¿Cuál es el impacto de emplear cifrado de disco en Linux? En Phoronix han publicado unas pruebas en las que han comparado el desempeño de Fedora Workstation 38 con y sin cifrado de disco y con unos resultados que respaldan su uso.
Para hacer la comparativa, en Phoronix han tomado un portátil Lenovo ThinkPad P14s de cuarta generación, el cual incluye un procesador Ryzen 7 PRO 7840U de AMD, 64GB de memoria RAM (de los cuales 4 están reservados como memoria de vídeo) y una unidad SSD Kioxia de la serie XG8 con 1TB de capacidad.
El sistema operativo fue Fedora Workstation 38 con el sistema de ficheros Btrfs (el usado por defecto), Linux 6.5.6, Mesa 23.1.8 y la sesión de Wayland funcionando. Para el cifrado de disco se ha empleado la opción “Cifrar mis datos” que proporciona el instalador Anaconda sobre un particionado automático. El uso del cifrado de disco conllevaba la desactivación de la compresión zstd
en anteriores versiones de la distribución, pero eso ya no es así, por lo que la comparativa es más justa al ser las condiciones más iguales.
Si se activa el cifrado de disco en Fedora siguiendo el procedimiento mostrado, el usuario verá que el volumen de Btrfs que sostiene el sistema está cifrado con LUKS, pero no así las particiones de arranque, tanto la de EFI como el directorio /boot
, que está en EXT4.
Aquí no vamos a recoger los resultados de todas las pruebas, sino solamente los más interesantes para así mostrar los aspectos generales y si merece la pena habilitar el cifrado de disco al menos en la distribución comunitaria patrocinada por Red Hat.
La primera prueba presentada ha sido realizada con Flexible IO Tester, y en ella se puede comprobar que el desempeño con lecturas aleatorias de 4K con cifrado de disco es un 83% al visto haciendo lo mismo sin cifrado de disco. Si tenemos en cuenta que se está usando un SSD por interfaz NVMe, en un uso real esta diferencia no debería ser muy apreciable.
Además del desempeño, otro aspecto que tiende a preocupar cuando se emplea cifrado de disco es el uso del procesador. Aquí, al menos con Flexible IO Tester, no hay una diferencia apreciable, así que en este sentido y dejando de lado los temas relacionados con la seguridad importa poco usar o no el cifrado de disco.
No podemos obviar las operaciones de escritura aleatoria de 4K, donde se puede ver que el cifrado de disco logra obtener un resultado ligeramente mejor.
Las lecturas secuenciales de bloques de 4KB muestran un resultado claramente a favor de la instalación de Fedora Workstation 38 sin cifrado de disco, pero la cosa se equilibra bastante al subir el tamaño de los bloques a 2MB.
Lo siguiente que han empleado en Phoronix para comparar el desempeño es SQLite 3.41.2. En este frente las diferencias no son notables, así que, de todas las pruebas realizas, dejaremos la que ha dejado mejor a la instalación que no ha empleado cifrado de disco.