60 votes

Lasantha avatar

Le cryptage intégral du disque SSD réduit-il sa durée de vie ?

Demandé el 15 de Juillet, 2012
Quand la question a-t-elle été
40607 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je voudrais supposez qu'un déploiement de chiffrement complet du disque introduirait des écritures supplémentaires à chaque démarrage et arrêt de l'ordinateur. Étant donné que les disques à semi-conducteurs sont considérés comme ayant une capacité moyenne inférieure d'écriture avant défaillance, une solution de cryptage de disque complet peut-elle réduire la durée de vie prévue du disque sur lequel elle est déployée ?

Si mes hypothèses sont incorrectes, alors je suppose que c'est un point discutable. Merci d'avance.

Demandé el 15 de Juillet, 2012 par Lasantha

Réponses

Trop de publicités?

52voto

Ben Collins avatar
Ben Collins Points 11318

Pensez au cryptage comme à un adaptateur. Les données sont simplement codées avant d'être écrites ou décodées avant d'être lues. La seule différence est qu'une clé est transmise à un moment donné (généralement lors de l'initialisation du lecteur/pilote) pour être utilisée pour le cryptage/décryptage.

Voici un graphique (approximatif) que j'ai réalisé pour montrer le modèle de base :

Schematic demonstrating full—drive-encryption

Comme vous pouvez le constater, il n'est pas nécessaire d'effectuer des lectures ou des écritures supplémentaires car le module de cryptage crypte les données avant qu'elles ne soient écrites sur les plateaux et les décrypte avant qu'elles ne soient envoyées au processus qui a effectué la lecture.

L'emplacement réel du module de chiffrement peut varier ; il peut s'agir d'un pilote logiciel ou d'un module matériel dans le système (par exemple, contrôleur, BIOS, module TPM), ou même dans le lecteur lui-même. Dans tous les cas, le module se trouve "au milieu du fil" entre le logiciel qui effectue les opérations sur les fichiers et les données réelles sur les plateaux du lecteur.

Répondu el 15 de Juillet, 2012 par Ben Collins (11318 Points )

25voto

Leo avatar
Leo Points 497

Réponse courte :
Si le contrôleur de disque n'utilise pas la compression, alors la réponse de Synetech est correcte et le cryptage ne changera rien. Si le contrôleur utilise la compression, alors le cryptage réduira probablement la durée de vie du disque (par rapport à un disque identique où le cryptage n'est pas utilisé).

Longue réponse :
Certains contrôleurs SSD utilisent la compression afin de minimiser la quantité de données écrites sur les puces flash et d'améliorer les performances de lecture (les contrôleurs SandForce en sont un bon exemple, mais il peut y en avoir d'autres). Cela fonctionne mieux si les données écrites sur le disque sont facilement compressibles. Les fichiers texte, les exécutables, les images non compressées (BMP par exemple) et autres peuvent généralement être compressés de manière assez importante, tandis que les fichiers déjà compressés ou cryptés sont presque impossibles à compresser, car les données auront l'air presque complètement aléatoires pour l'algorithme de compression du contrôleur.

Tom's Hardware a réalisé un test intéressant à ce sujet sur un SSD 520 d'Intel, qui peut être consulté à l'adresse suivante
http://www.tomshardware.com/reviews/ssd-520-sandforce-review-benchmark,3124-11.html

Ils mesurent essentiellement l'amplification en écriture (le rapport entre la quantité de données écrites sur la mémoire flash et la quantité de données envoyées au lecteur) du lecteur lors de l'écriture de données totalement compressibles et de données totalement aléatoires. Pour des données totalement aléatoires, l'amplification en écriture est de 2,9*, ce qui signifie que pour chaque Go de données envoyé au disque, 2,9 Go sont écrits sur la mémoire flash. L'article note que ce chiffre semble être à peu près le même que celui mesuré sur les disques qui n'utilisent pas la compression. Pour les données entièrement compressibles, le rapport est de 0,17, ce qui est nettement inférieur.

L'usage normal se situera probablement quelque part entre les deux sauf si les données sont cryptées. Les prévisions de durée de vie présentées dans l'article sont quelque peu théoriques, mais elles montrent que le cryptage peut certainement affecter la durée de vie d'un SSD équipé d'un contrôleur SandForce. La seule façon de contourner ce problème serait que le contrôleur lui-même puisse effectuer le cryptage après la compression.

*L'article ne précise pas pourquoi 2,9 est considéré comme une valeur normale et je n'ai pas vraiment fait de recherches à ce sujet. Une explication logique pourrait être que la plupart des SSDs utilisent MLC NAND qui est un peu sujet aux erreurs (des retournements de bits dans d'autres parties des blocs d'effacement peuvent se produire pendant l'écriture si je me souviens bien). Afin de corriger cela, les données sont probablement écrites à plusieurs endroits afin que la récupération ou la correction soit toujours possible.

Répondu el 15 de Juillet, 2012 par Leo (497 Points )

7voto

Michael Hampton avatar
Michael Hampton Points 13142

Le chiffrement intégral du disque n'augmente pas la quantité de données écrites sur un disque, à l'exception des métadonnées que la couche de chiffrement doit stocker avec le système de fichiers (ce qui est négligeable). Si vous cryptez 4096 octets, 4096 octets sont écrits.

Répondu el 15 de Juillet, 2012 par Michael Hampton (13142 Points )

3voto

Perkins avatar
Perkins Points 131

La réponse dépend de ce que vous entendez par "cryptage complet du disque".

Si vous voulez simplement dire que tous les fichiers et les métadonnées du système de fichiers sont chiffrés sur le disque, alors non, cela ne devrait pas avoir d'impact sur la durée de vie du SSD.

Cependant, si vous voulez parler d'une formule plus traditionnelle : " Tout le contenu du disque, y compris l'espace inutilisé, est crypté ", alors oui, cela réduira la durée de vie, peut-être de manière significative.

Les dispositifs SSD utilisent le "nivellement de l'usure" pour répartir les écritures sur le dispositif afin d'éviter l'usure prématurée de quelques sections. Ils peuvent le faire parce que les pilotes de systèmes de fichiers modernes indiquent spécifiquement au SSD quand les données d'un secteur particulier ne sont plus utilisées (ont été "jetées"), de sorte que le SSD peut remettre ce secteur à zéro et utiliser le secteur le moins utilisé pour la prochaine écriture.

Avec un schéma traditionnel de cryptage de disque complet, aucun des secteurs n'est inutilisé. Ceux qui ne contiennent pas vos données sont toujours chiffrés. Ainsi, un attaquant ne sait pas quelle partie de votre disque contient vos données et quelle partie n'est qu'un bruit aléatoire, ce qui rend le décryptage beaucoup plus difficile.

Pour utiliser un tel système sur un SSD, vous avez deux possibilités :

  1. Permettez au système de fichiers de continuer à effectuer des rejets, et à ce moment-là, les secteurs qui ne contiennent pas vos données seront vides et un attaquant pourra concentrer ses efforts sur vos données uniquement.
  2. Interdire au système de fichiers d'effectuer des rejets, auquel cas votre cryptage est toujours fort, mais il ne peut plus effectuer de nivellement d'usure significatif, et donc les sections les plus utilisées de votre disque s'useront, potentiellement bien avant le reste du disque.
Répondu el 18 de Janvier, 2018 par Perkins (131 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X