Dateisystem verschluesseln mit ZFS und AES128

Mit Solaris 11 Express ist nun auch die Dateisystemverschluesselung mit ZFS verfuegbar.  Damit schliesst Solaris eine Luecke, die zumindest fuer all jene Festplatten die man ueblicherweise mit sich herumtraegt, dringend geschlossen werden musste.  Aber natuerlich gibt es auch viele gute Gruende, die im RZ gut gesicherten Festplatten zu verschluesseln - schliesslich werden auch diese irgendwann einmal das RZ verlassen...

Genug der Vorrede - so einfach geht das Ganze: 

  1. Der Zpool, der das zu verschluesselnde Dateisystem enthalten wird, muss mindestens auf Version 30 gebracht werden.  Das geht mit einem einfachen "zpool upgrade <poolname>.  Bei einem neu installierten Solaris 11 Express entfaellt dieser Schritt natuerlich.
  2. Jetzt kann man ein neues Dateisystem anlegen: zfs create -o encryption=on <poolname/newfs>
    Das Kommando fragt jetzt interaktiv nach einem Passwort, aus dem der Schluessel fuer das Dateisystem erzeugt wird. Und schon ist es fertig.  Ein Dateisystem nachtraeglich verschluesseln geht nicht.  Natuerlich gibt es weitere Optionen fuer den Schluessel, die in der Manpage beschrieben sind.

Ebenfalls gibt es diverse Wahlmoeglichkeiten bei der Schluessellaenge fuer AES.  Die einfache Variante mit "encryption=on" waehlt AES-128 im CCM Modus.  Alternativ koennen auch 192 oder 256 Bit Schluessel verwendet werden.  Bei der Entwicklung von ZFS crypto wurde diskutiert, welche Schluessellaenge als Default verwendet werden sollte.  Die Wahl fiel aus zwei Gruenden auf 128 Bit:  Erstens ist die Verschluesselung, insbesondere wenn keine Hardware-Beschleunigung wie bei der SPARC T2/T3 oder Intel 5600 CPU vorhanden ist, bei 128 deutlich weniger aufwendig als bei den groesseren Schluessellaengen.  Zweitens gibt es neue Untersuchungen und auch erfolgreiche Angriffe auf AES256 und AES192 mit Aufwaenden von nicht mehr als 2\^39.  Diese Angriffe greifen bei AES128 nicht, weswegen diese Variante nicht nur schneller, sondern auch sicherer ist als die Variante mit groesserer Schluessellaenge.

Weitere Details zu ZFS Crypto gibt es im ZFS Admin Guide.

Kommentare:

Hi,
ich finde durch solche Artikeln(blogs), bekomme ich viele kleine wichtige Informationen! Und wenn ein Thema Aktuel wird, kann ich Zielgerecht danach suchen!

Gesendet von Saeed Amiri-Soltani am November 24, 2010 at 10:10 PM MEZ #

Senden Sie einen Kommentar:
Kommentare sind ausgeschaltet.
About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute