Qual o impacto da criptografia total do disco rígido no desempenho?

24

Temos os notebooks HP aqui no trabalho, e é política ativar a criptografia do disco rígido da HP para proteger os bancos de dados e o IP do cliente em caso de perda / roubo.

Eu queria saber se havia alguma evidência de um desempenho atingido nesta situação? As máquinas são usadas principalmente como estações de trabalho de desenvolvimento. A evidência anedótica aqui sugere que as máquinas são mais lentas.

Deveríamos usar outra abordagem (ou seja, apenas criptografar os dados confidenciais em oposição a todo o disco)?

csjohnst
fonte
4
"Devemos usar outra abordagem (ou seja, apenas criptografar os dados confidenciais em oposição a todo o disco)?" Isso viola o princípio de administração do sistema KISS. Se você quiser que as pessoas se lembrem de executar uma ação para se proteger, provavelmente isso não acontecerá. Sua milhagem variará, mas menos eu tenho que pedir aos meus usuários para obter os melhores resultados que obtiver.
21339 Thomas Denton
1
Além disso, se você manipular as informações pessoais do cliente, não será coberto, a menos que possa provar que os dados foram criptografados. (Incluindo arquivos temporários) O disco completo é a única maneira razoável de fazer isso.
Duffbeer703 19/05/09
Esse segmento é um pouco antigo (e essa também é a fonte), mas, de acordo com esse link, há bastante perda de desempenho ao usar o FDE. Sobrecarga e desempenho de impacto ao usar completa Drive Encryption com HP ProtectTools e SSD
TIMSS

Respostas:

9

O "HP Protect Tools" é um produto McAfee / Safeboot FDE reformulado. O impacto no desempenho não deve ser tão ruim - presumo que você esteja usando o AES.

Criptografamos cerca de 5.000 laptops há três anos e nosso pessoal não relatou nenhum problema significativo de desempenho. Algumas caixas mais velhas, com tela azul, é isso. Você pode estar enfrentando lentidões imediatamente após ativar a criptografia ... a criptografia do disco pode levar de 8 a 20 horas, dependendo do vintage do equipamento e do tamanho do disco.

duffbeer703
fonte
7

Usamos o Safeguard Easy por anos e toda a criptografia de disco do Truecrypt desde que foi lançada, e nenhum deles causou um grande impacto no desempenho; até os notebooks mais antigos executam software de desenvolvimento e banco de dados sem uma diferença notável na velocidade. Algumas pessoas dirão até que todo o software de criptografia de disco faz com que algumas operações sejam consideravelmente mais rápidas devido à compactação, rotinas de leitura de unidade aprimoradas, pipelining e similares. Eu não iria tão longe, mas, como na maioria das coisas, a verdade provavelmente está em algum lugar.

A tranquilidade de criptografar seu disco, principalmente se você tiver algum tipo de limite de conformidade / regulamentar em seu setor (ou for paranóico), vale o impacto mínimo do software de criptografia que usamos para esse fim.

nedm
fonte
1
Estou usando o truecrypt há cerca de um ano e nem sequer sei que ele existe. Também tive minha equipe de vendas me dizendo que suas máquinas são mais rápidas depois que as criptografamos.
21339 Thomas Denton
5

Para responder a essa pergunta, precisamos saber: o disco do seu aplicativo está vinculado, vinculado à CPU ou algo mais? Tradicionalmente, a criptografia de disco envolve um pequeno impacto no desempenho; disco geralmente é lento, pois a sobrecarga de descriptografia é minúscula. No entanto, se a CPU for uma preocupação, isso pode ficar complicado.

As estações de trabalho de desenvolvimento são geralmente poderosas na CPU, para melhorar a produtividade. Tempos de construção mais rápidos, preenchimento automático / inteligência, testes de unidade automatizados etc. Normalmente, os compromissos de um laptop em nome da portabilidade dificultam a idéia; fornecer um laptop aos desenvolvedores sugere que você já ficou sem ideias para ciclos de CPU sobressalentes e pode pagar pela criptografia de disco.

O que você precisa fazer como profissional de TI é criar um modelo para o qual os desenvolvedores precisam de poder computacional e avaliar como essas tarefas são executadas nas condições propostas: sem criptografia, criptografia completa de disco e criptografia parcial.

jldugger
fonte
3

A única prova é medir. Faça horários em um laptop sem criptografia e compare com um que o faça. É claro que haverá sobrecarga na criptografia, mas não confie em um "sentimento mais lento" subjetivo. Qual criptografia você está usando? Bitlocker? Aplicativo de terceiros?

Quanto à pergunta final, é muito fácil perder acidentalmente (ou mesmo definir) o que são dados confidenciais. Então, eu manteria toda a criptografia de disco, se possível.

PowerApp101
fonte
Estamos usando o construído em criptografia HP - "Drive Encryption para HP Ferramentas proteger"
csjohnst
2

Minha própria experiência é que ca 30% da CPU será dedicada a criptografia e um impacto de 50% no desempenho do disco. Eu tentei várias alternativas de criptografia - SafeGuard, OSX FileVault, PGP WholeDisk. Parece aplicar a mesma regra. O uso da CPU é particularmente irritante, pois afeta o tempo da bateria também.

Uma rápida pesquisa no Google revelou este teste, que parece confirmar minha intuição: http://www.isyougeekedup.com/full-hard-disk-drive-encryption-benchmarks-and-performance

Comandante Keen
fonte
Observe que a referência em isyougeekedup.com (que tem um endereço diferente) é uma referência sintética. Não está claro como isso se relaciona com o uso real.
26610 sleske
1

Aqui estão relacionadas as medidas de um blogueiro a partir de 2012. Em um SSD, o impacto é enorme.

A velocidade de gravação foi aproximadamente reduzida, enquanto a velocidade de leitura é um pouco mais da metade

A CPU é o gargalo, mas se você tiver muitos threads físicos ou até Intel Hyperthreads, isso pode não incomodar muitos usuários. A diferença é menor em uma unidade de disco rígido que é mais lenta que um SSD para começar. Os resultados para os dois dispositivos são mostrados no link.

Link para medições das velocidades de leitura e gravação antes e depois da criptografia

H2ONaCl
fonte
0

Pelo amor de Deus e tudo o que é puro e correto, fique longe do Credente !!

Ele é usado em nossa empresa (sem tecnologia) e praticamente todos os desenvolvedores têm uma isenção de segurança especial para não instalá-lo em seus PCs nem laptops. Ele sofre de um desempenho horrível ao acessar muitos arquivos de uma só vez, como na compilação de código. Também tivemos um problema em que tínhamos um serviço que lia o registro e outros arquivos de configuração, iniciados antes do login do usuário. Bem, como os arquivos não foram criptografados até o usuário fazer login, o serviço sofreria uma morte horrível precoce.

Além disso, uma vez que essa pilha de códigos está instalada, é supostamente tão difícil de desinstalar quanto o IE, mas isso não foi verificado em um ambiente que não seja de laboratório, porque geralmente resultou na mangueira do sistema que requer uma nova imagem. YMMV

Ed Griebel
fonte
0

Não tenho certeza se você pode fazer isso (talvez em um laboratório?), Mas você pode tentar executar novamente esses testes com o AV desinstalado (ou pelo menos desabilitado). A razão pela qual sugiro isso é porque tivemos um cliente com um problema semelhante ao seu (exceto que eles tiveram mais atraso na gravação na unidade e na exclusão; eles também tiveram os problemas de suporte ao cache de gravação que você possui) e refazemos nossos testes de referência com o AV removido do sistema e descobriu que o Win2008 (antes do lançamento do R2) pré-formava o Win2003 por muito. Descobrimos que o AV era responsável e tivemos que encontrar um provedor AV diferente.) Não tenho certeza de que o ajudará ou não, mas é algo para verificar se você tem a opção.

Phillip
fonte
-1

Eu evitaria e não usaria as ferramentas de criptografia de unidade para HP. Recentemente, comprei um HP elitebook 8440w executando o Windows 7 Professional de 64 bits. Eu pensei que estava fazendo a coisa certa, ativando a criptografia de unidade, pois esse usuário viajava muito com documentos confidenciais. Essa foi uma ótima idéia até que o software não o deixasse mais entrar. O software de criptografia da unidade usa um logon do Mcafee Endpoint Encryption antes do acesso ao disco rígido para iniciar a inicialização do sistema operacional.

Encontrei vários erros, incluindo o arquivo Token não encontrado e o token não está conectado. Tentei fazer o login usando o arquivo de backup de criptografia da unidade salvo no USB para autenticação. Depois disso, o Windows 7 ficou preso no modo "Inicialização e recuperação" e não inicializava normalmente, independentemente da opção do modo de segurança, última opção válida, configuração, registro de inicialização ou opções de reparo escolhidas.

Em resumo, este software não está pronto para uso no mundo dos negócios. É uma ótima idéia usar a criptografia de unidade, mas se você encontrar um problema ou corrupção no disco rígido, não há método para descriptografar o disco rígido, mesmo com a autenticação apropriada. Fique longe, muito longe da criptografia do Drive para o HP ProtectTools!

(sua milhagem pode variar, mas a minha era abominável)

mzwarg
fonte
1
Embora eu aceite que você teve um problema com o produto mencionado no pôster, essa 'resposta' não tem nada a ver com a pergunta sobre o desempenho da FDE.
Zoredache