Риски и ограничения при использовании Cryptsetup
Материал из Wiki AlterOS
Инструкция по утилите расположена Установка_и_работа_с_программой_Cryptsetup
Содержание
Критические риски:
Утеря пароля/ключа
Повреждение LUKS-заголовка
Использование нестандартного ядра
Способы минимизации рисков:
Рекомендации по использованию
Проведение резервного копирования важных данных.
Проведение резервного копирования LUKS-заголовка
cryptsetup luksHeaderBackup /dev/sdX --header-backup-file /secure/backup.img
Пароль/ключ: Хранить в менеджере паролей (Seahorse, KeePass, Bitwarden) или на аппаратном токене.
Проверка совместимости на тестовых данных
Ограничения при использовании системы шифрования
Влияние на пользовательский опыт
После включения опции шифрования, при загрузке системы будет требовать ввода пароля для доступа к зашифрованным разделам с данными.
Влияние на производительность (LUKS2 + AES-XTS в cryptsetup 2.7.2)
Ключевые факторы
- Аппаратное ускорение (AES-NI):
- При поддержке: замедление 3-15% (NVMe/SATA SSD), 10-25% (HDD)
- Без поддержки: замедление 25-50%
- Алгоритм (aes-xts-plain64):
- Оптимальное соотношение скорости/безопасности
- Альтернативы (serpent, twofish) значительно медленнее
- Параметры PBKDF (argon2id):
- Влияет только на процесс разблокировки
- После разблокировки - не оказывает влияние на производительность
Таблица производительности
| Устройство | Поддержка AES-NI | Потери скорости |
|---|---|---|
| NVMe SSD | Да | 3-10% |
| SATA SSD | Да | 5-15% |
| HDD | Да | 10-25% |
| Любое | Нет | 25-50% |
Оптимизация для cryptsetup 2.7.2
- Для слабых CPU:
- Уменьшение iter-time (до 2000)
- Использование pbkdf2 вместо argon2id (менее безопасно)
- Для HDD:
- Проверка параметра --key-size 512
Чек-лист
- [ ] Проверить /dev/sdX через lsblk
- [ ] Создать резервную копию данных
- [ ] Сохранить заголовок LUKS
- [ ] Проверить поддержку AES-NI
