Linux
Linux 中硬體輔助磁碟加密的現狀
我使用dm-crypt加密分區。我正在使用消費者(或專業消費者)類別的硬體建構小型辦公伺服器。這讓我想知道,硬體輔助加密多年來一直是一個概念,它成為現實了嗎?
我的問題的兩個關鍵點是:
- 主流製造商(華碩、技嘉等)是否使用這些(廉價)晶片出貨產品?
- Linux 核心是否有一個(相當老的)硬體實現以及與 dm-crypt 的集成?
獎勵:與TPM 晶片相同的兩個問題。製造商是否已經將它們集成到他們的硬體中?Linux 是否支持它們?他們加快了速度嗎?他們有任何性能優勢嗎?
Via C3 系列 CPU 集成了一種稱為“Via Padlock”的技術。這是 CPU 中的硬體加速加密。Linux 核心很快就獲得了對此的支持。同樣,許多現代 CPU(例如 Intel Sandy Bridge)都支持 AES-NI(AES 本機指令)指令集。這些指令在硬體中本地實現部分 AES,顯著提高了加密速度。Linux 核心也支持這些指令。
我不確定您指的是哪種“便宜”晶片。雖然有硬體加密加速器,但這些都遠非便宜。我最後一次看它們時,它們每個都是數千美元。它們(通常)用於 VPN 集中器或執行大量 HTTPS 流量的網路伺服器。(換句話說,幾乎所有連接都被加密的系統。)Linux 核心支持其中一些設備。
至於TPM晶片:TPM晶片可以儲存加密密鑰,相信Linux核心支持。TPM 晶片不執行加密操作(從技術上講,它們可以執行,但不適用於磁碟加密之類的事情),因此對 dm-crypt 沒有任何好處。