Czy szyfrowanie całego dysku na dysku SSD skraca jego żywotność?

Chciałbym założyć, że wdrożenie pełnego szyfrowania dysku wprowadziłoby Dodatkowe pisze każdym razem, gdy komputer jest startem i wyłączania. Biorąc pod uwagę, że dyski półprzewodnikowe mają niższą średnią pojemność do zapisu przed awarią, czy rozwiązanie do szyfrowania całego dysku może skrócić oczekiwany czas życia dysku, na którym jest zainstalowany?

Jeśli moje założenia są błędne, to przypuszczam, że jest to kwestia sporna. Z góry dziękuję.

Pomyśl o szyfrowaniu jako o adapterze. Dane są po prostu kodowane przed zapisaniem lub odkodowaniem przed odczytem. Jedyną różnicą jest to, że klucz jest przekazywany w pewnym momencie (zwykle podczas inicjowania dysku / sterownika) w celu użycia do szyfrowania / deszyfrowania.

Oto (zgrubna) grafika, którą rzuciłem, aby pokazać podstawowy wzór:

Jak widać, nie ma potrzeby wykonywania dodatkowych odczytów lub zapisów, ponieważ moduł szyfrowania szyfruje dane przed zapisaniem danych na talerzach i odszyfrowuje je przed wysłaniem do procesu, który wykonał odczyt.

Rzeczywista lokalizacja modułu szyfrowania może się różnić; może to być sterownik oprogramowania lub moduł sprzętowy w systemie (np. kontroler, BIOS, moduł TPM), a nawet sam napęd. W każdym razie moduł znajduje się „w środku przewodu” między oprogramowaniem, które wykonuje operacje na plikach, a rzeczywistymi danymi na talerzach napędu.

Krótka odpowiedź:
jeśli kontroler dysku nie korzysta z kompresji, odpowiedź Synetech jest poprawna, a szyfrowanie niczego nie zmieni. Jeśli kontroler korzysta z kompresji, szyfrowanie prawdopodobnie skróci żywotność dysku (w porównaniu z identycznym dyskiem, na którym szyfrowanie nie jest używane).

Długa odpowiedź:
niektóre kontrolery SSD stosują kompresję, aby zminimalizować ilość danych zapisywanych w rzeczywistych układach pamięci flash oraz w celu poprawy wydajności odczytu (kontrolery SandForce są najlepszym przykładem, mogą być inne). Działa to najlepiej, jeśli dane zapisane na dysku można łatwo skompresować. Pliki tekstowe, pliki wykonywalne, nieskompresowane obrazy (na przykład BMP) i podobne mogą zwykle być dość mocno skompresowane, podczas gdy pliki, które są już skompresowane lub są zaszyfrowane, są prawie niemożliwe do skompresowania, ponieważ dane wyglądają prawie całkowicie losowo w stosunku do algorytmu kompresji w kontrolerze .

Tom's Hardware wykonał niezły test dokładnie na tym dysku Intel SSD 520, który można znaleźć na
stronie http://www.tomshardware.com/reviews/ssd-520-sandforce-review-benchmark,3124-11.html

To, co w zasadzie robią, to mierzenie wzmocnienia zapisu (stosunek ilości danych zapisanych do pamięci flash i ilości danych wysłanych na dysk) napędu podczas zapisu danych całkowicie kompresowalnych i danych całkowicie losowych. W przypadku danych całkowicie losowych wzmocnienie zapisu wynosi 2,9 *, co oznacza, że ​​na każdy GB danych wysłanych na dysk zapisywane jest 2,9 GB do flashowania. W artykule zauważono, że wydaje się to mniej więcej taka sama liczba zmierzona na dyskach, które nie używają kompresji. Dla danych całkowicie kompresowalnych współczynnik wynosi 0,17, co jest nieco niższy.

Normalne użycie prawdopodobnie zakończy się gdzieś pomiędzy, chyba że dane zostaną zaszyfrowane. Prognozy dotyczące życia w tym artykule są nieco akademickie, ale pokazują, że szyfrowanie może zdecydowanie wpłynąć na czas życia na dysku SSD z kontrolerem SandForce. Jedynym sposobem na obejście tego byłoby, gdyby sam kontroler mógł wykonać szyfrowanie po wystąpieniu kompresji.

* W artykule nie podano, dlaczego wartość 2,9 jest uważana za wartość normalną i tak naprawdę jej nie badałem. Logicznym wytłumaczeniem może być to, że większość dysków SSD używa MLC NAND, który jest podatny na błędy (bit może się przewracać w innych częściach bloków wymazywania podczas pisania, jeśli dobrze pamiętam). Aby to naprawić, dane są prawdopodobnie zapisywane w kilku miejscach, dzięki czemu odzyskiwanie lub korekta są zawsze możliwe.

Pełne szyfrowanie dysku nie zwiększa ilości danych zapisywanych na dysku, poza wszelkimi metadanymi, które warstwa szyfrowania musi przechowywać wraz z systemem plików (co jest nieistotne). Jeśli zaszyfrujesz 4096 bajtów, zapisanych zostanie 4096 bajtów.

Odpowiedź zależy od tego, co rozumiesz przez „pełne szyfrowanie dysku”.

Jeśli chodzi ci po prostu o to, że wszystkie pliki i metadane systemu plików są zaszyfrowane na dysku, to nie, nie powinno to mieć wpływu na żywotność dysku SSD.

Jeśli jednak masz na myśli bardziej tradycyjne „Cała zawartość dysku, w tym nieużywane miejsce, jest zaszyfrowane”, to tak, może to znacznie skrócić żywotność.

Urządzenia SSD wykorzystują funkcję „wyrównywania zużycia”, aby rozłożyć zapisy na urządzenie, aby uniknąć przedwczesnego zużycia kilku sekcji. Mogą to zrobić, ponieważ nowoczesne sterowniki systemu plików wyraźnie informują dysk SSD, kiedy dane w danym sektorze nie są już używane (zostały „odrzucone”), więc dysk SSD może ustawić ten sektor z powrotem na zero i kontynuować korzystanie z dowolnego sektora ma najmniejsze wykorzystanie do następnego zapisu.

W tradycyjnym schemacie szyfrowania całego dysku żaden z sektorów nie jest nieużywany. Te, które nie zawierają twoich danych, są nadal szyfrowane. W ten sposób osoba atakująca nie wie, która część dysku zawiera dane, a która to tylko przypadkowy szum, co znacznie utrudnia odszyfrowanie.

Aby użyć takiego systemu na dysku SSD, masz dwie opcje:

1. Pozwól systemowi plików kontynuować wykonywanie odrzutów, w którym to momencie sektory, które nie mają twoich danych, będą puste, a atakujący będzie mógł skoncentrować swoje wysiłki tylko na twoich danych.
2. Zabroń systemowi plików odrzutów, w którym to przypadku twoje szyfrowanie jest nadal silne, ale teraz nie może on znacząco wyrównać zużycia, a więc najczęściej używane sekcje dysku zużyją się, potencjalnie znacznie przed resztą.