šifrování pomocí AES-NI - jak zapnout / ověřit že funguje?

[Tomas Vondra]

On 17.8.2012 23:43, Martin Vancl wrote:
> Dobry den,
> 
>> Existuje nějaký HW který by to urychlil (např. šifrovací karta apod.)?
> 
> kdysi na webu CZ NIC vysel navod na kartu SCA6000 -
> http://www.nic.cz/page/532/pouziti-sca6000-pro-podepisovani-dnssec/
> Jak pisou v popisu:
> "Karta SCA 6000 je primárně určena jako kryptografický akcelerátor.
> Možné použití je například pro urychlení HTTPS provozu, kde práci s
> certifikáty přebírá karta a matematické výpočty potřebné pro ověřování
> a šifrování zabezpečeného provozu jsou přesunuty na externí kartu a
> nezatěžují hlavní procesor. Další výhodou je bezpečnost certifikátu.
> Ve chvíli, kdy dojde ke kompromitaci serveru, není možné získat
> soukromou část certifikátu a např. přesměrovat provoz na jiný server a
> útočník není schopný podvrhnout identitu serveru -- samozřejmě je
> zapotřebí dostatečně rychle zjistit, že došlo ke kompromitaci
> serveru."
> 
> Jeste jsem nasel http://www.caviumnetworks.com/Nitrox_XL_acceleratorBoards.html

No, obávám se ale že karta zrychlující SSL je jedna věc a karta pro
transparentní šifrování storage věc druhá. To nejlepší co jsem v rámci
AES akcelerace našel je zatím tohle

   http://www.discretix.com/accelerators/Dx_AES.html

ale i to má propustnost "jenom" 2.4 Gb/s, tj. pouhých 300 MB/s (a to
nepochybně pouze pokud vítr vane správným směrem).

A nebo něco postaveného na FPGA, např. http://heliontech.com/storage.htm
ale tam zase (asi) není k dispozici žádná hotová karta s podporou v
Linuxu :-(

Takže zatím nic moc.

T.