SSD sürücüdeki tam disk şifreleme ömrünü kısaltır mı?

52

İsterim üstlenmek bir tam disk şifreleme dağıtımının, bilgisayarın her açılışında ve kapatılışında ek yazmalara neden olacağını. Yarıiletken disklerin, başarısızlıktan önce yazma işlemleri için daha düşük bir ortalama kapasiteye sahip olduğu düşünülürse, tam disk şifreleme çözümü, kullanıldığı diskin beklenen ömrünü azaltabilir mi?

Varsayımlarım yanlışsa, bunun bir tartışma noktası olduğunu varsayalım. Şimdiden teşekkürler.

ssd  encryption 
B. VB.
kaynak
Jarrod Roberson
1
@ JarrodRoberson bu soruyu mu kastediyorsun? superuser.com/questions/39719/... Her iki durumda da, ilgili soruların hepsinin aşağı cevapları var, bu yüzden bunları cevapları olarak kapatmazdım.
Ivo Flipse
@IvoFlipse the püf noktası yinelenen devletler olarak işaretlediğim sorunun “... Bu etkili bir şekilde tam olarak kullanılmış bir duruma geçecek mi ve Bu, sürücünün aşınma seviyesini ve performansını nasıl etkiler? ..." Bu tam olarak aynı soru.
Jarrod Roberson

Yanıtlar:

48

Şifrelemeyi bir adaptör olarak düşünün. Veriler okunmadan önce yazılmadan veya kodlanmadan önce kolayca kodlanır. Tek fark şifreleme / şifre çözme için kullanılacak bir anahtarın belirli bir noktada (genellikle sürücü / sürücü başlatıldığında) iletilmesidir.

İşte temel deseni göstermek için bir araya getirdiğim (kaba) bir grafik:

Schematic demonstrating full—drive-encryption

Gördüğünüz gibi, ekstra okuma veya yazma işlemine gerek yoktur, çünkü şifreleme modülü veriler plakalara yazılmadan önce verileri şifreler ve okunan işlemi gerçekleştirmeden önce şifresini çözer.

Şifreleme modülünün asıl konumu değişebilir; bir yazılım sürücüsü olabilir veya sistemdeki bir donanım modülü (örneğin, denetleyici, BIOS, TPM modülü) veya sürücünün kendisinde olabilir. Her durumda, modül dosya işlemlerini gerçekleştiren yazılım ile sürücünün plakalarındaki gerçek veriler arasında “kablonun ortasında” bulunur.

Synetech
kaynak
24
Bu cevap mantıklı yanlıştır! Bir seferde OS'nin kaç blok şifrelendiğine bağlı. Her seferinde 4K şifrelendiğini varsayalım, sonra basitçe bir bayt değiştirmek, SSD'ye 8 512 bayt blok yazmasına neden olur; şifreleme olmadan, OS (iyi optimize edilirse) sadece 1 512 bayt bloğa yazması gerekir. Bu yüzden şifreleme 8x disk ekler. Uygulamada, OS şifreleme için uygun bir blok boyutu seçebilir, ancak cevap bu sorunu çözmez ve bunun için herhangi bir iddiada bulunmaz. Yani pratikte bu cevap doğru olabilir ama mantıksal olarak yanlış, en azından eksik.
icando
21
@icando, bu genel bir sadeleştirme. Ayrıca, bahsettiğin şey bir kesintisiz şifreleme . En yaygın / popüler tam disk şifreleme programı, TrueCrypt , kullanır blok şifreleri . Kötü bir şekilde tasarlanmış ve / veya bu tür bir etkiye neden olan bir akış şifresi kullanan bir tam disk şifreleme sistemini belirtebilirseniz, lütfen bunu yapın ve ben de cevabı memnuniyetle açıklayacağım.
Synetech
1
Şifreleme modülü sürücünün kendisinde ise, SSD'lerin yapısını dikkate aldığından emin olabilirsiniz (aksi halde mfg aptaldır ve geri ödeme yapmak istersiniz). Modül BIOS'taysa, gerektiğinde daha iyi bir algoritma içerecek şekilde kolayca güncellenebilir.
Synetech
1
Yazılım gelince, güncellenmesi daha kolaydır. Örneğin TrueCrypt güncellenmiş SSD aşınması açısından analiz edildi [1] [2] Ve asıl sorun, aşınma değil, olabilir. saldırıya açık .
Synetech
9
Tam disk şifrelemeyle ilgili endişe, DISCARD / TRIM'in güvenlik nedenleriyle genellikle devre dışı bırakılmış olmasıdır. Tüm SSD disklerin mantıksal bir 4kb blok boyutu vardır, bu katmanın altındaki gerçek uygulama çoğu üretici tarafından gizli tutulur, 8kb sayfa boyutları olarak gösterilen yeni disklerle bile, çevirileri yapan yazılımların altında hala 4kb'dir. Bunların hiçbiri, bellenimin eklediği iddiasıyla, bellenimin, yazma işlemlerinin birleştirilmesiyle doğru olanı yaptığı bir endişe değildir. her şey çok daha az 8X yazıyor şifreleme ve dosya sistemi ve firmware yazma stratejileri cehalet.
Jarrod Roberson
20

Kısa cevap:
Disk denetleyicisi sıkıştırma kullanmıyorsa, Synetech'in cevabı doğrudur ve şifreleme hiçbir şeyi değiştirmez. Denetleyici sıkıştırma kullanıyorsa, şifreleme muhtemelen diskin ömrünü azaltacaktır (şifrelemenin kullanılmadığı aynı bir diske kıyasla).

Uzun cevap:
Bazı SSD denetleyicileri, gerçek flaş çiplerine yazılan veri miktarını en aza indirmek ve okuma performansını iyileştirmek için sıkıştırma kullanır (SandForce denetleyicileri en iyi örnektir, diğerleri de olabilir). Diske yazılan veriler kolayca sıkıştırılabilirse, bu en iyi şekilde işe yarar. Metin dosyaları, çalıştırılabilir dosyalar, sıkıştırılmamış görüntüler (örneğin BMP) ve benzerleri, genellikle sıkıştırılmış veya şifrelenmiş dosyalar, denetleyicideki sıkıştırma algoritmasına neredeyse tamamen rastgele görüneceğinden sıkıştırmak neredeyse imkansızdır. .

Tom's Hardware, bu konuda bulabileceğiniz Intel SSD 520'de tam olarak bu konuda güzel bir test yaptı.
http://www.tomshardware.com/reviews/ssd-520-sandforce-review-benchmark,3124-11.html

Temel olarak yaptıkları, tamamen sıkıştırılabilir veriler ve tamamen rastgele veriler yazarken sürücünün yazma amplifikasyonunu (flaşa yazılan veri miktarının ve sürücüye gönderilen veri miktarının oranı) ölçmektir. Tamamen rastgele veriler için, yazma yükseltmesi 2.9 * 'dır, yani diske gönderilen her GB veri için 2.9 GB'ın yanıp sönmesi için yazılmıştır. Makale, bunun, sıkıştırma kullanmayan sürücülerde ölçülen yaklaşık aynı sayıya sahip olduğunu belirtti. Tamamen sıkıştırılabilir veriler için oran 0.17'dir ve bu oran oldukça düşüktür.

Normal kullanım muhtemelen arada bir yerde bitecek olmadıkça veri şifrelenmiştir. Makaledeki yaşam boyu tahminler biraz akademik, ancak şifrelemenin SandForce denetleyicili bir SSD'deki yaşam süresini kesinlikle etkileyebileceğini gösteriyor. Bunu aşmanın tek yolu, sıkıştırma gerçekleştikten sonra denetleyicinin şifrelemeyi yapabilmesidir.

* Makale, neden 2.9'ın normal bir değer olarak kabul edildiğini ve gerçekten araştırılmadığını belirtmiyor. Mantıksal bir açıklama, çoğu SSD'nin MLC NAND kullanması olabilir; bu, bir hataya meyillidir (doğru hatırlıyorsam yazarken, silme bloklarının diğer bölümlerinde bitler oluşabilir). Bunu düzeltmek için, veriler muhtemelen birkaç yere yazılmıştır, böylece kurtarma veya düzeltme her zaman mümkündür.

Leo
kaynak
şifreli veriler daha büyük değildir, sadece şifrelenir, şifreleme verilerin boyutunun artmasına neden olmaz. 2012'de otomatik olarak dosya sıkıştırma sistemlerini kim kullanıyor?
Jarrod Roberson
6
@ JarrodRoberson: SandForce SSD kontrolörleri, yazma işlemlerini en aza indirmek için verileri sıkıştırır. Başka örnekler de olabilir.
John Bartholomew
@ JohnBartholomew dedim, disk denetleyicilerinden önce gelen dosya sistemleri. Ve ilginizi çekmeyen bir noktaya göre, SandForce sıkıştırma şeması "sıkıştırılamaz" veya "önceden sıkıştırılmış" verileri sözde algılar ve yazdıklarını taklit etme girişimlerinde sıkıştırmaz, bu bir sırdır, bu yüzden asla emin olamayacağız. Her iki durumda da, daha fazla sürmez uzay , bu özel durumda sadece daha fazla zaman.
Jarrod Roberson
1
@JarrodRoberson: Mesele şu ki, kontrolör her şeyi sıkıştırdıktan sonra performansa çalışırsa (zamanla) ve Diske gönderdiğiniz tüm veriler şifrelenmişse uzayda) daha kötü olacaktır. Kontrolör, verinin sıkıştırılamaz olduğunu tespit etmek için zaman harcayacağı için zamandan daha kötü olacaktır ve diskin şifrelenmemiş (ve bu nedenle bazı durumlarda sıkıştırılabilir) verilerinin verilmesine kıyasla, alanda daha kötü olacaktır.
John Bartholomew
4
@JarrodRoberson: Daha az yazmadan faydalanmamak, OP'nin sorduğu gibi seslerin tam olarak kullanılmaması ve kullanılan şifrelemenin doğrudan bir sonucudur.
Leo
7

Tam disk şifrelemesi, şifreleme katmanının dosya sistemi ile birlikte depolaması gereken (meta önemsiz) meta verilerden başka bir diske yazılan veri miktarını artırmaz. 4096 bayt şifrelerseniz, 4096 bayt yazılır.

Michael Hampton
kaynak
1

Cevap, "tam disk şifreleme" ile neyi kastettiğinize bağlıdır.

Tüm dosya ve dosya sistemi meta verilerinin disk üzerinde şifrelenmiş olduğunu kastediyorsanız, hayır, SSD ömrü üzerinde bir etkisi olmamalıdır.

Ancak, daha geleneksel bir "Eğer kullanılmayan alan da dahil olmak üzere diskin tüm içeriği şifreli" demek istiyorsan, evet, belki de önemli ölçüde kullanım ömrünü azaltacaktır.

SSD cihazları, bazı bölümleri zamanından önce yıpranmasını önlemek için, yazıların cihaza yayılması için "aşınma dengelemesi" kullanır. Bunu yapabilirler çünkü modern dosya sistemi sürücüleri belirli bir sektördeki veriler artık kullanılmadığında ("atıldı") özellikle SSD'ye söylerler, böylece SSD bu sektörü sıfıra ayarlayabilir ve hangi sektörü kullanmaya devam edebilir Bir sonraki yazım için en az kullanım alanına sahiptir.

Geleneksel, tam disk şifreleme düzeniyle, sektörlerin hiçbiri kullanılmıyor. Verilerinizi içermeyenler hala şifreli. Bu şekilde bir saldırgan, diskinizin hangi bölümünün verilerinize sahip olduğunu ve hangi bölümünün yalnızca rastgele gürültü olduğunu bilmediğinden, şifre çözme işlemi çok daha zorlaşır.

Böyle bir sistemi SSD'de kullanmak için iki seçeneğiniz vardır:

  1. Dosya sisteminin atmaya devam etmesine izin verin, bu noktada verileriniz olmayan sektörler boş olacak ve bir saldırgan çabalarını sadece verilerinize odaklayabilecektir.
  2. Dosya sisteminin atma işlemi yapmasını yasaklayın, bu durumda şifrelemeniz hala güçlüdür, ancak şimdi önemli düzeyde aşınma düzeyi yapamaz ve bu nedenle diskin en çok kullanılan bölümleri potansiyel olarak önemli ölçüde ileride aşınır.
Perkins
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.