TrueCrypt può crittografare gli SSD senza problemi di prestazioni?

La crittografia del disco fisso non dovrebbe alterare il tempo di vita dell'SSD: i bit "codificati" non sono più difficili da leggere o scrivere rispetto ai bit "normali" e la crittografia (eseguita correttamente) non ingrandisce i dati. In effetti, il dispositivo SSD non ha idea se ciò che viene chiesto di leggere o scrivere sia crittografato o meno. Un megabyte è un megabyte.

( Modifica: su "crittografia spazio vuoto": questo implica solo un passaggio di scrittura dell'intera area del disco, che non deve essere eseguito regolarmente, solo una volta. La memoria flash può essere riscritta circa 10000 volte prima di fallire, quindi questa crittografia aggiuntiva non dovrebbe accorciare la durata dell'SSD di oltre lo 0,01% - non abbastanza da essere rilevabile.)

Lo stato attuale di TrueCrypt è quello che è (il software "ufficiale" è quasi scomparso), è difficile ottenere risposte definitive e persino consigliare TrueCrypt può essere ora una questione di delicatezza. Pertanto, affermare che TrueCrypt utilizzerà o non utilizzerà codici operativi AES può essere un'affermazione troppo audace. Questo articolo dice che, nel 2011, TrueCrypt 7.0a supportato AES-NI e potrebbe seguire la velocità di un SSD (almeno l'SSD utilizzato per il benchmark).

Le prestazioni, in generale, sono una questione di misura e dovrebbero essere oggetto di benchmark piuttosto che discusse; soprattutto per qualcosa di sfocato come "prestazioni generali del computer" dal punto di vista di un utente umano: i sentimenti dell'utente sono importanti quanto le figure grezze. Il principale impulso percepito da un SSD deriva dalla latenza molto ridotta più che dal throughput raw per l'I / O a file singolo. Possiamo ancora ipotizzare che AES-NI consenta più di 1 Gbyte / s di velocità di crittografia raw su una CPU a 2 GHz; quindi, un mezzo core di CPU dovrebbe essere sufficiente per seguire il throughput di un SSD decente (il mio SSD funziona a 500 MB / se lo trovo abbastanza decente).

Ovviamente, l'installazione di un sistema di crittografia dell'intero disco ha il potenziale, in caso di qualche stupida incompatibilità con il sistema operativo e / o il sistema di avvio del BIOS, per rendere la macchina non avviabile. Fai i backup! E prepara un "disco di ripristino".

Quando si utilizza la crittografia del disco, i dati vengono codificati prima di essere scritti e decodificati prima di essere letti. La crittografia / decrittografia avviene sulla RAM piuttosto che sul SSD stesso, quindi in realtà non vi sono ulteriori letture / scritture oltre ai metadati utilizzati per il livello di crittografia che è trascurabile.

Synetech ha creato un grafica su Super User per illustrare questo:

* Nota: se per qualsiasi motivo, il sistema operativo o il software causano la crittografia dei dati in grandi blocchi, l'istruzione sopra riportata non è più valida. Supponiamo che codifichi 4K alla volta, quindi la semplice modifica di un byte causerà la scrittura di 8 blocchi da 512 byte in SSD, mentre senza crittografia, il sistema operativo (se ottimizza bene) deve solo scrivere in un blocco da 1 512 byte. Per risolvere questo problema, consiglierei (se possibile) di configurare il software in modo che utilizzi una dimensione di blocco dati che si adatta meglio ai tuoi dati.

Inoltre, se il controller del disco utilizza la compressione dei dati (alcuni controller SSD come SandForce lo usano per migliorare le prestazioni di lettura), abilitare la crittografia ridurrà la durata del disco.

L'impatto in termini di prestazioni in tempo reale dalla crittografia varierà a seconda del tipo di disco, della dimensione media dei file memorizzati sul disco e dell'algoritmo utilizzato per la crittografia. Tuttavia, in base ai benchmark su link l'impatto sulle prestazioni è decisamente significativo. Quanto ti accorgerai di ciò nella vita reale è un'altra storia.

Ecco un benchmark da MediaAddicted :

Alcuni hanno intuito che questi risultati sono dovuti al modo in cui TrueCrypt gestisce le scritture sull'unità SSD, il che impedisce ai comandi TRIM di raggiungere il controller SSD e quindi non ha alcun effetto (positivo) sulla degradazione delle prestazioni dell'azionamento nel tempo; Anche se non ho visto prove reali per questa teoria.

Penso che un grosso problema degli SSD sia che non possono sovrascrivere un blocco in modo che ogni scrittura comporterà un'operazione di erase + write . Per migliorare le prestazioni un controller SSD scriverà semplicemente su un blocco vuoto e cancellerà il vecchio blocco in un secondo momento. Ma se l'SSD è pieno, ciò non sarà possibile e le prestazioni diminuiranno.

Questo è discusso qui: link

Se decifri un volume con TrueCrypt, dal punto di vista dei controllori hai una partizione piena piena di spazzatura che riempie tutto lo spazio. Accedi ai tuoi dati tramite un volume virtuale che sa leggere (decrittografare) i dati.

Senza avere un benchmark, direi che un intero SSD decrittografato con TrueCrypt influenzerà le prestazioni e sarebbe una buona idea lasciare il 15% dello spazio vuoto. Ma ancora una volta dipende totalmente dal controller SSD e dalla sua capacità di gestire i dischi completi.

Supponendo che non sia ancora iniziato, puoi ridurre il volume di avvio con gparted live-cd link

Affinché la funzione TRIM funzioni correttamente e che la pulizia dei rifiuti programmata nell'unità SSD funzioni in modo efficace, è necessario che lo spazio libero sia trasparente sull'unità. Non credo che TrueCrypt lo consentirà senza una corretta configurazione, a quel punto avresti bisogno di ottimizzare il tuo sistema operativo per disabilitare la manutenzione classica del disco fisso. Senza il supporto TRIM abilitato, l'SSD vede lo spazio vuoto come spazio utilizzato e non può usare è per la sua vita che prolunga l'usura e userà i settori di riserva. Quando questi iniziano a consumarsi, il tuo disco inizierà ad avere problemi.

Linux ha un metodo molto simile per la crittografia completa delle unità noto come sd_crypt. Questo software è ben gestito e consente opzioni come "allow-scarta" che garantiscono trasparenza dello spazio libero e consentono al TRIM e alla garbage collection di funzionare come dovrebbe con un prezzo di sicurezza ridotto. Sfortunatamente sd_crypt è per il sistema operativo * nix.