Windows VeraCrypt-FDE & SSDs: Geschwindigkeit verbessern

[iks230]

Umgebung: Windows 10 Pro 64-Bit, T440p, i7-4712MQ, Crucial MX500 2TB, komplette Festplattenverschlüsselung / Full Disk Encryption mit VeraCrypt 1.25.9

Manchmal lohnt es sich Release Notes zu lesen: Seit Version 1.25.7 kann durch bestimmte Registry-Keys bei VeraCrypt die Performance verbessert werden.

Ohne die Anpassung:



Mit der Anpassung:



100 MB/s mehr beim Lesen finde ich schon beachtlich. Leider habe ich keinen Vergleich zu einem unverschlüsselten Laufwerk.

Zu den Registry-Änderungen:

Advanced users: Add registry settings to control driver internal encryption queue to allow tuning performance for SSD disks and having better stability under heavy load.

• Under registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\veracrypt:
  • VeraCryptEncryptionFragmentSize (REG_DWORD): size of encryption data fragment in KiB. Default is 256. Maximum is 2048.
  • VeraCryptEncryptionIoRequestCount (REG_DWORD): maximum number of parallel I/O requests. Default is 16. Maximum is 8192.
  • VeraCryptEncryptionItemCount (REG_DWORD): maximum number of encryption queue items processed in parallel. Default as well as maximum is half of VeraCryptEncryptionIoRequestCount.
• The triplet (FragmentSize=512, IoRequestCount=128, ItemCount=64) is an example of parameters that enhance sequential read speed on some SSD NVMe systems.

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid

VeraCrypt is free open-source disk encryption software for Windows, Mac OS X and Linux. In case an attacker forces you to reveal the password, VeraCrypt provides plausible deniability. In contrast to file encryption, data encryption performed by VeraCrypt is real-time (on-the-fly), automatic...

www.veracrypt.fr

 

[mectst]

Zahlen sind ja das eine, aber kannst du aus deiner Erfahrung nun auch berichten, ob sich dies im täglichen Arbeiten auch bemerkbar macht? Wie sieht denn dein typisches Benutzerverhalten dabei so aus?

Grüße Thomas

 

[elchmartin]

naja, selbst systhetisch sind doch 1/3 speed obendrauf 'für lau' recht gut.
ob das alles und immer sinn macht ... sicherlich ist das frage 2.

 

[mectst]

... to allow tuning performance for SSD disks and having better stability under heavy load.

Frage 3 ist dann noch was passiert, wenn 'heavy load' nicht vorliegt. Hat man dann mit diesen Regitry-Einträgen irgendwelche Beeinträchtigungen? Irgendwie liegt das ja Nahe, sonst würde man sie ja als Standard-Einstellung verwenden und eben nicht nur speziell bei 'heavy loads'.

Grüße Thomas

 

[iks230]

Bisher habe ich noch keine großen Messungen gemacht, abseits des synthetischen Tests mit CrystalDiskMark, da ich die Änderung erst gestern Abend entdeckt bzw. umgesetzt habe.

Zum Anwendungsfall: Habe öfter mit größeren Dateien zu tun, also zum Beispiel VMs mit mehreren GB oder manche Ordner bei Thunderbird sind 1 GB oder größer. Beides geht auch ins Backup. Da erhoffe ich mir durch bessere Lesegeschwindigkeit einen Vorteil.

Hab das auch hauptsächlich gepostet um darauf hinzuweisen, weil es für andere ja ganz nützlich sein könnte, die den Einbruch der Lesegeschwindigkeit durch die Verschlüsselung mit VeraCrypt mehr(?) spüren als ich und die froh sind um jeden Vorteil.

Gibt zu dieser Thematik einen längeren Beitrag auf github, auf den ich gestoßen war (verlinkt ist ein Ergebnis der Registry-Anpassung):

Very bad performance on NVME SSD · Issue #136 · veracrypt/VeraCrypt

Hi, Please don't take that as a complain, I only wish to help improve the software so I can use it. I achieve very bad performance on Windows 10 LTSB 2016 with a Samsung EVO 960 250Gb and Veracrypt...

github.com

 

[independence]

Ich hätte dazu auch eine Frage. Ich bin mit der Performance meiner komplett verschlüsselten (mit Veracrypt) SSD überhaupt nicht zufrieden, verstehe aber auch nicht wieso die Performance so mies ist. Verschlüsselt ist mit AES - was ja die beste Performance liefern sollte. Die anfängliche Geschwindigkeit ist leider nur wenige Sekunden ordentlich schnell und sinkt dann auf unterirdische 30MB/sek ab. Jemand eine Idee woran das liegt?
Kopiert wurde hier ein 1GB ZIP File.. Sollte also durchaus schnell kopiert werden. Performance ist auch auf anderen Geräten so langsam, nicht nur auf Windows.

 

[dennker]

Der Einbruch bei genau der Hälfte (~500MB) schreit danach, dass irgendein Cache vollläuft. Um was für eine SSD handelt es sich?

 

[independence]

Es ist eine Sandisk T7 Shield 4TB

 

[think_pad]

Kopiert wurde hier ein 1GB ZIP File.

Für solche Files verwendet man eigentlich teracopy, welches mit dynamischen Puffern arbeitet.

 

[independence]

Ok, aber was hat das mit der Thematik zu tun? Es geht nicht nur um Windows, sondern auch Linux, NAS Systeme, etc. und ich da es sich um eine Backup SSD handelt auch um Tools wie FreeFileSync.

 

[think_pad]

Ok, aber was hat das mit der Thematik zu tun?

Files von solcher Größe haben beim direkten Kopien Einbrüche, weil der Puffer, (hier bei 500 MB) vollläuft. Deswegen verwendet man Software, die den File überträgt, überprüft und notfalls korrigiert, damit beide Files identisch sind. Linux, NAS Systeme, FreeFileSync etc. kopieren in der Regel kleinere Dateien, aber auch LINUX hat TeryCopy-Aternativen.

Es kann aber auch sein, dass der Controller innerhalb der externen SSD zu heiß wird. Es gibt Admins, die sprühen ihre USB-Sticks während des Übertragens großer Dateien mit Eisspray an, damit der Stick nicht zu heiß und die Übertragung stabil bleibt.

 

[independence]

Ok aber das trifft alles bei der SSD nicht zu. Ich kann mit sehr hoher Geschwindigkeit Dateien kopieren, wenn die Festplatte erst gar nicht verschlüsselt ist (oder mit der Samsung Verschlüsselung genutzt wird).
Ergo ist meine Behauptung, dass es ausschließlich an der Veracrypt Verschlüsselung liegt.

 

[think_pad]

Ergo ist meine Behauptung, dass es ausschließlich an der Veracrypt-Verschlüsselung liegt.

Das ist richtig. So bald eine Kryptologie-Software oder auch ein Videokonverter einen speziellen Hardware-Chip auf dem Motherboard oder auf der externen Hardware nutzen können, der diese Verschlüsselungs- oder Codec-Variante direkt unterstützt, vervielfacht sich die Geschwindigkeit des Prozesses, weil die CPU diese Aufgabe nicht mehr übernehmen muss.

VeraCrypt ist ideal, um versteckte Partitionen auf USB-Speichern anzulegen. Ansonsten genügt aber für die meisten Fälle ein mit AES verschlüsselter 7-ZIP-Ordner. Oder man greift eben unter LINUX auf Bitlocker zurück...

 

[independence]

VeraCrypt ist ideal, um versteckte Partitionen auf USB-Speichern anzulegen. Ansonsten genügt aber für die meisten Fälle ein mit AES verschlüsselter 7-ZIP-Ordner. Oder man greift eben unter LINUX auf Bitlocker zurück...

Ich muss eine 4TB Festplatte verschlüsseln und kann kein Bitlocker nutzen weil ich hauptsächlich einen Mac nutze. Außerdem ist die Entscheidung ja schon für Veracrypt gefallen und ein 7zip Ordner ist für hundert tausende Dateien sicherlich nicht sinnvoll.

Das ist richtig. So bald eine Kryptologie-Software oder auch ein Videokonverter einen speziellen Hardware-Chip auf dem Motherboard oder auf der externen Hardware nutzen können, der diese Verschlüsselungs- oder Codec-Variante direkt unterstützt, vervielfacht sich die Geschwindigkeit des Prozesses, weil die CPU diese Aufgabe nicht mehr übernehmen muss.

Ist mir bekannt und die Hardware ist vorhanden, dennoch ist es überraschend langsam.

 

[Ambrosius]

Ich bin beileibe kein Cryptologe aber mir scheints als würde es sich an dem Punkt an dem du angekommen bist lohnen einfach tabula rasa zu machen. Sprich Daten sichern, Platte platt machen und Veracrypt von neuem draufspielen..Vielleicht noch einen Test vorher und nachher machen...Was ich auf jeden Fall mal nachschlagen würde sind die Spezifikationen der T7 und schauen falls iwas nicht gut mit Cryptologieprotokolle wie die von VC Unterstützten mitspielt...

 

[think_pad]

Ich muss eine 4TB Festplatte verschlüsseln und kann kein Bitlocker nutzen, weil ich hauptsächlich einen Mac nutze.

Davon war aber bisher nicht die Rede...

M3 BitLocker for Mac: Read/Write BitLocker drive on Mac

BitLocker for Mac tool: M3 BitLocker Loader for Mac can easily open, read, write BitLocker encrypted drive on Mac (M1, M2, M3). Free download and try it for free.

www.m3datarecovery.com

Im Übrigen würde ich mal eine Tabelle anlegen: Da sieht man sehr schnell, was Sache ist...

Sandisk T7 Shield; 10GB Test-Partition, 1GB Testfile	MacOS​	LINUX​	WINDOWS​
unverschlüsselt	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​
VeraCrypt	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​
Bitlocker	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​	Zeitdauer lesen/schreiben​

P.S. Diese Übung kann übrigens jeder mit einem ganz gewöhnlichen USB 3.0-Marken-Stick machen. Hierbei kann man auch testen, ob teracopy und seine Derivate wirklich schneller als die Standardlösungen sind.

 

[independence]

Davon war aber bisher nicht die Rede...

Ist aus meiner Sicht aus trivial ob die Platte 1TB oder 1PB hat. Ich suche hier ja nicht nach einer anderen Möglichkeit à la 7zip Ordner oder einem Kopiertool wie Teracopy. Ich will das Problem identifizieren und die Ursache lösen.

Auch ist eine Tabelle nicht notwendig, denn ich weiß, dass die Platte unverschlüsselt schnellere Schreib- und Leseraten liefert. Mit dem Veracrypt Laufwerk gibt es auch keinen Unterschied zwischen den verschiedenen Systemen. Und ich werde auch keine Lizenz (70USD/Jahr) für eine Software kaufen, damit ich Bitlocker auf dem Mac nutzen kann um 1x im Monat ein Backup zu fahren (habe ich alles schon im Vorfeld ausgeschlossen). Das ist ebenfalls eine Alternative und trägt nicht zu Lösung oder Identifizierung des Problems bei.

 

[think_pad]

Ich will das Problem identifizieren und die Ursache lösen.

Das gleiche Problem besteht beim Konvertieren von Videos nach H.264 oder H.265: Kann die verwendete Konvertierungssoftware einen Chip auf dem SoC oder auf der Grafikkarte ansprechen, der H.264 oder H.265 direkt hardwarekodiert, erreicht man 140 Frames/sec, sonst nur ca. 30 Frames/sec.

Das Verschlüsselungsproblem besteht darin, dass man nicht erzwingen kann, ob Bitlocker oder VeraCrypt einen eventuell vorhandenen Hardware-AES-Chip verwenden. Ob der überhaupt schon vorhanden ist, steht in den Specs des Gerätes; ob die Software den Chip erkennt und verwendet, steht in den Sternen oder kann notfalls durch spezielle Einstellungen erzwungen werden.

Bitlocker verwendet gar keine Hardware-Verschlüsselung mehr, weil es der Hardware nicht vertraut. Warum sollte es bei VeraCrypt anders sein?

Windows-Sicherheit: Bitlocker vermeidet zukünftig Hardware-Verschlüsselung

Die Windows-Festplattenverschlüsselung BitLocker verschlüsselt zukünftig lieber selbst als den Hardware-Herstellern zu vertrauen.

www.heise.de

Wie Du eine externe Festplatte mit Veracrypt verschlüsselst - Die IT-Übersetzerin

VeraCrypt ist nicht selbsterklärend - ich zeige Dir Schritt für Schritt, wie's geht.

gabrielebrandhuber.at

 

[independence]

Ich bin beileibe kein Cryptologe aber mir scheints als würde es sich an dem Punkt an dem du angekommen bist lohnen einfach tabula rasa zu machen. Sprich Daten sichern, Platte platt machen und Veracrypt von neuem draufspielen..Vielleicht noch einen Test vorher und nachher machen...Was ich auf jeden Fall mal nachschlagen würde sind die Spezifikationen der T7 und schauen falls iwas nicht gut mit Cryptologieprotokolle wie die von VC Unterstützten mitspielt...

Das muss ich leider tatsächlich in Betracht ziehen. Ich schaue mal wann das zeitlich passt und dann werde ich das evtl machen

 

[cuco]

Das gleiche Problem besteht beim Konvertieren von Videos nach H.264 oder H.265: Kann die verwendete Konvertierungssoftware einen Chip auf dem SoC oder auf der Grafikkarte ansprechen, der H.264 oder H.265 direkt hardwarekodiert, erreicht man 140 Frames/sec, sonst nur ca. 30 Frames/sec.

[...]

Bitlocker verwendet gar keine Hardware-Verschlüsselung mehr, weil es der Hardware nicht vertraut. Warum sollte es bei VeraCrypt anders sein?

Da bringst du jetzt aber zwei unterschiedliche Dinge durcheinander. In ersterem Beispiel würde ein SoC/eine CPU/eine GPU einen Algorithmus durch bestimmte Befehlssatzerweiterungen in Hardware beschleunigt ausführen. Du erklärst es anhand von H.264/H.265 in der GPU, in diesem Beispiel wäre es aber natürlich AES-NI in der CPU.
Die Hardware-Verschlüsselung, die BitLocker nicht mehr verwendet, ist dagegen etwas anderes. Hierbei handelt es sich nicht um eine Befehlssatzerweiterung, die Vorgänge in der CPU beschleunigt, sondern um komplett eigene Hardware, die den ganzen Prozess übernimmt. Und diese eigene Hardware sitzt in diesem Beispiel in der SSD.

Kurz zusammengefasst also:
- Verschlüsselung in Hardware = SSD verschlüsselt selbst -> BitLocker nutzt das standardmäßig nicht mehr, VeraCrypt nutzte es noch nie
- Hardware-beschleunigte Verschlüsselung = CPU verschlüsselt, hat aber Funktionen, die das beschleunigen -> BitLocker, VeraCrypt und Co. greifen in der Regel darauf zurück.

Was mir zum eigentlichen Problem noch einfällt: @independence Vielleicht auch nur ein Caching-Problem oder gar nur ein Anzeige-Problem? Wie schnell kopiert er denn, bevor er auf 30MB/s einbricht? Eventuell kopiert er vorher mit angeblichen x GB/s, bis der Cache vollläuft. Dann schreibt er den Cache weg und daher bricht die Datenrate ein. Daher: verschlüsselte SSD mal abdocken/aushängen, wieder anschließen/einhängen, dann die Datei kopieren und beim Starten auf die Uhr mit Sekundenzeiger schauen. Warten bis der Kopiervorgang abgeschlossen ist und wieder auf die Uhr schauen. Dateigröße durch Anzahl der Sekunden teilen und schauen: Passt der Wert? Oder ist er wirklich so viel niedriger wie die Anzeige suggeriert? Klingt vielleicht etwas doof/banal, aber ich habe genau solche Symptome schon gehabt.