Re: šifrování pomocí AES-NI - jak zapnout / ověřit že funguje?

[Tomas Vondra]

On 18 Srpen 2012, 9:57, Pavel Kankovsky wrote:
> On Fri, 17 Aug 2012, Tomas Vondra wrote:
>
>> Když zkusím změřit výkon přes SSH:
>> -------------------------------------------
>> dd if=/dev/zero count=2000 bs=1M | pv | ssh -c aes256-cbc localhost "cat
>>> /dev/null"
>> -------------------------------------------
>> tak dostanu ~145 MB/s bez ohledu na to zda aesni-intel modul je nebo
>> není
>> načtený.
>
> Máte nějaký zvláštní důvod pro to, abyste rychlost šifrování měřil pomocí
> ssh? Já bych spíš použil openssl speed. Abyste mohl porovnat rychlost
> s a bez, tak asi budete muset kouzlit s env. proměnnou OPENSSL_ia32cap.

Žádný zásadní důvod pro to nemám - prováděl jsem různé testy (ssh,
dm-crypt), všechny dávaly +- stejný výsledek, a to SSH mi přišlo
nejjednodušší.

>> Ale je možné že SSH používá AES-NI bez ohledu na načtení jaderného
>> modulu - alespoň openssl hlásí podporu AES-NI bez ohledu na to zda je
>> "aesni-intel" naloadován nebo ne:
>
> To je docela dobře možné, jelikož je to nějaké instrukce, která lze
> bez problémů použít přímo z userlandu. Jaderné moduly dělají jednak
> podporu pro jaderné šifrování (dm-crypt), druhak pro případ, že je to
> hardware, který potřebuje nějaký driver.
>
>> Když si během šifrování pustím profiles (perf top), tak nahoře jsou
>> pořád
>> metody z aes_x86_64 a žádnou metodu z aesni-intel tam nevidím.
>
> Během jakého šifrování?

Např. během toho SSH testu nebo během kopírování dat na dm-crypt volume.

Tomáš