šifrování pomocí AES-NI - jak zapnout / ověřit že funguje?
Tomas Vondra
tv na fuzzy.cz
Sobota Srpen 18 01:41:29 CEST 2012
On 17.8.2012 23:43, Martin Vancl wrote:
> Dobry den,
>
>> Existuje nějaký HW který by to urychlil (např. šifrovací karta apod.)?
>
> kdysi na webu CZ NIC vysel navod na kartu SCA6000 -
> http://www.nic.cz/page/532/pouziti-sca6000-pro-podepisovani-dnssec/
> Jak pisou v popisu:
> "Karta SCA 6000 je primárně určena jako kryptografický akcelerátor.
> Možné použití je například pro urychlení HTTPS provozu, kde práci s
> certifikáty přebírá karta a matematické výpočty potřebné pro ověřování
> a šifrování zabezpečeného provozu jsou přesunuty na externí kartu a
> nezatěžují hlavní procesor. Další výhodou je bezpečnost certifikátu.
> Ve chvíli, kdy dojde ke kompromitaci serveru, není možné získat
> soukromou část certifikátu a např. přesměrovat provoz na jiný server a
> útočník není schopný podvrhnout identitu serveru -- samozřejmě je
> zapotřebí dostatečně rychle zjistit, že došlo ke kompromitaci
> serveru."
>
> Jeste jsem nasel http://www.caviumnetworks.com/Nitrox_XL_acceleratorBoards.html
No, obávám se ale že karta zrychlující SSL je jedna věc a karta pro
transparentní šifrování storage věc druhá. To nejlepší co jsem v rámci
AES akcelerace našel je zatím tohle
http://www.discretix.com/accelerators/Dx_AES.html
ale i to má propustnost "jenom" 2.4 Gb/s, tj. pouhých 300 MB/s (a to
nepochybně pouze pokud vítr vane správným směrem).
A nebo něco postaveného na FPGA, např. http://heliontech.com/storage.htm
ale tam zase (asi) není k dispozici žádná hotová karta s podporou v
Linuxu :-(
Takže zatím nic moc.
T.
Další informace o konferenci Linux