[unix] аппаратная криптография

sergey_m

И такая штуковина стоит всего лишь $79 долларов. А оптом еще меньше.
Правда насколько я понимаю драйвер может юзать только одну такую штуковину на компе, хотя вставить можно несколько.
source freebsd-stable:

Here is a quick example of encryption speeds
The file "big" is the result of cat /dev/urandom > big and is 577MB. Before the test was run, I did a cat big > /dev/null to make the cache similar in both tests.
The hardware is the same, except on the second test I compiled in the hifn support. This is a Intel(R) Pentium(R) 4 CPU 2.66GHz (2665.40-MHz 686-class CPU) with 512MB of DDR-333.
pp-duke% time openssl enc -des3 -in big -out big.enc -k test1234567890
97.498u 2.070s 1:40.20 99.3% 384+343k 4430+4404io 2pf+0w
pp-duke%
pp-duke% time openssl enc -des3 -in big -out big.enc -k test1234567890
0.331u 3.282s 1:22.68 4.3% 429+383k 4439+4404io 31pf+0w
pp-duke%
The crypto card is faster. But the real interesting part (for me) is the CPU utilization.... 99.3% vs 4.3%. So for my "backups over ssh" application this is a big gain. I suspect once kernel crypto is added, things like the GEOM encrypted filesystem would see similar big gains. If you think of the card more as an "offloader" you will see it in a more appropriate light.
---Mike

abrek

Ну в сетевые карты давно встраивают аппаратный 3DES для ускорения IPSEC.
Правда, я не слышал о свободном драйвере, который бы умел это использовать.

sergey_m

А это не сетевая карта. Поэтому ускорять будет и ipsec и любое DES шифрование выполняемое с помощью libcовской функции. Причем драйвера есть только свободные

abrek

просто обычно шифруют данные, передаваемые по сети
если шифоровать будет другое PCI-устройство, то каждый пакет должен будет два лишних раза проходить по шине
про line rate на gigabit ethernet можно забыть
в бенчмарке шифруется один большой файл, а если много маленьких пакетиков? задержка и оверхед на транзакции будет играть куда большую роль