1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

ZFS native crypto in OpenZFS

Dieses Thema im Forum "FreeBSD - Allgemein" wurde erstellt von h^2, 20 Juli 2016.

  1. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    Die native ZFS crypto ist jetzt in OpenZFS gelandet und für Linux auch schon integriert worden:
    https://github.com/zfsonlinux/zfs/commit/0b04990a5de594659d2cf20458965277dd6efeb1
    Und das, obwohl auf Linux sogar viel reimplementiert werden musste aus Lizenzgründen. Wie sieht hier der Stand jetzt bei uns aus? Soweit ich weiß ist das neuer code, und nicht der geleakte...
    Ich weiß, dass man da früher skeptisch war, aber es wäre schon ziemlich toll, dataset-weise verschlüsseln zu können. Und dann auch noch cross-platform, was kann man mehr wollen :D
     
  2. lme

    lme FreeBSD Committer

    Registriert seit:
    6 Mai 2003
    Beiträge:
    2.632
    Laut Allan Jude wird im Moment noch geprüft, ob der Code taugt und soll anschließend in HEAD aufgenommen werden.
     
  3. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Und taugt er? :)
     
  4. Rakor

    Rakor Moderator Mitarbeiter

    Registriert seit:
    17 September 2009
    Beiträge:
    2.025
    Ort:
    Mannheim
    Und ist das Verfahren gut? Ich meine mich zu erinnern, dass es an der proprietären ZFS-Lösung einige Kritikpunkte gab welche das Verfahren als nicht optimal bewerteten. Genaueres müsste ich aber auch erst wieder suchen....
     
  5. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    Wieso proprietär?
     
  6. Rakor

    Rakor Moderator Mitarbeiter

    Registriert seit:
    17 September 2009
    Beiträge:
    2.025
    Ort:
    Mannheim
    Ist die Cryptolösung von Oracle nicht closed und mit Lizenzen vernagelt?
     
  7. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    Es geht um eine clean-room reimplementation. IIRC rührte die Skepsis bei FreeBSD am Anfang daher, dass nicht klar war, wie "clean".
    Aber die Lizenz des Ganzes wären dann frei.
     
  8. lme

    lme FreeBSD Committer

    Registriert seit:
    6 Mai 2003
    Beiträge:
    2.632
    AFAIK ist der ZFS Cryptocode von Oracle mal im Internet aufgetaucht und weil sich keiner ne Klage von Oracle einfangen wollte, weil der Open Source Crypto-Code dem proprietären ähnelt, hat sich da lange keiner rangetraut.
     
  9. Crest

    Crest rm -rf /*

    Registriert seit:
    25 Juni 2008
    Beiträge:
    1.574
    Ort:
    /dev/random
    Außerdem war der Kryptocode wohl nicht von Suns besten Kryptographen entwickelt worden und hatte diverse Probleme.
     
  10. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
  11. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Leider kein Wort darüber, wie es bei FreeBSD aussieht. Die Entwicklung läuft komplett unter Linux.
     
  12. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.886
    Ort:
    Schleswig-Holstein
    Der korrekte Weg ist, dass der Kram nach OpenZFS zurückfließt und von dort dann in FreeBSD gemerged wird. Das muss allerdings nicht so sein. Es ist auch schon öfter Code direkt zwischen Linux und FreeBSD geflossen. Beispielsweise damals TRIM, was erst auf FreeBSD implementiert wurde, unter Linux finalisiert und dann von dort aus auf FreeBSD gemerged.
     
  13. Crest

    Crest rm -rf /*

    Registriert seit:
    25 Juni 2008
    Beiträge:
    1.574
    Ort:
    /dev/random
    Die Kombination aus ZFS Dataset Encryption und Rerooting könnte ein guter Kompromiss für günstige Dedicated Root Server sein.
     
  14. satriani

    satriani SysLion

    Registriert seit:
    29 April 2011
    Beiträge:
    95
    Schon seit Ewigkeiten warte ich sehnsüchtig darauf
     
  15. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    Vor ca. 3 Wochen ist es ja jetzt wirklich gemerget worden: https://github.com/zfsonlinux/zfs/pull/5769

    Noch immer kein Wort zum Status auf FreeBSD. Ich finde es wirklich Schade, dass FreeBSD seine Pionier-Rolle bei ZFS offensichtlich nicht genutzt hat um soclhe Akzente zu setzen. Anscheinend prägen die ZoL-Entwickler viel stärker wo es lang geht, obwohl ZFS doch auf Linux ein Nischendasein fristet. Weiß jemand warum?
     
  16. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.886
    Ort:
    Schleswig-Holstein
    Ich glaube, dass es ein Unterschied in Sachen Entwicklungsphilosophie ist. Im Linux-Lager ist man eher bereit Risiken einzugehen, auch mal Code zu mergen der vielleicht noch nicht 1.000x durchgetestet ist. Illumos und FreeBSD sind da wesentlich konservativer. Niemand will riskieren eine so große Änderung an ZFS vorzunehmen, ohne mindestens 2 doppelte Böden in Form ausreichender Erfahrungen mit dem Code zu haben. Das Security Team will sich nicht die Blöße geben eventuell schlechter Kryptographie zugestimmt zu haben, wenn irgendwann Unzulänglichkeiten gefunden werden sollten. core@ will keinen Ärger mit Oracle, denen ja Code zur Dataset-Verschlüsselung geleakt war. Und so weiter.

    Ich persönlich mag dies konservative Denken eigentlich, aber im Moment nimmt es bei FreeBSD Auswüchse an, die mich nerven. Nachdem die endlose Geschichte drm-next jetzt langsam zum Abschluss kommt, rückt das leidige Thema "UEFI, GELI und ich" ganz oben auf meine Nerv-Liste. Eng gefolgt von den diversen schönen Bhyve-Features, die seit Jahr und Tag auf ihren Commit warten.
     
    mogbo gefällt das.
  17. medV2

    medV2 Member

    Registriert seit:
    15 März 2017
    Beiträge:
    58
    Konservatives Denken schön und gut, aber was es nicht gibt, kann man eben auch nicht testen. Ein experimentelle Patchset gegen das aktuelle Release oder Stable wäre da schon was. Wer sich des Risikos bewusst ist, kann sich das selbst bauen und testen. Ich hätte genug Anwendungen wo ich das gerne einsetzen könnte und ein kleines Restrisiko bezüglich Datenverlust in kauf nehmen würde. So könnte das ganze "reifen". Ich werd mir das unter Linux auf jedenfall mal ansehen.
     
  18. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    http://www.open-zfs.org/wiki/OpenZFS_Developer_Summit_2017

    ZFS Developer Summit und bis jetzt gerade mal eine halbe Person von FreeBSD auf dem Panel :apaul:

    Gab es irgendwann einen wirklichen Policy-Change sich aus der Entwicklung zurück zu ziehen oder ZFS gar langfristig aufzugeben? Ich finde das alles schon sehr merkwürdig. Das hat m.E. auch nichts mit konservativem Denken zu tun, sondern mehr damit das Denken anderen zu überlassen.

    edit: Oder gab es vielleicht von den anderen Entwicklern den Move FreeBSD-devs auszuschließen?
     
  19. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Ich sehe da noch "Allan Jude". Interessant ist aber wohl dieser hier:
    • Keynote: ZFS Past & Future Mark Maybee Oracle
     
  20. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.886
    Ort:
    Schleswig-Holstein
    FreeBSD war auf den OpenZFS Summits aber noch nie wirklich vertreten. Was sicher auch daran liegt, dass FreeBSDs Entwickler außer in der Anfangsphase von ZFS niemals wirklich große Features entwickelt haben. Und wenn doch, waren bzw. sind sie mit OpenSolaris / Illumos inkompatibel, weshalb sie nicht in OpenZFS eingehen konnten. TRIM wurde z.B. recht zeitnah von Linux übernommen, aber ist meines Wissens bis heute aufgrund fehlender Infrastruktur in Illumos nicht in OpenZFS angekommen. zfsd ist eng gegen FreeBSDs devd und GEOM entwickelt, damit weitgehend unportabel. Dennoch:

    OpenZFS-Änderungen gehen meist innerhalb von Wochen in FreeBSD ein. Das betrifft auch neue Features, zum Beispiel ist gerade vor wenigen Tagen pausierbares 'zfs send' committed worden. In Sachen größerer Features werden wie lange erwarteten ZFS Channel Programs werden wahrscheinlich in den nächsten Tagen kommen. Damit fehlt FreeBSD nur noch Crypto, was auf einem der letzten Dev Summits besprochen wurde. Da gibt es derzeit zwei Probleme. Einmal merken die OpenZFS-Entwickler selbst an, dass der Code noch Reviews durch Personen benötigt, die sich mit der Materie auskennen. Es ist fraglich, dass FreeBSDs Security Team einem Import ohne zumindest ein entsprechendes Review zustimmt. Außerdem unterstützt FreeBSDs OpenCrypto kein AES-CCM, was vom OpenZFS Crypto Code benötigt wird ist. Das müsste also implementiert werden und ebenfalls durch den Review-Prozess. Linux Lösung war einfach das ganze Illumos-Cryptoframework zu portieren.
     
    foxit gefällt das.
  21. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
  22. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.886
    Ort:
    Schleswig-Holstein
    Der läuft im Kernel (ZFS Channel Programs laufen im Kernel) in so einer Art Sandbox, meine ich.
     
  23. foxit

    foxit Moderator Mitarbeiter

    Registriert seit:
    4 Juli 2012
    Beiträge:
    1.433
    Ort:
    /home
    Also Lua im Kernel so in der Art wie unter NetBSD? Cool
     
  24. Yamagi

    Yamagi Possessed With Psi Powers Mitarbeiter

    Registriert seit:
    14 April 2004
    Beiträge:
    8.886
    Ort:
    Schleswig-Holstein
  25. h^2

    h^2 hat ne Keule +1 Mitarbeiter

    Registriert seit:
    4 September 2009
    Beiträge:
    1.340
    Naja, ich hab den Hype um Lua(Script) nie verstanden. M.E. eine absurde Syntax und für kleinere Sachen gibt es doch schöne SH-Dialekte, für größere eben python oder Ruby...
    Bin froh, dass ich von awesome weg bin zu i3 :cool: