Impatto sulle prestazioni di Bitlocker su SSD


33

Ho inserito un nuovo SSD nel mio computer di lavoro e il mio dipartimento IT vuole che io usi BitLocker. Ho letto uno degli altri thread sulle prestazioni di BitLocker su hard disk standard, ma mi chiedevo: qual è l'impatto delle prestazioni di BitLocker su un disco a stato solido?

Inciderà notevolmente sulla velocità con cui apro i miei file di archivio in Outlook o apro i progetti in Visual Studio?




Blog di Microsoft, bella lettura ... blogs.msdn.com/b/e7/archive/2009/05/05/…
Moab

Risposte:


24

Dovresti avere un impatto trascurabile sulle prestazioni con la maggior parte degli SSD. Soprattutto con le più recenti CPU Intel in grado di eseguire hardware AES molto più velocemente di quanto un'unità (qualsiasi unità) possa leggere o scrivere. Il mio MacBook Pro spinge oltre 900 megabyte al secondo con AES secondo il benchmark TrueCrypt, e questo è un laptop.

Sul desktop utilizzo 4 SSD Samsung in RAID0 e BitLocker è attivato. TrueCrypt su questa stessa macchina riporta oltre 5 GB / sec per AES. (Due Xeon a 6 core ...)

Detto questo, si dice che il controller SSD SandForce esegua una compressione / dedupe interna (che è stata dimostrata tramite benchmark che utilizzavano file compressi di grandi dimensioni che non poteva "ottimizzare"). Ovviamente questo non funzionerà affatto con BitLocker in cui ogni settore crittografato sarà completamente unico e non comprimibile. Quindi, se stai pianificando di utilizzare un SSD, non procurartene uno SandForce o, se lo fai, assicurati di poterlo restituire se scopri che le prestazioni peggiorano dopo aver attivato BitLocker.


4
+1 per menzionare SandForce. I dati con un'entropia molto elevata, come i dati crittografati, interrompono uno se i presupposti fondamentali su cui sono basati i loro controller. BitLocker sarà dannoso per tali unità rispetto, ad esempio, a un'unità Intel.
Afrazier

1
Grazie ... mi piacerebbe vedere un benchmark che confronta le prestazioni di BitLocker / TrueCrypt e prestazioni "nude" su queste unità molto pubblicizzate. L'ho suggerito ad Anand e lui l'ha spazzato via. Chiunque abbia un link a una buona ottiene un +1 sul proprio commento. :)
martona,

@afrazier @martona Alcune unità SandForce, come Vertex 2 , eseguono già "l'autocrittografia" dell'hardware su tutti i dati utilizzando AES 128-bit . Ciò comporta una password ATA all'avvio (vedere i commenti qui ), piuttosto che una password a livello di sistema operativo.
sblair,

@sblair: è interessante da sapere, anche se le password ATA possono essere difficili da gestire rispetto a cose come l'implementazione aziendale dell'integrazione BitLocker con TPM. Dipende solo dall'ambiente e dagli utenti. Grazie per il link!
Afrazier

1
Ci sarà un notevole degrado delle prestazioni. Anche se la tua CPU è in grado di crittografare gigabyte di dati al secondo, c'è comunque una penalità di tempo per farlo su ogni lettura o scrittura e una penalità di carico della CPU. Quanto è grave dipende interamente dall'applicazione, ma è facilmente misurabile nei benchmark e evidente nelle applicazioni del mondo reale.

17

Poiché BitLocker non modifica realmente le caratteristiche di utilizzo dell'unità oltre alla modifica dei dati stessi (ad esempio, non fa in modo che il sistema operativo scriva in modo casuale anziché lineare), dovrebbe avere lo stesso impatto su un SSD che avrebbe sui piatti. Cioè, mi aspetterei comunque la riduzione del 20% -10% delle prestazioni rilevata da MaximumPC, come indicato nel thread a cui ti colleghi. Si noti che la velocità di BitLocker può essere strozzata dal processore o dall'unità. In altre parole, se il processore è in grado di crittografare / decrittografare più velocemente di quanto l'unità sia in grado di leggere / scrivere dati, allora l'I / O dei file avverrà a una velocità vicina all'unità. Se il tuo processore è sovraccarico, il processore potrebbe limitare la velocità di I / O dei file (anche se credo che la crittografia con accelerazione hardware dovrebbe ridurre al minimo la probabilità che ciò accada).


5
Questa risposta sembra ora piuttosto obsoleta. Le prestazioni e le implicazioni di livellamento dell'usura dei dati incomprimibili sono molto diverse rispetto all'attuale generazione di SSD rispetto all'ultima generazione di SSD. Visualizza le risposte più recenti , che non hanno avuto la stessa possibilità di essere votato.
Mark Booth,

Mi chiedo quale sia lo stato attuale allora
matt

8

Non so se ciò che si applica a Truecrypt si applica a bitlocker, ma su SSD, Truecrypt ha un impatto enormemente negativo sulle prestazioni se si crittografa l'intero disco.

La causa principale del problema è che non è più possibile distinguere tra spazio libero e spazio utilizzabile poiché i dati crittografati e lo spazio libero crittografato sono entrambi trattati come dati. Ciò sconfigge sia il TRIM sia eventuali ottimizzazioni del livellamento dell'usura.

Le prestazioni in lettura sono trascurabili, ma in media stai riducendo le prestazioni di scrittura della metà o più. Esistono prove del fatto che lasciare una partizione vuota libera (ovvero dare agli algoritmi di livellamento dell'usura, quale fattore di prestazioni, spazio per lavorare) ha un enorme vantaggio positivo, ma TRIM perde dati e può teoricamente essere usato per compromettere una partizione crittografata qualcuno con risorse sufficienti.

EDIT: Questo potrebbe non essere più vero a causa delle funzionalità "TRIM Passthrough" che ora esistono, ma ci sono molte informazioni molto complicate là fuori quando si cerca su google esattamente come si comporta. Mi piacerebbe vedere alcuni benchmark reali con TrueCrypt 7.0 e FDE (le versioni precedenti di TC mostreranno i problemi di cui ho parlato sopra), ma non riesco a trovarne nessuno!

EDIT2: Alcuni anni dopo la situazione ora è di nuovo diversa. Quasi tutti gli SSD crittografano i dati prima di scriverli perché si desidera che i dati a livello fisico abbiano un'entropia elevata. Nella maggior parte delle unità le chiavi per farlo non erano accessibili all'utente, ora con OPAL possono essere impostate dal sistema operativo per darti la crittografia AES per nessuna penalità di prestazione! Per funzionare, è necessario il supporto sia del sistema operativo che dell'hardware.


5

Ho eseguito Windows 7 Ultimate 64 Bit, usando un SSD (120 GB) per circa 5 mesi. Sto usando un HDD da 1 TB (da medio a alto) a 7200 giri / min come confronto. Innanzitutto il test prevedeva semplicemente il clock del tempo di avvio del sistema operativo. Anche se non era velocissimo, era apprx. 2 volte più veloce dell'HDD. Solo testando file di dimensioni maggiori (almeno 1 GB) si è verificato anche un aumento significativo della velocità. Relativamente, su tutta la linea, l'SSD è più veloce dell'HDD!

Bitlocker; tuttavia, ha avuto gravi conflitti con l'SSD. La mia esperienza ha dimostrato che esiste una forte probabilità che non siano fatti l'uno per l'altro. Il problema principale è che la natura volatile di SSD fa credere a Bitlocker che ci sia stato un cambiamento nella configurazione hardware anche quando non si è verificato alcun cambiamento. Il risultato finale è una richiesta in corso di password e / o chiavi di ripristino di Bitlocker.

Che si tratti di un errore nell'SSD, nel Bitlocker o in entrambi, la macchina ha smesso di accettare password e chiavi di ripristino tutti insieme. Dopo aver ricevuto il mio RMA, crittografato l'unità e utilizzato come al solito, si è verificato l'esatto problema (modifica della configurazione hardware). Dopo la decrittazione del disco non ho avuto problemi e le prestazioni sono state molto buone! Inutile dire che sacrificare una grande quantità di sicurezza.

SSD offre un grande aumento delle prestazioni. Esperienza Windows prima: 5.9 Esperienza Windows dopo: 6.9


Io (e migliaia di altri) uso BitLocker su SSD senza i problemi menzionati. Mi immagino il problema deriva da un'incompatibilità tra i componenti del PC o bug forse firmware, che sono stati a lungo risolto ora (2016).
David Balažic,

4

I test delle mie aziende su Bitlocker su Windows 7 hanno dimostrato che con un laptop con un drive da 7200 RPM e un SSD Intel, entrambi avevano una riduzione della velocità di circa il 5%. Tuttavia, per la prima attività di inizializzazione del bitlocker, l'HDD ha impiegato circa 4 ore e l'SSD è stato notevolmente più veloce (entrambe le unità erano unità da 160 GB)

Tuttavia, i laptop avevano alcuni nuovi elaborati processori Core i5 e set di chip e potevano scaricare la crittografia dalla CPU principale.


4

Su Dell Inspiron 15 7577 Intel i7-7700HQ Samsung 950 PRO 256 GB NVMe Windows 10 NT bit a 64 bit Vedo l'indicazione della riduzione delle prestazioni di Bitlocker su piccoli file casuali (ad esempio il processo di compilazione), VeraCrypt è danneggiato, transitorio (non è necessario crittografare) in memoria è veloce (ad es. ottenere più memoria, montaggio dello script nel disco di memoria e copia dei file per la compilazione).

Non crittografato:

Non criptato

Crittografato da BitLocker:

Crittografato da BitLocker

Crittografato da VeraCrypt 1.21:

Crittografato da VeraCrypt

ImDisk 2.0.9 in memoria:

inserisci qui la descrizione dell'immagine

Di:

inserisci qui la descrizione dell'immagine

inserisci qui la descrizione dell'immagine

inserisci qui la descrizione dell'immagine


3

Sei aperto a eseguire Windows 8? Hai un chip TPM nel tuo laptop e il tuo laptop è compatibile con UEFI?

Ci sono unità SSD TCG OPAL là fuori. Non ho trovato un'unità basata su Sandforce che supporti questo, ma Micron ne ha uno: Micron C400 SED. Devi assicurarti di acquistare la versione SED, non la versione normale. L'uso di un'unità conforme OPAL ti consentirà di utilizzare Bitlocker in Windows 8 insieme alla crittografia dell'unità (che sta già facendo).

Bitlocker in questo schema in realtà non esegue alcuna crittografia dal lato del sistema (almeno per i dati letti / scritti). La maggior parte di Bitlocker in questa modalità agisce da "Gatekeeper" poiché le unità SED necessitano ancora di un mezzo di controllo dell'accesso per sbloccare l'unità. Quando quelli sono attivati ​​in questa modalità (con W8 e Bitlocker), l'unità è inizialmente bloccata e il sistema mostrerà solo una "partizione d'ombra" molto piccola sotto i 200 MB. Qui è dove vengono archiviati i file di avvio W8 e lo sblocco in Bitlocker avviene interagendo con TPM per passare una chiave per sbloccare l'unità.

Se non vuoi andare su Windows 8, ti manca il TPM (anche se presumo ce l'abbia dato che ti hanno chiesto di abilitare il bitlocker), o BIOS invece di UEFI ci sono un certo numero di prodotti software che possono gestire unità SED al posto di Bitlocker.

Nella mia esperienza, Bitlocker ha infatti un notevole degrado delle prestazioni anche con gli HDD. Con gli SSD, i confronti che ho visto sembrano indicare che il degrado è peggiore, forse abbastanza da ridurre molti dei benefici dell'SSD. A mio avviso, un SSD basato su SED con gestione Bitlocker (o un altro pezzo di software) è il modo migliore per andare.


2

Ci sono 2 aspetti importanti qui:

TRIM e SandForce.

Bitlocker, a differenza di TrueCrypt, supporta TRIM (lascia le parti vuote vuote e non crittografate). Ciò ha implicazioni sulla sicurezza ma, dal punto di vista delle prestazioni, ciò consente all'unità di eseguire più operazioni di garbage collection e di evitare il degrado delle prestazioni nel tempo.

Il controller SandForce è un controller SSD molto diffuso, che ottiene notevoli miglioramenti delle prestazioni grazie alla compressione dei dati. I dati crittografati non vengono compressi (sembra casuale e imprevedibile in base alla progettazione). Se hai bisogno della crittografia completa del disco, dovresti preferire un controller diverso (prova Samsung).


1
Parte di queste informazioni non è corretta. Truecrypt fa supporto TRIM. Vedi qui , per esempio.
Martin Argerami,

2

Grazie per aver posto questa domanda.

Ho eseguito la versione più recente di AS SSD sui vari SSD che ho in giro. (Intel, Kingston, OCZ RevoDrive, Corsair, Samsung, Crucial). Gestisco una sessione AS SSD mensilmente. È interessante notare che l'Intel è l'unico che ha mantenuto un punteggio stabile di 690-720. Probabilmente a causa del toolkit SSD che viene eseguito settimanalmente. Gli altri si deterioravano di un paio di numeri ogni mese.

Questo fino a quando non ho attivato BitLocker sul mio Lenovo T430S. Ora il punteggio di Intel è costantemente ridotto a 580.

  • INTEL SSDSC2BW18
  • KINGSTON SKC300S
  • KINGSTON SKC100S
  • CORSAIR CSSD-F120GB2

0

Accendo BitLocker in un tablet e laptop con Windows 10.

Nel tablet:

HDD: SEAGATE Barracuda con 1 TB di capacità e 7200 giri / min, il tipo specifico è ST1000DM010, 64 MB di cache.

Processore: Intel Pentium CPU G4400, dual-core dual-thread, 3 MB di cache, con clock a 3,3 GHz. Le specifiche della CPU elencano la tecnologia che supporta le nuove istruzioni AES.

Nel laptop:

SSD: TOSHIBA Q200EX, con capacità di archiviazione 240G, porta SATA3.

Processore: frequenza della CPU Intel Core i5-2430M 2,40 GHz, la maggiore frequenza Turbo è 3,0 G, cache dual-core a quattro thread, 3 MB. BitLocker causa una perdita di prestazioni del 50% - 60% nei tablet senza alcuna influenza sul laptop.

Per scoprire se effetti del processore o meno, attiva BitLocker su un tablet con Windows 7.

Ecco i dettagli:

HDD: SEAGATE Barracuda ST1000DM003, capacità da 1 TB e 7200 rpm, cache da 64 Mb.

Processore: Intel Xeon E3-1203 v3, otto thread quad-core, cache da 8 MB, velocità di clock 3,3 GHz e Intel Turbo Boost consente agli utenti di aumentare la frequenza di clock a 3,70 GHz. Le specifiche della CPU elencano la tecnologia che supporta le nuove istruzioni AES.

Dal risultato, questo ha ancora una riduzione del 50% della velocità di scrittura. Pertanto, il processore non ha alcun impatto sulle prestazioni. Quindi faccio uno studio approfondito dell'effetto di BitLocker sulle prestazioni di lettura / scrittura . L'SSD con chip AES all'interno sarebbe influenzato meno attivando BitLocker.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.