12
FDE und die sinkende Performance
Ein herzliches Hallo in die Runde,
ich benötige jemanden der mir in Sachen Full Disk Encryption weiter helfen kann.
Genauer gesagt geht es um die sinkende Performance, bei einer voll verschlüsselten Platte.
Grundlegendes Verständnis für Verschlüsselung habe ich. Allerdings bin ich keineswegs ein Experte darin.
Wir haben in der Firma Dell Latitude 7490 Notebooks, welche mit Windows 10 aufgesetzt sind und zukünftig voll verschlüsselt werden.
Ich bin ein Freund des Benchmarks und lasse bei einer neuen Notebook-Konfiguration immer gerne verschiedenste Tests laufen.
In den Notebook befindet sich ein i5 8250U, 16 GB DDR4 RAM und eine 256 GB TOSHIBA XG6 PCIe NVMe SSD.
Die Platte ist für mich besonders wichtig, da diese meines Wissens nach auch eine wichtige Rolle bei der Performance nach der Verschlüsselung spielt.
Korrigiert mich gern, wenn ich falsch liege.
Benchmark vor der Verschlüsselung:
Seq. Read ~2800 MB/s...
Seq. Write ~1600 MB/s...
Nach der Verschlüsselung (CheckPoint Full Disk Encryption AES-256):
Seq. Read ~1600 MB/s...
Seq. Write ~300 MB/s...
(...Screenshots von AS SSD Benchmark füge ich morgen gerne ein, habe ich gerade nicht griffbereit...)
Das die Performance nach etwas sinkt ist mir bewusst, da permanent Ver- und Entschlüsselungsvorgänge von statten gehen.
Aber die Schreibrate im seq. Bereich ist so extrem gesunken, dass ich mich ehrlich Frage ob das so richtig sein soll.
Während des Schreibvorgangs (Bench) gerät weder die Platte, noch der RAM oder die CPU ans Leistungslimit. Also muss da doch noch mehr gehen, oder nicht?
Beim Lesen kommt die CPU auf 80% Last und die Platte auf gute 90%. Beim Schreiben halten sich beide bei 30% auf.
Wo genau ist der Flaschenhals? Wieso liest er so schnell, aber schreibt deutlich langsamer?
Genau hier fehlt mir das nötige Expertenwissen
.
Die CPUs haben doch eine AES-Befehlssatzerweiterung, TPM etc. pp. um das ganze performant zu halten.
Gibt es eventuell noch etwas im BIOS zu konfigurieren?
Ich würde mich über etwaige Ratschläge sehr freuen.
ich benötige jemanden der mir in Sachen Full Disk Encryption weiter helfen kann.
Genauer gesagt geht es um die sinkende Performance, bei einer voll verschlüsselten Platte.
Grundlegendes Verständnis für Verschlüsselung habe ich. Allerdings bin ich keineswegs ein Experte darin.
Wir haben in der Firma Dell Latitude 7490 Notebooks, welche mit Windows 10 aufgesetzt sind und zukünftig voll verschlüsselt werden.
Ich bin ein Freund des Benchmarks und lasse bei einer neuen Notebook-Konfiguration immer gerne verschiedenste Tests laufen.
In den Notebook befindet sich ein i5 8250U, 16 GB DDR4 RAM und eine 256 GB TOSHIBA XG6 PCIe NVMe SSD.
Die Platte ist für mich besonders wichtig, da diese meines Wissens nach auch eine wichtige Rolle bei der Performance nach der Verschlüsselung spielt.
Korrigiert mich gern, wenn ich falsch liege.
Benchmark vor der Verschlüsselung:
Seq. Read ~2800 MB/s...
Seq. Write ~1600 MB/s...
Nach der Verschlüsselung (CheckPoint Full Disk Encryption AES-256):
Seq. Read ~1600 MB/s...
Seq. Write ~300 MB/s...
(...Screenshots von AS SSD Benchmark füge ich morgen gerne ein, habe ich gerade nicht griffbereit...)
Das die Performance nach etwas sinkt ist mir bewusst, da permanent Ver- und Entschlüsselungsvorgänge von statten gehen.
Aber die Schreibrate im seq. Bereich ist so extrem gesunken, dass ich mich ehrlich Frage ob das so richtig sein soll.
Während des Schreibvorgangs (Bench) gerät weder die Platte, noch der RAM oder die CPU ans Leistungslimit. Also muss da doch noch mehr gehen, oder nicht?
Beim Lesen kommt die CPU auf 80% Last und die Platte auf gute 90%. Beim Schreiben halten sich beide bei 30% auf.
Wo genau ist der Flaschenhals? Wieso liest er so schnell, aber schreibt deutlich langsamer?
Genau hier fehlt mir das nötige Expertenwissen
.Die CPUs haben doch eine AES-Befehlssatzerweiterung, TPM etc. pp. um das ganze performant zu halten.
Gibt es eventuell noch etwas im BIOS zu konfigurieren?
Ich würde mich über etwaige Ratschläge sehr freuen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 474175
Url: https://administrator.de/contentid/474175
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Hi.
Du hast bei beiden fast den selben absoluten Rückgang in MB/s (1200-1300) - es ist evtl. normal.
Ich würde die Tests wiederholen, nachdem ich von einem Zweitsystem gebootet hätte (USB Windows 2 Go), damit die Aktivitäten des OS' die Messungen nicht verfälschen. Auf dem Windows 2 Go müsstest Du natürlich ebenso die Checkpoint Software installieren und die Platte mounten.
Vergleiche auch mit Bitlocker, welches Du ja eh zur Verfügung hast. Nimm bei Bitlocker zum Test einmal 128 Bit und einmal 256 Bit XTS_AES.
Du hast bei beiden fast den selben absoluten Rückgang in MB/s (1200-1300) - es ist evtl. normal.
Ich würde die Tests wiederholen, nachdem ich von einem Zweitsystem gebootet hätte (USB Windows 2 Go), damit die Aktivitäten des OS' die Messungen nicht verfälschen. Auf dem Windows 2 Go müsstest Du natürlich ebenso die Checkpoint Software installieren und die Platte mounten.
Vergleiche auch mit Bitlocker, welches Du ja eh zur Verfügung hast. Nimm bei Bitlocker zum Test einmal 128 Bit und einmal 256 Bit XTS_AES.
Morgen,
Du vergisst zwei Dinge,
A Verschlüsselung belastet das gesamte System also auch RAM und CPU, klar, die Platte muss liefern, aber die Platte an sich entschlüsselt doch nichts.
B der Unterschied ist jeweils fast gleich. Beim Lesen fällt dies allerdings weniger stark auf.
Du vergisst zwei Dinge,
A Verschlüsselung belastet das gesamte System also auch RAM und CPU, klar, die Platte muss liefern, aber die Platte an sich entschlüsselt doch nichts.
B der Unterschied ist jeweils fast gleich. Beim Lesen fällt dies allerdings weniger stark auf.
Da du noch nicht geantwortet hast, zwei weiterere Hinweise:
Bitlocker, und evtl. auch Deine Checkpoint-Software, kann Hardwareverschlüsselung nutzen, also die Fähigkeiten der Platte mitnutzen, um so höhere Performance erreichen. Schau mal nach, ob das in Checkpoint einstellbar ist. In Bitlocker wird das, sofern hardwareseitig (Herstellertool von Toshiba) auf der Platte schon aktiviert ist, sogar automatisch benutzt.
Desweiteren: https://www.dell.com/support/home/de/de/debsdt1/drivers/driversdetails?d ... soll die Performance der Platte verbessern.
Bitlocker, und evtl. auch Deine Checkpoint-Software, kann Hardwareverschlüsselung nutzen, also die Fähigkeiten der Platte mitnutzen, um so höhere Performance erreichen. Schau mal nach, ob das in Checkpoint einstellbar ist. In Bitlocker wird das, sofern hardwareseitig (Herstellertool von Toshiba) auf der Platte schon aktiviert ist, sogar automatisch benutzt.
Desweiteren: https://www.dell.com/support/home/de/de/debsdt1/drivers/driversdetails?d ... soll die Performance der Platte verbessern.
Dachte immer Verschlüsselung wird über die CPU Erweiterung Beschleunigt. https://de.wikipedia.org/wiki/AES_(Befehlssatzerweiterung)
Haben HDDs auch inzwischen eine Optimierung?
Eventuell lohnt sich auch eine Gegenprobe mit Veracrypt.
Haben HDDs auch inzwischen eine Optimierung?
Eventuell lohnt sich auch eine Gegenprobe mit Veracrypt.
Hey,
über ein Windows 2 Go oder ähnliches zu gehen habe ich noch nicht probiert. Ebenso Bitlocker.
Sobald ich ein paar Stunde Ruhe habe setze ich neu auf und teste das mal.
Die CheckPoint-Software unterstützt in der Tat SED-Platten. Allerdings ist die eingebaute Toshiba XG60ZNV wohl die Reihe, welche Hardwareverschlüsselung nicht unterstützt. Wie in deinem Link zu sehen bräuchte ich die KXG6AZNV.
Falls das wirklich was bringen könnte würde ich diese natürlich mal versuchen zu organisieren.
Das mit den SED SSD habe ich allerdings eh noch nicht so richtig verstanden.
Ich dachte bisher das diese Platten eine eigene Verschlüsselung anbieten. Also sone Art Passwort Abfrage beim Boot.
Aber ebend eine eigene Verschlüsselung und nicht von Software genutzt werden kann.
Würde CheckPoint dann auf diese "Leistung" zurückgreifen, ohne das die Platte selbst mir noch eine Passwortabfrage beim Boot beschert?
@Bitboy meine CPU (i5 8250U) verfügt laut Intel-Webseite über eine AES-Befehlssatzerweiterung. Wie man nachvollziehen kann ob diese aktiv ist und überhaupt etwas beiträgt, weißt ich nicht. Im BIOS ist diesbezüglich nichts zu sehen.
über ein Windows 2 Go oder ähnliches zu gehen habe ich noch nicht probiert. Ebenso Bitlocker.
Sobald ich ein paar Stunde Ruhe habe setze ich neu auf und teste das mal.
Die CheckPoint-Software unterstützt in der Tat SED-Platten. Allerdings ist die eingebaute Toshiba XG60ZNV wohl die Reihe, welche Hardwareverschlüsselung nicht unterstützt. Wie in deinem Link zu sehen bräuchte ich die KXG6AZNV.
Falls das wirklich was bringen könnte würde ich diese natürlich mal versuchen zu organisieren.
Das mit den SED SSD habe ich allerdings eh noch nicht so richtig verstanden.
Ich dachte bisher das diese Platten eine eigene Verschlüsselung anbieten. Also sone Art Passwort Abfrage beim Boot.
Aber ebend eine eigene Verschlüsselung und nicht von Software genutzt werden kann.
Würde CheckPoint dann auf diese "Leistung" zurückgreifen, ohne das die Platte selbst mir noch eine Passwortabfrage beim Boot beschert?
@Bitboy meine CPU (i5 8250U) verfügt laut Intel-Webseite über eine AES-Befehlssatzerweiterung. Wie man nachvollziehen kann ob diese aktiv ist und überhaupt etwas beiträgt, weißt ich nicht. Im BIOS ist diesbezüglich nichts zu sehen.
Bitlocker kann die FDE-Fähigkeit nutzen und in sein eigenes System integrieren, also keine Extra-Kennwortabfrage durch die Platte.
Du hast Recht, das Modell ist kein Self-encrypting drive, hat also keine erweiterten Fähigkeiten.
Du hast Recht, das Modell ist kein Self-encrypting drive, hat also keine erweiterten Fähigkeiten.
Was haben Deine Tests ergeben?
Ich warte gerade darauf das die SED SSD (Samsung 970 Evo Plus) ankommt. Und dann die Brücke zwischen CheckPoint und TGC Opal versuchen.
So. Die Platte ist angekommen.
Während der CheckPoint-Installation erkennt die Software die SSD tatsächlich als SED und überspringt den Verschlüsselungsvorgang.
Der Status springt sofort auf "Verschlüsselt". Das ist wohl auch der Sinn von SED.
Geschwindigkeitstechnisch ist es eher mau -> siehe Anhang.
Read ist natürlich Klasse. Write im Sequentiellen eher nicht so.
Denke viel mehr kann man da jetzt auch nicht machen. Soll wohl so sein.
Während der CheckPoint-Installation erkennt die Software die SSD tatsächlich als SED und überspringt den Verschlüsselungsvorgang.
Der Status springt sofort auf "Verschlüsselt". Das ist wohl auch der Sinn von SED
.Geschwindigkeitstechnisch ist es eher mau -> siehe Anhang.
Read ist natürlich Klasse. Write im Sequentiellen eher nicht so.
Denke viel mehr kann man da jetzt auch nicht machen. Soll wohl so sein.
Ok, aber wie hast Du gemessen?
Weiterhin verfälschte Messung mit Windows auf der selben Platte oder richtiger Test von Windows2Go aus?
Weiterhin verfälschte Messung mit Windows auf der selben Platte oder richtiger Test von Windows2Go aus?
Der Test fand auf der Partition D:\ statt, auf welcher nichts liegt. Ist aber die selbe Platte.
Meinst du Windows2Go macht so einen riesen Unterschied?
Meinst du Windows2Go macht so einen riesen Unterschied?
d: ist doch auf der selben Platte. Somit ist egal, "ob da was drauf liegt". Wenn Windows während der Messung zufällig gerade die Platte beansprucht, werden die Ergebnisse verfälscht. Bei Windows2Go liegt das Windows, von dem die Messung aus läuft, eben auf einem USB-Stick.
Natürlich kann auch das Selbe rauskommen - nur hast Du bei Windows2Go Gewissheit, dass es nicht an Verfälschungen liegt.
Natürlich kann auch das Selbe rauskommen - nur hast Du bei Windows2Go Gewissheit, dass es nicht an Verfälschungen liegt.
