Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FDE und die sinkende Performance

Mitglied: itsenaf

itsenaf (Level 1) - Jetzt verbinden

17.07.2019 um 20:30 Uhr, 417 Aufrufe, 12 Kommentare

Ein herzliches Hallo in die Runde,

ich benötige jemanden der mir in Sachen Full Disk Encryption weiter helfen kann.
Genauer gesagt geht es um die sinkende Performance, bei einer voll verschlüsselten Platte.

Grundlegendes Verständnis für Verschlüsselung habe ich. Allerdings bin ich keineswegs ein Experte darin.

Wir haben in der Firma Dell Latitude 7490 Notebooks, welche mit Windows 10 aufgesetzt sind und zukünftig voll verschlüsselt werden.
Ich bin ein Freund des Benchmarks und lasse bei einer neuen Notebook-Konfiguration immer gerne verschiedenste Tests laufen.

In den Notebook befindet sich ein i5 8250U, 16 GB DDR4 RAM und eine 256 GB TOSHIBA XG6 PCIe NVMe SSD.
Die Platte ist für mich besonders wichtig, da diese meines Wissens nach auch eine wichtige Rolle bei der Performance nach der Verschlüsselung spielt.
Korrigiert mich gern, wenn ich falsch liege.

Benchmark vor der Verschlüsselung:

Seq. Read ~2800 MB/s...
Seq. Write ~1600 MB/s...

Nach der Verschlüsselung (CheckPoint Full Disk Encryption AES-256):

Seq. Read ~1600 MB/s...
Seq. Write ~300 MB/s...

(...Screenshots von AS SSD Benchmark füge ich morgen gerne ein, habe ich gerade nicht griffbereit...)

Das die Performance nach etwas sinkt ist mir bewusst, da permanent Ver- und Entschlüsselungsvorgänge von statten gehen.
Aber die Schreibrate im seq. Bereich ist so extrem gesunken, dass ich mich ehrlich Frage ob das so richtig sein soll.

Während des Schreibvorgangs (Bench) gerät weder die Platte, noch der RAM oder die CPU ans Leistungslimit. Also muss da doch noch mehr gehen, oder nicht?
Beim Lesen kommt die CPU auf 80% Last und die Platte auf gute 90%. Beim Schreiben halten sich beide bei 30% auf.

Wo genau ist der Flaschenhals? Wieso liest er so schnell, aber schreibt deutlich langsamer?
Genau hier fehlt mir das nötige Expertenwissen .
Die CPUs haben doch eine AES-Befehlssatzerweiterung, TPM etc. pp. um das ganze performant zu halten.

Gibt es eventuell noch etwas im BIOS zu konfigurieren?

Ich würde mich über etwaige Ratschläge sehr freuen.
Mitglied: DerWoWusste
17.07.2019 um 23:02 Uhr
Hi.

Du hast bei beiden fast den selben absoluten Rückgang in MB/s (1200-1300) - es ist evtl. normal.
Ich würde die Tests wiederholen, nachdem ich von einem Zweitsystem gebootet hätte (USB Windows 2 Go), damit die Aktivitäten des OS' die Messungen nicht verfälschen. Auf dem Windows 2 Go müsstest Du natürlich ebenso die Checkpoint Software installieren und die Platte mounten.

Vergleiche auch mit Bitlocker, welches Du ja eh zur Verfügung hast. Nimm bei Bitlocker zum Test einmal 128 Bit und einmal 256 Bit XTS_AES.
Bitte warten ..
Mitglied: certifiedit.net
18.07.2019 um 08:09 Uhr
Morgen,

Du vergisst zwei Dinge,

A Verschlüsselung belastet das gesamte System also auch RAM und CPU, klar, die Platte muss liefern, aber die Platte an sich entschlüsselt doch nichts.
B der Unterschied ist jeweils fast gleich. Beim Lesen fällt dies allerdings weniger stark auf.
Bitte warten ..
Mitglied: DerWoWusste
18.07.2019, aktualisiert um 09:01 Uhr
Da du noch nicht geantwortet hast, zwei weiterere Hinweise:

Bitlocker, und evtl. auch Deine Checkpoint-Software, kann Hardwareverschlüsselung nutzen, also die Fähigkeiten der Platte mitnutzen, um so höhere Performance erreichen. Schau mal nach, ob das in Checkpoint einstellbar ist. In Bitlocker wird das, sofern hardwareseitig (Herstellertool von Toshiba) auf der Platte schon aktiviert ist, sogar automatisch benutzt.

Desweiteren: https://www.dell.com/support/home/de/de/debsdt1/drivers/driversdetails?d ... soll die Performance der Platte verbessern.
Bitte warten ..
Mitglied: Bitboy
18.07.2019 um 10:15 Uhr
Dachte immer Verschlüsselung wird über die CPU Erweiterung Beschleunigt. https://de.wikipedia.org/wiki/AES_(Befehlssatzerweiterung)
Haben HDDs auch inzwischen eine Optimierung?

Eventuell lohnt sich auch eine Gegenprobe mit Veracrypt.
Bitte warten ..
Mitglied: itsenaf
18.07.2019, aktualisiert um 15:12 Uhr
Hey,

über ein Windows 2 Go oder ähnliches zu gehen habe ich noch nicht probiert. Ebenso Bitlocker.
Sobald ich ein paar Stunde Ruhe habe setze ich neu auf und teste das mal.

Die CheckPoint-Software unterstützt in der Tat SED-Platten. Allerdings ist die eingebaute Toshiba XG60ZNV wohl die Reihe, welche Hardwareverschlüsselung nicht unterstützt. Wie in deinem Link zu sehen bräuchte ich die KXG6AZNV.
Falls das wirklich was bringen könnte würde ich diese natürlich mal versuchen zu organisieren.

Das mit den SED SSD habe ich allerdings eh noch nicht so richtig verstanden.
Ich dachte bisher das diese Platten eine eigene Verschlüsselung anbieten. Also sone Art Passwort Abfrage beim Boot.
Aber ebend eine eigene Verschlüsselung und nicht von Software genutzt werden kann.

Würde CheckPoint dann auf diese "Leistung" zurückgreifen, ohne das die Platte selbst mir noch eine Passwortabfrage beim Boot beschert?

@Bitboy meine CPU (i5 8250U) verfügt laut Intel-Webseite über eine AES-Befehlssatzerweiterung. Wie man nachvollziehen kann ob diese aktiv ist und überhaupt etwas beiträgt, weißt ich nicht. Im BIOS ist diesbezüglich nichts zu sehen.
Bitte warten ..
Mitglied: DerWoWusste
18.07.2019 um 15:51 Uhr
Bitlocker kann die FDE-Fähigkeit nutzen und in sein eigenes System integrieren, also keine Extra-Kennwortabfrage durch die Platte.
Du hast Recht, das Modell ist kein Self-encrypting drive, hat also keine erweiterten Fähigkeiten.
Bitte warten ..
Mitglied: DerWoWusste
23.07.2019 um 15:13 Uhr
Was haben Deine Tests ergeben?
Bitte warten ..
Mitglied: itsenaf
23.07.2019 um 15:20 Uhr
Ich warte gerade darauf das die SED SSD (Samsung 970 Evo Plus) ankommt. Und dann die Brücke zwischen CheckPoint und TGC Opal versuchen.
Bitte warten ..
Mitglied: itsenaf
29.07.2019 um 14:11 Uhr
So. Die Platte ist angekommen.
Während der CheckPoint-Installation erkennt die Software die SSD tatsächlich als SED und überspringt den Verschlüsselungsvorgang.
Der Status springt sofort auf "Verschlüsselt". Das ist wohl auch der Sinn von SED .

Geschwindigkeitstechnisch ist es eher mau -> siehe Anhang.

Read ist natürlich Klasse. Write im Sequentiellen eher nicht so.
Denke viel mehr kann man da jetzt auch nicht machen. Soll wohl so sein.
anmerkung6 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: DerWoWusste
29.07.2019 um 14:25 Uhr
Ok, aber wie hast Du gemessen?

Weiterhin verfälschte Messung mit Windows auf der selben Platte oder richtiger Test von Windows2Go aus?
Bitte warten ..
Mitglied: itsenaf
29.07.2019 um 15:24 Uhr
Der Test fand auf der Partition D:\ statt, auf welcher nichts liegt. Ist aber die selbe Platte.
Meinst du Windows2Go macht so einen riesen Unterschied?
Bitte warten ..
Mitglied: DerWoWusste
29.07.2019, aktualisiert um 15:54 Uhr
d: ist doch auf der selben Platte. Somit ist egal, "ob da was drauf liegt". Wenn Windows während der Messung zufällig gerade die Platte beansprucht, werden die Ergebnisse verfälscht. Bei Windows2Go liegt das Windows, von dem die Messung aus läuft, eben auf einem USB-Stick.

Natürlich kann auch das Selbe rauskommen - nur hast Du bei Windows2Go Gewissheit, dass es nicht an Verfälschungen liegt.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Veracrypt FDE und Token
Frage von Fr33l4nc3rVerschlüsselung & Zertifikate8 Kommentare

Hallo Freunde der Computertechnik, zur Zeit bin ich auf der Suche meine Systeme per Verschlüsselung abzusichern. Dazu möchte ich ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 13 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...