'Windows 11 Pro-schijfversleuteling kan ssd-prestaties 45 procent vertragen'

De BitLocker-schijfversleuteling, die enkel beschikbaar is voor Windows 11 Pro-systemen en daarbij vaak standaard geactiveerd is, kan de ssd-prestaties met wel 45 procent verlagen. Dat stelt Tom's Hardware op basis van eigen tests.

Voor zijn resultaten heeft Tom's Hardware drie scenario's getest: zonder BitLocker-encryptie, met BitLockers softwareversleuteling, die standaard ingeschakeld is in Windows 11 Pro, en met BitLockers hardwareversleuteling. Hierbij werd onder meer gekeken naar de schrijf- en leessnelheid, en de mate van latency. Bij de softwarematige versleuteling van de schijf waren de gemeten ssd-prestaties in de PCMark 10-benchmarks gemiddeld twintig procent lager in vergelijking met de prestaties bij hardware-encryptie en geen schijfversleuteling. Bij de willekeurige leestest van CrystalDiskMark 8 werd een soortgelijk prestatieverschil gemeten, maar bij de willekeurige schrijftest presteerde de softwareversleuteling zelfs 45 procent slechter.

Ook bij de DiskBench- en Atto Disk-benchmarks werden significant lagere ssd-prestaties gemeten. In vrijwel alle gevallen presteerde de ssd bij hardware-encryptie echter ongeveer even goed als wanneer de schijfencryptie volledig is uitgeschakeld. De tests zijn uitgevoerd met een Samsung 990 Pro-ssd van 4TB, met een Intel Core i9-12900K en 32GB aan DDR4-werkgeheugen.

Microsoft gebruikt standaard de softwarematige BitLocker-schijfencryptie, nadat het bedrijf in 2019 besloot om de hardware-encryptie voortaan in Windows te negeren en de schijf softwarematig te versleutelen. De techgigant heeft daar vermoedelijk voor gekozen omdat ssd-fabrikanten de beveiliging van hun schijven niet goed op orde zouden hebben. Daardoor zou het mogelijk zijn de schijfencryptie relatief eenvoudig te omzeilen. Door de schijfencryptie op softwareniveau uit te voeren, heeft Microsoft zelf de controle over de beveiliging.

Wel moet de processor hiermee de hele schijf ontsleutelen en dan opnieuw versleutelen. Microsoft stelde toen dat moderne pc's inmiddels genoeg cpu-snelheid hebben om zulke softwarematige versleuteling snel uit te voeren zonder dat de computer daarmee traag wordt, maar volgens Tom's Hardware blijkt dat dus niet helemaal het geval. Als gebruikers de hardware-encryptie willen instellen, moeten ze Windows 11 Pro volledig opnieuw installeren en met behulp van de tool Rufus ervoor zorgen dat tijdens de installatie de softwarematige versleuteling niet automatisch weer geactiveerd wordt. Overigens is het ook mogelijk om de schijfencryptie met een opdrachtprompt volledig uit te schakelen.

Reacties (182)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

21 oktober 2023 11:39

De BitLocker-schijfversleuteling, die enkel beschikbaar is voor Windows 11 Pro-systemen en daarbij vaak standaard geactiveerd is,

Waar hebben we het hier nu exact over? Bitlocker is namelijk geen Windows 11 only feature maar ook gewoon in Windows 10 beschikbaar.

Dat software matige versleuteling trager is dan hardware gebaseerde versleuteling is niet gek natuurlijk. Voor de rest mis ik ook informatie over de gebruikte encryptie algoritmen die gebruikt zijn tijdens de test. Ook dat maakt uit.

Opties;
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128-bit (default)
- XTS-AES 256-bit

BitLocker uses Advanced Encryption Standard (AES) as its encryption algorithm with configurable key lengths of 128 or 256 bits. On Windows 10 or later devices, the AES encryption supports cipher block chaining (CBC) or ciphertext stealing (XTS).

Microsoft zegt overigens zelf dit:

Is there a noticeable performance impact when BitLocker is enabled on a computer?

Typically, there's a small performance overhead, often in single-digit percentages, which is relative to the throughput of the storage operations on which it needs to operate.

[Reactie gewijzigd door Bor op 22 juli 2024 17:45]

temp00 @Bor • 21 oktober 2023 13:23

Waar hebben we het hier nu exact over? Bitlocker is namelijk geen Windows 11 only feature maar ook gewoon in Windows 10 beschikbaar.

Klopt maar het gaat hier om de versie: Pro. Bitlocker is in beide versies niet beschikbaar op Home edities. Misschien een beetje onduidelijk maar dat bedoelt de auteur met:

die enkel beschikbaar is voor Windows 11 Pro-systemen

mjl @temp00 • 21 oktober 2023 13:43

En enterprise… en Pri for Workstations.

Het staat overigens niet standaard aan, je moet de encryptie wel zelf enablen (in iedergeval als ik met enterprise versie installeer (zodat ik makkelijker met lokale accounts kan installeren) en dan als Pro activeer).

Voor dagelijks office werk merk je hier niks van, als je grote video streams bijv. of andere grote datasets hebt kan ik me dit wel voorstellen.

@CAPSLOCK2000 in CAPSLOCK2000 in ''Windows 11 Pro-schijfversleuteling vertraagt ssd-prestaties met tot 45 procent''
Helemaal mee eens!

Ik wist overigens niet dat Microsoft de sleutel beheerd, de private recovery key (meteen in KeePass) moet je toch zelf opslaan of uitprinten voor het geval de sleutel uit je UEFI /TPM verloren gaat?

[Reactie gewijzigd door mjl op 22 juli 2024 17:45]

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Beveiliging en antivirus

@mjl • 21 oktober 2023 14:04

Als je aanmeld met je Microsoft account kan de recovery key ook gewoon in je account worden opgeslagen net zoas je bij bedrijfscomputers deze in Intune kunt laten opslaan.

mjl @Blokker_1999 • 21 oktober 2023 18:17

Aha! ik werk thuis alleen met lokale accounts, vandaar dat het dus ergens opgeslagen/geprint moet worden.

uiltje @mjl • 22 oktober 2023 05:54

Ik heb niet te lang geleden pro geïnstalleerd en daar stond het ook niet aan. Op mijn werk PC natuurlijk wel.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@uiltje • 22 oktober 2023 12:14

Of Bitlocker standaard enabled wordt of niet hangt van een aantal zaken af; de hardware ondersteuning en hoe je aanmeldt;

Op ondersteunde apparaten met Windows 10 of nieuwer wordt BitLocker automatisch ingeschakeld wanneer je je de eerste keer aanmeldt met een persoonlijk Microsoft-account (zoals @outlook.com of @hotmail.com) of met een werk- of schoolaccount.

Wouterie @mjl • 23 oktober 2023 21:01

En Education. Het is wat kort door de bocht om alleen de Pro editie te benoemen inderdaad, nu komt het over als een Bitlocker-Pro editie.

mjl @Wouterie • 23 oktober 2023 21:53

Die heb ik nog nooit gebruikt, bedankt voor de aanvulling, dus alle edities behalve Home

YoMarK @temp00 • 21 oktober 2023 14:27

In de Home versies zit device encryption wat in de basis bitlocker-lite is. Het voornaamste verschil is dat device encryption voor het hele device is(dus niet b.v. individueel in/uit te schakelen voor C en D schijf b.v.) en altijd TPM gebruikt (je kan er niet voor kiezen je bitlocker key handmatig in te typen tijdens de aanmeldprocedure mocht je dat willen 😁 )
Het werkt op dezelfde manier en het is hetzelfde wat betreft overhead.
Het lijkt mij dus ook onwaarschijnlijk dat Home hier sneller zou zijn als Pro of andersom.
Dat stukje uit het artikel is dus nogal onduidelijk. (wat niet in de laatste plaats komt doordat Microsoft het hier ook nogal moeilijk maakt wat betreft terminologie )

Peetz0r @temp00 • 21 oktober 2023 20:47

Nitpicking, maar het gaat niet om de versie maar de editie. De versie is 7, 10, 11, etc. De editie is Home, Pro, Enterprise, etc.

pepsiblik @Bor • 23 oktober 2023 10:17

Dat. En ook 45% van wat? 45% langzamer op 0.1 seconde is natuurlijk minder bezwaarlijk dan 45% op 10 seconden. En dan ook hoevaak: bij het opstarten en aflsuiten of bij elke disk transactie?

Vogel666 @pepsiblik • 23 oktober 2023 13:33

Computer opnieuw opstarten? Dat is toch hooguit eensa per maand na installatie van updates?

CAPSLOCK2000

Beveiliging en antivirus
Besturingssystemen
Encryptie
Microsoft Windows

21 oktober 2023 11:27

Ik vind dit niet zo sterk van Toms Hardware.
a. In de meeste gevallen is het verschil in performance juist verwaarloosbaar.
b. Microsoft had/heeft eigenlijk geen keuze.
c. Maak je boos op de hardware fabrikanten die het verprutst hebben.
d. Ook als ze het wel goed zouden doen kun je daar niet op vertrouwen (zero trust!). Encryptie doe je zelf en laat je niet aan een ander over.
e. De meeste mensen maken slechts gebruik van een fractie van de beschikbare performance van een SSD en gaan hier niks van merken.

Toms Hardware heeft wel een fundamenteel goed punt dat je moet beseffen dat MS de sleutels beheert en dat wil je misschien liever zelf doen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 17:45]

kodak

Beveiliging en antivirus

@CAPSLOCK2000 • 21 oktober 2023 12:22

b. Microsoft had/heeft eigenlijk geen keuze.
c. Maak je boos op de hardware fabrikanten die het verprutst hebben.

Dat Microsoft de keuze heeft gemaakt om voor volledige software encryptie te kiezen omdat het niet langer volledig op de hardware encryptie kon vertrouwen lijkt me redelijk.
Maar het nieuws hier is dat Microsoft daarbij stelde dat het met moderne hardware geen traagheid zou zijn. Dat blijkt dus niet zomaar op te gaan. En aangezien het de keuze van Microsoft is om een bewering te doen die niet zomaar op gaat is het dus Microsoft te verwijten dat hun bewering niet zomaar redelijk is. Dat het voor klanten een probleem is dat hun moderne hardware samen met de software encryptie traagheid geeft kan Microsoft dus niet zomaar afschuiven op de hardware. Juist doordat Microsoft een bewering doet die ze kennelijk niet zomaar waar kunnen maken.

Wat ik daarbij in het verhaal mis is welke grenzen Microsoft gaf aan modern of traagheid. Zeker als daar geen duidelijke grenzen bij zijn gegeven is het redelijk dat Microsoft hier een verwijt krijgt op basis van afwijkende praktijk. Anders is het te makkelijk om als bedrijf beweringen te doen dat je oplossing wel mee valt zonder duidelijk zelf verantwoording te nemen voor die bewering.

Nystran @kodak • 21 oktober 2023 14:12

Ik weet niet of je Microsoft kan verwijten dat zij claimen normaliter softwarematige encryptie tot systemen tot 10% trager zijn, terwijl Tom's Hardware zegt dat schijf-performance typisch 20% tot wel 40% trager is. Het gaat om de bewoordingen. Ik kan mij voorstellen dat Microsoft kijkt naar CPU performance of een soort algemene performance, terwijl Tom's Hardware kijkt naar SSD-performance zelf, wat sinds SSD's meestal geen limiterende factor meer is. Dus dat beide beweringen correct zijn.

-- Bron --
(van @Bor ) Microsoft zegt overigens zelf dit:
Typically, there's a small performance overhead, often in single-digit percentages, which is relative to the throughput of the storage operations on which it needs to operate.

kodak

Beveiliging en antivirus

@Nystran • 21 oktober 2023 15:19

Het valt zeker Microsoft te verwijten. Men doet immers een algemene bewering die duidelijk niet zomaar in het algemeen op gaat en de praktijk dan ook nog behoorlijk (100% of meer) kan afwijken van hun bewering. Daarbij is vaagheid geen excuus. Men gebruikt het immers als (verkoop)argument om het als redelijke oplossing te verkopen. Als je dan als bedrijf kiest om vaag te zijn hoe de bewering in het algemeen redelijk is dan is bewezen aantonen dat de bewering rammelt redelijker dan net doen alsof de vaagheid redelijk is voor een bewering. Anders is het accepteren van de vaagheid niet bedoeld om op inhoud redelijk te zijn maar om opportunistisch risico te nemen klanten te misleiden om er vooral zelf beter van te worden.

Bundin @kodak • 23 oktober 2023 00:33

45% tragere ssd betekent voor de meeste taken veel minder dan 40% impact op totale performance. Microsoft benoemt totale impact, dan zouden ze best eens gelijk kunnen hebben, aangezien pro + bitlocker vaak computers van werk zijn en veel mensen geen disk-intensieve dingen doen op een werkcomputer.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Beveiliging en antivirus

@kodak • 21 oktober 2023 14:28

Alleen laat jij je leiden door de titel lijkt me wel.

MS claimt dat de prestatieverliezen niet echt merkbaar zijn, jij gaat nu beweren dat dat wel het geval is terwijl ik in het artikel van THG vooral zie dat je al op zoek moet gaan naar specifieke scenraio's. Microsoft gaat uiteraard niet het meest negatieve scenario in zijn publiciteit gebruiken, die gaan een zo goed mogelijk verhaal ophangen. Maar als de performantie impact echt zo gruwelijk zou zijn, dan zouden er geen miljoenen bedrijven zijn die er op vertrouwen.

Er zijn uiteindelijk vele factoren die meespelen in deze test, waaronder de keuze van SSD. Voer dezelfde test eens uit met een veel meer voorkomende, veel tragere SSD bijvoorbeeld en laat me dan eens weten of de verschillen nog zo groot zijn. Het zou me verbazen.

kodak

Beveiliging en antivirus

@Blokker_1999 • 21 oktober 2023 16:43

Mijn uitgangspunt is dat Microsoft een algemene bewering doet met vage onderbouwing. Ik lees namelijk geen argumenten dat men duidelijke onderbouwing geeft.

Dat de algemeenheid kan opgaan sluit ik niet uit, maar het gaat niet zomaar op door vaag te doen. Dat TH binnen die vaagheid dan bewijst dat de algemene bewering juist niet zomaar redelijk is, is dan prima kritiek. Dan had MS maar duidelijke grenzen horen te stellen, in plaats van gemakkelijk een algemene bewering te doen als (verkoop)argument om hun keuze naar (potentiële) klanten te 'verantwoorden'.

Daarbij stelt TH niet dat hun bewijs maar algemeen van toepassing is, hooguit dat het niet al te lastig was om te tonen dat de bewering van MS juist niet zomaar op gaat en zelfs behoorlijk kan afwijken door als MS te leunen op vaagheid. En dat is toch echt vooral MS aan te rekenen, dat als groot miljardenbedrijf van decennia oud inmiddels wel weet dat gebrek aan transparantie niet zomaar redelijk is om je klanten een positief verhaal opnde mouw te spelden om er zelf beter van te worden. De tijd dat een bedrijf vaag wat kan beweren om mag inmiddels wel kritischer aangepakt worden. Het opportunistisch risico nemen dat men de klant aan het misleiden is is geen redelijke handel. Dat valt niet af te schuiven op anderen, dan had men zelf maar geen risico moeten nemen met het vaag doen.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Beveiliging en antivirus

@kodak • 21 oktober 2023 16:54

Met 1 enkel testsysteem kan je alleen nooit aantonen dat een algemene bewering foutief is. Daarvoor moet je net een heel breed gamma aan testsystemen en workloads nemen. En als je het dan toch op 1 systeem wenst te houden, neem dan een gemiddelde SSD zoals je deze in vele OEM systemen standaard gaat tegenkomen en niet zozeer een snelle PCIe 4.0 NVME SSD.

Bitlocker wordt vooral in bedrijfsomgevingen gebruikt waar vaak niet gekozen wordt voor de meest performante hardware, maar wel voor een goede balans tussen prijs/prestatie behalve voor enkele uitzonderlijke profielen. Als je dan wil aantonen wat de impact is, moet je wat mij betreft net kijken naar die algemene profielen. En dat doen ze hier niet.

Is wat ze doen dan waardeloos? Neen, maar het is wel heel eenvoudig om met een claim af te komen waarbij je een leuke titel kunt verzinnen die zelfs een beetje sensationeel overkomt terwijl de werkelijke impact voor mensen die getroffen zijn vaak een heel stuk kleiner gaat zijn.

Ik heb begin dit jaar op mijn primaire PC thuis ook Bitlocker aangezet na jaren zonder te werken. Ik kan niet zeggen dat mijn PC merkbaar trager is geworden ofdat bijv. spellen trager inladen. Iets wat echt wel merkbaar was geweest als de performantie 45% lager had gelegen.

kodak

Beveiliging en antivirus

@Blokker_1999 • 21 oktober 2023 17:15

Maar de bewering is niet dat hun bevinding in het algemeen maar op gaat. Men toont aan dat de algemene bewering van MS niet zomaar op gaat en de keuze van MS om vaag te doen dus niet zomaar redelijk is om het selectief positief als redelijke oplossing te verdedigen. Dat is nogal een verschil.
Dan kan je natuurlijk stellen dat er meer bewijs nodig is, maar dan nog lijkt me dat eerder aan MS om met betrouwbare onderbouwing te komen. Het is immers hun bewering dat het in algemeenheid zou op gaan en zo te verdedigen is, niet dat van TH.

ZpAz

@CAPSLOCK2000 • 21 oktober 2023 11:32

Ook als ze het wel goed zouden doen kun je daar niet op vertrouwen (zero trust!). Encryptie doe je zelf en laat je niet aan een ander over.

Als eindgebruiker laat je het altijd aan iemand anders over. Of het nu een harwarematige implementatie van een fabriekant is, of een softwarematige implementatie van een software leverancier.

CAPSLOCK2000

Beveiliging en antivirus
Besturingssystemen
Encryptie
Microsoft Windows

@ZpAz • 21 oktober 2023 11:57

-Dat klopt, maar het principe blijft overeind staan. Encryptie wil je zo dicht mogelijk bij doen. Zo min mogelijk stappen/partijen/wat-dan-ook tussen de brondata en het proces dat de versleuteling doet. Ook als eindgebruiker heb je een keuze of je vertrouwt op hardware encryptie, bitlocker of encryptie software van een derde partij (of, in theorie, zelf geschreven crypto

).

Microsoft heeft hier het juiste gedaan door niet op de encryptie van een ander te vertrouwen maar het zelf te doen*. Als vertegenwoordiger van de gebruiker hebben ze er voor gekozen om niet (in het algemeen) op hardware encryptie te vertrouwen. Ik ben radicaal voorstander van keuzevrijheid in software en vind dus dat mensen zelf moeten kunnen kiezen om het anders te doen, maar er moet een default zijn. Software encryptie is de juiste default.

Overigens kan je natuurlijk ook beide vormen van encryptie doen, zeker als de hardware encryptie toch geen invloed op de perfmance heeft (neem ik even blind aan). Meer lagen overlappende beveiliging is beter dan een enkele laag die foutloos moet zijn.

* Ik weet dat de eerste regel van encryptie is "niet zelf doen maar overlaten aan de professionals" maar MS is zo'n professional. Wat je verder ook van dat bedrijf denkt, iemand moet het zware werk doen en MS zit op het juiste "niveau".

turbojet80s @CAPSLOCK2000 • 21 oktober 2023 23:38

Ik ben het met je eens... wij hebben een beleid ingesteld dat gebruikers die iets van M365 willen gebruiken hun bitlocker ingeschakeld moeten hebben. Wij willen vaak last minute nieuwe hardware kopen en zijn daardoor afhankelijk van verschillende fabrikanten van wat er beschikbaar is. Op deze manier weten we zeker de cache of definitieve opslag van onze bestanden altijd versleuteld is.

Yzord @CAPSLOCK2000 • 21 oktober 2023 16:42

Encryptie wil je doen zonder internet toegang. Dan pas kan je echt stellen dat iets daadwerkelijk veilig is.

Argantonis @Yzord • 22 oktober 2023 07:55

Dit is niet alleen irrelevant maar ook nog eens pertinent onwaar.

Hatseflats @Yzord • 22 oktober 2023 16:15

Hoe bedoel je dat?

roelboel @ZpAz • 21 oktober 2023 11:38

En die implementaties vertrouwen op hun beurt weer op de onderzoekers en instituten die de algoritmes ontwerpen, onderzoeken en standaardiseren. Hallo Dual_EC_DRBG!

uiltje @roelboel • 22 oktober 2023 05:41

Ten eerste heb ik nog nooit van het misbruik van Dual_EC_DRBG gehoord. Als iemand dat gedaan heeft is het waarschijnlijk de NSA zelf. Verder komen de meeste algoritmen die we nu gebruiken zoals AES en KYBER uit België. Dual_EC_DRBG was zeker een wake-up call en heeft RSA labs volledig van de kaart geveegd op het gebied van cryptografie.

Zezura @ZpAz • 21 oktober 2023 11:52

Met een ubiKey zou je het makkelijker zero-trust kunnen maken. Maar dat is helaas niet het geval.

Hatseflats @Zezura • 22 oktober 2023 16:20

Yubikey is closed hardware / open software. Aangezien het Zweeds / USA is, is het niet onredelijk te verwachten dat hier een backdoor inzit qua hardware. Je zou de hardware zelf moeten onderzoeken of er geen verborgen dingen in zitten.

Los van het feit of het daadwerkelijk zo is.

Nystran @Zezura • 21 oktober 2023 14:04

Met een ubiKey zou je het makkelijker zero-trust kunnen maken.

Just trust ubiKey

The Zep Man

Encryptie
Beveiliging en antivirus
Besturingssystemen
Microsoft Windows
Microsoft

@ZpAz • 21 oktober 2023 11:39

Inderdaad. Zero trust is een ideaal om naar te streven, maar niet iets dat in de praktijk bereikt kan worden. Een rode vlag is dan ook als iemand zegt dat diens dienst of infrastructuur volledig zero trust is. Je praat dan met een verkoper of met een techneut die het niet begrijpt.

Hatseflats @The Zep Man • 24 oktober 2023 13:39

Of met iemand van een veiligheidsdienst.

Sissors @CAPSLOCK2000 • 21 oktober 2023 11:41

e. De meeste mensen maken slechts gebruik van een fractie van de beschikbare performance van een SSD en gaan hier niks van merken.

Vooral deze. En uiteindelijk vind ik het een goede en nuttige test die ze hebben gedaan, zodat het iets is wat de zware gebruikers kunnen meenemen. Maar de conclusie:

Microsoft stelde toen dat moderne pc's inmiddels genoeg cpu-snelheid hebben om zulke softwarematige versleuteling snel uit te voeren zonder dat de computer daarmee traag wordt, maar volgens Tom's Hardware blijkt dat dus niet helemaal het geval.

Lijkt mij veel te kort door de bocht. Want een gemiddeld 20% tragere SSD merken veruit de meeste gebruikers absoluut niks van.

rvt1 @Sissors • 21 oktober 2023 14:13

We hebben dat op onze dev windows gehad op het werk, dat ding werdt rete traag tijdens compileren.
Een Macbook Pro draaide rondjes en dansjes om zo'n windows machine... Nu Gelukkig iederen over op macbooks op het werkt. en stuk vlotter en tevreden mensen..
Compileren van onze software was 4..8 maal sneller tov een vergelijkbare windows machine.

Sissors @rvt1 • 21 oktober 2023 14:48

En dat kwam door de 20% die Bitlocker de SSD langzamer maakt? Dat de Macbooks 4-8x sneller waren?

sebastienbo @Sissors • 21 oktober 2023 21:26

20% gemiddelde performantie probleem is een gemiddelde van alle factoren.

Stel dat enkel de IO het probleem zijn, dan kan compileren er veel zwaarder door geimpacteerd worden.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Beveiliging en antivirus

@rvt1 • 21 oktober 2023 14:22

developers klagen altijd dat compileren traag gaat. We blijven onze devs maar resources bijgeven, laten hen compileren op servers die tienduizenden euro per stuk kosten en nog klagen ze dat het traag is.

En als compileren echt 4 tot 8 maal sneller gaat vermoed ik dat het niet enkel de hardware was waar een verschil in zit.

En even aanvullen dat het soms ook de omgekeerde richting uitgaat. Bij 1 van onze leveranciers zijn de developers net moeten afstappen van hun Macbooks en terug naar Windows machines overgestapt omdat Macbooks met Apple Silicon voor hen te veel performantie problemen gaven.

[Reactie gewijzigd door Blokker_1999 op 22 juli 2024 17:45]

jmvdkolk @Blokker_1999 • 22 oktober 2023 11:54

Ik vind dit nogal denigrerend naar developers toe. Developers maken graag efficient gebruik van hun tijd, net als vele anderen. Wachten op builds voelt niet heel efficient. Vervolgens is het een business decision hoe veel geld je daar als organisatie in wilt steken. Developers zijn zich niet bewust van de kosten, net als vele anderen binnen de organisatie. Daarom moet je developers ook nooit hierover laten besluiten. Ze mogen wel advies geven. En dat advies kan soms genegeerd worden.

Hatseflats @jmvdkolk • 22 oktober 2023 16:28

De ene ontwikkelaar is de andere niet. Ik denk dan ook niet dat je Ken Thompson kan vergelijken met de gemiddelde moderne ontwikkelaar.

Als voorbeeld, in sommige code die je tegenkomt worden geheugenplekken onnodig gedupliceerd binnen een programma, wat het ook enorm traag kan maken, zeker als je het opschaalt.

Een beetje generaliserende opmerking, die je daar maakt.

[Reactie gewijzigd door Hatseflats op 22 juli 2024 17:45]

jmvdkolk @Hatseflats • 22 oktober 2023 18:13

Ik ga uit van fatsoenlijke ontwikkelaars. Ik mag aannemen dat ze bij Blokker_1999 niet alleen maar slechte developers hebben zitten. En onnodig geheugenplekken dupliceren heeft allemaal nare effecten, vooral op runtime. Dat heeft niet zo veel effect op compile tijden, waar Blokker_1999 het over heeft.

[Reactie gewijzigd door jmvdkolk op 22 juli 2024 17:45]

Hatseflats @jmvdkolk • 24 oktober 2023 13:31

Dat heeft niet zo veel effect op compile tijden, waar Blokker_1999 het over heeft.

Zekers, zekers. Daarom gaf ik het ook als voorbeeld. En als je dat verder doortrekt naar een ander voorbeeld wat wel van invloed is op compile tijden, stop met het onnodig importeren van hele frameworks of libraries, omdat je er 1 ding uit gebruikt.

En wat is fatsoenlijk? Da's ook niet afgebakend. Is dat Ken of de gemiddelde huidige ontwikkelaar?

Ik mag aannemen dat ze bij Blokker_1999 niet alleen maar slechte developers hebben zitten.

Als je als enige goede ontwikkelaar te midden van een reeks in de meerderheid zijnde gemiddelde tot slechte ontwikkelaars zit, kan je het ook wel vergeten. Het hangt helemaal van de situatie af.

Llopigat

Besturingssystemen
Microsoft
Beveiliging en antivirus

@Blokker_1999 • 21 oktober 2023 22:18

Maar de Apple Silicon laptops hebben juist wel hardware encryptie. Dit zit in de hele chipset ingebouwd.

MSalters @Blokker_1999 • 23 oktober 2023 09:35

Goh, professionals die met hardware van tienduizenden euro's werken. De gemiddelde vrachtwagenchauffeur is niet onder de indruk.

Ik herken het probleem op zich wel, Windows machines waar de compiles erg lang duren. De oorzaak die ik in het verleden zag? Overijverige IT, die een virusscanner hadden ingesteld met absurde settings. Elke nieuwe file met executable content was meteen reden voor zware checks. En developers? Een enkele build maakte soms duizenden van die files aan. Supersnel op een OS zonder virusscanner (Mac/Linux), supersnel op Windows met normale settings, retetraag daar.

bzzzt @rvt1 • 21 oktober 2023 17:15

We hebben dat op onze dev windows gehad op het werk, dat ding werdt rete traag tijdens compileren.
Een Macbook Pro draaide rondjes en dansjes om zo'n windows machine...

Dat heeft niets met schrijfencryptie te maken.
Een groot verschil is dat de filesystemen van Windows en macOS erg verschillen qua performance. NTFS is vooral heel erg traag bij het verwijderen van massa's kleine bestanden, precies iets wat een compiler vaak doet. Daarnaast kan een overactieve virusscanner nogal eens performance problemen veroorzaken, en wordt er bij macs vaak op de ingebouwde anti-virus vertrouwd.

Halfscherp @bzzzt • 21 oktober 2023 18:48

Heeft ook niet daar mee te maken, de M-serie SoCs van Apple is specifiek geoptimaliseerd voor software en media-bewerkings taken.

Een M1 compiled bijvoorbeeld ook sneller dan een Intel i9, dus het heeft niet gek veel met de onderliggende opslag-technologie te maken, of Windows an sich.

[Reactie gewijzigd door Halfscherp op 22 juli 2024 17:45]

uiltje @Halfscherp • 22 oktober 2023 05:45

Ik wil je graag een keer een compile op mijn Windows laptop van het bedrijf laten doen en dan zeggen dat de beveiligingssoftwrare geen invloed heeft op de snelheid. Als je maar 250 gram koffie meeneemt van de speciaalzaak. Dat Windows sowieso dramatisch slecht omgaat met unzippen en kleine bestanden maakt het allemaal niet beter. De inmiddels 12 jaar oude laptop met Intel G2 SSD draait rondjes om mijn zakelijke laptop met NVMe SSD op dat gebied. Het is echt zo dramatisch.

Halfscherp @uiltje • 23 oktober 2023 00:58

Ik neem aan dat je dan externe beveiliging als McAfee of Symantec o.i.d bedoelt. Dat kun je Microsoft niet echt aanreken.

GeroldM @Halfscherp • 22 oktober 2023 06:21

Wat is dit nu weer voor bullcraqp?

Wanneer er zaken op elke computer worden gedaan waardoor er interactie met een opslagmedium in die computer nodig zijn, dan 2 zaken van extreem belang. De IOPS en huidige schijf I/O op dat moment.

De processor met alle hardware truukjes die het wel of niet heeft, moet (structureel) wachten op het opslagmedium. Is de schijf even druk, dan kan de processor nog zoveel tierelantijntjes hebben die mogelijk zijn, deze doen niets aan I/O en IOPS.

Er is een reden waarom er steeds meer en vaker een wens is om bedrijfsmatig alles op netwerkschijven op te slaan. Om problematische I/O en IOPS te voorkomen, dient men heftig te investeren in zeer krachtige CPUs, heel veel RAM, veel SSD/nVME schijven en vooral genoeg supersnelle cache schijven.

De werknemer/werkneemster heeft dan flink minder resource-overhead op het aan hun toegewezen systeem waarbij praktisch alleen een ietwat degelijke netwerkverbinding nodig is. Omdat dit werksysteem nu amper meer door drive I/O word lastiggevallen, voelt bijna alles sneller aan.

Of je het weet of niet, het concept 'Interrupt' betekent voor x86/x64 processoren dat deze stoppen met wat ze aan het doen zijn en eerst de interrupt afhandelen, voordat de taak waarmee de processor bezig was word hervat.

Aangezien dit concept ook in ARM processoren is verwerkt, handelen ARM processoren net zo goed eerst de 'Interrupt' af voordat andere taken weer kunnen worden hervat.

Dat je eerder vernieuwing in het afhandelen van 'Interrupts' kunt verwacjhten in ARM ontwerpen, dat ontken ik niet. Er is (heel) veel legacy in x86/x64. Maar duw er een drive in eenderwelk systeem dat veel drive I/O genereert (om wat voor reden dan ook) en prestaties van je gehele systeem kelderen. En hard ook.

De M-serie mag dan geoptimaliseerd zijn om dat soort zaken in de CPU af te handelen, op een gegeven moment moet die data ook daadwerkelijk ergens naar toe worden geschreven, en dan kom je erachter dat een slechte(re) drive al die optmalisaties compleet teniet doet.

Geloof me, de computer onderdelen markt hier in Zuid-Amerika Paraguay krijgt van de fabrikanten de onderdelen die (net) niet goed genoeg waren voor de EU, VS/CA en JP. De onderdelen die ook niet goed genoeg worden bevonden voor de Zuid-Amerikaanse, Australische en Mexicaanse markten, die gaan rechtstreeks naar Afrika. Ik ben tot in den treure bekend met drives die mooie specs op het internet tonen, maar in realiteit veel teveel drive I/O genereren en prestaties veel te ver naar beneden haalden om enigzins bruikbaar te zijn.

Met SSD's is het iets beter gesteld dan met HDDs. Maar niet zo heel veel. Hagenieuwe Lenovo laptop (ideapad 3) met 250 GByte nVME drive hier 2 jaar geleden aangeschaft. Ik doe niks speciaals met de laptop, maar volgens de ingebouwde SMART is de gezondheid van die drive al gedaald naar 55%.

Heb ook een 2 jaar Dell laptop (vostro 3400), welke in NL is aangeschaft. Dit is mijn daily driver en de nVME drive in deze laptop doet (heel) veel lees-/schrijfwerk. Gezondheid zit nog altijd op 100%. Beide laptops staan op mijn buro en worden nergens mee naar toe geleurd. Beide laptops zijn onderhevig aan dezelfde temperaturen, luchtvochtigheid, stofvorming enz.

Serieus, het verschil is dag en nacht. De Dell was zelfs goedkoper dan de Lenovo. Gelukkig was er een familielid die zo vriendelijk was om de Dell laptop als handbagage mee naar hier te sleuren.

bzzzt @Halfscherp • 22 oktober 2023 12:00

Heeft ook niet daar mee te maken, de M-serie SoCs van Apple is specifiek geoptimaliseerd voor software en media-bewerkings taken.

De M serie is geoptimaliseerd om macOS snel te laten draaien. Er zijn zoveel development en media bouw processen dat je niet echt kan spreken van specifieke optimalisatie. Die processen worden wel getuned zodat ze beter op M serie lopen

Een M1 compiled bijvoorbeeld ook sneller dan een Intel i9, dus het heeft niet gek veel met de onderliggende opslag-technologie te maken, of Windows an sich.

Ligt een beetje aan wat je vergelijkt. Er zijn snellere i9 processoren, maar die hebben niet de efficiency van Apple en dan kom je in desktop land uit (of van die portable desktop 'laptops' in monster behuizingen). Als je laptops vergelijkt wint Apple daarom bijna altijd.
Maar compilers hebben niet echt 1 bottleneck; zeker bij complexe processen is het ene moment de CPU de beperkende factor, maar als er veel resources gekopieerd moeten worden tikt I/O ook fors aan.

ShadLink @CAPSLOCK2000 • 21 oktober 2023 12:37

Toms Hardware heeft wel een fundamenteel goed punt dat je moet beseffen dat MS de sleutels beheert en dat wil je misschien liever zelf doen.

Je kan de sleutel bij MS opslaan. Maar je kan dat ook gewoon puur lokaal doen met Bitlocker

dasiro @CAPSLOCK2000 • 21 oktober 2023 12:44

je moet beseffen dat MS de sleutels beheert en dat wil je misschien liever zelf doen.

Je kan die keys gewoon uit je eigen AD terughalen of lokaal opslaan. Geen idee waarom je zou stellen dat Microsoft de keys dan beheert, anders kan je net hetzelfde zeggen over eender welke software of hardware encryptieleverancier.

michelr @CAPSLOCK2000 • 21 oktober 2023 20:01

Idd much ado about nothing.Software encryptie kost performance. In ander nieuws: regen is nat.
Verder is "Microsoft is in charge of the keys" prima; je moet ze de kost geven die een (soms ook extern) volume encrypten en dan de lopen te rommelen met Bitlocker (of reinstall) en vervolgens met een onleesbaar volume zitten.

Llopigat

Besturingssystemen
Microsoft
Beveiliging en antivirus

@CAPSLOCK2000 • 21 oktober 2023 22:16

Ze hadden wel een keuze. Namelijk de gebruiker gewoon vragen wat die wil.

En niet zoals ze nu doen een Microsoft account en (software) encryptie door je strot duwen waar je alleen met veel omhaal omheen komt. En gewoon de keus voor opal encryptie bieden, dan kan de gebruiker zelf bepalen of deze een goede ssd koopt.

Ik heb zelf alle encryptie uit staan op mijn enige Windows bak omdat ik deze toch alleen voor gaming gebruik. En zo'n grote pc neem ik nooit mee op stap. Maar daar moest ik ook weer lastig voor doen.

En ja opa en oma gaan dat niet snappen maar die installeren Windows toch niet. Die kopen het al geïnstalleerd op de laptop bij de Mediamarkt.

[Reactie gewijzigd door Llopigat op 22 juli 2024 17:45]

postbus51 @CAPSLOCK2000 • 22 oktober 2023 02:38

De techgigant heeft daar vermoedelijk voor gekozen omdat ssd-fabrikanten de beveiliging van hun schijven niet goed op orde zouden hebben. Daardoor zou het mogelijk zijn de schijfencryptie relatief eenvoudig te omzeilen. Door de schijfencryptie op softwareniveau uit te voeren, heeft Microsoft zelf de controle over de beveiliging.

Dit stelt dus dat ms vermoed dat er iets niet oke is , maar bv w11 een vage tpm2 nodig is voor veiligheid en vervolgens de teugels los laat (met opmerking dat dat de 'veiligheid' niet ten goede komt)

Bij mijn weten wordt die encryptie op de ssd toch niet alleen door ms gebruikt bij (ooit) maar door meerdere OS'n waar juist het OS de ssd aanspreekt (controller)
En daar ligt toch kneep

Tintel @CAPSLOCK2000 • 23 oktober 2023 09:10

Maak je boos op de hardware fabrikanten die het verprutst hebben.

Is dat zo? Hebben ze het allemaal verknoeid?

De meeste mensen maken slechts gebruik van een fractie van de beschikbare performance van een SSD

Dikke aanname natuurlijk. Dure SSD kopen voor beetje sneller en dan weer tig % inleveren is toch niet 'handig'?

TheSiemNL @CAPSLOCK2000 • 23 oktober 2023 09:25

Je kunt je sleutel zelf beheren. Printen, opslaan in je MS365 account of ergens anders opslaan (niet op de schijf die je encrypt).

bush 21 oktober 2023 11:26

Al mijn laptops hebben BitLocker enabled. Ik geef graag wat performance voor veiligheid. Tegenwoordig staan er zoveel persoonlijke zaken op laptops, dat encryptie een must is om je toch enigszins te beschermen bij diefstal

mr_evil08 @bush • 21 oktober 2023 12:09

Een ander oplossing is om alleen de persoonsgegevens te versleutelen.

PilatuS @mr_evil08 • 21 oktober 2023 12:39

Maar dan moet je weer een wachtwoord gaan invullen als je iets wil doen. Het grote voordeel van Bitlocker is juist dat je 1x bij het booten een wachtwoord invult en dan alles netjes veilig is.

Persoonlijk gebruik ik Bitlocker juist omdat ik dan in Windows gewoon alle wachtwoorden in de browser kan laten staan. Email en andere sites zijn standaard altijd ingelogt en dat is geen probleem want je komt niet zomaar in Windows. Ook dingen als Steam of welk ander programma dan ook, daar hoef je nooit meer een wachtwoord in te vullen want het geheel is veilig door dat ene wachtwoord bij het booten. Mijn 2e SSD voor data wordt automatisch geunlocked via het wachtwoord van de eerste drive. Bitlocker is op deze manier zo enorm handig. 1x alles instellen en 1x een wachtwoord invullen bij booten waarbij alle info op de machine veilig is.

Persoonlijk merk ik trouwens niet dat het misschien wat langzamer is. Ik heb het idee dat een SSD snel genoeg is waarbij je het in de praktijk niet gaat merken. Dit trouwens met 8 jaar oude Samsung 850 PRO SSD's, dus niet eens hele snelle NVME SSD's. Dat het langzamer is zal best, maar ik merk geen verschil tussen de Bitlocker installatie op Windows 11 tegenover Windows 10 met dezelfde hardware.

R4gnax @PilatuS • 21 oktober 2023 19:24

Persoonlijk merk ik trouwens niet dat het misschien wat langzamer is. Ik heb het idee dat een SSD snel genoeg is waarbij je het in de praktijk niet gaat merken.

De limiterende factor is niet de SSD, maar de CPU.
Of de SSD zelf sneller is of niet, doet er geen bal toe - behalve waar het op proprietaire compressie aan komt die met dit soort witte ruis encrypted data wat Bitlocker achterlaat, niet goed omweg kan.
Maar dan is de bottle neck alsnog de bus bandwidth. En maakt een snellere SSD of niet, op dezelfde bus alsnog niet uit.

Sterker nog- je zou als vuistregel kunnen nemen dat hoe sneller de SSD is, hoe eerder de CPU-of bus-bottleneck aantreedt, en hoe groter en meer opvallend het snelheidsverschil met het geval wanneer Bitlocker uitgezet wordt of er van native hardware-encryptie v/d drive gebruik gemaakt wordt.

[Reactie gewijzigd door R4gnax op 22 juli 2024 17:45]

Robthebest @PilatuS • 21 oktober 2023 14:37

Standaard je wachtwoorden opslaan en sessies ingelogd laten, is dat handig als je pc geïnfecteerd raakt met malware?

downtime @Robthebest • 21 oktober 2023 15:08

Nee en daar kan Bitlocker ook inderdaad niet tegen beschermen. Uiteindelijk zul je gewoon een balans tussen risico en gebruiksgemak moeten vinden.

mr_evil08 @PilatuS • 21 oktober 2023 17:33

Steam en andere zaken hebben MFA, we gaan er standaard vanuit dat criminelen de zaak uitlezen wat vaak niet het geval is, de boef wil juist zo snel mogelijk van het apparaat af en geld verdienen.

Ik snap je punt er is altijd een nihil kans dat er wel toevallig 1 is die het gaat uitlezen.

De belangrijkste zaken staan hier in een apparte container.

[Reactie gewijzigd door mr_evil08 op 22 juli 2024 17:45]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@mr_evil08 • 21 oktober 2023 17:52

Die boef levert soms het apparaat "as is" mede omdat hij er snel vanaf wil. Een unformat / data recovery is ook een ding. Dat lukt met heel veel 2e hands schijven redelijk goed.

87Dave @mr_evil08 • 21 oktober 2023 13:04

In de praktijk, absoluut nee. Er zijn meerdere redenen waarom dat geen goed idee is.

Je moet elke keer een afweging maken of die gevoelig is of niet. Daar zullen fouten gebeuren. Veiliger de hele schijf te versleutelen.
Er wordt altijd data buiten de versleutelde bestanden gelekt. Denk bijvoorbeeld aan temp files, thumbs voorbeeld files, en zelfs RAM uitbreiding waar het gewoon op de schijf gezet wordt. En dan ook nog hibernation files. En dan zullen er ervaren forensische onderzoekers zijn die me nu uitlachen dat ik er een paar mis. In plaats van proberen al die dingen op te lossen, beter de hele schijf versleutelen.
Volledige schijf geeft ook meer gebruiksgemak. Een keer bij opstarten ingeven, daarna niet meer. Als gebruikers constant geambeteerd worden met security, gaan ze het omzeilen. Duurt niet lang voor de gevoelige patiëntgegevens plots op een onbeveiligde usb staan door iemand die de impact niet snapt. Kijk maar hoe zelfs hier op Tweakers veel mensen niet meer verstaan hoe belangrijk privacy is, daar buiten in de echte wereld is het nog veel erger.

CaptainKansloos @bush • 21 oktober 2023 14:46

Daarnaast is een ander voordeel dat je bij het vervangen of afdanken van een disk je geen uitgebreide disk cleaning meer hoeft te doen. Hooguit een format voor de vorm, maar daarna kun je hem met een redelijk gerust hart afvoeren. Zonder sleutel is de data op de disk toch niet in te zien. (Ik heb 8 maanden geleden nog 10x 3,5" HDD's moeten wipen, daar ben je wel ff zoet mee).

Overigens, ik ben wel nieuwsgierig naar een moderne performance vergelijking tussen verschillende modi van Bitlocker en van VeraCrypt. Die laatste gebruik ik als FDE op een Linux Mint laptopje.

[Reactie gewijzigd door CaptainKansloos op 22 juli 2024 17:45]

Jazco2nd @bush • 22 oktober 2023 02:01

Eh nee, zo werkt het dus niet. Encryptie is juist geen security measure, het is een "confidentiality" measure.
Elke kwaadwillige met toegang tot jouw versleutelde data kan deze data gewoon doodleuk stelen door het te versleutelen. Kan jij er niks meer mee. Tenzij je misschien de kwaadwillige betaald.

Het blijft een hardnekkig stukje valse gerustheid die mensen krijgen zodra ze encryptie hebben.. juist tegen diefstal doet het niks.

[Reactie gewijzigd door Jazco2nd op 22 juli 2024 17:45]

uiltje @Jazco2nd • 22 oktober 2023 05:36

Confidentiality is zeker onderdeel van de "CIA" driehoek die geld voor IT security: confidentiality, integrity (and authenticity) and availability. Het (nogmaals) versleutelen van je data valt de availability van je data aan.

Natuurlijk is encryptie wel een security measure. Het gaat om diefstal van de informatie: versleuteling zorgt ervoor dat de aanvaller de informatie niet kan misbruiken. Dat de aanvaller de toegang tot de informatie nog steeds kan beperken door zelf te versleutelen is een ander probleem.

[Reactie gewijzigd door uiltje op 22 juli 2024 17:45]

computerjunky 21 oktober 2023 14:09

Zolang het maar uit te schakelen is. Het gaat me niet zo zeer om de prestaties maar om het feit dat als mijn pc de geest geeft ik gewoon mijn schijf in een behuizing/dock wil kunnen proppen en direct bij mij data kan.
Ik heb toch niets te verbergen dus de encryptie vind ik onzin. Zelfde geld voor de kwetsbaarheden van afgelopen jaren. Die heb ik ook gewoon laten zitten en niet gepatched of onklaar gemaakt omdat je pc er trager van werd en je alsnog fysieke toegang tot je pc nodig had. Beetje onzin om daar game prestaties voor in te leveren.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@computerjunky • 21 oktober 2023 15:05

Je kan een bitlocker encrypted drive unlocken met de recovery key, ook op een ander systeem. Dat lijkt mij geen issue dus.

computerjunky @Bor • 21 oktober 2023 15:28

Liever voorkomen dan genezen achteraf. Je zal je key maar kwijt raken. Het aantal USS drives, sd kaarten, Defecte harde schijven en USB harde schijven ik hier heb liggen is ronduit zorgwekkend. Ik kan er niet op vertrouwen dat ik daar veilig een key (of wat dan ook) op kan opslaan en als je het iedere schijf zet wat voor nut heeft encryptie dan nog. Je kan het opschrijven maar dat moet je dan weer bewaren op een plek waar je van onthoud waar het is enz.
Ik heb geen bedrijf en data met boeiende info dus waarom encryptie. Het is me de moeite niet waard.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@computerjunky • 21 oktober 2023 15:58

Liever voorkomen dan genezen achteraf. Je zal je key maar kwijt raken.

Daarom verplicht bitlocker je om de recoverykey te exporteren naar bv een USB stick of een file op een andere drive. In een bedrijfsomgeving kan deze worden gebackupped naar Active Directory of Azure Active Directory. Aan dit scenario is by default al gedacht.

computerjunky @Bor • 21 oktober 2023 16:34

Een "backup" op een vrij onbetrouwbaar medium vind ik dus geen acceptabele optie. Ik heb een keer een algehele backup gedraaid van alle toen belangrijke data nmaar een USB drive.
Long story short PC schijf defect ik plug de USB drive er in drive dood letterlijk 1x gebruikt om de backup erop te kopiëren. Resultaat: Geen backup.
Sinds dien heb ik meer dan dubbele backups en voorkom ik dat ik data kwijt kan raken. Bitlocker is voor mij niets dan een risico. Leuk dat dit voor bedrijfsnetwerken goed geregeld is maar voor de consument is dat een onnodig risico. En ja ik gebruik Pro ipv Home omdat er meer te editen/rippen valt vs home.

Al met al wil ik dus gewoon geen encryptie het voegt niets toe dan risico's.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@computerjunky • 21 oktober 2023 16:41

Dan maak je toch een backup op een ander betrouwbaarder medium of je maakt er meerdere? Ik vind dit echt spijkers op laag water zoeken als ik eerlijk ben. Dat encryptie niets toevoegt dan risico's is natuurlijk ook niet waar. Het voegt confidentialiteit en integriteit toe om specifiek te zijn in dit geval.

GeroldM @Bor • 22 oktober 2023 07:18

Van het @computerjunky verhaal zou men begrepen moeten hebben dat een backup geen backup is als je de backup niet test.

Dan kun je de ondere onderlen van 3-2-1 regel nog zo goed in je (bedrijfs-)processen hebben geintegreerd als mogelijk. Zonder te testen heb je dus 3-2-1 hoopjes aan data.

Er is namelijk altijd wel een oorzaak te vinden waarom het door jou zo betwouwbaar geachte medium toch minnder betwouwbaar blijkt als je je backup vanaf dit medium probeert terug te zetten. Dat is namelijk helemaal niet het moment om erachter te komen dat je backup niet werkt.

Dus nee, vertrouw nooit op een medium, vertrouw alleen op het succesvol testen van je gemaakte backup. Want dat is de enige maatstaf.

computerjunky @GeroldM • 22 oktober 2023 13:15

Je oordeelt snel maar ik doe altijd een backup plus verificatie. Wat moet ik nog meer doen. Verifiëren tot de schijf dood gaat?
Als ik een schijf vul en daarna weg leg heb ik nul redenen om aan te nemen dat hij dan al defect is.

Trouwens wel een dingetje met harde schijven. Ze worden warm en bij afkoelen gaan ze defect. Maarja kan ze moeilijk blijven testen. Zelfde zie je in servers. Als een server uit gaat en af koelt kan een schijf maar zo de geest geven. Ik zou graag overstappen op all ssd maar met 36 tb is me dat te duur. Misschien over een jaar of 5 dat het eindelijk betaalbaar is maar vooralsnog betaal je duizenden euro's ipv honderden.

maevian @computerjunky • 21 oktober 2023 18:58

Bij een desktop zou ik ook geen encryptie doen,maar op een laptop die ook regelmatig het huis verlaat sowieso wel.

Sebazzz

21 oktober 2023 11:19

Het is op zich niet gek, los dat de CPU ertussenin zit, dus echt DMA niet mogelijk is, komt een deel van de snelheid van SSDs ook doordat ze de data kunnen comprimeren. Versleutelde data is zo willekeurig als het maar zijn kan.

Alex3 @Sebazzz • 21 oktober 2023 12:56

Als dat zo is zou eerst comprimeren en dan versleutelen sneller zijn, maar daar voorziet Windows 11 kennelijk niet in.

Sebazzz

@Alex3 • 21 oktober 2023 15:18

Compressie wordt door de SSD transparant gedaan, compressie van het bestandssysteem via Windows is nog steeds een softwareoperatie.

uiltje @Sebazzz • 22 oktober 2023 05:29

Ik denk niet dat veel huidige SSD's de data überhaupt comprimeren. Het gaat de snelheid niet ten goede komen - zo krachtig zijn de SSD controllers nou ook weer niet - en veel data kan sowieso niet (verder) gecomprimeerd worden.

F5544 21 oktober 2023 13:57

Om te controleren of het aan staat kan je op de volgende manier doen:

BitLocker-status controleren (opdrachtregel)

Open een opdrachtpromptvenster.
Klik op de knop Start van Windows, typ cmd en druk op Enter.
Houd de Windows-knop op het toetsenbord ingedrukt en Rtyp cmd en druk op Enter.
Klik met de rechtermuisknop op de opdrachtprompt en selecteer 'Als administrator uitvoeren'.
Typ manage-bde -status en druk in de opdrachtprompt op Enter.
Bekijk de status van BitLocker op de stations in de computer.

Blokker_1999

Besturingssystemen
Microsoft Windows
Microsoft
Beveiliging en antivirus

@F5544 • 21 oktober 2023 14:15

of je opent gewoon je start menu (of klikt op je zoekveld), typt het woord bitlocker in en je krijgt de optie "manage bitlocker" te zien. Daar heb je niet eens admin rechten voor nodig om dan weer te geven dat je bitlocker al dan niet aan of uit hebt staan.

En als je win+r doet, komt de run dialog open, als je daarin CMD type en enter indrukt wordt de command prompt geopend. In de command prompt kan je niet rechtsklikken om die als administrator op te starten. Daarvoor moet je rechts klikken in het start menu op je command prompt, of de command prompt highlighten in het startmenu en dan aan de rechterkant selecteren dat je het wenst te starten als admin. Alternatief kan je ook op win+x drukken en dan de command prompt, powershell of Terminal starten als admin vanuit dat menu.

The Only Wizard @Blokker_1999 • 21 oktober 2023 18:36

Of je typed cmd en ipv Enter druk je Ctrl-Shift-Enter, krijg je ook de admin-versie

TheSiemNL @The Only Wizard • 23 oktober 2023 09:28

Bedankt! Doe dat al jaren met de rechtermuisknop.

shicomm 21 oktober 2023 16:44

Bitlocker was al een #beep# om te handelen als klantsetjes in de soep waren gedraaid...
MS zou er goed aan doen om veel duidelijker te maken dat je recovery keys echt goed moet bewaren ; jan modaal ( m/v/x ) onthoud de pin wel maar heeft geen flauw idee dat er een recovery key nodig is om de encryptie ongedaan te maken...

Webaccess @shicomm • 21 oktober 2023 16:53

Het is bijna onmogelijk om zonder Microsoft account je Windows 11 PC te installeren. En als je een Microsoft account hebt wordt de key daarin bewaard. Eens dat was bij Windows 10 (initieel ?) nog niet maar het is tegenwoordig bijna moeilijk om je recovery key niet bewaard te hebben.

Urk

@Webaccess • 21 oktober 2023 18:22

Het kan heel simpel door het email adres no@thankyou.com te gebruiken voor de Microsoft account vraag. Dan kun je alsnog een lokaal account instellen

kuurtjes @Urk • 22 oktober 2023 01:59

Ah, ik had me mistypt: het lijkt er op dat mijn nieuw microsoft account met meerdere scheldwoorden onnodig was.

Maarja, ik kies nu voor Linux, en kan je zeggen dat ik niks mis. Proton/Wine heeft extreem veel games speelbaar, en ook is er voor elke tool wel een alternatief.

GeroldM @Webaccess • 22 oktober 2023 06:45

En je gaat ervan uit dat je toegang blijft behouden tot dat Microsoft account.

Er is namelijk schrikbarend weinig arbitrage benodigd bij Microsoft (en Google) om foto's van je eigen kinderen in een zwembad als "KP" te markeren en dat zij daardoor je toegang tot dat account ontzeggen. En veel geluk om die markkering weer weg te krijgen.

Nu zit je met een foutieve markering, toegangsloos en je hebt zelfs lokaal geen toegang tot de data op je ge-encrypte drive.

Bewaren betekent dat je iets opslaat in een omgeving die alleen door jezelf kan worden ingezien op elk moment van de dag, voor zolang als je leeft.

Als dat niet het geval is, dan is het in feite niet bewaard, maar in het geval van een Microsoft account in betaalde bruikleen, als ze daar zin in hebben. Dat gebruikersgemak mag jou (en waarschijnlijk vele anderen) geweldig in de oren klinken, maar als beveiliging stelt het niets voor. Microsoft ziet dat anders, maar goed, zij willen hun diensten maar wat graag jou aansmeren.

Sommigen trappen daar met open ogen in, anderen niet. Dat soort persoon beseft dat encryptie vooral door de persoon zelf gedaan moet worden en dat deze persoon zichzelf daarin zou moeten verdiepen, in plaatst van alles af te wentelen op de blauwe ogen van Microsoft of het kleuren-festijn in de ogen van Google.

Terrestrial 21 oktober 2023 11:43

Dit hele verhaal is gewoon onzin! NVME schijven worden steeds sneller, dat je op den duur aanloopt tegen het feti dat de CPU met versleuteling de snelheid niet meer bijhoud lijkt me niks meer dan logisch. Kortom dit probleem speelt vooral bij de snelste nvme schijven vermoed ik zo.

Ik gebruik schijfversleuteling al jaren standaard op alle pc's en laptops.

Trouwens dat verhaal met hardware versleuteling is ook een beetje vaag, waarschijnlijk bedoelen ze een chip op de SSD zelf. Want de meeste CPU's hebben ook AES whatever support en dat noemen ze juist hardware acceleratie.

[Reactie gewijzigd door Terrestrial op 22 juli 2024 17:45]

Rudie_V @Terrestrial • 21 oktober 2023 16:29

Met Veracrypt kan je de encryptiemethodes benchmarken(Tools->Benchmark) en met AES en 1GB buffer size haal ik zowel bij encrypten en decrypten de 9,9 GB/s. Natuurlijk dankzij de hardwarematige AES mogelijkheden van moderne CPU's. Getest op een i5-1235U.

Hardwarematige encryptie kan inderdaad via de CPU, maar ook via de SSD met OPAL-compliant hardware AES encryptie, maar juiste deze implementatie was makkelijk te kraken en daarom heeft Microsoft gekozen deze niet meer te gebruiken en dit zelf te regelen via software, software die weer gebruik maakt van de hardwarematige AES encryptie/decryptie in CPU's.

Tyrian 21 oktober 2023 15:07

Zelf gebruik ik VeraCrypt. (Vroeger TrueCrypt)
Ik ben benieuwd welke versleutelingssoftware een grotere performance penalty heeft. Bitlocker of VeraCrypt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Tyrian • 21 oktober 2023 15:59

Dat hangt in grote mate af van het gekozen encryptiealgoritmen en de key lengte. Veracrypt ondersteund een groot aantal algoritmen. Om een eerlijke vergelijking te maken zal van van hetzelfde algoritme gebruik moeten maken.

Tyrian @Bor • 21 oktober 2023 19:19

Zelf zou ik meer geïnteresseerd zijn in een vergelijking van Bitlocker met zijn standaardinstellingen en VeraCrypt met zijn standaardinstellingen.

uiltje @Tyrian • 22 oktober 2023 06:14

Volgens mij gebruiken beide AES-XTS als standaardinstelling. Veracrypt gebruikt wel AES-256 terwlijk bitlocker voor de system drive default naar 128 bits; dat zal echter wat betreft performance niet heel veel uitmaken. Ik vermoed dus dat het verschil niet groot gaat zijn.

Eerder gebruikte Bitlocker een aangepaste versie van CBC maar dat was in Vista - laten we het daar maar niet meer over hebben...

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@uiltje • 22 oktober 2023 08:28

Veracrypt gebruikt wel AES-256 terwlijk bitlocker voor de system drive default naar 128 bits; dat zal echter wat betreft performance niet heel veel uitmaken

Dat is onjuist. Aes 128 is sneller en efficiënter dan AES 256. Dat komt o.a. omdat AES 256 meerdere rondes nodig heeft. Aes 128 gebruikt 10 processing rondes en AES 256 14.

Een voorbeeld: Comparative-encryption-time-of-AES-128-and-AES-256.ppm

hackerhater 21 oktober 2023 11:30

Software encryptie heeft effect op de prestaties en water is nat.
Wat ik me meer af vraag: hoe verhoud Bitlocker zich vergeleken met Filevault van MacOS en LUKS wat onder Linux wordt gebruikt?

JanVQ @hackerhater • 21 oktober 2023 13:01

Ik heb verschillende ssd-drives met LUKS, en ook mijn home directory is met LUKS versleuteld. Van enig prestatieverschil heb ik nog nooit iets gemerkt. Het zal ongetwijfeld wel in een of andere benchmark aantoonbaar zijn, maar in het gebruik van deze drives merk ik er dus echt niets van.

hackerhater @JanVQ • 21 oktober 2023 13:03

Dat LUKS niet in de praktijk merkbaar is weet ik zelf ook

Het is meer de benchmarks die interessant zijn.

Om te weten of dit simpelweg de prijs voor software encryptie is, of dat Bitlocker ondermaats is vergeleken met de concurentie.

Soldaatje @hackerhater • 21 oktober 2023 15:09

Kan tot 80% vertraging zorgen met nvme-schijf:
https://scs.community/2023/02/24/impact-of-disk-encryption/

[Reactie gewijzigd door Soldaatje op 22 juli 2024 17:45]

YoMarK @hackerhater • 21 oktober 2023 14:36

Ik denk dat hiermee nogal wat dingen uit z'n verband gerukt worden. Bitlocker werkt behoorlijk efficiënt, maar als je SSD met 10.000MByte/sec data kan wegschrijven moet je CPU nogal wat encrypten.
Hoe sneller de SSD, hoe meer kan op bottlenecks hier en daar. Dat zal vast te merken zijn in benchmarks en zelfs in de praktijk bij het wegschrijven van enorme bergen data, maar dan toch alleen bij specifieke handelingen.

[Reactie gewijzigd door YoMarK op 22 juli 2024 17:45]

Op dit item kan niet meer gereageerd worden.

'Windows 11 Pro-schijfversleuteling kan ssd-prestaties 45 procent vertragen'

Lees meer

Reacties (182)

Sorteer op:

Weergave: