Hardware Crypto


Die UltraSPARC T2 CPU ist mit der derzeit schnellsten Cryptoeinheit ausgestattet, die am Markt verfuegbar ist.  Die Vorteile liegen auf der Hand - Verschluesselung ohne CPU-Belastung und zum Nulltarif bedeutet auch, dass das Gesamtsystem deutlich robuster gegen DOS-Angriffe aller Art ist.  Und Verfuegbarkeit bedeutet Sicherheit.  Verstaendlich und erfreulich, dass das Interesse an diesen Features hoch ist, was wir an den immer haeufigeren Anfragen zu diesem Thema merken. 

Leider ist, was neu ist, nicht immer so einfach wie jahrelang Erprobtes.  Und das eine oder andere Hardware-Feature muss auch seinen Weg durch das Library-Dickicht noch nach oben finden. Deswegen hier ein paar Links auf "Haeufig gegebene Antworten"...

Allgemeine Einfuehrung:
http://www.sun.com/blueprints/0306/819-5782.pdf

IPsec: Benötigt ein “Activation File”:
http://www.sun.com/download/products.xml?id=46d8d2e1

Java: Automatisch ab JDK 1.5
http://www.sun.com/bigadmin/xperts/sessions/22_javasec/

SSH: wird derzeit noch nicht unterstützt,
http://bugs.opensolaris.org/view_bug.do?bug_id=6445288

Apache:
SSL Handshake wird schon seit UltraSPARC T1 unterstuetzt.  Der mit Solaris ausgelieferte Apache 2.0 ist bereits entsprechend vorbereitet.  Ggf. muss “SSLCryptoDevice pkcs11” in der httpd.conf bzw. ssl.conf eingetragen werden. 

Bulk Encryption bswp. mit AES funktioniert derzeit noch nicht, hier gibt es einige offene Bugs:
http://bugs.opensolaris.org/view_bug.do?bug_id=6596364
http://bugs.opensolaris.org/view_bug.do?bug_id=6606361
http://bugs.opensolaris.org/view_bug.do?bug_id=6375348
http://bugs.opensolaris.org/view_bug.do?bug_id=6602801
http://bugs.opensolaris.org/view_bug.do?bug_id=6540060

Teilweise sind die Fixes hierfuer in OpenSolaris bereits implementiert.  Fuer Solaris 10 werden sie mit Update 5 kommen.

Die gleichen Einschraenkungen gelten derzeit auch fuer den Sun Webserver.

Als Workaround kann man in der Zwischenzeit den KSSL-Proxy verwenden, der eine deutliche Leistungssteigerung bei Bulk-Crypto bringt.  Wie das geht, ist ebenfalls in dem o.g. Blueprint beschrieben.

Wir bleiben dran...

Kommentare:

Senden Sie einen Kommentar:
Kommentare sind ausgeschaltet.
About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« Juli 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
   
       
Heute