Partitionen auf Uraltmaschine verschlüsseln, sinnvoll?

[Draal]

Hallo zusammen,

vor dem Hintergrund, dass eine Neuinstallation des neuesten Windows 11 (24H2) mehr oder minder ungefragt ein System verschlüsselt (BitLocker) habe ich mich gefragt, ob es für meine Debian Systeme sinnvoll wäre das auch zu machen.

• Bei meinem Laptop habe ich mich dagegen entschieden, weil relevante Daten immer nur kurz darauf gespeichert werden und längstens nach einem Arbeitstag auf mein NAS verschoben werden.
• Bei meinem Desktop habe ich mich auch dagegen entschieden. Es ist ein Dualboot System. Derzeit kann ich von Debian sehr gut auf die Windows Partition zugreifen, umgekehrt geht das nicht. Um BitLocker und z.B. Luks zu betreiben, müsste ich eine zusätzliche gemeinsam genutzte Partition erstellen. Außerdem verfahre ich mit relevanten Daten genauso, wie auf dem Laptop.
• Und jetzt zum Punkt: Mein NAS wird von einer fast 20 Jahre alten Semperon CPU betrieben und ist in der Lage UHD Filme ruckelfrei per DLNA zu Verfügung zu stellen. Es enthält 3x4TB Laufwerke. Relevante Daten (Gameserver, Webseiten, Datenbanken und Dokumente) werden täglich gesichert. Physischen Zugriff hat eigentlich niemand, außer ich selbst.

Jetzt stellt sich mir die Frage zur Sicherheit:
Wieviel Performance Einbußen hätte ich zu erwarten? Wenn ich per sftp Dateien im internen Netz verschiebe, geht da die Performance schon runter, gegenüber ftp.
Welche Vorgehensweise würdet Ihr empfehlen?

Vielen Dank im Vorraus.

[niemand]

Welche Vorgehensweise würdet Ihr empfehlen?

Benchmark mit cryptsetup benchmark machen und schauen, ob einem der Durchsatz ausreicht.

Auch könnte man mal ein Upgrade in Erwägung ziehen: modernere Technik ist gerade bei typischer NAS-Nutzung deutlich sparsamer.

OT:

Bei meinem Laptop habe ich mich dagegen entschieden, weil relevante Daten immer nur kurz darauf gespeichert werden und längstens nach einem Arbeitstag auf mein NAS verschoben werden.

Dass ohne weitere Maßnahmen die Daten nicht direkt gelöscht werden, ist bewusst? Auch wäre Verschlüsselung geschickt, wenn das Ding kaputtgeht: man braucht sich keine Gedanken zu machen, ob der Entsorger oder Reparateur Daten klauen könnte. Wenn die Kiste Hardware-AES hat, spricht auch aus Effizienzsicht nichts gegen eine Verschlüsselung.

[cosinus]

Physischen Zugriff hat eigentlich niemand, außer ich selbst.

Dann würde ich kein LUKS verwenden und das System so lassen. Oder fürchtest du, dass ein Einbrecher einbricht und dir das NAS klaut?
Zum anderen Thema mit dem Notebook und Desktop mit Windows als Dualboot: da könnte ein Disk-Passwort, das du im BIOS definierst, helfen. Das ist zwar keine Verschlüsselung, aber ohne diese Passwort kann man erstmal mit einer so gesicherten Disk nichts anfangen. (@MSfree ist da etwas anderer Meinung, aber sicher ist, dass das nicht ohne großen Aufwand geht siehe viewtopic.php?p=1362340#p1362340 ) - statt über das BIOS kannst du das auch mit hdparm machen.

[GregorS]

... Physischen Zugriff hat eigentlich niemand, außer ich selbst...

Dann ist doch eigentlich überflüssig, da irgendwelche Hampeleien anzustellen.

[niemand]

Du meinst, Diebe nehmen heutzutage keine Rechner mehr mit?

[GregorS]

Du meinst, Diebe nehmen heutzutage keine Rechner mehr mit?

Wenn das die eigentliche Befürchtung ist, würde ich wohl eher dafür sorgen, das Ding so uninteressant aussehen zu lassen wie möglich. So mache ich es z.B. mit meinem Fahrrad. Es ist technisch eigentlich erste Sahne, sieht aber aus wie ein schlecht gepflegtes/gewartetes Vehikel. IMO ist das ein besserer Schutz vor Diebstahl als ein noch so starkes „Faltschloss“ (ich musste erst nachsehen, wie die Dinger heißen. Siehe Wikipedia-Artikel).

[hikaru]

Ich habe vor ca. 4 Jahren alle meine produktiven Datenträger luks-verschlüsselt. Darunter war auch ein altes, aber noch produktiv genutztes Notebook mit Merom-Dual-Core-CPU, das keine Hardwarebeschleunigung für AES bietet. Benchmarks ergaben, dass Serpent auf dem Gerät minimal performanter ist als AES, also nahm ich Ersteres.
Die gefühlte Geschwindigkeit sank von "annehmbar" auf "Ersatz muss her". Vor drei Jahren habe ich das Notebook dann ausgemustert.

[niemand]

ich [würde] wohl eher dafür sorgen, das Ding so uninteressant aussehen zu lassen wie möglich.

… das macht’s halt für Leute, die sich zumindest etwas damit auskennen, umso interessanter

Beim Fahrrad kommt dann noch eine andere Variante dazu: wenn da jemand auf die Schnelle was zum Fahren braucht, wird der möglicherweise bewusst ein weniger hochwertig aussehendes Rad ins Auge fassen. Und Fahrradschlösser – nachdem ich mal einige Videos vom „Lockpicking Lawyer“ (YT) gesehen habe, und Bekannte von mir sich auch mit dem Thema befassen, und ich mich an meinen Schlössern mal probiert habe, halte ich die allenfalls geeignet, einen ernsthaften „Interessenten“ für einige Minuten zu bremsen.

Letztlich ist das hier zwar OT, aber da TE sich nicht dazu bequemen konnte, nochmal Feedback zum Vorschlag, die Performance einfach zu messen, zu geben, halte ich das an dieser Stelle für okay.