52

Я бы предположил, что при развертывании полного дискового шифрования вводятся дополнительные записи каждый раз, когда компьютер загружается и выключается. Учитывая, что считается, что твердотельные диски имеют более низкую среднюю емкость для записи до сбоя, может ли решение для полного дискового шифрования снизить ожидаемый срок службы диска, на котором он развернут?

Если мои предположения неверны, то я полагаю, что это спорный вопрос. Заранее спасибо.

4 ответа4

48

Думайте о шифровании как об адаптере. Данные просто кодируются перед записью или декодированием перед чтением. Единственное отличие состоит в том, что ключ передается в какой-то момент (обычно при инициализации диска / драйвера) для использования для шифрования / дешифрования.

Вот (грубый) рисунок, который я набросал, чтобы показать базовый шаблон:

Схема, демонстрирующая полное шифрование диска

Как вы можете видеть, нет необходимости выполнять дополнительные операции чтения или записи, поскольку модуль шифрования шифрует данные перед тем, как данные записываются на диски, и дешифрует их перед отправкой процессу, который выполнял чтение.

Фактическое местоположение модуля шифрования может отличаться; это может быть программный драйвер или аппаратный модуль в системе (например, контроллер, BIOS, модуль TPM) или даже сам привод. В любом случае, модуль находится «в середине провода» между программным обеспечением, которое выполняет файловые операции, и фактическими данными на дисках диска.

20

Короткий ответ:
Если контроллер диска не использует сжатие, то ответ Synetech верен, и шифрование ничего не изменит. Если контроллер использует сжатие, то шифрование, вероятно, сократит срок службы диска (по сравнению с идентичным диском, где шифрование не используется).

Длинный ответ:
Некоторые контроллеры SSD используют сжатие, чтобы минимизировать объем данных, записываемых на фактические флеш-чипы, и для улучшения производительности чтения (основной пример - контроллеры SandForce, могут быть и другие). Это будет работать лучше всего, если данные, записанные на диск, легко сжимаются. Текстовые файлы, исполняемые файлы, несжатые изображения (например, BMP) и тому подобное, как правило, могут быть сжаты довольно много, в то время как файлы, которые уже сжаты или зашифрованы, практически невозможно сжать, так как данные будут выглядеть почти полностью случайными для алгоритма сжатия в контроллере ,

Tom's Hardware провела хороший тест именно на этом на Intel SSD 520, который можно найти на
http://www.tomshardware.com/reviews/ssd-520-sandforce-review-benchmark,3124-11.html

В основном они измеряют усиление записи (отношение объема данных, записанных на флэш-память, и объема данных, отправляемых на накопитель) накопителя при записи полностью сжимаемых данных и совершенно случайных данных. Для полностью случайных данных усиление записи составляет 2,9 *, что означает, что на каждый ГБ данных, отправляемых на диск, 2,9 ГБ записывается во флэш-память. В статье отмечается, что это примерно одинаковое число, измеренное на дисках, которые не используют сжатие. Для полностью сжимаемых данных это соотношение составляет 0,17, что немного ниже.

Обычное использование, вероятно, закончится где-то посередине, если данные не зашифрованы. Предсказания времени жизни в статье несколько академичны, но показывают, что шифрование может определенно повлиять на время жизни на SSD с контроллером SandForce. Единственный способ обойти это - если сам контроллер может выполнить шифрование после сжатия.

* В статье не указано, почему 2.9 считается нормальным значением, и я не исследовал его. Логическим объяснением может быть то, что большинство твердотельных накопителей используют MLC NAND, который подвержен ошибкам в битах (при записи, если я правильно помню, во время записи могут происходить перевороты в других частях блоков стирания). Чтобы исправить это, данные, вероятно, записываются в несколько мест, так что восстановление или исправление всегда возможно.

7

Полное шифрование диска не увеличивает объем данных, записываемых на диск, за исключением метаданных, которые слой шифрования должен хранить вместе с файловой системой (что незначительно). Если вы шифруете 4096 байт, записывается 4096 байт.

1

Ответ зависит от того, что вы подразумеваете под "полным шифрованием диска".

Если вы просто имеете в виду, что все файлы и метаданные файловой системы зашифрованы на диске, то нет, это не должно влиять на срок службы SSD.

Однако, если вы имеете в виду более традиционное «Все содержимое диска, включая неиспользуемое пространство, зашифровано», то да, это сократит срок службы, возможно, значительно.

Устройства SSD используют "выравнивание износа", чтобы распределять записи по устройству, чтобы избежать преждевременного износа нескольких секций. Они могут сделать это, потому что современные драйверы файловой системы специально сообщают SSD, когда данные в определенном секторе больше не используются (были "удалены"), поэтому SSD может установить этот сектор на ноль и перейти к использованию любого сектора. имеет наименьшее количество использования для следующей записи.

При традиционной схеме полнодискового шифрования ни один из секторов не используется. Те, которые не содержат ваших данных, все еще зашифрованы. Таким образом, злоумышленник не знает, какая часть вашего диска содержит ваши данные, а какая - просто случайный шум, что значительно усложняет расшифровку.

Чтобы использовать такую систему на SSD, у вас есть два варианта:

  1. Разрешите файловой системе продолжить выполнение сбросов, после чего сектора, в которых нет ваших данных, будут пустыми, и злоумышленник сможет сосредоточить свои усилия только на ваших данных.
  2. Запретите файловой системе выполнять сброс, и в этом случае ваше шифрование все еще остается надежным, но теперь оно не может существенно выравнивать износ, и поэтому наиболее часто используемые разделы вашего диска будут изнашиваться, потенциально значительно опережая остальную часть.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .