Bitlocker Schreibrate schlecht, CPU nicht ausgelastet

[Michi436]

Hallo zusammen!

Mein Ziel ist es meine Daten sicher zu verschlüsseln. Ich habe mich entschieden, Bitlocker zu verwenden. Da ich zuvor noch nicht mit Bitlocker gearbeitet habe, habe ich zum Testen mit meinem USB Stick begonnen.
Der Stick lässt sich ganz einfach ver- und entschlüsseln. Soweit funktioniert das einwandfrei.
Das Problem ist jedoch, dass die Schreibrate bedeutend geringer wird.

Ohne Bitlocker:

Mit Bitlocker:

Die Schreibrate ist ohne Bitlocker vier mal größer...
Die Ergebnisse von CrystalDiskMark:

Ohne Bitlocker:

Mit Bitlocker:

Alle Kerne der CPU sind beim Schreiben mit Bitlocker bei 5% Auslastung. Dabei dachte ich, dass die Verschlüsselung doch dann eigentlich der Falschenhals sein müsste?
Woran könnte es liegen, dass das Kopieren mit Bitlocker so lange dauert? Kann ich dagegen etwas machen?

Liegt es vlt. am USB Stick? (SanDisk Extreme 64GB 3.0) Habe mich noch nicht getraut interne Platten zu verschlüsseln. Könnte es bei denen besser funktionieren?

Viele Grüße und Danke für jede Hilfe!

 

[madmax2010]

Welche cpu hast du?
Bitlocker nutzt zum verschlüsseln nicht den General Purpose Teil der CPU, sondern das AES-NI Modul. Das siehst du nicht in der Auslastung

 

[Tada100]

Dieser Leseartikel wäre etwas für dich im Bezug auf die Interne Laufwerksverschlüsselung:
https://www.computerbase.de/forum/threads/bitlocker-hardware-encryption-edrive.1847925/

 

[madmax2010]

Schau dir mal den thread hier an:
https://www.computerbase.de/forum/t...selung-vs-usb-laufwerk-mit-bitlocker.1924720/

mal ein gutes USB kabel an den Port geklemmt? Kann sein, dass du da einfach strahlungsprobleme hast

 

[Drewkev]

Welche CPU?

Schreibrate beim Verschlüssen ≠ Schreibrate beim Kopieren

 

[ArcherV]

Ganz doof gefragt: hast du gewartet, bis Bitlocker mit der Verschlüsselung fertig ist ? (Das kleine Symbol in der taskleiste).

Ich nutze Bitlocker seit Windows 7 sowohl auf allen internen Laufwerken als auch mit externen Festplatten… so einen Einbruch hatte ich noch nie.

Achja, kleiner Tipp wenn du dein Boot Laufwerk verschlüsselt: sicher dir den Recocery Key irgendwo hin, wo du ohne PC zugreifen kannst. Am besten ausdrucken und in den Safe.

Selbst kleine HW Änderungen wie eine neue GPU reichen aus, damit du den Key eingeben musst.

 

[eyefinity87]

@ArcherV Darüber hatte ich auch schon nachgedacht. Ist bezogen auf CPU/SSD Nutzung Bitlocker denn "die Wahl", um sein System geben z. B. Einbruch und Diebstahl zu verschlüsseln?

 

[ArcherV]

@eyefinity87
Meines Erachtens nach schützt Bitlocker Dich vor zwei Szenarien:

1. ein Einbrecher kann deine Datenträger nicht einfach in einen anderen PC stecken und auslesen. Wenn man ein TPM Modul verbaut hat - und somit kein Bitlocker Kennwort abgefragt wird - gibt es immer noch das Windows Kennwort. Wenn der Einbrecher einfach ein anderes Bootmedium einwirft, wird Bitlocker die Laufwerke nicht ohne den Wiedherstellungskey oder deinem Kennwort freigeben. Das ist ja der Punkt, Bitlocker merkt wenn sich die Hardware ändert. Das ist zwar super nervig wenn man zB gerade die GPU tauscht und dann vergessen hat sich den Key rauszusuchen … aber genauso soll es sein.

2. ohne Bitlocker kann man das Windows Kennwort relativ einfach aushebeln. Dazu braucht man eben aber Schreibzugriff auf die Windows Partiton - im Falle von Bitlocker wird das ja unterbunden.

Bruteforce Angriffe auf die Kennwörter gehen natürlich immer. Aber die Sache ist ja: Würde sich ein Einbrecher die Mühe machen ? Wahrscheinlich nicht, dem gehts ja eher um den Wert der Komponenten.

Natürlich kann ich dir keine 100% Sicherheit garantieren. Ich kann dir auch nicht garantieren ob MS den Behörden einen Master Key geben kann. Es ist aber immer noch besser als gar kein Schutz.

Früher gab es noch TrueCrypt. Da gab es aber mal eine Sicherheitslücke womit die Verschlüsselung knackbar geworden ist. Soweit ich weis wurde das unter VeraCrypt weiter geführt, da kann ich dir den aktuellen Stand aber nicht sagen.

Der Vorteil von Bitlocker ist eben die gute Integration in Windows.

Ergänzung (27. Oktober 2021)

Wenn du kein TPM Modul hast, musst du dir eine lokale Richtlinie setzen, damit du Bitlocker nutzen kannst. Kann ich dir bei Bedarf raussuchen.

Ansonsten folgender Link zur Info: https://www.bsi.bund.de/DE/Themen/V...-und-hardwaregestuetzte-verschluesselung.html

 

[Michi436]

Erstmal vielen Dank für die ganzen Antworten!

Welche cpu hast du?

Hab einen Intel i5-3450 @ 3.10GHz. Kann ich da in der technischen Spezifikation einen bestimmten Wert überprüfen, ob das an der CPU liegt?

Dieser Leseartikel wäre etwas für dich im Bezug auf die Interne Laufwerksverschlüsselung:
https://www.computerbase.de/forum/threads/bitlocker-hardware-encryption-edrive.1847925/

Danke für den Tipp! Im Artikel steht allerdings, dass eDrive mit der Windows 10 Version 2004 nicht mehr angeboten wird, sondern nur "über Umwege" funktioniert (Also mit älteren Version neu aufsetzen und dann nur upgrade verwenden). Dass ist mir ehrlich gesagt etwas zu umständlich und ich würde gerne was mit guter Integration verwenden.

Schau dir mal den thread hier an:
https://www.computerbase.de/forum/t...selung-vs-usb-laufwerk-mit-bitlocker.1924720/

mal ein gutes USB kabel an den Port geklemmt? Kann sein, dass du da einfach strahlungsprobleme hast

Also einen Hub o.Ä. hab ich nicht dazwischen. Habe jetzt mal zum Testen ein längeres 3.0 Kabel dazwischen, aber es verhält sich gleich.

Ganz doof gefragt: hast du gewartet, bis Bitlocker mit der Verschlüsselung fertig ist ?

Ja

Achja, kleiner Tipp wenn du dein Boot Laufwerk verschlüsselt: sicher dir den Recocery Key irgendwo hin, wo du ohne PC zugreifen kannst. Am besten ausdrucken und in den Safe.

Danke für den Tipp! Muss jetzt erstmal schauen, dass ich für die Performance eine Lösung finde, sonst werde ichs wahrscheinlich gar nicht verwenden...


Ich hab jetzt mal das ganze mit einem zweiten USB Stick probiert (Transcend 64GB USB 3.0), gleiches Problem wie beim ersten Stick: Sehr Starke Performance Einbußen beim Schreiben.
Dann hab ich das ganze noch am Laptop probiert. Gleiches Problem bei beiden Sticks...
Beide sind als NTFS formatiert, könnte es evtl damit zusammenhängen?

Viele Grüße

€:
Ich habe das ganze nun nochmal mit einer externen NTFS USB 3.0 8TB Platte probiert. Gleicher Rechner, gleicher Port. Das Ergebnis ist um eingies besser:
Ohne Bitlocker:

Mit Bitlocker:

Man hat zwar trotzdem Performance Einbußen, jedoch wären sie in diesem Maße verkraftbar.
Hat jemand evtl eine Erklärung, wieso es mit beiden USB Sticks so schlecht funktioniert? Gibt es bestimmte Hardware, die nicht richtig mit Bitlocker kompatibel ist?

 

[ArcherV]

Hmm ich mach nachher mal ein paar Tests wenn ich noch irgendwo einen Stick finde . Das lässt mich nicht locker.

 

[nullPtr]

Bitlocker nutzt zum verschlüsseln nicht den General Purpose Teil der CPU, sondern das AES-NI Modul. Das siehst du nicht in der Auslastung

Woher nimmst du denn diese Info?
AES-NI ist erstmal eine Erweiterung des Instruction Sets. Wenn eine AES-NI-Instruktion ankommt, wird die von der CPU dekodiert, etc. und zum Ausführen gescheduled und von der Execution Engine der CPU implementiert. Das belegt CPU-Kapazitäten, das Programm ist lauffähig und es wird ausgeführt. Damit sollte es zur Auslastung zählen.

 

[ArcherV]

Moin moin,
erstmal sorry @Michi436 das ich länger gebraucht habe als gedacht. Ihr wisst ja wie das ist . Und sorry das ich bei den USB Sticks nur diese krücken testen konnte... hab leider nichts anders hier.. und ich wollte jetzt nichts meine externe HDD entschlüsseln weil das solange dauert.

Kurzfassung: ja es gibt scheinbar auch bei mir einen Performance Drop, bei mir ist das aber in einem Bereich, wo mich das einfach nicht interessiert. Habe ich bis jetzt ja nicht mal gemerkt, wenn ich jetzt nicht gemessen hätte..

Disclaimer: Natürlich hatte ich beim testen keine Laborumgebung. Die Datenträger kommen bei mir aus dem täglichen gebrauch wo Windows und andere Sachen drauf laufen.
Mein Ziel war es ja nur den Unterschied herauszustellen und keine Werte zu liefern die aufs MB/s genau sind.

Hab folgende Datenträger / Konfigurationen getestet.

1. Samsung 870 EVO 250GB - SATA/AHCI - Windows + Programme
2. Samsung 970 EVO+ 1TB - PCIe/NVMe - Auslagerungsdatei + Spiele
3. Windows Storage Pool - Space1 - 2-Wege-Spiegelung
4. Windows Storage Pool - Space2 - Parität auf 3 Laufwerke
5. USB Stick 1 Kingston DataTraveler 100G3 64GB - USB3.0
6. USB Stick 2 Intenso Rainbowline 8GB - USB2.0
7. USB Stick 3 TrekStor 256MB - USB2.0 (jop, der ist so alt wie er sich anhört. War damals mein erster Stick. Nostalgie )

Der Storage Pool hat vorerst folgende Konfiguration:

Spoiler: Storage Pool

Die Paritäts-Storagespace habe ich nur zum testen eingerichtet und wird nachher wieder geändert. Die Testergebnisse sind da etwas mit Vorsicht zu genießen.

CPU ist ein 3700X ohne OC.
Verschlüsselt wurde mit "neue Verschlüsselungsmethode" u. "gesamtes Laufwerk".

Spoiler: Testergebnisse

Wenn es dir hilft kann ich mir am Wochenende gerne auch noch die externeHDD vornehmen..

 

[Michi436]

erstmal sorry @Michi436 das ich länger gebraucht habe als gedacht.

Kein Problem! Ich bin dir sehr dankbar, dass du überhaupt versuchst mir zu helfen. Das ist nicht selbstverständlich.

Für mich sind die Ergebnisse des 64GB USB 3.0 Sticks am interessantesten, da es sich bei mir auch um zwei Sticks dieser Art gehandelt hat. Hier hat mich zum einen die Schreibrate ohne Bitlocker etwas verwundert. 22MB/s trotz USB 3.0 scheint mir ziemlich langsam?
An das Kopieren von Windows kommt mMn der SEQ1M Q1T1 Wert von Crystal Diskmark am nähesten. Hier droppt die Performance von deinem Stick auch von 22MB/s auf 4,6MB/s, was für einen USB 3.0 Stick ja schon viel zu langsam ist und nichtmal mehr an USB 2.0 rankommt.

Bei den Platten merkt man kaum einen Unterschied. Scheint fast so, als ob Bitlocker einfach mit USB Sticks nicht so gerne zusammenarbeitet...

 

[ArcherV]

Hi Michi,

Ich teste nachher gerne noch mal den Stick.
Hab den kaum genutzt aber auch ohne Bitlocker ist der echt lahm. Leider hab ich keinen aktuellen Stick weil ich die nicht mehr nutze.

Wenn dein PC auf einer SSD läuft würde ich die Verschlüsselung schon mitnehmen.

E:
Was ich ganz vergessen hab: die SSDs sind alle NTFS formatiert, die beiden kleinen Sticks FAT32. Bei dem 64GB Stick bin ich mir gerade nicht sicher

 

[Bob.Dig]

Auch bei Festplatten gibt es gravierende Unterschiede, die ich mir nicht erklären kann. Manche laufen ohne Abstriche, andere verlieren deutlich an Schreibgeschwindigkeit. Veracrypt dagegen erzielt unabhängig gute Ergebnisse.

Ergänzung (29. Oktober 2021)

Dieser Leseartikel wäre etwas für dich im Bezug auf die Interne Laufwerksverschlüsselung:
https://www.computerbase.de/forum/threads/bitlocker-hardware-encryption-edrive.1847925/

Die hardwarebasierte Verschlüsselung muss explizit vom Drive unterstützt werden, das dürfte bei keinem Stick der Fall sein.

 

[Tada100]

Mein Ziel ist es meine Daten sicher zu verschlüsseln.....habe ich zum Testen mit meinem USB Stick begonnen.

@Bob.Dig
Deswegen habe ich ja geschrieben

Dieser Leseartikel wäre etwas für dich im Bezug auf die Interne Laufwerksverschlüsselung:

da ich mir dachte das der stick nicht so der "brüller " für eine (Hardwarebasierte) Laufwerksverschlüsselung ist.

 

[Michi436]

Es ist zwar schon ein paar Wochen her, aber wollte mich dennoch nochmal melden.

Hab jetzt alle meine internen Platten verschlüsselt und vorher/nachher Tests mit Crystal Disk Mark gemacht.

Spoiler: Samsung SSD 830 Series (120GB)

Ohne Bitlocker:

Mit Bitlocker:

Man sieht keinerlei Performance-Einbußen.

Spoiler: Seagate Desktop HDD 1TB

Ohne Bitlocker:

Mit Bitlocker:

Schreibrate bricht hier etwas ein, aber für meine Verwendung in diesem Fall kein großes Problem.

Spoiler: WD Red 3TB

Ohne Bitlocker:

Mit Bitlocker:

Auch hier keinerlei Performance Einbußen zu erkennen.

Spoiler: Seagate Archive HDD 8TB

Ohne Bitlocker:

Mit Bitlocker:

Die Archive HDD hat leider sehr starke Einbußen in der Leserate. Obwohl hier ja die Leserate eigentlich wichtiger als die Schreibrate wäre (Archive = Einmal Schreiben mehrmals lesen)... Mal sehen ob ich damit auf dauer zurecht komme. Das Verschlüsseln von dieser hat mit Abstand am längsten gedauert. Mein Rechner ist ca. 16h am Tag an und ich habe knapp 10% pro Tag geschafft. Meine 12TB Platte war nach der Hälfte der Zeit schon durch.

Spoiler: Seagate Exos 12TB

Ohne Bitlocker:

Mit Bitlocker:

Leichte Einbußen bei der Schreibrate aber vollkommen verkraftbar.

Fazit: Die Stärke der Performance-Einbußen scheint sehr stark hardwareabhängig zu sein. Die SSD und manche HDDs scheinen gar nicht beeinflusst zu werden, alle meine USB Sticks und manche HDDs haben starke Einbußen.
Alle Platten waren übrigens NTFS formartiert, wobei ich denke, dass das keine Rolle spielt. Es wurde auch immer die neue Verschlüsselungsmethode verwendet.

Viele Grüße

 

[Bob.Dig]

Deckt sich mit meinen Erfahrungen. Wobei ich finde, dass ein Einbruch der Schreibrate von über 50% bei der 1 TB Seagate Desktop HDD ebenfalls hochproblematisch ist, Du scheinst aber wohl nur per Gb drauf schreiben zu wollen. 😉
Interessant wäre noch gewesen, wie viel besser Veracrypt abschneidet, ich vermute beträchtlich.

Die Archive HDD solltest Du eher gar nicht nachträglich verschlüsseln, dafür sind die Schrottteile einfach nicht gemacht.

 

[MosciMetzger]

Habe genau die gleichen Probleme mit 4 Sticks. Wenn diese nicht verschlüsselt sind Schreibrate von ca 160 MB/sec. Verschlüsselt mit Bitlocker ca 35 MB/sec.
Das war nicht immer so. Muß so vor 2-3 Jahren gewessen sein. Vor irgendein Microsoft Update Schreibraten verschlüsselt weit über 100 MB/sec. Nach Update ging es dann los. Ich habe es inzwischen aufgegeben den Fehler zu finden.
Aber mit VeraCrypt genau das selbe