Ich wollte zusätzlich zur SSD-Systemplatte nun auch meine 2TB Daten-Festplatte (Western Digital, klassische Spindle-Disk) unter Windows 10 mit Bitlocker verschlüsseln.
Da die Prozentanzeige nicht und nicht nach oben geht folgt ein prüfender Blick in den Task-Manager:
Die Verschlüsselung läuft nur mit 10MB/Sekunde. Klingt etwas merkwürdig – so eine rotierende Harddisk liest und schreibt doch in der Regel mit 100MB/Sekunde. Lesen – Verschlüsseln – Schreiben, man könnte annehmen das sollte daher nach einfacher Milchmädchen-Rechnung mit mehr als 40MB/Sekunde machbar sein.
Die CPU-Auslastung ist während dieses Vorgangs gerade mal bei 2%. Doch wo ist der Flaschenhals?
BitLocker ist seitens Microsoft so konzipiert, dass der Verschlüsselungsvorgang jederzeit unterbrochen werden darf. Das Gerät darf neu gestartet werden, der laufende Initial-Verschlüsselungsvorgang wird unbeirrt nach dem Hochfahren des Systems an jener Stelle fortgesetzt an der dieser unterbrochen wurde. Um auch in diesen heiklen Situationen Datenintegrität gewährleisten zu können muss sichergestellt sein, dass der zu schreibende Daten-Inhalt wirklich auf der Platte landete und nicht noch partiell im Cache liegt.
Die Initialverschlüsselung führt daher scheinbar nach jedem umgeschlüsselten Block einen Sync-Vorgang durch, welcher den Cache auf die Disk flusht. Dies führt vor allem auf rotierende Spindle-Harddisk zu enormen Performance-Nachteilen.
Ist man etwas risikofreudiger und nimmt das Risiko eines Datenverlustes durch einen Stromausfall während der Initial-Verschlüsselung in Kauf, hilft folgender Trick: In der Systemsteuerung -> Gerätemanager -> in den Einstellungen der betreffende Disk kann das von Windows veranlasste Leeren des Schreibcaches deaktiviert werden, der in nachfolgender Abbildung gesetzte Haken ist standardmäßig nicht aktiviert.
Nach dieser Änderung (welche in Windows 10 unmittelbar wirksam wird) zeigt ein prüfender Blick in den Task-Manager, dass die Performance der Initialverschlüsselung nun mit den eigentlich erwarteten mehr als 40MB/Sekunde läuft, mehr schafft eine handelsübliche (langsame) 2TB Spindle-Disk nicht im kontinuierlichen Lese+Schreib-Betrieb:
ACHTUNG: Nach Abschluss der Initial-Verschlüsselung sollte die Einstellung zur Deaktivierung des Disk-Flushings wieder entfernt werden!
Vielen Dank für die Anleitung.