*** artiom [2018-01-10 18:18]: >Если же установлена опция sync=disabled, произойдёт ошибка записи?
Если опция установлена, то не, ошибок не будет, но и fsync-а по факту не будет происходить. >0.4 % - не ахти, как много. Но такой "опции" (хранить IV) никто не предлагает для полнодискового шифрования :-). Оно должно быть максимально прозрачным и не отличимым от обычной работы. А так как IV нельзя будет хранить где-то "рядом" с сектором (всё же должно быть кратно размеру сектора), то IV будет где-то в отдельной части диска -- а это значит что регулярно нужно диском ещё и считать/писать эти IV надо будет. То есть, кроме потери места, ещё и random seek добавляется. >> Но на практике в LUKS конечно не нулевой вектор используется, а ESSIV >> (encrypted salt-sector initialization vector), что уже не предсказуемо >> для злоумышленника. >> >Но один на все блоки? Для каждого блока непредсказуемый для злоумышленника. Например вы можете просто зашифровать номер сектора на ключе неизвестному злоумышленнику -- вот и будет is good enough IV. >> Как вариант. У меня один гигабайтный диск так и сделан: ZFS поверх GELI >> поверх ZVOL-а на другом ZFS :-). Просто overhead большой, что, конечно, >> неприятно. >> >А зачем так? Основной диск с системой у меня на голом ZFS. Где-то нужно иметь зашифрованный диск (почту например хранить). Выделять отдельную партицию -- геморрой (с одним ZFS разделом удобно перенести все данные просто zfs send/recv, а когда уже несколько партиций, то начинаются пляски), когда речь о всего-то гигабайте. Поэтому проще уж, забив на overhead, сделать поверх ZVOL-а было. -- Sergey Matveev (http://www.stargrave.org/) OpenPGP: CF60 E89A 5923 1E76 E263 6422 AE1A 8109 E498 57EF
