Salut,
Xavier Beaudouin wrote on Fri, Oct 11, 2013 :
Le 11 oct. 2013 à 15:50, Jacques Belin jbelin@oryva.net a écrit : Imaginons que tu chiffre tout ton disque dur (certains OS : Windows / MacOS, le font par défaut...) alors quand tu t'amuses a lire les libs ... et bien ton ordi : lis les data sur les HD et après les déchiffrent.
Donc a la fin tu a l'impression que ca ramme parce que ça augmente la latence (et puis aussi ca mange du CPU).
En pratique, la lib est lue une fois et reste en cache si t'as assez de ram (en clair), donc le coût est pas scandaleusement élevé sauf si tu es très limité à ce niveau.
J'ai jamais fait de transition pas luks->luks sur le même hardware, mais je suis très content des perfs que j'ai pu observer avec. S'il y a un seul point que je regrette c'est que quand on chiffre tout l'OS, c'est très compliqué de dropper le mot de passe de chiffrement du disque au verrouillage de session (cryptsetup luksSuspend/luksResume) sans pas mal de boulot de coordination (la doc officielle luks dit de ne jamais couper le chiffrement sur la partoche qui contient cryptsetup; en pratique luksSuspend passe si on s'assure que "ça" reste en ram (via par exemple memlockd), mais c'est à vos risques et périls :D) (et j'ai pas encore réussi à le faire passer en veille et en ressortir vivant en suivant le même principe, mais je compte bien y arriver un jour)