Mittwoch Aug 19, 2009

ssh und Hardware-Crypto

In Solaris 10 5/09 (aka Update 7) ist ja bekanntlich der Support der ssh fuer hardwarebeschleunigte Verschlusselung enthalten.  Diesen erhaelt man auch, wenn man den entsprechenden Kernel-Patch 139555-08 einspielt - allerdings nur, wenn der dazu gehoerende Treiber-Patch ebenfalls eingespielt wird.  Fuer UltraSPARC T2/T2+ ist das Patch 140386-02, fuer die SCA 6000 Beschleunigerkarte ist der entsprechende Patch im Softwarebundle 1.1 update 2 enthalten.  Spielt man diese Patches nicht ein, koennen keine neuen SSH-Verbindungen aufgebaut werden!  Bestehende Verbindungen bleiben erhalten - dennoch sollte man diese Patches vorsichtshalber ueber die Systemkonsole installieren.  Telnet bleibt natuerlich ebenfalls als zweite Tuer, aber sicher ist das natuerlich nicht.

Freitag Jun 19, 2009

SunSSH unterstuetzt HW-Crypto auf UltraSPARC T2

Die Leistungsfaehigkeit der 8 Crypto-Beschleuniger im UltraSPARC T2 Prozessor ist enorm, leider ist es teilweise immer noch recht aufwendig, sie zu nutzen. Mit dem Update 7 Release fuer Solaris 10 (Solaris 10 5/09) gibt es hier Fortschritte: Aus dem "What's New" (Seite 11) geht hervor, dass die SunSSH, die Sun-Implementierung der SSH mitsamt dem Abkoemmling scp jetzt die Hardware-Beschleunigung unterstuetzt.  Und sie erreicht damit recht gute Werte.  Ein weiterer Grund, einen Upgrade zu machen - und Systeme der T-Serie entsprechend zu konfigurieren.  Jan Pechanec hat die entsprechenden Aenderungen recht ausfuehrlich beschrieben.

Mittwoch Okt 22, 2008

Hardware Crypto Support fuer SSH

Seit es die Cryptoeinheiten der T2 CPUs gibt, wird immer wieder nach Support in SSH/OpenSSH gefragt.  Endlich ist es soweit!  Mein Kollege Jan Pechanec hat die notwendigen Aenderungen in den Code von OpenSSH eingebracht.  Diese sind in Nevada build 99 verfuegbar, an einem Backport fuer Solaris 10 wird derzeit gearbeitet.  Die Details beschreibt Jan in einem Blogeintrag.


Weitere Details zur Cryptoeinheit und wie sie verwendet wird, sammelt Lawrence Spracklen auf einer Seite bei wikis.sun.com.   Diese kann ich nur empfehlen.

Dienstag Mrz 04, 2008

Hardware Crypto


Die UltraSPARC T2 CPU ist mit der derzeit schnellsten Cryptoeinheit ausgestattet, die am Markt verfuegbar ist.  Die Vorteile liegen auf der Hand - Verschluesselung ohne CPU-Belastung und zum Nulltarif bedeutet auch, dass das Gesamtsystem deutlich robuster gegen DOS-Angriffe aller Art ist.  Und Verfuegbarkeit bedeutet Sicherheit.  Verstaendlich und erfreulich, dass das Interesse an diesen Features hoch ist, was wir an den immer haeufigeren Anfragen zu diesem Thema merken. 

Leider ist, was neu ist, nicht immer so einfach wie jahrelang Erprobtes.  Und das eine oder andere Hardware-Feature muss auch seinen Weg durch das Library-Dickicht noch nach oben finden. Deswegen hier ein paar Links auf "Haeufig gegebene Antworten"...

Allgemeine Einfuehrung:
http://www.sun.com/blueprints/0306/819-5782.pdf

IPsec: Benötigt ein “Activation File”:
http://www.sun.com/download/products.xml?id=46d8d2e1

Java: Automatisch ab JDK 1.5
http://www.sun.com/bigadmin/xperts/sessions/22_javasec/

SSH: wird derzeit noch nicht unterstützt,
http://bugs.opensolaris.org/view_bug.do?bug_id=6445288

Apache:
SSL Handshake wird schon seit UltraSPARC T1 unterstuetzt.  Der mit Solaris ausgelieferte Apache 2.0 ist bereits entsprechend vorbereitet.  Ggf. muss “SSLCryptoDevice pkcs11” in der httpd.conf bzw. ssl.conf eingetragen werden. 

Bulk Encryption bswp. mit AES funktioniert derzeit noch nicht, hier gibt es einige offene Bugs:
http://bugs.opensolaris.org/view_bug.do?bug_id=6596364
http://bugs.opensolaris.org/view_bug.do?bug_id=6606361
http://bugs.opensolaris.org/view_bug.do?bug_id=6375348
http://bugs.opensolaris.org/view_bug.do?bug_id=6602801
http://bugs.opensolaris.org/view_bug.do?bug_id=6540060

Teilweise sind die Fixes hierfuer in OpenSolaris bereits implementiert.  Fuer Solaris 10 werden sie mit Update 5 kommen.

Die gleichen Einschraenkungen gelten derzeit auch fuer den Sun Webserver.

Als Workaround kann man in der Zwischenzeit den KSSL-Proxy verwenden, der eine deutliche Leistungssteigerung bei Bulk-Crypto bringt.  Wie das geht, ist ebenfalls in dem o.g. Blueprint beschrieben.

Wir bleiben dran...

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute