Threading da Criptografia de Disco Inteiro do PGP no servidor

2

Desejo usar um servidor Xeon quad-core vintage 2010 para criptografar periodicamente unidades eSATA de 500 GB. Eu tenho três perguntas:

1) Eu suponho que a versão atual do WDE seja totalmente multithread e que o throughput seja escalonado linearmente com o número de núcleos?

2) Posso restringir o número de núcleos utilizados pelo processo WDE para não impactar outros trabalhos no servidor?

3) Quanto tempo devo esperar para cada criptografia?

Parece haver informações conflitantes sobre o encadeamento do WDE, mesmo no site do PGP KB, onde eu também fiz essa pergunta (já está quase morto), já que muitas respostas mais antigas indicam que ele não é oferecido. / p>     

por Lunatik 11.11.2010 / 10:05

3 respostas

2

Supondo que suas unidades eSATA possam oferecer velocidades SATA próximas e que você esteja usando unidades de 7200 RPM, estamos buscando sustentar cerca de 80-100 MB / s em toda a unidade sob condições ideais.

Eu não tenho nenhum detalhe específico sobre o PGP, mas os benchmarks das velocidades de criptografia AES na faixa de 100-150MByte / seg por núcleo para a era de 2008 (3Ghz Core Duo) são bem fáceis de encontrar [por exemplo, este comentário slashdot indicando 600-700Mhz de um Pentium M de 2,13 Ghz para lidar com 30Meg / seg ] e eu tenho visto taxas semelhantes para CPU muito mais velha, então eu estou tomando isso como uma linha de base. Dado que você está rodando em CPUs substancialmente melhores do que aquelas que eu não tenho dúvida de que um único núcleo no seu servidor irá lidar facilmente com o máximo rendimento de uma única unidade eSATA.

O PGP WDE é baseado em blocos, o que deve ajudar a taxa de transferência a alcançar as taxas de uma conversão, mas se isso é verdade depende inteiramente de como elas são implementadas e não tenho idéia se elas foram bem feitas. Em qualquer caso, o melhor resultado que você poderia obter seria uma leitura completa do drive a uma média de 100Meg / seg (leitura sequencial bloco por bloco) e, em seguida, uma gravação completa do drive (escrita sequencialmente bloco por bloco). Para uma unidade de 500 GB, seria 1.000 segundos ou cerca de 17 minutos. Isso não saturará um único núcleo em seu servidor, mesmo permitindo a sobrecarga da CPU para o IO da unidade.

O equilíbrio de probabilidade é que o algoritmo de conversão do PGP WDE não manipula IO tão eficientemente quanto assumi acima, então o tempo necessário para criptografar o drive será substancialmente maior - você precisará testá-lo para ter certeza, mas eu não o faria fique surpreso se for uma ordem de grandeza mais lenta e a sobrecarga da CPU para as tarefas de criptografia também será proporcionalmente menor.

Uma observação final se você estiver usando uma CPU da classe Westmere (Xeon 56xx) e depois PGP WDE suporta as novas instruções AES-NI que devem entregar um melhor que 50% real aumento do desempenho mundial - veja este artigo da Toms Hardware onde eles mostram os benefícios do Bitlocker a> mas o benefício do PGP WDE deve ser pelo menos tão bom.

Editado para adicionar:
Eu sinto que eu não estava muito claro no que foi mencionado acima - o multi-threading não vai ajudá-lo na hora de converter uma única unidade. Pode ajudar um pouco se você planeja executar várias unidades em paralelo, mas a menos que tenha hardware que possa manipular muitas unidades simultaneamente, as limitações de E / S das unidades serão um gargalo significativamente maior do que a utilização da CPU. A evidência anedótica na web [ aqui e aqui < Por exemplo, sobre a velocidade de conversão varia de 25 a 50 GB por hora - eu esperaria que um disco eSATA decente fosse mais rápido do que esses exemplos, mas parece improvável que seja muito melhor do que 100 GB por hora.

Finalmente, há uma discussão muito boa sobre a sobrecarga de CPU de criptografia de disco em geral nos comentários sobre este

    
por 19.11.2010 / 13:08
1

Algumas pesquisas óbvias no Google não trouxeram respostas concretas para suas perguntas sobre esse produto específico. Então, veja uma estimativa:

1) Não faço ideia se o PGP é multithreaded mas se for, você deve esperar um aumento de 50-80% no processamento por núcleo extra / CPU. 4 núcleos oferecem apenas 400% de desempenho para algumas cargas de trabalho muito específicas - e esperar por dados do disco que precisa ser gravado não é um deles.

2) O Gerenciador de Tarefas permite que você defina as prioridades da CPU nos processos em execução, portanto, pelo menos, uma opção.

3) Eu suspeito strongmente que haverá pouca sobrecarga. Qualquer CPU Xeon recente pode fazer a criptografia mais rápido do que alguns discos mecânicos aleatórios podem gravar por USB 2.0. Qual CPU é, exatamente? Você pode ver aqui quais têm suporte de hardware para criptografia (AES-NI):

link

    
por 16.11.2010 / 01:23
0

Se você estiver em posição de alterar as ferramentas, dê uma olhada em Truecrypt

1) Truecrypt é altamente paralelizado e escala linearmente

2) Você pode especificar o número de núcleos para usar

3) Quanto à velocidade, dependerá de como você conecta a unidade, o número de núcleos que você pode poupar, os algoritmos de criptografia usados etc. Dado o hardware que você tem, o disco io provavelmente será o gargalo, mesmo com um conexão sata. Mas faça o download e execute o benchmark, ou criptografe uma unidade e veja por si mesmo. (Há um modo portátil, então você não precisa nem instalá-lo).

    
por 16.11.2010 / 14:08