PGP Whole Disk Encryption vs. Systemleistung

Seit Herbst 2008 ist PGP Whole Disk Encryption (PGP WDE) endlich auch für den Mac erhältlich. Die Anwendung ermöglicht das vollständige Verschlüsseln der Systemfestplatte anstatt wie FileVault von Mac OS X lediglich das Benutzerverzeichnis in einem verschlüsselten Sparse Bundle unterzubringen. Leider hat Sicherheit durch Verschlüsselung ihren Preis, insbesondere in der Form von Verlust an Systemleistung. Für das MacBook Pro (MBP), mit dem ich täglich arbeite, ergibt der Vergleich mittels Xbench 1.3, eine Leistungseinbusse von rund 25 Prozent …

… diese Leistungseinbusse resultiert fast ausschliesslich aus einem massiven Verlust an Leistung der Festplatte, die gemäss Xbench durch die Verwendung von PGP WDE nur noch etwa halb so viel Leistung erbringt wie ohne PGP WDE …

… Prozessorleistung und sonstige Leistungswerte hingegen werden gemäss Xbench durch PGP WDE nicht relevant beeinflusst, jedenfalls nicht im Rahmen der Messung von Xbench. Diese Messergebnisse stimmen mit einem subjektiven Empfinden überein, das heisst mein MBP verliert bei Verwendung von PGP WDE jeweils dann spürbar an Leistung, wenn die Festplatte intensiv genutzt wird.

Immerhin: Mein MBP läuft mit PGP WDE dank einer schnellen Festplatte, die ich nachträglich einbaute, nicht langsamer als mit der ursprünglich von Apple verbauten Festplatte! 🙂 Dennoch wäre es selbstverständlich erfreulich, wenn eine hohe Festplattenleistung und das vollständige Verschlüsseln der Festplatte gleichzeitig möglich wären … 🙄

24 Comments

  1. Iteranium
    17. Februar 2009

    Du kannst nicht alles haben 😉

    Allerdings hätte ich vermutet, dass es eben auf den Prozessor geht und nicht auf die Festplatte. Irgendwie leuchtet mir das nicht so ein. Oder ist der Prozessor dann bei 100% und die Festplatte ist nicht der Flaschenhals?

    Reply
  2. Herr T.
    17. Februar 2009

    Liegt es eventuell am Swapping? Könnte man das in OSX abschalten? Bei 4GB RAM könnte ich wohl meist drauf verzichten.

    Reply
  3. Iteranium
    17. Februar 2009

    Aber wenn der Speicher noch frei ist, dann sollte das doch eigentlich problemlos funktionieren. Xbench betrachtet wohl die Lesegeschwindigkeit der Festplatte, und irgendwas scheint da zu verlangsamen…

    Reply
  4. Martin (MacMacken)
    17. Februar 2009

    Die c’t kam in Ausgabe 2008/25 übrigens auf ähnliche Ergebnisse, wobei die Messungen dort mit TrueCrypt unter Microsoft Windows durchgeführt wurden:

    […] Wer täglich große Datenmengen umherschaufelt, muss auf langsameren Rechnern deutliche Performance-Einbußen hinnehmen. In diesem Fall fährt es sich mit der Verschlüsselung wie mit angezogener Handbremse.

    Auf Note- und Netbooks dürfte die Arbeit mit großen Datenmengen jedoch eher die Ausnahme darstellen. Außerdem verlagern sich immer mehr Programmfunktionen ins Internet. Beim Surfen im Internet, Abrufen der E-Mails und Nutzen sonstiger Webdienste zählt fast ausschließlich das Leistungsvermögen von Internetverbindung, Prozessor und Arbeitsspeicher. Bei der typischen Notebook-Arbeit muss man daher nur geringe Performance-Einbußen durch die vollständige Verschlüsselung der Festplatte hinnehmen. Auf schnellen Notebooks und insbesondere auch auf modernen Desktop-Systemen ist von der Verschlüsselung selbst bei datenintensiven Anwendungen kaum etwas zu spüren. Lediglich beim Aufwachen aus dem Ruhezustand fordert sie auf allen Systemen ihren Zoll.

    Reply
  5. Martin (MacMacken)
    17. Februar 2009

    P.S.: Es gibt keine Testversion von PGP WDE, aber PGP WDE ist in der Testversion von PGP Desktop enthalten, die man via http://www.stroica.com/fehlerhafte-links/ beziehen kann. Nach der Installation sollte man die Messaging-Funktionen von PGP Desktop deaktivieren, ansonsten spielt Apple Mail verrückt … 😐

    Reply
  6. trash
    17. Februar 2009

    Gibt es freie Alternativen, um unter OSX sein ganzes / zu verschluesseln?

    Reply
  7. Martin (MacMacken)
    18. Februar 2009

    @trash:

    Gibt es freie Alternativen, um unter OSX sein ganzes / zu verschluesseln?

    Mir sind keine bekannt.

    Reply
  8. Iteranium
    18. Februar 2009

    TrueCrypt kann WDC unter Windows, unter Mac OS geht es noch nicht.

    Aber unter Linux geht es mit dm-crypt, von daher sollte es doch eigentlich auch für OS X funktionieren, vielleicht kann man das ja portieren oder es läuft direkt schon.

    Reply
  9. Martin (MacMacken)
    18. Februar 2009

    TrueCrypt kann WDC unter Windows, unter Mac OS geht es noch nicht.

    … noch nicht? AFAIK basiert TrueCrypt für den Mac momentan auf MacFUSE, womit keine vollständige Verschlüsselung der System-Festplatte möglich ist. Im Übrigen bin ich gegenüber TrueCrypt skeptisch, die Entwicklung ist nicht transparent und offen genug.

    Aber unter Linux geht es mit dm-crypt, von daher sollte es doch eigentlich auch für OS X funktionieren, vielleicht kann man das ja portieren oder es läuft direkt schon.

    … wobei fraglich ist, ob Apple dm-crypt zum Mac OS X-Kernel hinzufügen möchte. Mit FileVault zeigt Apple, dass Datensicherheit durch Verschlüsselung keine hohe Bedeutung zugemessen wird.

    Reply
  10. Iteranium
    18. Februar 2009

    Achso, dm-crypt ist eine Kernel Extension, für die man Kernel neu kompilieren müsste, also die Quellen haben müsste? Das wäre natürlich super so…

    Reply
  11. Sebastian
    18. Februar 2009

    >Im Übrigen bin ich gegenüber TrueCrypt skeptisch,
    >die Entwicklung ist nicht transparent und offen genug.

    Wie kann dann PGP die Lösung sein? PGP ist closed source, TrueCrypt ist immerhin Open Source…. Mir ist da Truecrypt oder encfs lieber, aber leider gibt es keine gute Methode das gesamte Benutzerverzeichnis zu verschlüsseln, daher schlage ich mich mit FileVault rum.

    Encfs: http://www.chuckknowsbest.com/ikrypt/
    Truecrypt: http://www.truecrypt.org/

    Grüße
    Sebastian

    Reply
  12. Sebastian
    18. Februar 2009

    Der Vollständigkeit halber: Es gibt „encfsvault“, aber wie gut das ist, weiß wohl keiner, oder?
    http://code.google.com/p/encfsvault/

    Reply
  13. Martin (MacMacken)
    19. Februar 2009

    Wie kann dann PGP die Lösung sein? PGP ist closed source, TrueCrypt ist immerhin Open Source….

    Für PGP sind die Quelltexte durchaus verfügbar:

    http://www.pgp.com/developers/sourcecode/

    Allerdings nützt mir «Open Source» per se wenig – ja, es handelt sich bei Verschlüsselung um eine wichtige Grundvoraussetzung, aber selbst überprüfen kann ich den Quelltext nicht. Wie sieht es mit dem Überprüfen bei TrueCrypt aus? Gibt es dazu publizierte Gutachten usw.?

    Reply
  14. Mutex
    4. Juni 2009

    Als Anmerkung, warum Vollverschlüsselungen üblicherweise die Festplatte aus-
    bremsen: Das tun sie m.M.n. nicht!

    Die durchgeführten Messungen verschleiern die ursächlichen Auslöser des Problems. So gesehen siehst du nur die Symptome, nicht den wahren Grund:

    Während bei einem nicht verschlüsselten System üblicherweise Daten durch die
    CPU angefordert, dann per Chipsatz nebst DMA-Kanal weitgehend autark in den
    RAM (und damit in die CPU bzw. ihre lokalen Caches) befördert werden, muß
    nun jeder Sektor seperat nachbearbeitet werden, das betrifft jeden I/O-Prozess.

    Da es sich bei Intelprozessoren wie dem Core2 um eine Architektur ohne eigenen Speichercontroller handelt, macht sich das hier besonders stark bemerkbar. Daher scheint es so, als wäre die HDD die Ursache, aber bei nüchterner Betrachtung kann das logischerweise nicht stimmen: Der HDD sind die ART der gespeicherten Daten egal – ganz gleich, wie der Block aufgebaut ist, ganz gleich von welcher Art das Filesystem ist – ja, und letzten Endes auch
    unabhängig davon ob die Daten nun verschlüsselt sind oder nicht.
    HDD’s sind so gesehen “dumm” – sie bekommen die Anfrage entspr. Sektoren
    einzulesen bzw. zu schreiben. Das setzen sie um, unabhängig vom Dateninhalt.

    Auf der anderen Seite: AMD Prozessoren mit integriertem Speichercontroller
    als auch neuere Intelprozessoren mit Speichercontroller auf der CPU-Die sollten solche Vollverschlüsselungen schneller bearbeiten können – und das hab ich auch schon durch Tests nachvollziehen können.

    Das die Prozessorlast gering ist, ist also nur logisch: Die eigentlichen Algorithmen zur Verschlüsselung beanspruchen (gerade bei AES) moderne Prozessoren nur sehr gering (was auch einer der Gründe für Rijndaal als AES Standard war), der Flaschenhals ist der Bus! Bei neueren Systemen fällt dieser
    Nachteil mehr und mehr weg. Übrigens ist das auch der Grund warum oftmals
    Notebooks im Nachteil sind, das wird sich aber auch mehr und mehr relativieren.

    just my 2cent, vielleicht konnte ich mit dem Beitrag da ein wenig hilfreich sein.

    Reply
    • Martin (MacMacken)
      16. Juni 2009

      Jedenfalls läuft ein Mac mit vollständiger Systemverschlüsselung langsamer als ohne … 🙁

  15. Max
    20. Juni 2009

    Der Einfluss von PGP WDE ist dramatisch!

    Nach der Installation war es nicht so dramatisch, aber im Vergleich! Wieso ich das weiss? Ich musste PGP WDE entfernen damit ich Snow Leopard testen konnte. Mein altes System lief auf einer externen Platte weiter. Nach dem Test von Snow Leopard installierte ich mein gespiegeltes System wieder auf mein MacBook, also gleiches System wie vorher. Aber viel viel schneller, ein richtiges Wow-Erlebnis! Spotlight reagierte wieder sofort. Mail startete einfach so. Firefox hängt viel weniger häufig. Und noch besser: Time Machine blockiert nicht mehr Spotlight wenn ein Backup läuft!

    Dumm nur, dass ich PGP WDE wieder installieren muss. Ich Armer!!!

    Reply
    • Martin (MacMacken)
      20. Juni 2009

      Ich kann Deine Beobachtungen bestätigen, wobei der Leistungsverlust je nach System unterschiedlich ausfällt – aber er besteht und ist nicht marginal. Für den Benutzer zählt im Ergebnis, dass sein System langsamer läuft, woraus das Problem letztlich resultiert, ist für den Benutzer weniger wichtig.

  16. Andre
    19. Mai 2010

    Ist das immer noch so extrem mit den Daten ? Ich überlege ernsthaft mir PGP zu kaufen.

    Reply
    • Martin (MacMacken)
      19. Mai 2010

      Ja, je nach Nutzung … bei alltäglicher Nutzung stört mich PGP WDE nicht.

      (Hingegen könnte bald einmal gegen PGP WDE sprechen, dass PGP von Symantec kürzlich gekauft wurde … :roll:)

    • Andre
      19. Mai 2010

      Das habe ich auch gelesen, das spricht dagegen, aber es gibt keine Alternative. 🙁

      Ist das nur unter Mac so extrem, oder auch unter Windows ? Kann man die Lizenz auf Win und Mac nutzen, wie man will ? Oder kauft man die Win oder Mac Version ?

    • Martin (MacMacken)
      19. Mai 2010

      Aus heutiger Sicht halte ich PGP WDE für die beste Möglichkeit um einen privaten Mac vollständig zu verschlüsseln.

      AFAIK gibt es keine gemeinsame Lizenz für die Mac OS X- und Microsoft Windows-Versionen von PGP.

    • Andre
      19. Mai 2010

      Hm, ok. Denn es steht beim Kauf, (Win,Mac,Lin), daher dachte ich, dass es auf allen läuft.

Leave a Reply