Blog (22)
Komentarze (997)
Recenzje (0)
@parranoyaDebian Linux ze sprzętowym wsparciem szyfrowania AES (VIA Padlock)

Debian Linux ze sprzętowym wsparciem szyfrowania AES (VIA Padlock)

11.02.2013 | aktual.: 13.02.2013 11:10

Niektóre płyty główne posiadają sprzętowe wsparcie szyfrowania AES. Przykładem takiego komputera są urządzenia z płytą główną VIA w formacie ITX i terminali tzw. cienkich klientów (thin client) oraz niektóre modele płyt Intel'a. Szyfrowanie AES wykorzystywane jest przez OpenSSL, a OpenSSL wykorzystywane jest min. przez SSH, https i OpenVPN. Standardowe jądro Debiana ma wkompilowaną obsługę technologii Padlock w postaci modułu jądra. Aby OpenSSL korzystał ze sprzętowego wsparcia, wystarczy w pliku /etc/ssl/openssl.cnf dopisać sekcję:

openssl_conf = openssl_def
[openssl_def]
engines = openssl_engines
[openssl_engines]
padlock = padlock_engine
[padlock_engine]
default_algorithms = ALL

Należy zwrócić uwagę żeby powyższa sekcja znalazła się przed pierwszym wpisem w nawiasie kwadratowym [ ]. W moim przypadku wygląda to tak:

[code=]...[/code]

[code=]# X.509v3 extensions in its main [= default] section.)[/code]

[code=]#[/code]

[code=]openssl_conf = openssl_def[/code]

[code=][openssl_def][/code]

[code=]engines = openssl_engines[/code]

[code=][openssl_engines][/code]

[code=]padlock = padlock_engine[/code]

[code=][padlock_engine][/code]

[code=]default_algorithms = ALL[/code]

[code=]#[/code]

[code=][ new_oids ][/code]

[code=]...[/code]

Od tego momentu OpenSSL powinien już korzystać ze wsparcia sprzętowego. Można to sprawdzić wykonując mały test. Przed dodaniem powyższego wpisu wykonujemy polecenie:

[code=]$ openssl speed -evp aes‑128-ecb[/code]

i dla porównania test w włączonym padlockiem:

[code=]$openssl speed -evp aes‑128-ecb -engine padlock[/code]

Otrzymane wyniki powinny znacznie się różnić:

[code=]$ openssl speed -evp aes‑128-ecb[/code]

[code=]type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes[/code]

[code=]aes-128-ecb 13165.31k 14063.63k 14382.38k 14431.09k 12486.47k[/code]

[code=]$ openssl speed -evp aes‑128-ecb -engine padlock[/code]

[code=]type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes[/code]

[code=]aes-128-ecb 66893.17k 243815.73k 646595.40k 1062664.01k 310274.18k[/code]

Jeśli OpenSSL korzysta ze wsparcia Padlock, test wykonany bez opcji -engine padlock musi dawać równie wysokie wyniki jak z włączoną opcją:

[code=]$ openssl speed -evp aes‑128-ecb[/code]

[code=]type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes[/code]

[code=]aes-128-ecb 66893.17k 243815.73k 646595.40k 1062664.01k 311169.18k[/code]

Wybrane dla Ciebie
Komentarze (2)