Re: Снова о ZFS

To: debian-russian@lists.debian.org
Subject: Re: Снова о ZFS
From: Sergey Matveev <stargrave@stargrave.org>
Date: Wed, 10 Jan 2018 15:48:51 +0300
Message-id: <[🔎] 20180110124851.GA38895@stargrave.org>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 09a4a5eb-8f39-c293-149f-0986304ce229@yandex.ru>
References: <[🔎] 4d871ef7-95f2-41a4-1f4a-dfb2161e2792@yandex.ru> <[🔎] 20180107162200.GA86101@stargrave.org> <[🔎] 68560fad-9331-6eb6-010d-d52deb8fb2e7@yandex.ru> <[🔎] 20180107172750.GA60541@stargrave.org> <[🔎] 44e365ec-59ed-a161-eeaf-65abcba2706a@yandex.ru> <[🔎] 20180107183658.GA89360@stargrave.org> <[🔎] 10b4d1b2-09f9-509d-e34d-4ca90d2a83fa@yandex.ru> <[🔎] 20180108092803.GC47803@stargrave.org> <[🔎] 09a4a5eb-8f39-c293-149f-0986304ce229@yandex.ru>

*** Артём Н. [2018-01-10 15:31]:
>Ну и ok: тогда, если даже она потеряется, ничего особо не случится (да, в итоге я всё-же куплю 2-й SSD)?

Если потеряется ZIL (эта short-term область), то это равносильно тому
что записи не было произведено, хотя программа получила успешное
завершение fsync и убеждена что данные сохранены.

>Почему? Возможно хранить список векторов в метаданных, шифрованных на фиксированном ключе.
>Собственно, там же, где хранится реальный ключ шифрования диска.

Для каждого блока диска где-то хранить вектор? Если взять 2 TiB диск с
4KiB секторами, то вектора будут занимать (если считать что у нас
128-битный шифр и IV занимает один блок)
16 * (2 * 1024 * 1024 * 1024 * 1024 / 4096) / 1024 / 1024 / 1024 = 8 (GiB).
Что много. Просто так ключи занимают считанные десятки байт.

Но на практике в LUKS конечно не нулевой вектор используется, а ESSIV
(encrypted salt-sector initialization vector), что уже не предсказуемо
для злоумышленника.

>Вопрос-то в другом: кроме просадки по скорости, атаку на целенаправленное изменение данных,
>без знания ключа для AES (он же использует AES по умолчанию) сложно реализовать?

На практике вообще не сложно: https://packetstormsecurity.com/files/124571/Practical-Malleability-Attack-Against-CBC-Encrypted-LUKS-Partition.html
Это для CBC режима конечно же. С XTS сделать *осознанное* изменение
plaintext-а уже не получится.

>Да, ещё конечно имеется вариант сделать geli/luks поверх ZFS, но он мне кажется весьма сомнительным.

Как вариант. У меня один гигабайтный диск так и сделан: ZFS поверх GELI
поверх ZVOL-а на другом ZFS :-). Просто overhead большой, что, конечно,
неприятно.

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

Reply to:

Follow-Ups:
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>

References:
- Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: Артём Н. <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: artiom <artiom14@yandex.ru>
- Re: Снова о ZFS
  - From: Sergey Matveev <stargrave@stargrave.org>
- Re: Снова о ZFS
  - From: Артём Н. <artiom14@yandex.ru>

Prev by Date: Хочу купить Ноутбук HP Pavilion 15-cc518ur. Будет ли на нём полноценно работать Debian?
Next by Date: Re: Хочу купить Ноутбук HP Pavilion 15-cc518ur. Будет ли на нём полноценно работать Debian?
Previous by thread: Re: Снова о ZFS
Next by thread: Re: Снова о ZFS
Index(es):
- Date
- Thread