On 14/05/2018 11:47, Kevin CHAILLY | Service Technique wrote:
J'en profite pour rebondir sur le sujet du "Crypt live", qui effectivement devrait être de plus en plus demandé a l'avenir : 

En hard 

HP propose Smart Array SR Secure Encryption,  
Les "Self Encrypting Drives" 

En soft 

Microsoft propose BitLocker, sur les versions récentes de windows.
ZFS propose la crypto, très bon pour du *BSD, un peu jeune pour du ZFS-On-Linux.
LVM propose aussi de crypter l'ensemble du système.
Mac OS X propose FileVault
VMware propose de crypter les vm 

Avez-vous des retours au niveau performance utilisation de ces différents cas ? ou d'autres cas qui se seraient éventuellement présentés a vous ?
Je dm-crypte ( linux/LVM) pas mal de chose depuis plusieurs années ( Perso & pro):

C'est assez facile à mettre en oeuvre ( 10s quand on sait) et à gérer, les performance sont la.
Par exemple sur un serveur "moyen" de 2013:
time cryptsetup benchmark
...
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   454.0 MiB/s  1135.0 MiB/s
...
     aes-cbc   256b   400.6 MiB/s   990.1 MiB/s
     aes-xts   256b   793.2 MiB/s   802.9 MiB/s
     aes-xts   512b   749.1 MiB/s   739.2 MiB/s
...
# ElapsedRealTime=28.514  KernelCPUSecond=23.534  UserCPUSecond=4.455
( 100%cpu)
Soit plus que le débit de mes RAID, sachant que en pratique je suis surtout limité par les IO/s (comme presque tous ?) ou le cryptage n'a pas d'impact et que les serveurs on un usage CPU très modéré.
Le cache SSD n'est pas crypté, à voir.

J'imagine des performances comparable sous MSWindows puisque le cryptage est matériel par le cpu. Par contre je n'ai aucun avis sur la facilité de mise en oeuvre sur cet OS.

Ca me parait très correcte. Mesuré au doigt mouillé ( et au monitoring) en comparent avant/après et avec/sans, pour un usage "moyen", c'est complètement transparent.

La seul contrainte (qui peut être assez importante selon votre cas): un homme doit taper le passwd au boot/démarrage du(s) service(s). Avec de la redondance et quelques reboot par an par un admin, c'est gerable sans effort.

C'était la minute témoignage moyen qui se croit représentatif :-)


Cordialement.