© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marc Santhoff <M.Santhoff(at)web.de> wrote:
> Dieser Schritt ist ersten noch zu kommentieren und zweitens kommt vorher
> noch:
>
> # geli init /dev/da0p1
> # cp /var/backups/da0p1.eli /root/metadata/backup03-da0p1.eli
> # geli attach /dev/da0p1
> # dd if=/dev/random of=/dev/da0p1.eli
>
> Wobei letzteres, das Auffüllen mit Zufallszahlen, eeeeeeewig dauert,
> wenn es da eine schnellere Methode gäbe, wäre ich begeistert.
Da die Daten sowieso verschlüsselt werden kannst Du meiner Meinung
nach auch /dev/zero als Quelle nehmen. Wenn man keine Schwachstelle
unterstellt sollte das von außen nicht erkennbar sein.
Abhängig von der CPU ist der Default AES-XTS deutlich langsamer
als AES-CBC und Du könntest erst mit AES-CBC die Platte füllen
und anschließend auf AES-XTS wechseln.
Zumindest in der Theorie steigt die Performance mit größeren
Sektoren und geli(8) empfiehlt dafür 4096.
Grundsätzlich ist das Auffüllen der Platte natürlich optional
(wenn man "nur" verschlüsselt) und wenn Du keine alten Daten
überschreiben musst könntest Du prüfen ob es für die für Dich
relevanten Angriffe sinnvoll ist.
Fabian
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 24 Feb 2013 - 15:59:16 CET