我有一台新的联想 Thinkpad,配有英特尔 SSD。我想设置带有预身份验证启动的全盘加密。从阅读中我看到备用 CD 安装程序上有一个带加密的引导设置选项。如果我选择它并按照提示操作,我就可以完成了吗?是否有任何特定的分区或我需要创建的内容?由于我是在 SSD 上安装而不是在 HDD 上安装,因此在安装之前、安装期间或安装之后我需要做什么特殊的事情吗?
Thinkpad 预装了 Windows 7。我将在整个磁盘上安装 Natty Narwhal。我不会进行双重启动。
答案1
SSD 与旋转 HDD 之间根本没有任何特殊的考虑。
如果你习惯使用 Ubuntu 备用安装程序,那么设置全盘加密。
答案2
在 SSD 上使用全盘加密时,需要考虑一些性能问题。以下是摘抄这很好地解释了潜在的问题:
写入数据时,可以以页(4KB)为单位,但擦除数据时只能以块(128 页或 512KB)为单位;因此,SSD 不会在您删除数据时擦除数据,只有在内部写入空间不足时才会擦除数据。当这种情况发生时,您会遇到一种称为读取-修改-写入的糟糕情况。在这种情况下,即使只写入 4KB,控制器也必须读取整个块(512KB),更新单个页面,然后将整个块写回。控制器实际上必须写入 512KB,而不是写入 4KB,这是一个慢得多的操作。
正如在这SSD 性能的杰作,随着磁盘填满,SSD 性能会随着时间的推移而下降。如上所述。通常,在设置全盘加密时,整个磁盘都会充满随机数据,以隐藏来自可用空间的加密数据。据我所知(我当然不是专家),这意味着使用全盘加密会立即导致驱动器性能最差。
因此,要明白 SSD 加密对性能的影响要比普通旋转硬盘大得多。
其次,由于数据的读取/写入方式,如上所述,安全删除文件的标准方法(如 shred 实用程序)不适用于 SSD。如果您从一开始就使用全盘加密,则没有问题。但是,如果您的驱动器上已经有未加密的数据,则需要小心,确保先将驱动器完全归零。我不确定这是怎么做到的,但我认为在杰作中已经讨论过了。
从根本上讲,SSD 的工作方式与传统旋转磁盘完全不同。大多数加密软件、安全删除工具和指南都假设磁盘是由旋转盘片制成的。但这并不适用于 SSD 世界。
对于刚开始使用 SSD 全盘加密的人,我的建议有两点。
首先,要么从干净的驱动器开始,要么在开始之前小心地将其归零。
第二,对驱动器进行分区。因此,分区 80%,或者尽可能少的驱动器。额外的可用空间可以帮助保持驱动器性能。它确实取决于特定的驱动器,因此您可以研究您拥有的确切驱动器的详细信息等等,但作为一般原则,它可以大大延长驱动器的使用寿命。
第三,我意识到我说了两点,要明白全盘加密只会破坏 SSD 性能。就我个人而言,我愿意为了全盘加密提供的安全性而做出这样的权衡,但还有其他选择,比如 Ubuntu 中的加密主目录。这种加密在 SSD 上的表现可能会好得多,尽管它确实存在其他值得考虑的问题。