Životnost SSD šifrovaného na úrovni OS

Životnost SSD šifrovaného na úrovni OS
« kdy: 01. 09. 2020, 20:59:42 »
Nemate nekdo tuseni, jaka se da prepokladat zivotnost SSD disku sifrovaneho na urovni OS?
Napriklad DM-crypt nebo bitlocker (od firmy jejiz jmeno se nevyslovuje). Konretne jde o (ne)moznost pouzivat TRIM operace. Ptam se protoze takovyto sifrovany disk vlastne vyuziva disk v cele sve velikosti. Musi, protoze bez desifrorani nesmi byt poznat ani to kolik dat na disku je. Coz znamena, ze se nevyuzity prostor neda uvolnovot pres TRIM.

Nenarazil jste nekdo nekde na nejake srovnani? Dalo by se napriklad udelat stejnou sadu operaci na sifrovanem a nesifrovanem disku a porovnat na smart statistice objem zapsanych dat.

Intuice me rika, ze vliv takoveho sifrovani bude jeste horsi, nez hnusne pohadky o tom, jak hodne zaplneny SSD disk ma vetsi opotrebeni.

Nazor?
« Poslední změna: 02. 09. 2020, 08:59:55 od Petr Krčmář »


Rhinox

  • ***
  • 107
    • Zobrazit profil
    • E-mail
Re:zivotnost SSD sifrovaneho na urovni OS
« Odpověď #1 kdy: 02. 09. 2020, 06:48:05 »
Jaks prisel na to, ze u sifrovaneho disku se zapisuje vice dat, nez u nesifrovaneho?

BTW, trim je jen takova obezlicka pro zastarale SSD/AHCI (SATA). Treba SSD/NVMe trim vubec nema, misto toho pouziva DMC (dataset management control) kterej funguje trochu jinak. Kazdopadne jak trim, tak dmc casem "preklopi" nevyuzivane bunky SSD do vychoziho stavu (pokud je tedy OS oznaci jako nevyuzivane). Jestli je disk sifrovanej nebo ne, to nehraje roli...

Re:zivotnost SSD sifrovaneho na urovni OS
« Odpověď #2 kdy: 02. 09. 2020, 07:07:16 »
FDE trim podporuje, muzes si ho zapnout.

Pokud nedelas nic extra (tvorba a zahazovani images pro virtualizaci...), ale nejakou stredne narocnou praci, koupis si MLC nebo TLC od rozumne firmy... tak to neres.

(A samozrejme zalohuj, ale to je rada, ktera plati pro jakoukoli storage ;-))

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #3 kdy: 02. 09. 2020, 10:19:48 »
TRIM může ovlivnit případnou rychlost zápisu ale podle mne by to životnost disku ovlivnit (moc) nemělo.

Pokud to hodně zjednoduším(ignoruju složitost wearleveling algoritmů) tak při předpokladu že zapisovat se může jen do smazané oblasti, tak TRIM umožnuje fyzicky smazat bloky dat které už nejsou potřeba v čase kdy se nic jiného nedělá, místo toho aby se mazalo až při povelu na zápis/přepis dat(což zápis zpomaluje).

Počet přepisů ani mazání by to přímo ovlivnit nemělo, ačkoliv to může mít vliv na chování wearleveling algoritmu.

Nejsem uplně specialista na šifrování, ale např "bitlocker on the go" (verze pro flashdisky) nešifruje by default úplně celý disk, ale jen data + cca 7GB volného místa, a teprve když dochází tak ho doplňuje z zatím nevyužitého prostoru.Takže pokud nevyužijete celou kapacitu, tak na disku může zbývat více dost "nevyužitého" místa pro wearleveling i bez TRIM (ale já vlastně nevím jestli to vůbec TRIM podporuje).

Jediný důvod proč by šifrování jako takové mohlo mít vliv na životnost disku je komprimovatelnost.
Některé disky data komprimují čímž se šetří zápisy a místo pro "wear leveling" čímž se má zvyšovat "endurance". Ale přiznám se že v tomto také nejsem moc kovaný jak přesně to funguje.

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #4 kdy: 02. 09. 2020, 10:22:10 »
dm-crypt, LUKS i BitLocker jsou block-level, tj. z pohledu disku se to nijak neliší od nešifrovaného. V obou případech se zapisují a čtou bloky, jejich obsah je irelevantní. TRIM a podobné mechanismy fungují bez omezení, minimálně LUKS má na trim pass-through, samozřejmě ale s upozorněním, že tím dochází k úniku informací o volném místě.

Co se komprimace týče, je samozřejmě logické nejprve komprimovat (třeba na úrovni fs) a až potom šifrovat (na úrovni dm) :-)


Re:zivotnost SSD sifrovaneho na urovni OS
« Odpověď #5 kdy: 02. 09. 2020, 16:19:28 »
Jaks prisel na to, ze u sifrovaneho disku se zapisuje vice dat, nez u nesifrovaneho?
Jednoduse. Zasifrovane jsou vsechny bloky zarizeni. Obsazene i neobsazene. To vytvari podobnou situaci, jako kdyz je disk zcela zaplneny.
Jinak receno i blok nealokovany zadnym souborem je zasifrovan a ukozen. Takze z pohledu disku se nelisi neobsazeny sektor a sektor ktery j obsazeny, ale bez pristupu.

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #6 kdy: 02. 09. 2020, 16:24:40 »
dm-crypt, LUKS i BitLocker jsou block-level, tj. z pohledu disku se to nijak neliší od nešifrovaného. V obou případech se zapisují a čtou bloky, jejich obsah je irelevantní.
Prave ze tam rozdil je. Nejde o ty obsazene bloky, ale o ty neobsazene. V pripade pouziti disku naprimo oznami OS disku, ze je blok volny (TRIM). V pripade sifrovaneho zasifruje a ulozi i ten prazdny blok. Z jednoducheho duvodu, aby pri cteni sifrovanych dat nebylo poznat ani to, kolik je obsazeni disku.
Truecript (nez chcipnul) sel dokonce jeste dal a nedalo se tam urcit ani to, jesli po dekodovani disku tam neni druhy skryty svazek ve "volnych" blocich.

Re:zivotnost SSD sifrovaneho na urovni OS
« Odpověď #7 kdy: 02. 09. 2020, 17:28:08 »
Jaks prisel na to, ze u sifrovaneho disku se zapisuje vice dat, nez u nesifrovaneho?
Jednoduse. Zasifrovane jsou vsechny bloky zarizeni. Obsazene i neobsazene. To vytvari podobnou situaci, jako kdyz je disk zcela zaplneny.
Jinak receno i blok nealokovany zadnym souborem je zasifrovan a ukozen. Takze z pohledu disku se nelisi neobsazeny sektor a sektor ktery j obsazeny, ale bez pristupu.

Minimálně v LUKS lze, jak tu někdo psal, povolit TRIM passthrough, takže se zapisuje stejně dat a označování prázdných bloků probíhá stejně jako u nezašifrovaného disku.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:zivotnost SSD sifrovaneho na urovni OS
« Odpověď #8 kdy: 02. 09. 2020, 20:27:04 »
Ale tazatel přece přišel s tím, že nechce povolit TRIM, aby neleakovalo info o volném místě. Osobně mi to přijde moc paranoidní, a pokud má komplex méněcennosti že někdo zjistí že má na disku málo dat, tak ať si vytvoří několik souborů z /dev/urandom :-). FS se podle mě za chvilku fragmentuje tak, že nikdo nic nezjistí.

Ještě mě napadlo disk rozdělit třeba na 5 LVček a vždycky nechat jedno volné a ostatní používat a po pár měsících to vyměnit a to nové volné TRIMnout. Tím disk bude mít volné bloky na přehazování a ostatní se opotřebují rovnoměrně.

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #9 kdy: 02. 09. 2020, 20:39:34 »
Tady nejde o to jesli chci nebo nechci povolit TRIM. Na uvod bylo konstatovani, ze v default nastaveni jsou sifrovany vsechny sektory disku a proc.
Jesli je to paranoidni? Mozna. Ale to neni predmetem debaty.
Predmetem je jake toto default nastaveni bude mit vliv na zivotnost SSD. A pokud se nemylim tak se bitlocker chovat take tak (default sifruje cely prostor, ale nejsem si 100% jisty, protoze uz je to dlouho, co jsem to nastavoval)

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #10 kdy: 02. 09. 2020, 21:03:02 »
LUKS se tak ale ve výchozím nastavení nechová, alokuje on-demand tak jak uživatel zabírá prostor, nezasype disk šifrovanými bloky jen tak. Je-li uživatelem souborový systém který roste dynamicky (např. btrfs), tak se fyzicky konce disku nedotkne, dokud není zaplněn.

Re:Životnost SSD šifrovaného na úrovni OS
« Odpověď #11 kdy: 02. 09. 2020, 21:44:55 »
Koukam na to a koukam jak blazen. Mam tam LUKS a v /etc/crypttab mam parametr discard (takze s podporou TRIM).
Clovek se kazdy den dozvi neco noveho. Dik za nakopnuti.