T4 Crypto Spickzettel

Wie man die T4 Crypto-Beschleuniger fuer Oracle TDE nutzbar macht, habe ich ja bereits in einem frueheren Beitrag erwaehnt.  Daran hat sich nichts geaendert, auch der Patch fuer Solaris 10 ist immer noch in Entwicklung.  Es gibt ja aber noch reichlich andere Verwendungsmoeglichkeiten fuer die Crypto-Hardware der T4.  Da sich die Implementierung gegenueber frueheren CPUs deutlich veraendert hat, ist auch die Verwendung und das Monitoring etwas anders geworden.  Daher hier eine kurze Zusammenfassung dieser Aenderungen:

Verwendung:

 Feature / Software consumer
 T3 und frueher*
 T4 / Solaris 10
T4 / Solaris 11
 SSH

Automatisch aktiv seit Solaris 10 5/09.

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

Automatisch aktiv, benoetigt Patch 147707-01

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

Automatisch aktiv.

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

 Java / JCE

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

 ZFS Crypto
Nicht verfuegbar
Nicht verfuegbar HW crypto automatisch aktiv, falls Dataset verschluesselt.
 IPsec

Automatisch aktiv.

Automatisch aktiv.

Automatisch aktiv.

OpenSSL

Aktiv mit "-engine pkcs11"

Requires patch 147707-01

Aktiv mit "-engine pkcs11"

Die Engine "t4" wird automatisch verwendet.  Optional "-engine pkcs11" angeben.

Pkcs11 derzeit empfohlen fuer RSA/DSA.

KSSL (Kernel SSL proxy)

Automatisch aktiv.

Automatisch aktiv.

Automatisch aktiv.

Oracle TDE

Nicht supported

Patch in Entwicklung.

Automatisch aktiv mit Oracle DB 11.2.0.3 und ASO

Apache SSL
Konfiguration mit "SSLCryptoDevice pkcs11"
Konfiguration mit "SSLCryptoDevice pkcs11"
Konfiguration mit "SSLCryptoDevice pkcs11"
Logical Domains
Crypto Units (MAUs) den Domains zuweisen.
Immer verfuegbar, keine Konfiguration notwendig.
Immer verfuegbar, keine Konfiguration notwendig.

* T1 CPUs kennen noch keine Unterstuetzung fuer symetrische Chiffren wie AES.  Anwendungen wie SSH verwenden daher auf T1 Software Crypto.

Monitoring:
  • Anders als bei T3 und frueher wird bei T4 kein Kernel-Modul wie ncp oder n2cp benoetigt.  Entsprechend ist die Crypto-Hardware weder mit kstat noch mit cryptoadm sichtbar.
  • T4 stellt jedoch Hardware Zaehler fuer Crypto-Operationen zur Verfuegung.  Diese kann man mit cpustat auswerten:
    cpustat -c pic0=Instr_FGU_crypto 5
    
  • Die Verfuegbarkeit der Engine fuer OpenSSL kann man mit dem Kommando "openssl engine" pruefen.  Die grundsaetzliche Verfuegbarkeit der Crypto-Operationen mit dem Kommando "isainfo -v".
  • Die Crypto-Operationen sind bei T4 als normale Assemblerbefehle verfuegbar.  Daher gibt es keine speziellen "Crypto Units" mehr, die bspw. mit cryptoadm verwaltbar waeren.  Aus dem gleichen Grund sieht auch der LDom Manager keine "Crypto Units".  Die Funktionalitaet ist immer und ueberall verfuegbar und muss nicht separat konfiguriert werden.  Fuer den LDom Manager sollte man dennoch den neuesten LDoms Patch 147507 installiert haben.
Weiterfuehrende Links:
Kommentare:

Senden Sie einen Kommentar:
Kommentare sind ausgeschaltet.
About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute