Krypteringsfunktion i Windows kan halvera SSD-prestanda

Undrar hur det ligger till med motsvarigheter till BitLocker för Linux. Det enda på det ämnet jag hittade i artikeln var följande kommentar:

Don't modern CPU's handle AES instructions? It is my understanding that disk encryption is hardware accelerated by the CPU in Linux. Why isn't it in Windows?

Kan inte bedöma sanningshalten i dess premisser.

Horribel sajt UX-mässigt för övrigt. Fick stänga av JavaScript i Safari för att kunna/orka läsa artikeln på mobilen. Och då visades inga bilder överhuvudtaget. B i l d e r !

Kör med Windows 11 Pro men har inte Bitlocker på. Minns inte om jag nekade att slå på det i installationen eller om jag stängde av det senare.

Processorns instruktioner för AES används garanterat i både Windows och Linux, men att det finns acceleration betyder inte att det är helt "gratis". De kanske är 10-50 gånger snabbare än en mjukvaruimplementation t ex, men det tar fortfarande tid.

Antagligen lazy loading med omskalning baserat på ytan som bilden finns i. Utan en fallback för brist på javascriptstöd.

Det visste jag inte. Trodde att bitlocker använde hårdvarukrypteringen i SSD per default. Nu känns det som en hel vetenskap att köra igång med det.

Hoppas att datortillverkarna ser till aktivera det i sina färdigbyggen/laptops. Verkande vara lite si och så med det också enligt artikeln.

Enda positiva är att CPUerna är snabba och är bra på kryptering till skillnad från före när storföretag körde kryptering som i princip dödade prestanda

Ja, *rimligen* används AES-NI i båda fallen.
Man kan ju undra vad specifikt som gör att det tar stopp redan vid ~490 MB/s (i exemplet), men det har kanske mer att göra med hur hela sekvensen påverkas av att peta in ett extra steg än att det inte går att kryptera snabbare.

Ja, det ska väl prestera bättre iaf, men det visade sig ju vara totalt kaos med implementationen för några år sedan. Tror eventuellt standardinställningen kan ha ändrats i samband med detta, för jag vill också minnas att det en gång i tiden nyttjade hårdvarustödet i första hand?
Detta är nog grejen jag tänker på: https://msrc.microsoft.com/update-guide/en-us/advisory/ADV180...

Det verkade väl ha blivit lite av en sån grej där funktionen bara finns för att tillverkaren ska kunna bocka för den, tillverkaren har inget större incitament att se till att det fungerar på ett säkert sätt och det är inte trivialt för utomstående att säkerställa funktionen i SSDns firmware.

Jo, precis.

Det där avslöjandet blev ju en ögonöppnare inte bara för den specifika sårbarheten i just de där SSD-modellerna (från välkända tillverkare!) utan även hur ohållbar hela situationen är rent generellt:

* Varje modell innebär en ny chans att göra fel
* Tillverkarna är själva relativt omotiverade att bry sig så länge enheterna säljer
* Det är nära hopplöst för utomstående att kvalitetskontrollera att lösningen är implementerad på ett säkert sätt i varenda specifik modell (det är minst sagt besvärligt att ta reda på om ens en enda modell fungerar på ett säkert sätt)

Microsoft är knappast ensamma om att ha lågt förtroende för dessa lösningar.

Vem vet. Här finns en intressant blog-post som går in på djupet hur de undersökte prestandaproblem på Linux just vad gäller full-disk-kryptering:

https://blog.cloudflare.com/speeding-up-linux-disk-encryption...

I korthet så istället för att kryptera/dekryptera direkt när det behövdes så lades arbetet i en kö, och den som hanterade kön lade det i en annan kö osv ett par gånger, innan någon tråd till slut tog hand om det hela. De införde en parameter för att hoppa förbi alla köerna, och att direkt göra krypteringen/dekrypteringen istället. Det blev en avsevärd skillnad.

Kan mycket väl vara att Windows har liknande tilltrasslingar. Det är väldigt lätt hänt att det blir så i komplexa system.

För mig känns det naturligt att ssd med runt 10 000MB/S, så kommer det bli problem att ha en hårdkryptering som vare sig sänker denna hastighet eller lägger märkbar belastning på cpun.

Dock har vi kommit idag i ett läge när inga enligt mig seriösa företag med en massa anställda som jobbar åt kunder kan ha med laptops ut som ej är krypterade. Det stora problemet med anställda är att de inte alltid värnar lika mycket om företagets saker som om de vore deras egen egendom.

Finns inte direkt någon SSD i konsumentsegmentet som kommer upp i de hastigheterna, så vet inte riktigt vad du sitter med för hårdvara för att tycka att 10 000MB/s är "naturligt" 🤣

Sedan kan man ju alltid diskutera vem som har anvädning för den hastigheten, samtidigt är det inte direkt någon nyhet att kryptering sänker hastigheten på subsystemet/disken.

Jag påstår inte att det inte går att göra en bra hårdvarubaserad lösning, bara att det inte finns varken någon kontrollmekanism eller något större incitament att göra rätt. Där ligger problemet, INTE det specifika felet som upptäcktes (som jag noterade även förra inlägget).

Jag ser hur sårbar moln tjänster och allt sådant är.. Jag är fortfarande old-skool och har 4st två terabytare som alla har klonad backup på mina barndomsbilder etc. backup görs varje kvartal, tar ca 1 timme nuförtiden, sitter sen i en antistat påse utspridd i hemmet.... blir det en brand hemma kan ja bara grabba tag i en av diskarna och på så sätt har jag iaf min barndoms data
Kommer alltid köra så, offline backup ftw!

Se bara till att vara hemma när det börjar brinna!

Själv kör jag också mycket med lokal backup, med minst en backup utanför hemmet.