Apakah enkripsi disk penuh pada drive SSD mengurangi masa pakainya?

55

Saya akan berasumsi bahwa penyebaran enkripsi disk penuh akan memperkenalkan penulisan tambahan setiap kali komputer di-boot dan dimatikan. Mengingat bahwa solid state disk dianggap memiliki kapasitas rata-rata yang lebih rendah untuk menulis sebelum kegagalan, dapatkah solusi enkripsi disk penuh menurunkan masa pakai disk yang diharapkan saat digunakan?

Jika asumsi saya salah, maka saya kira ini adalah poin yang bisa diperdebatkan. Terima kasih sebelumnya.

ssd encryption Bill VB
sumber
ini adalah duplikat yang tepat dari superuser.com/questions/57573/...
1
@JarrodRoberson, Anda maksud pertanyaan ini? superuser.com/questions/39719/… Either way, pertanyaan terkait semua memiliki jawaban yang lebih rendah, jadi saya tidak akan menutup mereka sebagai duplikat dari mereka
Ivo Flipse
@IvoFlipse yang inti dari pertanyaan saya ditandai sebagai duplikat negara "... Apakah ini efektif menempatkan drive ke dalam keadaan sepenuhnya digunakan dan bagaimana akan efek ini memakai meratakan dan kinerja drive? ..." itulah ini pertanyaan yang sama.

Jawaban:

49

Pikirkan enkripsi sebagai adaptor. Data hanya dikodekan sebelum ditulis atau diterjemahkan sebelum dibaca. Satu-satunya perbedaan adalah bahwa kunci dilewatkan di beberapa titik (biasanya ketika drive / driver diinisialisasi) yang akan digunakan untuk enkripsi / dekripsi.

Ini adalah grafik (kasar) yang saya gunakan untuk menunjukkan pola dasar:

Skema menunjukkan enkripsi drive penuh

Seperti yang Anda lihat, tidak perlu melakukan baca atau tulis tambahan karena modul enkripsi mengenkripsi data sebelum data dituliskan ke piringan dan mendekripsi sebelum dikirim ke proses yang melakukan pembacaan.

Lokasi sebenarnya dari modul enkripsi dapat bervariasi; dapat berupa driver perangkat lunak atau dapat berupa modul perangkat keras dalam sistem (mis., kontroler, BIOS, modul TPM), atau bahkan di drive itu sendiri. Dalam kasus apa pun, modul ini "berada di tengah-tengah kawat" antara perangkat lunak yang melakukan operasi file dan data aktual pada piringan drive.

Synetech
sumber
24
Jawaban ini secara logis salah! Itu tergantung pada berapa banyak blok yang mengenkripsi OS pada suatu waktu. Misalkan ia mengenkripsi 4K pada suatu waktu, maka dengan memodifikasi byte akan menyebabkan penulisan ke 8 512-byte-blok ke SSD, sementara tanpa enkripsi, OS (jika itu dioptimalkan dengan baik) hanya perlu menulis ke 1-512-blok-blok. Jadi enkripsi menambah 8x disk menulis. Dalam praktiknya, OS dapat memilih ukuran blok yang sesuai untuk enkripsi, tetapi jawabannya tidak mengatasi masalah ini dan membuat pernyataan tegas untuk itu. Jadi dalam praktiknya jawaban ini mungkin benar tetapi secara logis itu salah, setidaknya tidak lengkap.
icando
21
@icando, ini penyederhanaan umum. Selain itu, apa yang Anda bicarakan adalah stream-cipher . Program enkripsi-disk lengkap yang paling umum / populer, TrueCrypt , menggunakan cipher blok . Jika Anda dapat menunjukkan sistem enkripsi disk lengkap yang dirancang dengan buruk dan / atau menggunakan stream-cipher yang menimbulkan dampak semacam itu, maka silakan lakukan dan saya akan dengan senang hati menjelaskan jawabannya.
Synetech
1
Jika modul enkripsi ada di drive itu sendiri, maka Anda dapat yakin bahwa itu mengambil sifat SSD ke dalam akun (jika tidak, mfg itu bodoh dan Anda ingin pengembalian dana). Jika modul ada di BIOS, maka dapat dengan mudah diperbarui untuk menyertakan algoritma yang lebih baik jika diperlukan.
Synetech
1
Sedangkan untuk perangkat lunak, itu bahkan lebih mudah untuk diperbarui. TrueCrypt misalnya telah diperbarui dianalisis dalam hal keausan SSD [1] [2] dan masalah utama bukanlah keausan, tetapi mungkin rentan terhadap serangan .
Synetech
9
Perhatian dengan enkripsi disk penuh adalah bahwa DISCARD / TRIM biasanya dinonaktifkan karena alasan keamanan. Semua drive SSD memiliki ukuran blok 4kb yang logis, implementasi mendasar yang sebenarnya di bawah lapisan ini dirahasiakan oleh sebagian besar produsen, bahkan dengan drive yang lebih baru yang menampilkan ukuran halaman 8kb, drive tersebut masih berukuran 4kb di bawah penutup dengan firmware melakukan terjemahan. Tidak satu pun dari hal ini yang menjadi perhatian firmware melakukan hal yang benar dengan rangkaian penulisan sehingga pernyataan bahwa enkripsi menambahkan sesuatu yang kurang dari 8X penulisan adalah ketidaktahuan tentang enkripsi dan sistem file dan strategi penulisan firmware.
24

Jawaban singkat:
Jika pengontrol disk tidak menggunakan kompresi, maka jawaban Synetech benar dan enkripsi tidak akan mengubah apa pun. Jika controller menggunakan kompresi maka enkripsi mungkin akan mengurangi umur disk (dibandingkan dengan disk yang identik di mana enkripsi tidak digunakan).

Jawaban panjang:
Beberapa pengontrol SSD menggunakan kompresi untuk meminimalkan jumlah data yang ditulis ke chip flash aktual dan untuk meningkatkan kinerja membaca (pengontrol SandForce adalah contoh utama, mungkin ada yang lain). Ini akan bekerja dengan baik jika data yang ditulis ke disk mudah dikompres. File teks, file yang dapat dieksekusi, gambar yang tidak dikompres (misalnya, BMP) dan sejenisnya biasanya dapat dikompres cukup banyak sementara file yang sudah dikompres atau dienkripsi hampir tidak mungkin untuk dikompres karena data akan terlihat hampir sepenuhnya acak dengan algoritma kompresi pada controller. .

Tom's Hardware membuat tes yang bagus tentang hal ini pada Intel SSD 520 yang dapat ditemukan di
http://www.tomshardware.com/reviews/ssd-520-sandforce-review-benchmark,3124-11.html

Apa yang mereka lakukan pada dasarnya adalah mengukur amplifikasi tulis (rasio jumlah data yang dituliskan ke flash dan jumlah data yang dikirim ke drive) drive ketika menulis data yang benar-benar kompresibel dan data yang benar-benar acak. Untuk data yang benar-benar acak, amplifikasi penulisan adalah 2,9 * yang berarti bahwa untuk setiap GB data yang dikirim ke disk, 2,9 GB ditulis ke flash. Artikel tersebut mencatat bahwa ini kira-kira angka yang kira-kira sama diukur pada drive yang tidak menggunakan kompresi. Untuk data yang benar-benar kompresibel, rasionya adalah 0,17 yang sedikit lebih rendah.

Penggunaan normal mungkin akan berakhir di suatu tempat di antara kecuali data dienkripsi. Prediksi seumur hidup dalam artikel ini agak akademis, tetapi menunjukkan bahwa enkripsi pasti dapat mempengaruhi masa pakai pada SSD dengan pengontrol SandForce. Satu-satunya cara untuk mengatasi ini adalah jika controller itu sendiri dapat melakukan enkripsi setelah kompresi terjadi.

* Artikel tidak menjelaskan mengapa 2.9 dianggap sebagai nilai normal dan saya belum benar-benar melakukan riset. Penjelasan logis bisa jadi bahwa sebagian besar SSD menggunakan MLC NAND yang rawan kesalahan bit (bit flips di bagian lain dari blok menghapus dapat terjadi saat menulis jika saya ingat dengan benar). Untuk memperbaikinya, data mungkin ditulis ke beberapa tempat sehingga pemulihan atau koreksi selalu memungkinkan.

Leo
sumber
data terenkripsi tidak lebih besar itu hanya dienkripsi, enkripsi tidak menyebabkan data bertambah besar. siapa yang menggunakan sistem file kompresi otomatis pada tahun 2012?
7
@JarrodRoberson: Pengontrol SSD SandForce memampatkan data untuk meminimalkan penulisan. Mungkin ada contoh lain juga.
John Bartholomew
@ JohnBartholomew Saya berkata, filesystems, yang datang sebelum pengontrol disk. Dan ke titik yang tidak terkait, skema kompresi SandForce seharusnya mendeteksi data yang "tidak dapat dikompresi" atau "dikompresi" dan tidak memampatkannya dalam upaya untuk meniru penulisan, ini adalah rahasia sehingga kita tidak akan pernah tahu pasti. Either way, itu tidak memakan lebih banyak ruang , hanya lebih banyak waktu dalam kasus tertentu.
1
@JarrodRoberson: Intinya adalah bahwa jika controller mencoba untuk mengompres semuanya maka kinerja (dalam waktu dan di ruang) akan lebih buruk jika semua data yang Anda kirim ke disk dienkripsi. Akan lebih buruk dalam waktu karena pengontrol akan membuang waktu mendeteksi bahwa data tidak terkompresi, dan akan lebih buruk di ruang dibandingkan dengan memberikan disk tidak terenkripsi (dan oleh karena itu, dalam beberapa kasus, kompresibel) data.
John Bartholomew
4
@JarrodRoberson: Tidak mendapatkan manfaat dari menulis kurang terdengar persis seperti apa yang ditanyakan OP dan merupakan konsekuensi langsung dari enkripsi yang digunakan.
Leo
6

Enkripsi disk penuh tidak menambah jumlah data yang ditulis ke disk, selain dari metadata apa pun yang perlu disimpan oleh lapisan enkripsi bersama dengan sistem file (yang dapat diabaikan). Jika Anda mengenkripsi 4096 byte, 4096 byte ditulis.

Michael Hampton
sumber
1

Jawabannya tergantung pada apa yang Anda maksud dengan "enkripsi disk lengkap".

Jika Anda hanya bermaksud bahwa semua file dan metadata sistem file dienkripsi pada disk, maka tidak, itu tidak akan berdampak pada masa hidup SSD.

Namun, jika Anda bermaksud lebih tradisional "Seluruh isi disk, termasuk ruang yang tidak digunakan, dienkripsi" maka ya, itu akan mengurangi umur, mungkin secara signifikan.

Perangkat SSD menggunakan "leveling keausan" untuk menyebarkan tulisan di seluruh perangkat agar tidak aus beberapa bagian sebelum waktunya. Mereka dapat melakukan ini karena driver sistem file modern secara khusus memberitahu SSD ketika data di sektor tertentu tidak lagi digunakan (telah "dibuang" ed), sehingga SSD dapat mengatur sektor itu kembali ke nol dan melanjutkan untuk menggunakan sektor apa pun memiliki jumlah penggunaan paling sedikit untuk penulisan berikutnya.

Dengan skema enkripsi disk lengkap tradisional, tidak satu pun sektor yang tidak digunakan. Yang tidak mengandung data Anda masih dienkripsi. Dengan cara itu seorang penyerang tidak tahu bagian mana dari disk Anda yang memiliki data Anda, dan bagian mana yang hanya suara acak, sehingga membuat dekripsi jauh lebih sulit.

Untuk menggunakan sistem seperti itu pada SSD, Anda memiliki dua opsi:

  1. Biarkan filesystem untuk terus melakukan discards, pada titik mana sektor-sektor yang tidak memiliki data Anda akan kosong dan seorang penyerang akan dapat memfokuskan upayanya hanya pada data Anda.
  2. Larang filesystem untuk melakukan discards, dalam hal ini enkripsi Anda masih kuat, tetapi sekarang ia tidak dapat melakukan perataan keausan yang signifikan, dan bagian disk yang paling sering digunakan akan aus, berpotensi jauh di depan sisanya.
Perkins
sumber