Impacto no desempenho do Bitlocker no SSD


33

Coloquei um novo SSD no meu computador de trabalho e meu departamento de TI deseja que eu use o BitLocker. Eu li um dos outros tópicos sobre o desempenho do BitLocker em discos rígidos padrão, mas fiquei pensando: qual é o impacto no desempenho do BitLocker em uma unidade de estado sólido?

Isso afetará visivelmente a velocidade com a qual abro meus arquivos compactados no Outlook ou projetos no Visual Studio?



Perguntas frequentes sobre o Bitlocker
Moab

Blog da Microsoft, boa leitura ... blogs.msdn.com/b/e7/archive/2009/05/05/…
Moab

Respostas:


24

Você deve ter um impacto insignificante no desempenho com a maioria dos SSDs. Especialmente com as mais recentes CPUs Intel que podem executar hardware AES muito mais rapidamente do que uma unidade (qualquer unidade) pode ler ou escrever. Meu MacBook Pro carrega mais de 900 megabytes por segundo com o AES de acordo com o benchmark TrueCrypt, e esse é um laptop.

Na minha área de trabalho, uso 4 SSDs Samsung no RAID0 e o BitLocker está ativado. O TrueCrypt nesta mesma máquina informa mais de 5 GB / s para o AES. (Dois Xeons de 6 núcleos ...)

Dito isto, é dito que o controlador SandForce SSD faz alguma compactação / desduplicação interna (o que foi comprovado por meio de benchmarks que usavam arquivos compactados grandes que não podiam "otimizar"). Obviamente, isso não vai funcionar com o BitLocker, onde todos os setores criptografados serão completamente exclusivos e descompactáveis. Portanto, se você planeja usar um SSD, não adquira um SandForce - ou, se tiver, certifique-se de poder devolvê-lo se achar que o desempenho realmente diminui depois de ativar o BitLocker.


4
+1 por mencionar o SandForce. Dados com entropia muito alta, como dados criptografados, quebram uma se as suposições fundamentais em que seus controladores são construídos. O BitLocker será ruim para essas unidades em comparação com, digamos, uma unidade Intel.
Abr

11
Thx ... Eu adoraria ver uma referência que compara o BitLocker / TrueCrypt x o desempenho "nu" nessas unidades muito badaladas. Sugeri a Anand e ele afastou-o. Qualquer pessoa com um link para um bom recebe +1 no comentário. :)
Martona

@afrazier @martona Algumas unidades SandForce, como o Vertex 2 , já fazem "auto-criptografia" no hardware de todos os dados usando o AES de 128 bits . Isso envolve uma senha ATA na inicialização (consulte os comentários aqui ), em vez de uma senha no nível do sistema operacional.
sblair

@sblair: É interessante saber, embora as senhas ATA possam ser difíceis de lidar em comparação com coisas como a implantação corporativa do BitLocker com integração TPM. Depende apenas do ambiente e dos usuários. Obrigado pelo link!
afrazier

11
Haverá alguma degradação perceptível do desempenho. Mesmo que sua CPU possa criptografar gigabytes de dados por segundo, ainda haverá uma penalidade de tempo em cada leitura ou gravação e uma penalidade de carga da CPU. O quão ruim é isso depende inteiramente do aplicativo, mas é facilmente mensurável em benchmarks e perceptível em aplicativos do mundo real.

17

Como o BitLocker realmente não altera as características de uso da unidade, além de alterar os dados em si (por exemplo, não faz com que o sistema operacional grave aleatoriamente em vez de linearmente), ele deve ter o mesmo impacto em um SSD que em pratos. Ou seja, eu ainda esperaria a diminuição de 20% a 10% no desempenho que o MaximumPC encontrou, conforme mencionado no segmento ao qual você vincula. Observe que a velocidade do BitLocker pode ter gargalos pelo processador ou pela unidade. Ou seja, se o processador puder criptografar / descriptografar mais rapidamente do que a unidade pode ler / gravar dados, a E / S do arquivo ocorrerá aproximadamente à velocidade da unidade. Se o seu processador estiver sobrecarregado, ele poderá limitar a velocidade de E / S do arquivo (embora eu acredite que a criptografia acelerada por hardware deve minimizar a probabilidade de isso acontecer).


5
Esta resposta parece agora estar desatualizada. As implicações no desempenho e no nível de desgaste dos dados incompressíveis são muito diferentes com a geração atual de SSDs, em comparação com a última geração de SSDs. Veja respostas mais recentes , que não tiveram tantas chances de serem votadas.
Mark Booth

Pergunto-me qual é o status atual, em seguida,
Matt

8

Não sei se o que se aplica ao Truecrypt se aplica ao bitlocker, mas nos SSDs, o Truecrypt tem um impacto extremamente negativo no desempenho se você criptografar o disco inteiro.

A causa raiz do problema é que você não pode mais distinguir a diferença entre espaço livre e espaço utilizável, porque os dados criptografados e o espaço livre criptografado são tratados como dados. Isso derrota o TRIM e qualquer otimização do nível de desgaste.

O desempenho nas leituras é insignificante, mas, em média, você está reduzindo o desempenho de gravação pela metade ou mais. Há alguma evidência de que deixar uma partição vazia livre (ou seja, fornecer algoritmos de nivelamento de desgaste, que afetam o desempenho, espaço para trabalhar) tem um enorme benefício positivo, mas o TRIM vaza dados e pode teoricamente ser usado para comprometer uma partição criptografada. alguém com recursos suficientes.

EDIT: Isso pode não ser mais verdade devido aos recursos "TRIM Passthrough" que existem agora, mas há muitas informações muito complicadas por aí ao pesquisar exatamente como isso se comporta no Google. Eu adoraria ver alguns benchmarks reais com o TrueCrypt 7.0 e o FDE (versões mais antigas do TC exibirão os problemas dos quais falei acima), mas não consigo encontrar nenhum!

EDIT2: Alguns anos depois, a situação agora é diferente novamente. Quase todos os SSDs criptografam os dados antes de gravá-los, porque você deseja que seus dados no nível físico tenham alta entropia. Na maioria das unidades, as chaves para fazer isso não eram acessíveis ao usuário; agora, com o OPAL, elas podem ser configuradas pelo sistema operacional para fornecer criptografia AES sem penalidade de desempenho! Você precisa de suporte de SO e hardware para que isso funcione.


5

Estou executando o Windows 7 Ultimate 64 Bit, usando um SSD (120 GB) há cerca de 5 meses. Estou usando um HD de 1TB (médio a alto) a 7200RPM como comparação. Primeiro, o teste envolveu simplesmente o tempo de inicialização do sistema operacional. Embora não fosse muito rápido, era aprox. 2 vezes mais rápido que o disco rígido. Apenas testando arquivos maiores (pelo menos 1 GB), também houve um aumento significativo na velocidade. Relativamente, em geral, o SSD é mais rápido que o HDD!

Bitlocker; no entanto, teve sérios conflitos com o SSD. Minha experiência mostrou que há uma forte probabilidade de que eles não sejam feitos um para o outro. O principal problema é que a natureza volátil do SSD faz com que o Bitlocker acredite que houve uma alteração na configuração do hardware, mesmo quando essa alteração não ocorreu. O resultado final é uma solicitação contínua de senhas e / ou chaves de recuperação do Bitlocker.

Seja uma falha no SSD, no Bitlocker ou em ambos, a máquina parou de aceitar senhas e chaves de recuperação todos juntos. Depois de receber minha RMA, criptografar a unidade e usar normalmente, o problema exato (alteração da configuração de hardware) ocorreu novamente. Após a descriptografia da unidade, não tive problemas e o desempenho foi muito bom! Escusado será dizer que sacrificar uma grande quantidade de segurança.

O SSD oferece um grande aumento no desempenho. Experiência Windows antes: 5.9 Experiência Windows após: 6.9


Eu (e milhares de outros) uso o BitLocker no SSD sem os problemas mencionados. Eu acho que o seu problema decorre de uma incompatibilidade entre componentes do PC ou talvez bugs de firmware, que já foram resolvidos há muito tempo (2016).
David Balažic

4

Minhas empresas testando o Bitlocker no Windows 7 mostraram que, com um laptop com uma unidade de 7200 RPM e um SSD Intel, ambos tiveram uma redução de velocidade de cerca de 5%. No entanto, para a primeira tarefa de inicializar o bitlocker, o disco rígido demorou cerca de 4 horas e o SSD foi muito mais rápido (ambas as unidades eram de 160 GB)

No entanto, os laptops tinham alguns novos processadores Core i5 e chipsets, e podiam descarregar a criptografia da CPU principal.


4

No Dell Inspiron 15 7577 Intel i7-7700HQ Samsung 950 PRO 256GB NVMe Windows 10 de 64 bits NTFS, vejo indicação de penalidade de desempenho pelo Bitlocker em pequenos arquivos aleatórios (por exemplo, processo de compilação), o VeraCrypt é ruim, transitório (não é necessário criptografar) na memória é rápido (por exemplo, obtenha mais memória, montagem de script no disco de memória e cópia de arquivos para compilação).

Não criptografado:

Não criptografado

Criptografado pelo BitLocker:

Criptografado pelo BitLocker

Criptografado por VeraCrypt 1.21:

Criptografado por VeraCrypt

ImDisk 2.0.9 na memória:

insira a descrição da imagem aqui

Sobre:

insira a descrição da imagem aqui

insira a descrição da imagem aqui

insira a descrição da imagem aqui


3

Você está aberto para executar o Windows 8? Você tem um chip TPM no seu laptop e é compatível com UEFI?

Existem unidades SSD TCG OPAL por aí. Não encontrei uma unidade baseada no Sandforce que suporte isso, mas a Micron possui uma: Micron C400 SED. Você precisa comprar a versão SED, não a versão simples. O uso de uma unidade compatível com OPAL permitirá que você use o Bitlocker no Windows 8 em conjunto com a criptografia da unidade (que já está sendo executada).

O Bitlocker nesse esquema não realiza nenhuma criptografia do lado do sistema (pelo menos para dados lidos / gravados). A maior parte do Bitlocker nesse modo está atuando como um "Gatekeeper", pois as unidades SED ainda precisam de um meio de controle de acesso para desbloquear a unidade. Quando esses são ativados neste modo (com W8 e Bitlocker), a unidade é bloqueada inicialmente e o sistema mostra apenas uma "partição de sombra" muito pequena com menos de 200 MB. É aqui que os arquivos de inicialização do W8 são armazenados e o desbloqueio no Bitlocker acontece com a interação com o TPM para passar uma chave para desbloquear a unidade.

Se você não deseja acessar o Windows 8, não possui o TPM (embora suponha que o possua, pois eles pediram para ativar o bloqueador de bits) ou o BIOS, em vez do UEFI, existem vários produtos de software que podem gerenciar unidades SED no lugar de Bitlocker.

Na minha experiência, o Bitlocker tem, de fato, uma degradação perceptível no desempenho, mesmo com HDDs. Com os SSDs, as comparações que eu vi parecem indicar que a degradação é pior, talvez o suficiente para que muitos dos benefícios para o SSD sejam reduzidos. Na minha opinião, um SSD baseado em SED com gerenciamento de Bitlocker (ou outro software) é o melhor caminho a percorrer.


2

Existem dois aspectos importantes aqui:

TRIM e SandForce.

O Bitlocker, ao contrário do TrueCrypt, suporta TRIM (deixa as partes vazias vazias e não criptografadas). Isso tem implicações de segurança, mas em termos de desempenho, isso permite que a unidade colete mais lixo e evita a degradação do desempenho ao longo do tempo.

O controlador SandForce é um controlador SSD popular, que aumenta significativamente o desempenho através da compactação de dados. Os dados criptografados não são compactados (eles parecem aleatórios e imprevisíveis por design). Se você precisar de criptografia de disco completa, deve preferir um controlador diferente (tente Samsung).


11
Parte desta informação não está correta. Truecrypt faz suporte TRIM. Veja aqui , por exemplo.
Martin Argerami

2

Obrigado por fazer essa pergunta.

Eu tenho executado a versão mais atual do AS SSD nos vários SSDs que tenho por aí. (Intel, Kingston, OCZ RevoDrive, Corsair, Samsung, Crucial). Eu executo uma sessão AS SSD mensalmente. Curiosamente, a Intel é a única que manteve uma pontuação estável de 690-720. Provavelmente devido ao SSD Toolkit que é executado semanalmente. Os outros deterioravam alguns números todos os meses.

Isso é até eu ativar o BitLocker no meu Lenovo T430S. Agora, a pontuação da Intel caiu para 580 de forma consistente.

  • INTEL SSDSC2BW18
  • KINGSTON SKC300S
  • KINGSTON SKC100S
  • CORSAIR CSSD-F120GB2

0

Ativei o BitLocker em um tablet e laptop com Windows 10.

No tablet:

HDD: SEAGATE Barracuda com capacidade de 1 TB e 7200 rpm, o tipo específico é ST1000DM010, cache de 64 MB.

Processador: CPU Intel Pentium G4400, threads duplos de núcleo duplo, cache de 3 MB, com clock de 3,3GHz. A especificação da CPU lista a tecnologia que suporta as Novas Instruções da AES.

No laptop:

SSD: TOSHIBA Q200EX, com capacidade de armazenamento de 240G, porta SATA3.

Processador: Frequência da CPU Intel Core i5-2430M 2.40GHz, a maior frequência Turbo é 3.0G, cache de 3 MB e quatro threads de núcleo duplo. O BitLocker causa perda de desempenho de 50% a 60% no tablet enquanto não influencia o laptop.

Para descobrir se os efeitos do processador são ou não, ative o BitLocker em um tablet com Windows 7.

Aqui estão os detalhes:

HDD: SEAGATE Barracuda ST1000DM003, capacidade de 1 TB e cache de 7200 rpm, 64 Mb.

Processador: Intel Xeon E3-1203 v3, oito threads de quatro núcleos, cache de 8 MB, velocidade de clock de 3,3 GHz e Intel Turbo Boost permite que os usuários aumentem a taxa de clock para 3,70 GHz. A especificação da CPU lista a tecnologia que suporta as Novas Instruções da AES.

Pelo resultado, isso ainda tem reduções de 50% na taxa de gravação. Portanto, o processador não afeta o desempenho. Em seguida, faço um estudo aprofundado de como o BitLocker afeta o desempenho de leitura e gravação . O SSD com chip AES no interior seria menos afetado ao ativar o BitLocker.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.