Влияние Bitlocker на производительность SSD

Я поставил новый SSD в мой рабочий компьютер, и мой ИТ-отдел хочет, чтобы я использовал BitLocker. I прочитать один из других потоков на производительность BitLocker на стандартных жестких дисках, но мне было интересно-каково влияние BitLocker на производительность твердотельного диска?

заметно ли это повлияет на скорость открытия архивных файлов в Outlook или открытия проектов в Visual Studio?

10 ответов

вы должны иметь незначительное влияние на производительность большинства твердотельных накопителей. Особенно с последними процессорами Intel, которые могут делать аппаратные AES быстрее, чем диск (любой диск) может читать или писать. Мой MacBook Pro выталкивает более 900 мегабайт в секунду с AES в соответствии с эталоном TrueCrypt, и это ноутбук.

на моем рабочем столе я использую 4 Samsung SSD в RAID0 и у меня включен BitLocker. TrueCrypt на этой же машине сообщает более 5 ГБ / сек для AES. (Два 6-ядерных Xeons. )

тем не менее, контроллер SSD SandForce, как говорят, делает некоторое внутреннее сжатие/дедупликацию (что было доказано с помощью тестов, которые использовали большие сжатые файлы, которые он не мог «оптимизировать»). Очевидно, что это не будет работать вообще с BitLocker, где каждый зашифрованный сектор будет полностью уникальным и несжимаемым. Поэтому, если вы планируете использовать твердотельный накопитель, не приобретайте SandForce, а если планируете, убедитесь, что вы можете вернуть его, если обнаружите, что производительность действительно снижается после включения BitLocker.

потому что BitLocker на самом деле не изменяет характеристики использования диска, кроме изменения самих данных (например, он не вызывает ОС писать случайным образом, а линейно), он должен иметь такое же влияние на SSD, что он будет иметь на пластинах. То есть, я все равно ожидаю снижения производительности на 20% -10%, которое нашел MaximumPC, как упоминалось в потоке, на который вы ссылаетесь. Обратите внимание, что скорость BitLocker может быть узким местом процессора или диска. это, если процессор может шифровать / дешифровать быстрее, чем диск может читать/записывать данные, то файловый ввод-вывод будет происходить со скоростью, близкой к скорости диска. Если ваш процессор перегружен, процессор может ограничить скорость файлового ввода-вывода (хотя я считаю, что аппаратно-ускоренная криптография должна свести к минимуму вероятность этого).

Я не знаю, если то, что относится к Truecrypt относится к bitlocker, но на твердотельных накопителях, Truecrypt имеет чрезвычайно негативное влияние на производительность, если вы зашифровать весь диск.

основная причина проблемы заключается в том, что вы больше не можете отличить свободное пространство от полезного пространства, потому что зашифрованные данные и зашифрованное свободное пространство рассматриваются как данные. Это побеждает и уравновешивание и все носить-выравнивая оптимизирования.

выступление на чтениях ничтожна, но в среднем вы сокращаете производительность записи вдвое или более. Есть некоторые доказательства того, что оставляя свободный пустой раздел (т. е. предоставляя алгоритмы выравнивания износа, которые влияют на производительность, пространство для работы) имеет огромное положительное преимущество, но TRIM действительно утечка данных и теоретически может быть использован для компрометации зашифрованного раздела кем-то с достаточным количеством ресурсов.

EDIT: это больше не может быть правдой из-за «обрезать Passthrough» функции, которые теперь существуют, но есть много очень запутанной информации там, когда Google точно, как это ведет себя. Мне бы хотелось увидеть некоторые фактические тесты с TrueCrypt 7.0 и FDE (более старые версии TC будут отображать проблемы, о которых я говорил выше), но я не могу их найти!

EDIT2: спустя несколько лет ситуация снова изменилась. Почти все твердотельные накопители шифруют данные перед записью, так как требуется, чтобы данные на физическом уровне имели высокую энтропию. В большинстве дисков ключей для этого не было пользователь доступен, теперь с OPAL они могут быть установлены ОС, чтобы дать вам AES шифрование без штрафа производительности! Для этого вам нужна поддержка ОС и оборудования.

Я бегу бит Виндовс 7 окончательный 64, используя ССД (120 ГБ) на около 5 месяцев. Я использую 1 ТБ HDD (от среднего до высокого класса) в 7200 об / мин в качестве сравнения. Сначала тест включал просто синхронизацию времени запуска ОС. Хотя это было не молниеносно, это было apprx. 2 раза быстрее, чем на HDD. Только при тестировании больших файлов (не менее 1 ГБ) наблюдалось также значительное увеличение скорости. Относительно, по всем направлениям, SSD быстрее, чем HDD!

Bitlocker; однако, имеет были серьезные конфликты с SSD. Мой опыт показал, что есть сильный вероятный капюшон, который они не созданы друг для друга. Основная проблема заключается в том, что изменчивый характер SSD заставляет Bitlocker полагать, что произошли изменения в конфигурации оборудования, даже если такие изменения не произошли. Конечным результатом является текущий запрос паролей и / или ключей восстановления Bitlocker.

будь то ошибка в SSD, Bitlocker или оба, машина перестала принимать пароли и ключи восстановления все вместе. После получения моего RMA, шифрования диска и использования, как обычно, точного (изменение конфигурации оборудования. проблема повторилась. После расшифровки диска у меня не было никаких проблем и производительность была очень хорошей! Само собой разумеется, жертвуя большое количество безопасности.

ССД предлагает большой прирост производительности. Опыт Windows до: 5.9 Опыт Работы С Windows После: 6.9

мои компании тестирование Bitlocker на windows 7 показал, что с ноутбуком с 7200rpm диск, а также Intel SSD, они оба имели около 5% снижение скорости. Тем не менее, для самой первой задачи инициализации bitlocker, жесткий диск занял около 4 часов, и SSD был значительно быстрее (оба диска были 160GB диски)

однако, ноутбуки имели некоторые новые процессоры фантазии Core i5, и чипсеты, и может разгрузить шифрование от основного процессора.

вы открыты для запуска Windows 8? У вас есть чип TPM в вашем ноутбуке, и ваш ноутбук UEFI способен?

есть TCG опал SSD диски там. Я не нашел накопителя на основе Sandforce, который поддерживает это, но у Micron он есть: Micron C400 SED. Вы должны убедиться, что вы покупаете версию SED, а не простую версию. Использование диска, совместимого с OPAL, позволит вам использовать Bitlocker в Windows 8 в сочетании с шифрованием диска (что он уже делает).

BitLocker в этой схеме на самом деле не шифрования со стороны системы (по крайней мере для записи/чтения данных). Основная часть Bitlocker в этом режиме действует как «Gatekeeper», так как диски SED по-прежнему необходимо средство управления доступом для разблокировки диска. Когда те активированы в этом режиме (с W8 и Bitlocker), привод первоначально locked и система только покажет очень малый «раздел тени» под 200MB. Здесь хранятся загрузочные файлы W8 и разблокировка в Bitlocker происходит при взаимодействии с доверенным платформенным модулем для передачи ключа для разблокировки диска.

Если вы не хотите идти Windows 8, вам не хватает TPM (хотя я предполагаю, что у вас есть, так как они попросили вас Включить bitlocker), или BIOS вместо UEFI есть ряд программных продуктов, которые могут управлять дисками SED вместо Bitlocker.

по моему опыту, Bitlocker действительно имеет заметное снижение производительности даже с жесткими дисками. С SSDs, сравнения Я видел, кажется, указывают на деградацию хуже, возможно, достаточно, что многие преимущества SSD уменьшается. На мой взгляд, SSD на основе SED с управлением Bitlocker (или другой программной частью) — лучший способ.

Bitlocker на Windows 10 будет шифровать SSD по умолчанию

Большинство обладателей твердотельных накопителей, если они используют аппаратное шифрование, считают свои данные надёжно защищенными. Однако, прошивки этих устройств относительно уязвимы перед не самыми сложными атаками хакеров. В Microsoft решили взять ситуацию в свои руки и изменили настройки системы Windows 10. Теперь там используется программное шифрование AES, вне зависимости от того, применяется ли аппаратное шифрование на самом твердотельном накопителе.

реклама

SSD год от года становятся всё дешевле и быстрее, но вопрос безопасности и шифрования не менее важен. Судя по данным Microsoft за прошлый год, поведение производителей в этом плане оставляет желать много лучшего.

Microsoft получает множество докладов относительно уязвимостей аппаратного шифрования самошифрующихся твердотельных накопителей. Отныне Windows 10 будет шифровать данные самостоятельно, что обнаружила компания SwiftOnSecurity. Microsoft перестала верить в надёжность шифрования со стороны производителей.

Твердотельные накопители корпоративного уровня обладают более сильным шифрованием и более качественными прошивками. Скорее всего Microsoft ограничится изменением настройки Windows 10 только для домашних компьютеров. Современные процессоры поддерживают специальные команды, которые значительно сокращают падение производительности при использовании программного шифрования. Изменение настройки относится только к новым твердотельным накопителям при установке туда операционной системы. Оно не затрагивает SSD, где Windows 10 уже стоит. Там программное шифрование требуется включать вручную.

Как зашифровать диск с помощью BitLocker в Windows 10

Windows 10 редакций Профессиональная и Корпоративная имеют встроенную утилиту BitLocker, позволяющую надежно зашифровать содержимое диска (в том числе системного) или внешнего накопителя (об этом в отдельной инструкции: Как поставить пароль на флешку и зашифровать её содержимое). Конечно, для этого можно использовать и сторонние средства, например, VeraCrypt, но в большинстве случаев можно рекомендовать встроенную утилиту шифрования.

В этой инструкции о том, как зашифровать диск с помощью BitLocker. Пример приводится для системного раздела диска, но суть остается неизменной и при необходимости шифрования других дисков. Вы также можете создать виртуальный жесткий диск и зашифровать его — таким образом вы получите защищенный файловый контейнер с возможностью его резервного копирования в облаке и на различных накопителях, переноса на другие компьютеры. Также может быть интересным: Шифрование BitLocker в Windows 10 Домашняя.

Процесс шифрования SSD или жесткого диска с помощью BitLocker

Процедура шифрования дисков с помощью BitLocker — не слишком сложная задача, потребуется выполнить следующие простые шаги:

1. В проводнике выберите диск, который требуется зашифровать, нажмите по нему правой кнопкой мыши и выберите пункт «Включить BitLocker».
2. Если вы увидите сообщение о том, что «Это устройство не может использовать доверенный платформенный модуль TPM», значит вы хотите зашифровать системный диск, а модуль TPM на компьютере отсутствует или отключен. Проблема решаема, об этом здесь: Как включить BitLocker без TPM.
3. После короткой проверки дисков вы увидите предложение настроить тип разблокировки: вставить USB-устройство флэш-памяти (обычную флешку) или ввести пароль. Я в своей практике использую пункт «Введите пароль».
4. Если вы также будете использовать разблокировку с помощью пароля, введите и подтвердите ваш пароль. Настоятельно рекомендую записать его, если есть вероятность забыть заданный пароль (в противном случае вы можете полностью потерять доступ к данным). Нажмите «Далее».
5. Вам будет предложено сохранить ключ для восстановления доступа к диску, зашифрованному BitLocker. Вы можете сохранить ключ в различные расположения на своё усмотрение. Вне зависимости от того, какой вариант вы выберите, настоятельно рекомендую серьезно отнестись к этому шагу (и не сохранять ключ на тот же диск, который шифруется): сбои питания, ошибки файловой системы могут приводить к проблемам с доступом к зашифрованному диску просто по паролю и ключ восстановления действительно помогает получить доступ к данным. Я лично на своем основном компьютере столкнулся с таким дважды за последние 5 лет и был очень благодарен сам себе за то, что у меня есть ключ восстановления — оба раза он помог.
6. Следующий этап — выбор, какую часть диска шифровать. Для большинства пользователей подойдет вариант «Шифровать только занятое место на диске» (в этом случае будут зашифрованы все файлы, которые уже есть на диске и автоматически будет шифроваться всё, что в дальнейшем на него записывается). Второй вариант шифрует и свободное пространство. Что это дает? Например, если у вас на этом диске ранее были очень секретные данные, а потом они были удалены, есть вероятность их восстановления с помощью соответствующих программ для восстановления данных. После шифрования свободного пространства восстановить удаленные данные не получится (во всяком случае без разблокировки доступа к диску).
7. В последних версиях Windows 10 вам также предложат выбрать режим шифрования. Если вы планируете отключать диск и подключать его в других версиях Windows 10 и 8.1, выберите режим совместимости. Иначе можно оставить «Новый режим шифрования».
8. В следующем окне оставьте включенным пункт «Запустить проверку BitLocker» и нажмите «Продолжить».
9. Вы увидите уведомление о том, что шифрование диска будет выполнено после перезагрузки компьютера. Выполните перезагрузку.
10. В случае, если вы шифровали системный диск, то перед запуском Windows 10 вам нужно будет ввести заданный пароль BitLocker для разблокировки диска (или подключить USB-накопитель, если ключ создавался на нем).
11. После запуска Windows 10 будет выполнено шифрование накопителя в соответствии с заданными настройками (в области уведомлений появится соответствующий значок, а при его открытии — окно с прогрессом шифрования). Вы можете пользоваться компьютером пока идет шифрование пространства на диске.
12. Если шифровался системный диск, то он сразу будет вам доступен (поскольку пароль был введен на предыдущем шаге). Если шифровался не системный раздел диска или внешний накопитель, при открытии этого диска в проводнике вас попросят ввести пароль для доступа к данным.
13. По завершении процесса, продолжительность которого зависит от занятого места на диске и скорости его работы (на HDD медленнее, на SSD быстрее), вы получите зашифрованный диск.

Все данные, которые вы будете на него записывать, шифруются «на лету» и так же расшифровываются. Для не системных дисков вы в любой момент можете использовать контекстное меню для его блокировки (чтобы другой человек за этим же компьютером не мог открыть его содержимого).

Доступ к зашифрованному системному диску есть всегда, пока запущена система (иначе бы она не смогла работать).

Если остались какие-либо вопросы на тему шифрования с помощью BitLocker — спрашивайте в комментариях, я постараюсь ответить.