我在笔记本电脑上使用 TrueCrypt 的全驱动器加密 (FDE)。我有一台支持 AES 指令的第二代 I7,所以说实话,在启用它的情况下,我甚至没有注意到系统速度的变化。
我的问题是针对那些对 SSD 非常了解的人。我以前(2011 年初)读过一些文章,介绍软件加密如何抵消 SSD 提供的速度优势 - 因为 SSD 需要为每次加密写入发送删除命令,然后发送写入命令 - 而不是像普通 HDD 那样直接覆盖数据(或类似的东西...老实说我记不清了...哈!)。
无论如何,这个领域有什么改进吗?如果我使用 FDE,那么购买 SSD 是否毫无意义?
谢谢大家。
答案1
这里有三个主要问题:性能、SSD 磨损和安全级别。
性能和 SSD 磨损
基于 SandForce 的 SSD 在硬件中即时压缩所有数据,从而带来一些令人印象深刻的性能改进,即提高写入速度。这也减少了写入放大系数(有时低于 1.0),从而减少闪存的磨损(编程/擦除周期数)。如果先通过软件(如 TrueCrypt)进行加密,则生成的数据将压缩性较差.这会降低性能并增加磨损。
使用 TrueCrypt 加密非 SandForce SSD(或任何未在硬件中加密的 SSD)肯定降低性能但可以说 SSD 不是瓶颈——压缩将受到 CPU 的限制。
安全
使用 TrueCrypt 加密 SSD(或任何具有磨损均衡功能的驱动器)可能导致安全问题,所以不推荐(尽管我认为风险很小)。
基于 SandForce 的 SSD 和一些其他 SSD 实际上已经即时加密所有数据。对于英特尔 320,这可以用于全盘加密,但目前 SandForce 驱动器还无法做到这一点:
SandForce 硬盘(例如 Vertex 2)确实会加密整个硬盘内容,但是不要提供[全盘加密]。目前,加密功能仅适用于快速安全擦除的驱动器。
答案2
TrueCrypt 在 RAM 中执行加密/解密,因此不会影响速度。请参阅TrueCrypt - 文档:
当文件从加密的 TrueCrypt 卷读取或复制时,文件会在运行中自动解密(在内存/RAM 中)。同样,写入或复制到 TrueCrypt 卷的文件也会在 RAM 中自动加密(就在写入磁盘之前)。
编辑:我想我一开始误解了你的问题。TrueCrypt 和磨损均衡似乎存在一些问题:http://www.truecrypt.org/docs/?s=wear-leveling