PGP Whole Disk Encryption und SSD?

[dagget]

Hallo Leute,

bin inzwischen schon fast entschlossen, mir eine SSD zu gönnen (Intel X25-M G2 Postville 160 oder Crucial RealSSD C300 256GB, das muss ich noch mit meinem Gewissen ausmachen...)
Aber:
Da ich etwas paranoid bin und meine mobilen Platten grundsätzlich mit PGP Whole Disk Encryption (Mac) bzw. Truecrypt (alles andere) verschlüssele, habe ich mich gefragt: Zerschießt mir die Verschlüsselung die SSD oder macht das keinen Unterschied, ob transparent ver- bzw. entschlüsselt wird?
Ich tippe mal darauf, dass es im laufenden Betrieb nichts (mehr) ausmacht, aber die ursprüngliche Verschlüsselung, macht die viel kaputt?

Beste Grüße,
dag.

 

[iMac27i7]

würde mich auch interessieren;
aktuell sind die Daten auf der ext. ethernet-Platte via TrueCrypt verschlüsselt.

eine interne Lösung wird angestrebt

 

[Stussy-23]

Ab PGP Version 10 wird SSD unterstützt

 

[dagget]

Was kann man denn wohl in Sachen Performance erwarten? Zur Zeit regelt PGP meine Festplatte von rd. 45 MB/s auf rd. 22 MB/s herunter. Landet man mit SSD auch auf 22, weil der Prozessor nicht mitmacht, oder kann man auch wieder die Hälfte erwarten?
Gruß,
dag.

PS: Habe gerade noch was gefunden: Link Dort wird gewissermaßen Entwarnung gegeben.

 

[dagget]

Ich habe es jetzt einfach einmal ausprobiert. Es klappt alles, aber...
... in Sachen Performance: Er-schreck-end!!!
Von (nicht verschlüsselt) 100,4 MB/s (w). 232,4 MB/s (r) auf katastrophale
28,0 MB/s (w) und 34,1 MB/s (r) - getestet mit Aja 128 MB...
Werde PGP (oder die SSD?) wohl wieder verbannen.
Gruß
Dag.

 

[ProUser]

Mit welcher CPU bzw. welchem Mac hast Du getestet?

Könntest Du das gleiche mit TrueCrypt testen?

 

[dagget]

Mit welcher CPU bzw. welchem Mac hast Du getestet?

Getestet habe ich mit MacBook5,1 (2,4 Ghz, 4GB RAM, 10.6.3)

Könntest Du das gleiche mit TrueCrypt testen?

Meines Wissens kann Truecrypt nicht die Startplatte verschlüsseln (jedenfalls nicht beim Mac - oder hat sich da was getan?)

Gruß
dag.

 

[ProUser]

Meines Wissens kann Truecrypt nicht die Startplatte verschlüsseln (jedenfalls nicht beim Mac - oder hat sich da was getan?)

Nein, leider nicht.. war eine dumme Frage von mir, welche sich mit meinem Wunschdenken gepaart hat..

 

[dagget]

Naja, als Alternative bliebe noch FileVault für das Home-Verzeichnis. Aber wahrscheinlich ist das auch lahm (und auch nicht so bequem).
Gruß
dag.

 

[Zephon]

Getestet habe ich mit MacBook5,1 (2,4 Ghz, 4GB RAM, 10.6.3)

[...]

Gruß
dag.

Hi dagget,

Das ist ja erschreckend, vor allem nach PGP Inc.'s Entwarnung mit PGP 10.

Mit welcher SSD hast Du das denn versucht? Hast Du einen CCC-Klon von Deiner HDD gemacht oder Mac OS neu installiert?

Ich nehme an Du bist auf Snow Leopard und PGP 10.0.2?

Viele Grüße,
Zephon

 

[Putzlappen]

Entwarnung gab es von PGP Inc. doch nur in Bezug auf die Lebensdauerlimitierung bei Einsatz von PGP WDE zusammen mit
SSDs - oder hab ich da was falsch verstanden?

Was die Geschwindigkeit betrifft so sollte man beachten, das der
limitierende Flaschenhals nicht so ohne weiteres beseitigt werden kann -
jeder Block der gelesen oder geschrieben wird, muß transparent für das
Betriebssystem durch den Treiber abgefangen und modifiziert werden
(und möglicherweise auch noch als "Sicherheitskopie" zwischengespeichert
werden, da sonst herber Datenverlust auftreten könnte).

So oder so - jeder Block muß durch die CPU und zurück. Wäre mal interessant
zu erfahren, wie denn die CPU-Auslastung, die Busbelastung und die Art und
Weise, wie man diese Encryption implementiert hat, aussieht.
So wie ich das verstehe, hat Dagget eine Intel Postville eingesetzt.

Was mich interessieren würde: wie sieht es denn bei den Zugriffszeiten aus?
Die sequentiellen Werte sind doch eh nicht soooo von Belang, gerade in
Bezug auf die Flüssigkeit, mit der das OS reagiert. Um wieviel hat sich
denn die mittlere Zugriffszeit verschlechtert?

Könntest du da noch nen Test mit Xbench nachschieben? Der Aja-Test ist
das irgendwie doch nicht so gut geeignet, um als Beurteilungsgrundlage
zu dienen. Ich gebe aber zu, das die Aja Werte nicht gerade Hoffnung machen,
die Einbrüche sind nun doch schon sehr heftig. Ich vermute hier mal die
FSB-Brücke als Flaschenhals, immerhin muß ja alles aus dem Speicher über
diesen Weg, möglicherweise läuft das auf den Core i5 bzw. i7 schon deutlich
besser...

 

[Zephon]

Entwarnung gab es von PGP Inc. doch nur in Bezug auf die Lebensdauerlimitierung bei Einsatz von PGP WDE zusammen mit
SSDs - oder hab ich da was falsch verstanden?

Hi Putzlappen,

Nein, es gab Entwarnung bezüglich der Leistung:
https://pgp.custhelp.com/app/answers/detail/a_id/1808/~/system-perfomance-decreases-after-performing-pgp-wde-on-solid-state-drives

Was mich interessieren würde: wie sieht es denn bei den Zugriffszeiten aus?
Die sequentiellen Werte sind doch eh nicht soooo von Belang, gerade in
Bezug auf die Flüssigkeit, mit der das OS reagiert. Um wieviel hat sich
denn die mittlere Zugriffszeit verschlechtert?

Das fände ich auch spannend. Wenn ich mich nicht irre, dann sind Zugriffszeiten und Random R/W ausschlaggebender für die gefühlte Leistung im Alltag.

dagget, nutzt Du eine Intel/Postville? Hast Du noch andere Werte? Wäre super!

Vielen Dank und viele Grüße,
Zephon

 

[dagget]

Hi dagget,
Mit welcher SSD hast Du das denn versucht? Hast Du einen CCC-Klon von Deiner HDD gemacht oder Mac OS neu installiert?

Ich nehme an Du bist auf Snow Leopard und PGP 10.0.2?

SSD ist eine Intel Postville X25M G2 160 GB (SSDSA2M160G2GC) mit Firmware Version: 2CV102HD

neu installiert (nur Daten zurückgespielt)

10.6.3 und PGP 10.0.2

interessanterweise war CPU-Auslastung nicht besonders hoch (jedenfalls nicht, wenn man nach der Aktivitätsanzeige geht.)

Gruß
dag.

 

[mds]

Flaschenhals ist anscheinend der Bus, nicht die CPU:

http://macmacken.com/2009/02/17/pgp...-systemleistung/comment-page-1/#comment-35035

Martin

 

[Zephon]

Hi dagget,

Danke für die Info! Das ist ja bescheuert – bessere Hardware geht ja kaum noch.

Fühlst Du den Performance-Einbruch auch stark im Alltag, oder bezieht sich das hauptsächlich auf größere Dateioperationen wie Kopieren etc. und Benchmarks?

 

[dagget]

Leider kann ich z.Zt. keine weiteren Benchmark-Werte liefern, weil ich PGP fürs erste verbannt habe. Sehe es irgendwie nicht ein, ein Vermögen für SSD auszugeben und dann *nichts* davon zu haben, weil eine normale HDD aufs gleiche hinausläuft.

Was die gefühlten Werte angeht, habe ich jedenfalls keine Verbesserung gespürt, also auch nicht hinsichtlich Zugriffs- / Ladezeiten.

Werde mir wohl demnächst ein Optibay für die Datenplatte einbauen, um zwei Probleme gleichzeitig zu lösen: Mein neues Platzproblem und die Geschwindigkeitseinbußen bei PGP für die Systemplatte.
Grüße
dag.

PS: Jetzt nach dem Entschlüsseln sind die Werte fast wie vor dem Verschlüsseln: 90,4 MB/s schreiben / 203,1 MB/s lesen (wieder mit Aja, wegen der Vergleichbarkeit).

 

[Zephon]

Optibay

Das mit einem Optibay-Laufwerk habe ich mir auch schon überlegt, allerdings ist das ja auch wieder kompliziert:

• Man hat wieder keine Komplettverschlüsselung, sondern nur eine partielle.
• Wenn man PGP für die Verschlüsselung der zweiten Platte nutzt, dann kann man nur Teile des Nutzerverzeichnisses auslagern.
• Time Machine sichert dann nur die Systemfestplatte? Oder wie läuft das?

Irgendwie ist das nicht gut, wenn die Lösungen teuer sind und das Leben komplizierter statt einfacher machen.

 

[dagget]

Tja, das ist der Preis der Paranoia. Wer nichts zu verbergen hat...
Aber ich hatte vermutet, dass man das Home-Verzeichnis komplett auf die 2. Platte (verschlüsselt) packen kann. Stimmt das nicht?

Wg. Time Machine weiß ich es nicht genau. Könnte schon sein. (Sichere meist eh anders, d.h. mit rsync bzw. Dropbox bzw. Carbon Copy Cloner...

Gruß,
dag.

 

[mds]

Tja, das ist der Preis der Paranoia. Wer nichts zu verbergen hat...

Paranoia?

Jeder hat vieles zu verbergen. Die Frage ist bloss, wem gegenüber und mit welchem Aufwand.

Martin

 

[Zephon]

Hi dagget,

Aber ich hatte vermutet, dass man das Home-Verzeichnis komplett auf die 2. Platte (verschlüsselt) packen kann. Stimmt das nicht?

Ich nehme an, dass das nicht geht. Mac OS X greift ja auf Dein Home-Verzeichnis zu, wenn Du Dich anmeldest. PGP bekommt aber erst nach der Anmeldung die Chance, die verschlüsselte Festplatte zu aktivieren.

Damit kann OS X sicher nicht umgehen. Du könntest höchstens einzelne Verzeichnisse auf die andere Platte packen, aber z.B. die Library wird sicher schon beim Anmelden gebraucht und da steckt ja jede Menge sensibles Zeug drin.

Edit: Trotzdem könnte das natürlich mit FileVault klappen, denn das ist ja eingebaut, und wo das Sparsebundle liegt ist OS X sicher egal (bzw. man kann mit einem Symlink nachhelfen).

Wg. Time Machine weiß ich es nicht genau. Könnte schon sein. (Sichere meist eh anders, d.h. mit rsync bzw. Dropbox bzw. Carbon Copy Cloner...

Mit Dropbox wäre ich übrigens auch vorsichtig. Deren Privacy Policy gibt ihnen das Recht, auf Daten in Deiner Dropbox zuzugreifen. Das ist für die meisten Nutzerdaten nicht das Problem, aber bei manchen eben schon.

Dann lieber vorher verschlüsseln.

Ach, die Sicherheit… So unbequem. Es wird Zeit, dass Apple ein Krypto-Dateisystem in OS X einbaut. Zumindest so eines wie im iPhone 3GS.