Zuverlässigkeit von geli und gbde

[crotchmaster]

Moin Jungs,

ich habe ein paar Fragen zur Verschlüsselung von Festplatten mit geli o. gbde, in der Hoffnung, das hier im Forum Erfahrungen damit existieren.

Bisher benutze ich seit langem udn ohne jegliche Probleme geli für die Verschlüsselung der Swap-Partition und möchte es nun auch für andere Partitionen nutzen. Da mich dies als Privatperson für meinen heimischen Rechnerzoo interessiert, existiert natürlich kein vollständiges Backup. Die Konfigurationen und wichtige Daten sind gesichert, sodass ich die Systeme mit entsprechendem Zeitaufwand wieder zum Laufen bekomme. Aber das möchte ich nur im Notfall machen müssen.

Nun meine Fragen:
Wie zuverlässig sind die beiden, im Sinne von Robustheit gegen Fehler? Mich interessiert weniger, der verwendete Algorithmus und die Schlüssellänge, das kann ich den man-Pages entnehmen. Aber sind die beiden Verfahren schon 'production ready'? Insbesondere für geli interessiert es mich, da es ja 'erst' mit FreeBSD 6.0 Einzug gehalten hat. Ist der Zugriff auf die Daten auch garantiert, nach dem das System gecrasht ist und dabei richtig 'durchgeschüttelt' wurde?

Über Erfahrungsbericht würde ich mich sehr freuen.

Gruß c.

 

[soul_rebel]

Ist der Zugriff auf die Daten auch garantiert, nach dem das System gecrasht ist und dabei richtig 'durchgeschüttelt' wurde?

Jein. Also ich habe schon ziemlich lange geli Partitionen im Einsatz, sowohl auf Laptops, WSs und meinem Server. Alles von denen ist schonmal "ausgegangen", der Laptop besonders oft.
Einmal ist es vorgekommen, dass ich nach einem Power-loss eine Partition verloren habe (die Platte lies sich mit Geli überhaupt nicht mehr einhängen). Das ist wiegesagt nur einmal vorgekommen, bei ich weiß nicht wievielen "unsauberen" Neustarts über die Jahre.

Also insgesamt schon sehr zuverlässig.

 

[s-tlk]

Ich habe lange Zeit gbde benutzt und damit keine Probleme gehabt und auch neuerdings mit geli läuft das ganze sehr stabil und zuverlässig. Allerdings muss dir bewusst sein, das du damit einiges an Performance verlierst, besonders bei alten Rechnern ist es umso mehr. Es sei denn die haben eine Cryptokarte wovon ich jetzt mal nicht ausgehe.
Aber das ist selbst auf meiner lahmen Möhre nicht wirklich relevant. Die 40 Mb/s nutze ich so gut wie nie aus. Der Performanceeinbruch beträgt bei mir etwa 40-50 Prozent. Ohne geli schaffe ich 65-70Mb/s. Allerdings ist der Rechner auch schon wie gesagt ziemlich alt und wenn ich bonnie laufen lasse hängt der auch bei 100 Prozent CPU Last.

 

[crotchmaster]

Vielen Dank für Eure Antworten. Ich habe so eine alte Möhre (1GHz PIII mit 512MB RAM) und meistens. 2 Rechner parallel dazu an, die über ein 100MBit Netzwerk darauf zugreifen. Der Performance-Einbruch stört mich nicht so.

Gruß c.

 

[FreeBSDuser]

Eins ist anzumerken, wenn du eine geli Partition erstellen willst wird die komplett gelöscht. Mir ist keine Möglichkeit bekannt eine normale in eine geli verschlüsselte Partition umzuwandeln.

 

[kruemelmonster]

GELI ist prinzipiell etwas robuster als GBDE, da GBDE zusätzliche Schlüsselinformationen (Sector-Keys) schreibt und daher keine "atomaren" Plattenoperationen hat. Wenn also grade ein Sektor mit geändertem Schlüssel geschrieben wurde, aber der Schlüssel dazu noch nicht, und das Licht geht aus, dann fehlt Dir ein Sektor. Wenn es einer mit FS-Daten war, blöd. Ist mir einmal bei einem Stromausfall passiert, da haben dann mehrere Teilbäume im FS gefehlt... Daher würde ich eher zu geli raten.

Ansonsten hatte ich beides jahrelang (eigentlich jeweils seit Erscheinen) im Einsatz und (bis auf obigen Absturz) keine Probleme. Allerdings ist mein FBSD in der ganzen Zeit nur wenige Male abgestürzt (wegen fehlerhafter Hardware, ist für den Kernel halt blöd, wenn plötzlich eine gemountete Platte fehlt). Diese Abstürze (waren ca. 15 kernel panics, bis ich begriffen hatte, daß es an der HDD lag) hat geli problemlos weggesteckt. Aber wenn Dir die Daten wirklich wichtig sind, rate ich Dir zu folgendem:
a) mach trotzdem regelmäßig Backups - bei einer defekten Platte ist es egal, ob sie verschlüsselt war oder nicht, wenn du keine Backups hast.
b) setz das System, das Du verwenden willst auf, erstelle eine verschlüsselte Partition, lese und schreib fröhlich drauf rum und zieh mittendrin den Stecker. Dann fahr wieder hoch und schau, was übriggeblieben ist. Und überleg Dir, ob Du damit leben kannst oder ob Du zusätzliche Backups brauchst (ggf wiederholen, bis Du Dir sicher bist).

Interessan in diesem Zusammenhang ist vielleicht auch:
http://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software

PS: Beim Einsatz beachten: Blowfish ist zwar schön schnell, als 64-Bit-Algorithmus (Blockgröße) allerdings nur für Partitionen/Slices bis 32GB empfohlen.

PS2: Bei geli empfiehlt es sich, Backups der Schlüssel anzulegen (geli backup) - allerdings muß man diese Backups dann acuh im Auge behalten. Also überlegen, was mehr Risiko birgt.