Welchen Einfluss hat die vollständige Festplattenverschlüsselung auf die Leistung?

24

Wir haben hier HP Notebooks im Einsatz, und es ist eine Richtlinie, die Festplattenverschlüsselung von HP zu aktivieren, um Client-Datenbanken und IP-Adressen bei Verlust / Diebstahl zu schützen.

Ich habe mich gefragt, ob es in dieser Situation Anzeichen für einen Leistungseinbruch gibt. Die Maschinen werden hauptsächlich als Entwicklungsarbeitsplätze eingesetzt. Anekdoten weisen darauf hin, dass die Maschinen langsamer sind.

Sollten wir einen anderen Ansatz verwenden (dh nur die sensiblen Daten im Gegensatz zur gesamten Festplatte verschlüsseln)?

csjohnst
quelle
4
"Sollten wir einen anderen Ansatz verwenden (dh nur die sensiblen Daten im Gegensatz zur gesamten Festplatte verschlüsseln)?" Dies verstößt gegen das KISS-Prinzip der Systemadministration. Wenn Sie möchten, dass sich die Benutzer daran erinnern, eine Aktion zum Schutz ihrer Person durchzuführen, wird dies wahrscheinlich nicht geschehen. Ihr Kilometerstand variiert, aber je weniger ich meine Benutzer bitten muss, umso bessere Ergebnisse erziele ich.
Thomas Denton
1
Wenn Sie mit den persönlichen Daten des Kunden umgehen, sind Sie nur dann geschützt, wenn Sie nachweisen können, dass die Daten des Kunden verschlüsselt wurden. (Einschließlich temporärer Dateien) Dies kann nur mit einer vollständigen Festplatte erreicht werden.
Duffbeer703
Dieser Thread ist ein bisschen alt (und das ist auch die Quelle), aber laut diesem Link gibt es ziemlich viel Leistungseinbußen bei der Verwendung von FDE. Overhead und Leistungseinbußen bei Verwendung der vollständigen Laufwerkverschlüsselung mit HP ProtectTools und SSD
timss 24.10.13

Antworten:

9

Die "HP Protect Tools" sind ein überarbeitetes McAfee / Safeboot FDE-Produkt. Die Auswirkungen auf die Leistung sollten nicht allzu schlimm sein - ich gehe davon aus, dass Sie AES verwenden.

Wir haben vor drei Jahren etwa 5.000 Laptops verschlüsselt, und unsere Mitarbeiter haben keine wesentlichen Leistungsprobleme gemeldet. Ein paar ältere Kisten mit Bluescreen, das war's auch schon. Möglicherweise tritt unmittelbar nach dem Aktivieren der Verschlüsselung eine Verlangsamung auf. Das Verschlüsseln der Festplatte kann 8 bis 20 Stunden dauern. Dies hängt vom Jahrgang des Geräts und der Größe der Festplatte ab.

duffbeer703
quelle
7

Wir verwenden Safeguard Easy seit Jahren und die gesamte Festplattenverschlüsselung von Truecrypt seit dem Erscheinen. Selbst ältere Notebooks verwenden Entwicklungs- und Datenbanksoftware ohne merklichen Geschwindigkeitsunterschied. Einige Leute werden Ihnen sogar sagen, dass die gesamte Festplattenverschlüsselungssoftware einige Vorgänge aufgrund von Komprimierung, verbesserten Laufwerksleseroutinen, Pipelining und dergleichen erheblich beschleunigt. Ich würde nicht so weit gehen, aber wie bei den meisten Dingen liegt die Wahrheit wahrscheinlich irgendwo dazwischen.

Die beruhigende Sicherheit, Ihre Festplatte zu verschlüsseln, insbesondere, wenn Sie in Ihrer Branche eine Regelungs- oder Konformitätsschwelle haben (oder nur paranoid sind), ist den minimalen Treffer der Verschlüsselungssoftware wert, die wir für diesen Zweck verwendet haben.

nedm
quelle
1
Ich benutze truecrypt seit ungefähr einem Jahr und weiß nicht einmal, dass es da ist. Ich habe auch von meinem Verkaufsteam erfahren, dass die Maschinen schneller sind, nachdem wir sie verschlüsselt haben.
Thomas Denton
5

Um diese Frage zu beantworten, müssen wir wissen: Ist Ihre App festplatten-, CPU-gebunden oder etwas anderes? Die Festplattenverschlüsselung hat traditionell nur geringe Auswirkungen auf die Leistung. Festplatte ist in der Regel langsam, dass der Entschlüsselungsaufwand winzig ist. Wenn jedoch die CPU ein Problem darstellt, kann dies haarig werden.

Entwicklungsarbeitsstationen sind normalerweise CPU-leistungsfähig, um die Produktivität zu verbessern. Schnellere Build-Zeiten, Autocompletion / Intellisense, automatisierte Komponententests usw. Normalerweise behindern die Kompromisse eines Laptops im Namen der Portabilität die Idee. Wenn Sie Entwicklern einen Laptop zur Verfügung stellen, haben Sie möglicherweise keine Ideen mehr für zusätzliche CPU-Zyklen und können sich möglicherweise eine Festplattenverschlüsselung leisten.

Was Sie als IT-Experte tun müssen, ist ein Modell dessen zu erstellen, wofür Entwickler Rechenleistung benötigen, und zu bewerten, wie sich diese Aufgaben unter den vorgeschlagenen Bedingungen verhalten: keine Verschlüsselung, vollständige Festplattenverschlüsselung und teilweise Verschlüsselung.

Jldugger
quelle
3

Der einzige Beweis ist zu messen. Nehmen Sie Timings auf einem Laptop ohne Verschlüsselung und vergleichen Sie sie mit einem anderen. Natürlich ist die Verschlüsselung mit einem Mehraufwand verbunden, aber verlassen Sie sich nicht auf ein subjektives "langsameres Gefühl". Welche Verschlüsselung verwenden Sie? Bitlocker? Drittanbieter-App?

Was die letzte Frage betrifft, ist es zu leicht, versehentlich zu übersehen (oder gar zu definieren), was sensible Daten sind. Daher würde ich die gesamte Festplattenverschlüsselung beibehalten, wenn dies möglich ist.

PowerApp101
quelle
Wir verwenden die in HP - Verschlüsselung aufgebaut - "Drive Encryption für HP Protect Tools"
csjohnst
2

Meine eigene Erfahrung ist, dass ca. 30% der CPU für Krypto reserviert sind und die Festplattenleistung um 50% geschrumpft ist. Ich habe verschiedene Verschlüsselungsalternativen ausprobiert - SafeGuard, OSX FileVault, PGP WholeDisk. Dieselbe Faustregel scheint zu gelten. Besonders ärgerlich ist die CPU-Auslastung, da sie auch die Akkulaufzeit beeinflusst.

Eine schnelle Google-Suche ergab diesen Test, der mein Bauchgefühl zu bestätigen scheint: http://www.isyougeekedup.com/full-hard-disk-drive-encryption-benchmarks-and-performance/

Kommandant Keen
quelle
Beachten Sie, dass der Benchmark auf isyougeekedup.com (der eine andere Adresse hat) ein synthetischer Benchmark ist. Es ist nicht klar, in welchem ​​Verhältnis dies zur tatsächlichen Nutzung steht.
sleske
1

Hier sind die Messungen eines Bloggers aus dem Jahr 2012 verlinkt. Auf einer SSD sind die Auswirkungen enorm.

Die Schreibgeschwindigkeit wurde ungefähr geviertelt, während die Lesegeschwindigkeit etwas mehr als die Hälfte beträgt

Die CPU ist der Engpass, aber wenn Sie viele physische Threads oder sogar Intel Hyperthreads haben, stört dies möglicherweise nicht viele Benutzer. Auf einer Festplatte, die anfangs langsamer als eine SSD ist, ist der Unterschied geringer. Die Ergebnisse für beide Geräte werden unter dem Link angezeigt.

Verknüpfung zu Messungen der Lese- und Schreibgeschwindigkeit vor und nach der Verschlüsselung

H2ONaCl
quelle
0

Für die Liebe Gottes und alles was rein und richtig ist, halte dich von Credant fern !!

Es wird in unserem (nicht-technologischen) Unternehmen verwendet, und praktisch alle Entwickler haben eine spezielle Sicherheitsverpflichtung, um es nicht auf ihren PCs oder Laptops zu installieren. Es leidet unter einer schrecklichen Leistung, wenn auf viele Dateien gleichzeitig zugegriffen wird, wie beispielsweise beim Kompilieren von Code. Wir hatten auch ein Problem, bei dem wir einen Dienst hatten, der die Registrierung und andere Konfigurationsdateien las, die vor der Benutzeranmeldung gestartet wurden. Nun, da die Dateien erst unverschlüsselt waren, nachdem sich der Benutzer angemeldet hatte, würde der Dienst einen frühen, schrecklichen Tod erleiden.

Sobald dieser dampfende Haufen Code installiert ist, ist er angeblich genauso schwer zu deinstallieren wie der IE. Dies wurde jedoch in einer Umgebung außerhalb des Labors nicht überprüft, da normalerweise ein erneutes Image des Systems erforderlich ist. YMMV

Ed Griebel
quelle
0

Sie sind sich nicht sicher, ob Sie dies tun können (vielleicht in einem Labor?), Können aber versuchen, diese Tests erneut auszuführen, wenn AV deinstalliert (oder zumindest deaktiviert) ist. Der Grund, warum ich dies vorschlage, ist, dass wir einen Kunden hatten, der ein ähnliches Problem wie Sie hatte (außer, dass er mehr Verzögerungen beim Schreiben auf das Laufwerk hatte als beim Löschen; er hatte auch Probleme mit der Unterstützung des Schreibcaches, die Sie hatten), und wir haben unsere Benchmark-Tests mit AV wiederholt aus dem System entfernt und festgestellt, dass Win2008 (vor R2 veröffentlicht wurde) Win2003 von viel vorgeformt. Es stellte sich heraus, dass der AV-Anbieter dafür verantwortlich war und wir einen anderen AV-Anbieter finden mussten.) Ich bin mir nicht sicher, ob er Ihnen hilft oder nicht, aber es ist etwas zu prüfen, ob Sie die Option haben.

Phillip
quelle
-1

Ich würde die Laufwerkverschlüsselung für HP ProtectTools vermeiden und nicht verwenden. Ich habe kürzlich ein HP EliteBook 8440w mit Windows 7 Professional 64-Bit gekauft. Ich dachte, ich würde das Richtige tun, indem ich die Laufwerksverschlüsselung aktiviere, da dieser Benutzer mit sensiblen Dokumenten unterwegs sein würde. Das war eine großartige Idee, bis die Software ihn nicht mehr einloggen ließ. Die Laufwerkverschlüsselungssoftware verwendet eine Mcafee Endpoint Encryption-Anmeldung, bevor auf die Festplatte zugegriffen wird, um das Betriebssystem zu starten.

Ich habe mehrere Fehler festgestellt, einschließlich der Meldung, dass die Tokendatei nicht gefunden und das Token nicht angemeldet wurde. Ich habe versucht, mich mit der auf USB gespeicherten Sicherungsdatei für die Laufwerkverschlüsselung anzumelden, um mich zu authentifizieren. Danach steckte Windows 7 im "Startup and Recovery" -Modus fest und bootete normalerweise nicht, egal welche Option für den abgesicherten Modus, die zuletzt als funktionierend bekannte Konfiguration, die Bootprotokollierung oder die Reparaturoptionen ausgewählt wurden.

Zusammenfassend ist diese Software nicht für den Einsatz in der Geschäftswelt bereit. Es ist eine gute Idee, die Laufwerkverschlüsselung zu verwenden. Wenn Sie jedoch auf ein Problem oder eine Beschädigung der Festplatte stoßen, können Sie die Festplatte auch mit der entsprechenden Authentifizierung nicht entschlüsseln. Halten Sie sich fern, halten Sie sich fern von der Laufwerkverschlüsselung für HP ProtectTools!

(Ihre Laufleistung kann variieren, aber meine war abscheulich)

mzwarg
quelle
1
Obwohl ich akzeptiere, dass Sie ein Problem mit dem auf dem Poster genannten Produkt hatten, hat diese „Antwort“ nichts mit der Frage nach der FDE-Leistung zu tun.
Zoredache