Hardware Cryptocard ("SSL Beschleuniger")

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3693

11.03.2010 - 10:07

Grüß euch!

Ich bin gerade auf der Suche nach Hardware Crypto-Beschleunigern, um diverse SSL/TLS Ciphers von der CPU auf dedizierte HW zu offloaden.

Habe hier zum beispiel [dieses] gefunden, also sowas gibts wirklich für PCI, mit Treibern für *nix und Windows 2000/XP usw.

(Kack Bild, aber kein besseres gefunden im Netz.)

Hintergrund ist, daß ich meinen PentiumPRO Server für künftige Netzwerkupgrades rüsten will. Hier bremst teilweise die Verschlüsselung zu stark.

Also, die Frage ist, kennt jemand sowas? Und kann ich da wirklich im Windows einfach meine SSL DLLS (libeay32.dll, libssl32.dll) durch die von der Cryptokarte tauschen und *whoop* er rechnet einfach magisch alle Cipher am Cryptochip?

IBM hat doch auch Mal CryptoChips in den Thinkpads verbaut, konnte man die auch richtig statt OpenSSL zum Ent- und Verschlüsseln verwenden, anstatt der CPU?

Danke!!

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12070

11.03.2010 - 10:31

Ich wuerde dir ja ein Einmotten des PPros ans Herz legen, und eine Maschine hinstellen, die ein Vielfaches der Performance bei sicher nicht einmal halbem Stromverbrauch bringt. Den PPro kannst du ja immer noch bei "Exhibitions" feierlich einschalten und eine 5-Minuten-Uptime-Runde drehen lassen

Der Cryptobeschleuniger waere mir alleine schon wegen der arg eingeschraenkten Liste von unterstuetzten Ciphers zu bloed. AES-256, aber kein AES-192 (fuer ersteres gibt es zur Zeit kryptanalytische Angriffsszenarien, die diese Variante einfacher angreifbar als die 192bit-Variante machen)? RSA (")nur(") bis 2048bit? Nur SHA-1, kein SHA-2 (ab 2011 bereits, iirc, raet das NIST in den USA fuer vertrauliche Zwecke vom Einsatz von SHA-1 bereits ab). MD5 sollte man ja eh schon kaum noch ernstnehmen, 3DES und vor allem DES koennte man sich auch ganz sparen. Eine ordentliche x86_64-CPU mit aktuellen SSE waere da eine viel zukunftssicherere und kluegere Investition.

In Thinkpads waren meines Wissens nie SSL-Beschleuniger verbaut, sondern lediglich TPMs. Dort kannst du sensitive Daten (Private Keys vor allem) sicher speichern und ueber eine definierte, hoffentlich sichere Schnittstelle mit diesen interagieren, aber schnell ist so ein TPM wirklich nicht.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

11.03.2010 - 10:33

ich glaub die PPROs werden erst eingemotted wenn einer davon eingehen sollte

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8964

11.03.2010 - 10:35

boah colossus du frevler, bete dass der gat ned weiss wo du wohnst

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3693

11.03.2010 - 10:36

Einmotten ist keine Option, sorry.

Ich muß Mal sehen, welche Cipher meine Software wirklich so alle verwendet, aber wenn alle verwendeten unterstützt wären, dann wäre das DIE Lösung für weitere Skalierbarkeit der PPRO Kiste.

IBM würde sowas scheinbar [auch] bauen.. muß ich mir noch genau ansehen.

Der Quad PPRO muß ewig leben! :rolleyes:

Er braucht nur ein paar Stützräder..

Die Frage ist, wie gut ist der Library/DLL Support.. Also: Sofern Ciper supported, brauche ich dann nur meine Libraries zu tauschen, so wie ich z.B. das Windows SSL einfach durch OpenSSL ersetzen kann?!

Wenn ja, muß ich nur mehr eine Quelle finden..

Edit @ userohnenamen: Du mußt es wissen, schließlich ist immer noch der Satz CPUs im Server, den du damals organisiert hast.

Und ich hab' immer noch einen fünften als Spare hier rumliegen.

Bearbeitet von GrandAdmiralThrawn am 11.03.2010, 10:42

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11241

13.03.2010 - 07:33

ibm 10/100 ethernet security adapter, die bauen auf normalen intel chipsets auf. die stammen sogar aus einer zeit wo dein taschenrechner noch aktuell war

ich kann dir sogar derartige karten günstig besorgen, aber ka wie es da aktuell mit treiber support usw aussieht.

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3693

13.03.2010 - 13:20

[Sowas]?

Schaut eher nicht so vielversprechend aus, da ist nur von AIX die Rede, und außer DES und 3DES (IPsec) wird nichts offloaded. DLLs für Windows für das Feature gibts wahrscheinlich nicht einmal? Das wärs also dann wohl eher nicht..

ZARO

Here to stay

Registered: May 2002
Location: Wien 22
Posts: 964

15.03.2010 - 20:25

Wie wärs mit einem SSL offloader? Entweder selbstgebastellter mit apache oder was von nahmhaften herstellern?

lg
RZ

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3693

18.03.2010 - 13:06

Wie/Wohin offloaden meinst? (Ich möchte ja auf eine dedizierte Cryptographic Karte offloaden).

Gibts da noch andere Mechanismen, von denen ich nichts weiß?

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4226

18.03.2010 - 13:24

sowas?

http://cgi.ebay.com/IBM-2058-001-Cr...=item2eabb6cb54

ZARO

Here to stay

Registered: May 2002
Location: Wien 22
Posts: 964

18.03.2010 - 14:13

Zitat von GrandAdmiralThrawn
Wie/Wohin offloaden meinst? (Ich möchte ja auf eine dedizierte Cryptographic Karte offloaden).

Gibts da noch andere Mechanismen, von denen ich nichts weiß?

Ich habe eine separate maschine gemeint die ssl offload macht und den trafic unverschlüsselt an die eigentliche Application server weitergibt.

lg
RZ

GrandAdmiralThrawn

XP Nazi

Registered: Aug 2000
Location: BRUCK!
Posts: 3693

18.03.2010 - 14:52

Ok, aber wie macht man sowas? Über LAN oder so? Klingt nicht einfach...

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49964

18.03.2010 - 16:29

was hast du den da für verschlüsselung? gehts da nur um VPNs?

binda mal kurz auf http://en.wikipedia.org/wiki/Cryptographic_accelerator gestoßen evtl findest bei den 2 links was. Was hast du den für ein OS drauf?
mir würd da von compaq bzw. HP noch der AXL300 SSL Hardware Accelerator einfallen

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

18.03.2010 - 16:39

Glaub jede Desktop-Dose für 500 Euro wär performanter und kostengünstiger, als die Kiste weiter zu betreiben.

527W... :eek:

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4226

18.03.2010 - 16:59

Zitat von EvilGohan
Glaub jede Desktop-Dose für 500 Euro wär performanter und kostengünstiger, als die Kiste weiter zu betreiben.

527W...

ich getrau mich fast wetten, dass ein dualcore atom sogar schneller ist.

Andere lassen Rechner mit Kompressorkühlung den ganzen Tag für nichts rennen. Der Server ist immerhin "produktiv" im Einsatz.

GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3693	11.03.2010 - 10:07 Grüß euch! Ich bin gerade auf der Suche nach Hardware Crypto-Beschleunigern, um diverse SSL/TLS Ciphers von der CPU auf dedizierte HW zu offloaden. Habe hier zum beispiel [dieses] gefunden, also sowas gibts wirklich für PCI, mit Treibern für nix und Windows 2000/XP usw. (Kack Bild, aber kein besseres gefunden im Netz.)* Hintergrund ist, daß ich meinen PentiumPRO Server für künftige Netzwerkupgrades rüsten will. Hier bremst teilweise die Verschlüsselung zu stark. Also, die Frage ist, kennt jemand sowas? Und kann ich da wirklich im Windows einfach meine SSL DLLS (libeay32.dll, libssl32.dll) durch die von der Cryptokarte tauschen und whoop er rechnet einfach magisch alle Cipher am Cryptochip? IBM hat doch auch Mal CryptoChips in den Thinkpads verbaut, konnte man die auch richtig statt OpenSSL zum Ent- und Verschlüsseln verwenden, anstatt der CPU? Danke!!
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12070	11.03.2010 - 10:31 Ich wuerde dir ja ein Einmotten des PPros ans Herz legen, und eine Maschine hinstellen, die ein Vielfaches der Performance bei sicher nicht einmal halbem Stromverbrauch bringt. Den PPro kannst du ja immer noch bei "Exhibitions" feierlich einschalten und eine 5-Minuten-Uptime-Runde drehen lassen Der Cryptobeschleuniger waere mir alleine schon wegen der arg eingeschraenkten Liste von unterstuetzten Ciphers zu bloed. AES-256, aber kein AES-192 (fuer ersteres gibt es zur Zeit kryptanalytische Angriffsszenarien, die diese Variante einfacher angreifbar als die 192bit-Variante machen)? RSA (")nur(") bis 2048bit? Nur SHA-1, kein SHA-2 (ab 2011 bereits, iirc, raet das NIST in den USA fuer vertrauliche Zwecke vom Einsatz von SHA-1 bereits ab). MD5 sollte man ja eh schon kaum noch ernstnehmen, 3DES und vor allem DES koennte man sich auch ganz sparen. Eine ordentliche x86_64-CPU mit aktuellen SSE waere da eine viel zukunftssicherere und kluegere Investition. In Thinkpads waren meines Wissens nie SSL-Beschleuniger verbaut, sondern lediglich TPMs. Dort kannst du sensitive Daten (Private Keys vor allem) sicher speichern und ueber eine definierte, hoffentlich sichere Schnittstelle mit diesen interagieren, aber schnell ist so ein TPM wirklich nicht.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	11.03.2010 - 10:33 ich glaub die PPROs werden erst eingemotted wenn einer davon eingehen sollte
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8964	11.03.2010 - 10:35 boah colossus du frevler, bete dass der gat ned weiss wo du wohnst
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3693	11.03.2010 - 10:36 Einmotten ist keine Option, sorry. Ich muß Mal sehen, welche Cipher meine Software wirklich so alle verwendet, aber wenn alle verwendeten unterstützt wären, dann wäre das DIE Lösung für weitere Skalierbarkeit der PPRO Kiste. IBM würde sowas scheinbar [auch] bauen.. muß ich mir noch genau ansehen. Der Quad PPRO muß ewig leben! Er braucht nur ein paar Stützräder.. Die Frage ist, wie gut ist der Library/DLL Support.. Also: Sofern Ciper supported, brauche ich dann nur meine Libraries zu tauschen, so wie ich z.B. das Windows SSL einfach durch OpenSSL ersetzen kann?! Wenn ja, muß ich nur mehr eine Quelle finden.. Edit @ userohnenamen: Du mußt es wissen, schließlich ist immer noch der Satz CPUs im Server, den du damals organisiert hast. Und ich hab' immer noch einen fünften als Spare hier rumliegen. Bearbeitet von GrandAdmiralThrawn am 11.03.2010, 10:42
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11241	13.03.2010 - 07:33 ibm 10/100 ethernet security adapter, die bauen auf normalen intel chipsets auf. die stammen sogar aus einer zeit wo dein taschenrechner noch aktuell war ich kann dir sogar derartige karten günstig besorgen, aber ka wie es da aktuell mit treiber support usw aussieht.
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3693	13.03.2010 - 13:20 [Sowas]? Schaut eher nicht so vielversprechend aus, da ist nur von AIX die Rede, und außer DES und 3DES (IPsec) wird nichts offloaded. DLLs für Windows für das Feature gibts wahrscheinlich nicht einmal? Das wärs also dann wohl eher nicht..
ZARO Here to stay Registered: May 2002 Location: Wien 22 Posts: 964	15.03.2010 - 20:25 Wie wärs mit einem SSL offloader? Entweder selbstgebastellter mit apache oder was von nahmhaften herstellern? lg RZ
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3693	18.03.2010 - 13:06 Wie/Wohin offloaden meinst? (Ich möchte ja auf eine dedizierte Cryptographic Karte offloaden). Gibts da noch andere Mechanismen, von denen ich nichts weiß?
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4226	18.03.2010 - 13:24 sowas? http://cgi.ebay.com/IBM-2058-001-Cr...=item2eabb6cb54
ZARO Here to stay Registered: May 2002 Location: Wien 22 Posts: 964	18.03.2010 - 14:13 Zitat von GrandAdmiralThrawn Wie/Wohin offloaden meinst? (Ich möchte ja auf eine dedizierte Cryptographic Karte offloaden). Gibts da noch andere Mechanismen, von denen ich nichts weiß? Ich habe eine separate maschine gemeint die ssl offload macht und den trafic unverschlüsselt an die eigentliche Application server weitergibt. lg RZ
GrandAdmiralThrawn XP Nazi Registered: Aug 2000 Location: BRUCK! Posts: 3693	18.03.2010 - 14:52 Ok, aber wie macht man sowas? Über LAN oder so? Klingt nicht einfach...
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49964	18.03.2010 - 16:29 was hast du den da für verschlüsselung? gehts da nur um VPNs? binda mal kurz auf http://en.wikipedia.org/wiki/Cryptographic_accelerator gestoßen evtl findest bei den 2 links was. Was hast du den für ein OS drauf? mir würd da von compaq bzw. HP noch der AXL300 SSL Hardware Accelerator einfallen
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	18.03.2010 - 16:39 Glaub jede Desktop-Dose für 500 Euro wär performanter und kostengünstiger, als die Kiste weiter zu betreiben. 527W...
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4226	18.03.2010 - 16:59 Zitat von EvilGohan Glaub jede Desktop-Dose für 500 Euro wär performanter und kostengünstiger, als die Kiste weiter zu betreiben. 527W... ich getrau mich fast wetten, dass ein dualcore atom sogar schneller ist. Andere lassen Rechner mit Kompressorkühlung den ganzen Tag für nichts rennen. Der Server ist immerhin "produktiv" im Einsatz.

Hardware Cryptocard ("SSL Beschleuniger")

Forum Index > Hardware > Peripherie > Sonstige Peripherie

GrandAdmiralThrawn

COLOSSUS

userohnenamen

Umlüx

GrandAdmiralThrawn

spunz

GrandAdmiralThrawn

ZARO

GrandAdmiralThrawn

othan

ZARO

GrandAdmiralThrawn

Viper780

EG

othan