evolix/wiki
22
0
Fork 0
Code Releases Activity

Ajout benchmark

Browse source
This commit is contained in:
Benoît S. 2017-06-23 09:46:10 +02:00
parent b027931a68
commit bf02590203
1 changed files with 30 additions and 1 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

31
HowtoLUKS.md
View file

@ -103,7 +103,7 @@ Verify passphrase:
Command successful. Command successful.
~~~ ~~~
> *Note* : sur d'anciennes versions de *cryptsetup*, il fallait avoir la partition non dechiffrée pour pouvoir ajouter une passphrase : <http://bugs.debian.org/460409> > *Note* : sur d'anciennes versions de *cryptsetup*, il fallait avoir la partition non déchiffrée pour pouvoir ajouter une passphrase : <http://bugs.debian.org/460409>
Pour supprimer une passphrase, on note son numéro avec : Pour supprimer une passphrase, on note son numéro avec :
@ -160,3 +160,32 @@ Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)> Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
Les autres algorithmes dignes dintérêt sont _twofish_ et _serpent_, deux compétiteurs de l'AES face à Rijndael. Les autres algorithmes dignes dintérêt sont _twofish_ et _serpent_, deux compétiteurs de l'AES face à Rijndael.
## Benchmark
On peut vérifier la capacité du processeur avec les différents algorithmes en utilisant `cryptsetup benchmark`. Exemple de sortie
~~~
# cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1 992969 iterations per second
PBKDF2-sha256 567411 iterations per second
PBKDF2-sha512 455111 iterations per second
PBKDF2-ripemd160 564965 iterations per second
PBKDF2-whirlpool 214169 iterations per second
# Algorithm | Key | Encryption | Decryption
aes-cbc 128b 564.0 MiB/s 2303.1 MiB/s
serpent-cbc 128b 68.2 MiB/s 447.8 MiB/s
twofish-cbc 128b 161.1 MiB/s 293.7 MiB/s
aes-cbc 256b 421.8 MiB/s 1716.7 MiB/s
serpent-cbc 256b 75.2 MiB/s 473.0 MiB/s
twofish-cbc 256b 149.4 MiB/s 275.1 MiB/s
aes-xts 256b 2025.6 MiB/s 2048.6 MiB/s
serpent-xts 256b 465.4 MiB/s 438.9 MiB/s
twofish-xts 256b 247.2 MiB/s 258.3 MiB/s
aes-xts 512b 1503.3 MiB/s 1573.4 MiB/s
serpent-xts 512b 491.9 MiB/s 396.5 MiB/s
twofish-xts 512b 241.4 MiB/s 228.3 MiB/s
~~~
Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple *aes-xts* avec une clé de 256 bits est le plus performant.