lunes may 23, 2011

Una buena noticia para las comunicaciones encriptadas

Hace ya unos meses hablé del anuncio del procesador T3 y sus especiales características para la encriptación. Lo hice dentro de una entrada referida a diferentes anuncios en el evento mundial Oracle Open World.

En aquella entrada, decía literalmente " SPARC T3, el primer procesador de servidores de volumen con 16 cores y 128 threads de ejecución, el primero con encriptación, 10GBit Ethernet y PCIe Gen2  incorporados en el propio chip y arquitectura interna y de interfaces de alto ancho de banda. Está optimizado para soluciones empresariales y nace con importantes records en benchmarks de WebLogic Server, Java VM, OLAP Business Intelligence, Siebel CRM, E-Business Suite (HR Self-Service), PeopleSoft Enterprise Financials, Oracle JD Edwards EnterpriseOne, etc."

Recientemente he leído un nuevo benchmark interno que más abajo comento pero que viene a cuento en este blog por la importancia creciente de proyectos de corresponsabilización del paciente con su salud y, eso, en muchos casos va a significar el acceso via internet a información confidencial que ha de ir por enlaces seguros.

Y esto hace que la encriptación de las comunicaciones es algo fundamental y que ha de ser muy ágil para no perturbar la experiencia del usuario sin dejar de cumplir las estrictas regulaciones de confidencialidad que son aplicables.

En esta página se puede encontrar la descripción detallada de la prueba comparativa. Yo voy a resumir lo más importante de lo que allí se cuenta.

Los equipos Oracle SPARC T-Series están basados en el procesador SPARC T3, que integra en el propio chip acceleradores criptográficos que permiten diferentes posibilidades de encriptación de las comunicaciones con gran velocidad, protección de datos y servicios críticos bajo el sistema operativo de nivel empresarial Oracle Solaris.

El procesador SPARC T3 trabajando con el estándar de encriptación avanzada para comunicaciones inalámbricas IPsec AES-256-CCM puede operar con mínima sobrecarga sobre una red a10 Gigabit Ethernet (10 GbE) y demuestra un caudal de proceso mayor del doble que la última generación del procesador Intel Xeon. Más allá, con el hardware integrado para el soporte de encriptación/desencriptación para AES y otros once sistemas de cifrado, el procesador SPARC T3 es 12 veces más rápido que el procesador Intel Xeon con desencriptación con el algoritmo de clave pública RSA en memoria.

Este destacado caudal de computación en temas criptográficos hace que los servidores equipados con procesadores SPARC T3 sean una muy atractiva plataforma para aplicaciones con comunicaciones seguras. Oracle usa test internos para medir estas prestaciones. En concreto, para medir este caudal IPsec AES, Oracle desarrolló un test cliente/servidor basado en el benchmark Netperf 2.4.5, en concreto de sus tests de ancho de banda de streaming TCP.

Se ha usado la misma configuración para el test tanto en el caso del SPARC T3 como del procesador Intel Xeon X5760 (con AES-NI), engendrando muchos procesos cliente Netperf  sobre un cluster de sistemas. Las métricas reportadas son los resultados de ancho de banda agregado de todos los procesos cliente y la media de utilización de CÛ en los sistemas destino, en la forma que lo hacen los procesos de cliente Netperf.

La suite del benchmark Criptográfico RSA pk11rsaperf mide el caudal máximo de operaciones de firma con clave privada RSA al extender múltiples procesos con varias líneas de ejecución cada uno. La pk11rsaperf  usa un par de claves RSA fijas par encriptar cadenas de 25 caracteres, luego hace una desencriptación RSA de ese resultado para un número de específico de veces usando el API  PKCS#11 en Oracle Solaris. La métrica es el número de esas desencriptaciones (operaciones u "ops") por segundo.

En resumen, los números obtenidos en situaciones equivalentes hacen que los sistemas basados en el procesador T3 seán áltamente recomendables para los actuales y venideros despliegues de eSalud, dado que con sus prestaciones se pueden conseguir importantes ahorros en los despliegues de estas nuevas soluciones sanitarias en la red con comunicaciones seguras.

<script type="text/freezescript" src="http://platform.twitter.com/widgets.js"></script>

martes ene 19, 2010

La tecnología importa: criptoaceladores en los sistemas Sun CMT

<script type="text/freezescript"> var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E")); </script> <script type="text/freezescript"> try { var pageTracker = _gat._getTracker("UA-4618459-4"); pageTracker._trackPageview(); } catch(err) {}</script>

La enorme apuesta de las organizaciones sanitarias, educativas y de la administración por los servicios en red con aplicaciones cada vez más multimedia ha aumentado notablemente las cargas de los servidores en los últimos años. Afortunadamente la madurez de las tecnologías de virtualización y la mejora constante de la capacidad computacional de los procesadores permiten balancear esta demanda incremental. 

Pero simultáneamente surge la necesidad de implantar la encriptación como medida protectora de la seguridad y confidencialidad de la ingente cantidad de información sensible que se maneja. Y esto genera una sobrecarga adicional nada despreciable. Una forma de abordar el problema es con appliances de red que aumentan la complejidad, el consumo y los costes de los proyectos. Otra solución son las tarjetas criptográficas, que acarrean problemas de compatibilidad, gestión de configuraciones y complejidades de software. Previendo esta necesidad, Sun introdujo capacidades criptográficas en el hardware de los chips de su familia de servidores UltraSPARC® T1, T2 y T2Plus con tecnología CoolThreads™.

Estos criptoaceleradores, incluidos en el propio chip, eliminan la necesidad de tarjetas adicionales, nuevas licencias, appliances de red u otros elementos consumidores adicionales de potencia. Como resultado, el despliegue de servidores con tecnología CoolThreads en entornos HTTP reducen la sobrecarga del sistema, mejoran el rendimiento y la eficiencia conjunta de computación y red, traduciéndose en una mejor respuesta global del servicio.

Los procesadores UltraSPARC T2 y T2 Plus tienen un singular diseño "System-on-a-Chip (SoC)" que incorpora en el propio chip prestaciones criptográficas así como el I/O y capacidad para 10 Gigabit Ethernet.

RSA es el primer y más utilizado algoritmo para un sistema criptográfico de clave pública y es válido tanto para cifrar como para firmar digitalmente. Cada core de los procesadores UltraSPARC T1, T2 y T2 Plus incluye una Unidad Aritmética Modular (MAU) que soporta operaciones RSA y DSA (Algoritmo de Firma Digital). Esta MAU permite cargas sostenidas de 14.000 RSA-1024 y más de 30.000 RSA-1024 operaciones/seg en los procesadores T1 y T2 respectivamente. Pasar todas estas operaciones RSA a la MAU acelera todo el protocolo SSL y libera la CPU para otras tareas computacionales.

Este criptoacelerador se llama Niagara Crypto Provider (NCP) y va incluido en cada core del procesador. Los UltraSPARC T2 y T2 Plus soportan los algoritmos RSA y DSA y añaden mecanismos de encriptación y desencriptación basados en clave simétrica, tales como Data Encryption Standard (DES), Triple DES (3DES), Advanced Encryption Standards AES-128, AES-192 y AES-256), Ron’s Code 4 (RC4), así como operaciones de hashing para generar claves como el algoritmo Message Digest 5 (MD5), SHA1, SHA256, y mecanismos Elliptic Curve Cryptography (ECC), tales como los algoritmos ECCp-160 y ECCb-163.

Adicionalmente, los procesadores T2 disponen de un generador de números aleatorios (N2RNG) incorporado en el chip para soportar operaciones de este tipo para las aplicaciones criptográficas. En la práctica el criptoacelerador NCP usa el Solaris Cryptographic Framework (SCF) para permitir a las aplicaciones de nivel de usuario el descargarse de las operaciones criptográficas y sacar el máximo partido a esta tecnología. SCF es una librería que ofrece un conjunto de servicios criptográficos a nivel de kernel y a nivel de usuario y está basado en el estándar de criptografía de clave pública PKCS#11, creados por los laboratorios californianos RSA Security, Inc.

Para los interesados en profundizar en cómo aplicar todas estas prestaciones con Oracle® WebLogic Server 10.3.x ó Java™ Platform, Enterprise Edition 5 Application EnvironmentSun Microsystems ofrece una guía realizada por Ramesh Nagappan (ISV Engineering) y Chad Prucha (Technical Marketing) que se puede descargar gratuitamente en este enlace. Aunque este documento incluye muchos de los detalles funcionales más recónditos de las tecnologías relacionadas con la criptografía, está muy enfocado a aspectos concretos de implementación que no exigen que el lector sea un experto en las más sutiles técnicas criptográficas y de las PKI (Infraestructura de Clave Pública).

Y como conclusión, pienso en la aplicación práctica inmediata en proyectos de Historia Clínica Digital o Historia Personal de Salud en el campo de la sanidad, el acceso a expedientes personales del alumno en el caso del sector educación y todo el abanico de posibilidades que abre la Ley del Acceso Electrónico del Ciudadano a los Servicios Públicos y su Reglamento del Esquema Nacional de Seguridad en el caso de la eAdministración.  Toda la información sobre los servidores UltraSPARC T2 y T2 Plus está accesible en esta dirección.



About

Mi punto de vista desde mi posición en Oracle.

Los puntos de vista de este blog son míos y no necesariamente reflejan los de Oracle.

Search

Categories
Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy