Dienstag Mai 15, 2012

T4 Crypto Spickzettel

Wie man die T4 Crypto-Beschleuniger fuer Oracle TDE nutzbar macht, habe ich ja bereits in einem frueheren Beitrag erwaehnt.  Daran hat sich nichts geaendert, auch der Patch fuer Solaris 10 ist immer noch in Entwicklung.  Es gibt ja aber noch reichlich andere Verwendungsmoeglichkeiten fuer die Crypto-Hardware der T4.  Da sich die Implementierung gegenueber frueheren CPUs deutlich veraendert hat, ist auch die Verwendung und das Monitoring etwas anders geworden.  Daher hier eine kurze Zusammenfassung dieser Aenderungen:

Verwendung:

 Feature / Software consumer
 T3 und frueher*
 T4 / Solaris 10
T4 / Solaris 11
 SSH

Automatisch aktiv seit Solaris 10 5/09.

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

Automatisch aktiv, benoetigt Patch 147707-01

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

Automatisch aktiv.

(De-) aktivieren mit der "UseOpenSSLEngine" Klausel in /etc/ssh/sshd_config

 Java / JCE

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

Automatisch aktiv.

Konfiguration in $JAVA_HOME/jre/lib/security/java.security

 ZFS Crypto
Nicht verfuegbar
Nicht verfuegbar HW crypto automatisch aktiv, falls Dataset verschluesselt.
 IPsec

Automatisch aktiv.

Automatisch aktiv.

Automatisch aktiv.

OpenSSL

Aktiv mit "-engine pkcs11"

Requires patch 147707-01

Aktiv mit "-engine pkcs11"

Die Engine "t4" wird automatisch verwendet.  Optional "-engine pkcs11" angeben.

Pkcs11 derzeit empfohlen fuer RSA/DSA.

KSSL (Kernel SSL proxy)

Automatisch aktiv.

Automatisch aktiv.

Automatisch aktiv.

Oracle TDE

Nicht supported

Patch in Entwicklung.

Automatisch aktiv mit Oracle DB 11.2.0.3 und ASO

Apache SSL
Konfiguration mit "SSLCryptoDevice pkcs11"
Konfiguration mit "SSLCryptoDevice pkcs11"
Konfiguration mit "SSLCryptoDevice pkcs11"
Logical Domains
Crypto Units (MAUs) den Domains zuweisen.
Immer verfuegbar, keine Konfiguration notwendig.
Immer verfuegbar, keine Konfiguration notwendig.

* T1 CPUs kennen noch keine Unterstuetzung fuer symetrische Chiffren wie AES.  Anwendungen wie SSH verwenden daher auf T1 Software Crypto.

Monitoring:
  • Anders als bei T3 und frueher wird bei T4 kein Kernel-Modul wie ncp oder n2cp benoetigt.  Entsprechend ist die Crypto-Hardware weder mit kstat noch mit cryptoadm sichtbar.
  • T4 stellt jedoch Hardware Zaehler fuer Crypto-Operationen zur Verfuegung.  Diese kann man mit cpustat auswerten:
    cpustat -c pic0=Instr_FGU_crypto 5
    
  • Die Verfuegbarkeit der Engine fuer OpenSSL kann man mit dem Kommando "openssl engine" pruefen.  Die grundsaetzliche Verfuegbarkeit der Crypto-Operationen mit dem Kommando "isainfo -v".
  • Die Crypto-Operationen sind bei T4 als normale Assemblerbefehle verfuegbar.  Daher gibt es keine speziellen "Crypto Units" mehr, die bspw. mit cryptoadm verwaltbar waeren.  Aus dem gleichen Grund sieht auch der LDom Manager keine "Crypto Units".  Die Funktionalitaet ist immer und ueberall verfuegbar und muss nicht separat konfiguriert werden.  Fuer den LDom Manager sollte man dennoch den neuesten LDoms Patch 147507 installiert haben.
Weiterfuehrende Links:

Dienstag Sep 21, 2010

Keine Entschuldigung fuer keine Sicherheit

Schon seit der UltraSPARC T2 gibt es eigentlich keine Entschuldigung mehr, einen Web- oder Applicationserver nicht mit sicherem SSL zu betreiben.  Die in die CPU integrierte Crypto-Beschleunigung, die kostenfrei verwendet werden kann, ermoeglicht schon seit Jahren Sicherheit per SSL.  Mit der neuen T3 CPU wurden nicht nur die moeglichen Algorithmen modernisiert.  Auch die Anleitungen, wie dieses Feature zu nutzen ist, wurden auf den neuesten Stand gebracht.  Hier die ersten beiden - mehr kommt vermutlich in Kuerze:


Frohes Verschluesseln!

Dienstag Mrz 04, 2008

Hardware Crypto


Die UltraSPARC T2 CPU ist mit der derzeit schnellsten Cryptoeinheit ausgestattet, die am Markt verfuegbar ist.  Die Vorteile liegen auf der Hand - Verschluesselung ohne CPU-Belastung und zum Nulltarif bedeutet auch, dass das Gesamtsystem deutlich robuster gegen DOS-Angriffe aller Art ist.  Und Verfuegbarkeit bedeutet Sicherheit.  Verstaendlich und erfreulich, dass das Interesse an diesen Features hoch ist, was wir an den immer haeufigeren Anfragen zu diesem Thema merken. 

Leider ist, was neu ist, nicht immer so einfach wie jahrelang Erprobtes.  Und das eine oder andere Hardware-Feature muss auch seinen Weg durch das Library-Dickicht noch nach oben finden. Deswegen hier ein paar Links auf "Haeufig gegebene Antworten"...

Allgemeine Einfuehrung:
http://www.sun.com/blueprints/0306/819-5782.pdf

IPsec: Benötigt ein “Activation File”:
http://www.sun.com/download/products.xml?id=46d8d2e1

Java: Automatisch ab JDK 1.5
http://www.sun.com/bigadmin/xperts/sessions/22_javasec/

SSH: wird derzeit noch nicht unterstützt,
http://bugs.opensolaris.org/view_bug.do?bug_id=6445288

Apache:
SSL Handshake wird schon seit UltraSPARC T1 unterstuetzt.  Der mit Solaris ausgelieferte Apache 2.0 ist bereits entsprechend vorbereitet.  Ggf. muss “SSLCryptoDevice pkcs11” in der httpd.conf bzw. ssl.conf eingetragen werden. 

Bulk Encryption bswp. mit AES funktioniert derzeit noch nicht, hier gibt es einige offene Bugs:
http://bugs.opensolaris.org/view_bug.do?bug_id=6596364
http://bugs.opensolaris.org/view_bug.do?bug_id=6606361
http://bugs.opensolaris.org/view_bug.do?bug_id=6375348
http://bugs.opensolaris.org/view_bug.do?bug_id=6602801
http://bugs.opensolaris.org/view_bug.do?bug_id=6540060

Teilweise sind die Fixes hierfuer in OpenSolaris bereits implementiert.  Fuer Solaris 10 werden sie mit Update 5 kommen.

Die gleichen Einschraenkungen gelten derzeit auch fuer den Sun Webserver.

Als Workaround kann man in der Zwischenzeit den KSSL-Proxy verwenden, der eine deutliche Leistungssteigerung bei Bulk-Crypto bringt.  Wie das geht, ist ebenfalls in dem o.g. Blueprint beschrieben.

Wir bleiben dran...

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute