On Mon, 05 Nov 2018 13:34:58 +0000, Dominik Ałaszewski wrote:
> Od tego są backupy. Zawsze. SSD jako takie też może paść samo z siebie.

Oczywiście. Ale po co mi dodatkowe ryzyko w postaci programowej warstwy
szyfrującej.

>> - nieco obniża czas pracy na aku, niepotrzebnie obciążając CPU
>
> A szyfrowanie "w dysku" to bierze energię z baterii atomowej w tymże
> dysku?

Jakiś narzut zawsze jest, jednak sprzętowe rozwiązania mają to do siebie,
że są znacząco skuteczniejsze od programowych. Poza tym, dysk SSD *i*
*tak* już szyfruje dane na bieżąco, nawet bez ustawionego hasła.
Zahaczenie ptaszka "ATA Password: yes" w BIOS nie kosztuje więc ani
jednego dodatkowego wata.

> Poza tym, współczesne procesory mają sprzętową implementację np.
> AES i narzut jest naprawdę minimalny.

Instrukcje jednak trzeba przesłać, rozkodować, wykonać, a wyniki zwrócić.
No i nie ma żadnej gwarancji że AES-NI (czy tam inny PadLock) zostanie
faktycznie wykorzystane. To zależy od tego jak jest zbudowane dane
rozwiązanie programowe, wersji użytych bibliotek, czy system operacyjny
wpadnie na to by połączyć jedno z drugim, no i od konkretnej metody
szyfrowania którą wybrał użytkownik (jeśli miał wybór). Jasne, wszystko
się da, i wszystko może działać. Ja twierdzę tylko że hasłowanie SSD
ogranicza się do "ustaw hasło i zapomnij", czego w żaden sposób nie można
powiedzieć o alternatywach programowych.

>> - w razie cyrku z hardware, przekładka do innego PC jest mało
>> oczywista
>
> Bo? Jakoś nie mogę dostrzec problemu. Wyjmuję, wkładam, pvscan, vgchange
> -a, lvscan, mount...

Nie potrzeba żadnej dodatkowej wiedzy technicznej mówisz? hmm.

Poza tym, twoje wyjmujesz/wkładasz/pvscan działa wyłącznie pod warunkiem
że system na którym działasz wie czym jest LVM, wie jak wygląda jego
szyfrowanie w danej wersji FSa itd. Jak ratujesz się jakimś liveCD to
różnie to może wyglądać.

>> - nie szyfruje wszystkiego, działa albo tylko na wybranych katalogach,
>> albo na wybranych partycjach (nawet w przypadku tzw. rozwiązań "FDE")
>
> A to już zależy, co kto sobie wybierze i jak zaimplementuje.

Nie zależy, bo nie ma opcji aby BIOS (a tym bardziej UEFI) wystartował z
czegoś zaszyfrowanego. Ten obszar może być malutki i np. ograniczać się
do kodu w MBR lub kilku-megabajtowej partycji pomocniczej, ale jednak
musi być. A potem przy każdym update GRUBa należy się modlić by nic się
nie rozleciało. :)

> Ale co to za siłowanie? Włączasz przy instalacji systemu i zapominasz,
> że masz (no, hasło trzeba wpisywać).

Kolega żyje, zdaje się, w idealnym świecie. Szczerze zazdroszczę.

> No właśnie dla mnie niekoniecznie. Jaką masz pewność, że producent dysku
> stosownych tylnych furtek nie zaimplementował?

Algorytmy szyfrowania LVMa też mogą być dziurawe, historia zna takie
przypadki. No ale pisałem - jak komuś zależy, niech się siłuje. Ja tu
tylko wyrażam moje bardzo prywatne zdanie w temacie.

Mateusz