf an, wie Du verschluesselst. Ein LUKS mit LVM drueber bringt Dir auf einem anderen Zielmedium nichts, da das LVM im entschluesselten Container liegt. Hier muesstest Du das darunterliegende Device erneut verschluesseln.

freundliche Gruesse
bytemine GmbH


#3

Moin,

danke für die Rückmeldung und auf­schluss­reiche Beantwortung meiner Fragen.

Sollte der Host nicht verschlüsselt sein, wäre die Verschlüsselung von UCS (in einer VM) auch kein Mehrgewinn an Sicherheit?


#4

Huhu,

Das hängt von den Bedrohungsszenarien ab. Verschlüsselung des Clients hilft gegen unberechtigten physikalischen Zugriff (z.B. ganzer Virtualisierungsserver wird geklaut). Allerdings hilft die Verschlüsselung nicht, wenn jemand anderes noch Zugriff auf den Virtualisierungs-Host hat, weil die Person dann im laufenden Betrieb vom Host auf den Speicher des laufenden (und damit gerade unverschlüsselten) Client hat.

Gruß
mosu