Linux T400 & Siducation: Entschlüsselung dauert ewig

[stollen]

Hi,

ich habe auf einem T400 mit 8 GB und 512 GB Siduction (basiert auf Debian Sid) installiert und die SSD mit Luks verschlüsselt.

Nun dauert es nach der Eingabe der Passphrase sicherlich 1 Minute bis der Bootprozess fortgesetzt wird.

Woran könnte das liegen?

 

[Schwartz]

Verschlüsselung passiert in 2 Teilen, grob gesagt. Einmal die Authentifizierung des Passworts mit Hash, Key-Transformationen usw. Und dann die Ver- und Entschlüsselung der Daten selber. Der 1. Teil kann wenn die Wiederholungen sehr hoch gesetzt sind (Bei VeraCrypt wäre das die PIM-Nummer) oder die Key-Funktion sehr komplex ist eine Weile dauern. Wobei 1 Minute schon extrem ist.

Würde ich evtl. nochmal neu machen mit anderen Settings. Vorher z.B. mal den cryptsetup benchmark laufen lassen wo du alles auf Performance testen kannst. Als ich das letzte mal das auf meinem X200 getestet hatte war Serpent z.B. auch schneller als AES.

cryptsetup-benchmark(8) — Arch manual pages

man.archlinux.org

Mit der Option --pbkdf <PBKDF spec> kannst du die Wiederholungen gezielt einstellen.

 

[hikaru]

Als ich das letzte mal das auf meinem X200 getestet hatte war Serpent z.B. auch schneller als AES.

Ergänzend dazu:
Die CPUs aus dieser Generation können noch kein aes-ni. Die Entschlüsselung ist also nicht hardwarebeschleunigt und muss daher in Software passieren.

Dass die Entschlüsselung eine Minute dauert, wundert mich allerdings trotzdem. Ich habe ein altes Subnotebook mit T7600, also noch einen Tick älter und ich meine, die Entschlüsselung der root-Partition (Passwort), sowie dreier Datenpartitionen (Key-Files) dauert insgesamt weniger als eine Minute.
Welchen Algorithmus ich da verwendet habe weiß ich aus dem Kopf nicht mehr. Ich meine, einen Benchmark gemacht zu haben, weiß aber das Ergebnis nicht mehr, und auch nicht ob die Unterschiede signifikant genug waren, um mich gegen AES zu entscheiden.

 

[Schwartz]

Ja, der Linux-Kernel hat eine gute Implementierung für Serpent und auch Twofish die rein in Software eben durch effizienten Code mehr konnten als AES. So was er zumindest vor ein paar Jahren und mit meinem P8700. Alles mit AES-NI wird natürlich idealerweise AES nehmen.

Entschlüsselt wird auch nicht die komplette Partition sondern erstmal nur der Key, der dann danach in Echtzeit verwendet wird um die Daten zu lesen oder zu schreiben. Aber durch die komplizierte Methode (sie soll ja Sicher sein) mit vielen tausend Wiederholungen dauert es eben. Das ist auch Teil des Sicherheitskonzeptes. Wenn man dafür 10 Sek. braucht pro Versuch, dann kann man nicht mal eben 50.000 Passwörter probieren.

 

[mtu]

Fazit: Wenn nicht ein andersartiger Fehler vorliegt, hast Du vermutlich einen Algorithmus gewählt, der Deinen Prozessor beim „Aufschließen“ außergewöhnlich stark belastet.

Wenn Du das System nicht sofort neu aufsetzen willst, kannst Du mit einem Live-System, oder auf einer anderen Festplatte, oder auf noch einem anderen Weg ja nochmal testen, eine Verschlüsselung einzurichten. So kannst Du vielleicht herausfinden, ob es an den Einstellungen liegt oder so.

 

[mcb]

Ist /boot auch verschlüsselt? Das führt zu üblen Gedankenpausen.

 

[stollen]

Danke für die zahlreichen Rückmeldungen!

Vorher hatte ich MX Linux drauf, da ging die Entschlüsselung subjektiv deutlich schneller. Eine plausible Erklärung, weshalb es nun so langsam voran geht habe ich nicht.

Fazit: Wenn nicht ein andersartiger Fehler vorliegt, hast Du vermutlich einen Algorithmus gewählt, der Deinen Prozessor beim „Aufschließen“ außergewöhnlich stark belastet.

Da ich einfach den Installer von Siduction gefolgt bin, habe ich das Häkchen bei "Festplatte verschlüsseln" gesetzt. Einen bestimmten Algorithmus habe ich nicht bewußt ausgewählt bzw. erinnere ich nicht mehr, ob das überhaupt möglich war.

Ist /boot auch verschlüsselt? Das führt zu üblen Gedankenpausen.

Wie kann ich denn 1) herausfinden, ob /boot verschlüsselt ist und 2) wie bekomme ich die im Zweifelsfall wieder los?

 

[Ambrosius]

Wie kann ich denn 1) herausfinden, ob /boot verschlüsselt ist

Ruf mal gparted oder die Partitionsverwaltung von KDE auf, das erkennst du dann am Schloss neben der Partition

 

[mcb]

...

Wie kann ich denn 1) herausfinden, ob /boot verschlüsselt ist und 2) wie bekomme ich die im Zweifelsfall wieder los?

Gib uns mal ein

lsblk

Beispiel Ausgabe (Debian 11):

lsblk
NAME                  MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
nvme0n1               259:0    0 476.9G  0 disk 
├─nvme0n1p1           259:1    0   512M  0 part  /boot/efi
├─nvme0n1p2           259:2    0   488M  0 part  /boot
└─nvme0n1p3           259:3    0   476G  0 part 
  └─nvme0n1p3_crypt   253:0    0 475.9G  0 crypt
    ├─t490--vg-root   253:1    0  27.9G  0 lvm   /
    ├─t490--vg-swap_1 253:2    0   976M  0 lvm   [SWAP]
    └─t490--vg-home   253:3    0   447G  0 lvm

 

[Ambrosius]

Die Boot Partition wird für gewöhnlich aber nicht verschlüsselt, zumindest nicht unter Luks

 

[mcb]

Die Boot Partition wird für gewöhnlich aber nicht verschlüsselt, zumindest nicht unter Luks

Ab Debian 12 aber schon. Ich habe es sebst noch nicht probiert.

 

[der_holzwurm]

Ruf mal gparted oder die Partitionsverwaltung von KDE auf, das erkennst du dann am Schloss neben der Partition

Wimre, das Vorhänge-Schloß-Symbol zeigt eigentlich nur, dass die Partition eingehangen ist und sie erst ausgehangen werden muss, wenn sie bearbeitet werden soll.....