Hardware Cryptocard ("SSL Beschleuniger")

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3834

18.03.2010 - 18:34

Jop, der Server "arbeitet" auch, und das so gut wie Rund um die Uhr. Gibt auch mehrere User, die diverse Services der Maschine in Anspruch nehmen. Außerdem ist und bleibt er mein Lieblingsprojekt.

Betriebssystem ist Windows 2000 Server SP4.

Auf die IBM 2058-001 Cryptokarte habe ich jetzt geboten, aber war wohl zu voreilig. Die scheint nur Handshakes zu beschleunigen (bringt nur viel bei extrem vielen Connections), und Treiber find ich auch keine bei IBM. Najo, wurscht, dafür kostets wohl so gut wie nichts.

Zu den Verschlüsselungen.. Protokolle sind da FTPS (Implicit/Explicit), HTTPS, POP3S, IMAPS, SMTPS, und SSH2. Hier ein paar Auszüge:

FTPS:
[R] SSL encrypted session using cipher RC4-SHA (128 bits)

HTTPS (128-256 Bit):
PKCS #1 SHA-1 mit RSA-Verschlüsselung

POP3S/IMAPS/SMTPS müßten den gleichen Cipher verwenden wie der Webserver.

SSH2 müßte AES256 sein. Genaueres weiß ich auch nicht...

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12253

18.03.2010 - 20:00

Bei FTPS ist meist ohnehin nur der Control-Channel verschluesselt, das sollte auch deine Kruecke noch in Fast-Ethernet-Speed hinkriegen. POP, IMAP und SMTP sollten dann auch trotz SSL/TLS nicht so viel Rechenpower brauchen, wenn du nicht grade ungesund grosze Attachments in deinen Mailverkehr haengst. Auch HTTPS sollte den Rechner nur bei entsprechend groszer Payload ersthaft auslasten, da du wohl kaum mehrere hunder Connections/Sekunde beantworten wirst muessen. SSH bringt auch nur bei SFTP wirklich etwas - den zur Verschluesselung zu verwendenen Cipher kannst du dir bei OpenSSH uebrigens aussuchen.

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3834

20.03.2010 - 20:23

Oh nein, ich verschlüssele bei FTPS keineswegs nur die Control Connection, das wäre ja ziemlich sinnlos. Die Datenverbindungen werden selbstverständlich auch verschlüsselt.

Mit 128-Bit Verschlüsselung wie oben fürn FTPD zu sehen und ohne Mode Z (Kompression) komme ich auf 800-1200kB/s. Ohne die Verschlüsselung ists mal gut und gern doppelt so schnell, was eine Skalierung bis 16/16Mbit sicherstellen würde, wenn die Belastung nicht wär. Momentan ist die Leitung noch 4/4, aber das wird ja ned ewig so sein.

Ich brauche also wirklich eine Hardware, die nicht nur den Handshake offloadet (so wie die vorher verlinkte IBM Karte), sondern die komplette Verschlüsselung...

Richtig liegst du damit, daß ich keine hunderten Connections auf einmal reinbekomme. Das scheint aber der Hauptfokus der meisten Cryptobeschleuniger zu sein, SSL Handshake Offload. Was ich brauche ist nicht, 5000 Handshakes in der Sekunde abarbeiten zu können, sondern wenige laufende Verschlüsselungen/Verbindungen schneller zu machen.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3919

20.03.2010 - 20:35

Es gibt halt einfach keinen Markt für deinen Bedarf und somit auch kein Angebot.

Entweder du kaufst dir irgendwas vollkommen überdimensioniertes - ev. sogar RELATIV billig über ebay - oder du schnitzt dir selber was mit einem eigenen Server, der dir quasi die Verbindungen serviciert...eine sinnvolle Lösung wie du sie benötigst wirds wohl kaum geben.

GrandAdmiralThrawn

Lord of Derailment

Registered: Aug 2000
Location: BRUCK!
Posts: 3834

20.03.2010 - 23:54

Najo, diese Cryptokarten existieren ja. Sogar für PCI. Das hat mich eh schon ziemlich überrascht. Und weil die Nachfrage so gering ist, kriegt man halt $2000 Karten um $5 auf eBay, so wie ich halt [diese hier] gekauft habe (die aber wohl nicht ganz passen dürfte, weils eben nur Handshakes beschleunigt).

Ich muß nur das richtige Modell finden, und lernen, wie man sowas mit seinen Services zusammenhängen kann....

ZARO

Here to stay

Registered: May 2002
Location: Wien 22
Posts: 1005

22.03.2010 - 09:52

Du musst halt abwägen was die höchste last produziert.
Ich nehme an, die grösste datenmengen gehen über SFTP.

Lösung wäre ein server vorne der mit apache https ssl offload macht und einen SFTP server laufen hat. Somit kannst du dein bestehendes system entlasten.

lg
RZ

GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3834	18.03.2010 - 18:34 Jop, der Server "arbeitet" auch, und das so gut wie Rund um die Uhr. Gibt auch mehrere User, die diverse Services der Maschine in Anspruch nehmen. Außerdem ist und bleibt er mein Lieblingsprojekt. Betriebssystem ist Windows 2000 Server SP4. Auf die IBM 2058-001 Cryptokarte habe ich jetzt geboten, aber war wohl zu voreilig. Die scheint nur Handshakes zu beschleunigen (bringt nur viel bei extrem vielen Connections), und Treiber find ich auch keine bei IBM. Najo, wurscht, dafür kostets wohl so gut wie nichts. Zu den Verschlüsselungen.. Protokolle sind da FTPS (Implicit/Explicit), HTTPS, POP3S, IMAPS, SMTPS, und SSH2. Hier ein paar Auszüge: FTPS: [R] SSL encrypted session using cipher RC4-SHA (128 bits) HTTPS (128-256 Bit): PKCS #1 SHA-1 mit RSA-Verschlüsselung POP3S/IMAPS/SMTPS müßten den gleichen Cipher verwenden wie der Webserver. SSH2 müßte AES256 sein. Genaueres weiß ich auch nicht...
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12253	18.03.2010 - 20:00 Bei FTPS ist meist ohnehin nur der Control-Channel verschluesselt, das sollte auch deine Kruecke noch in Fast-Ethernet-Speed hinkriegen. POP, IMAP und SMTP sollten dann auch trotz SSL/TLS nicht so viel Rechenpower brauchen, wenn du nicht grade ungesund grosze Attachments in deinen Mailverkehr haengst. Auch HTTPS sollte den Rechner nur bei entsprechend groszer Payload ersthaft auslasten, da du wohl kaum mehrere hunder Connections/Sekunde beantworten wirst muessen. SSH bringt auch nur bei SFTP wirklich etwas - den zur Verschluesselung zu verwendenen Cipher kannst du dir bei OpenSSH uebrigens aussuchen.
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3834	20.03.2010 - 20:23 Oh nein, ich verschlüssele bei FTPS keineswegs nur die Control Connection, das wäre ja ziemlich sinnlos. Die Datenverbindungen werden selbstverständlich auch verschlüsselt. Mit 128-Bit Verschlüsselung wie oben fürn FTPD zu sehen und ohne Mode Z (Kompression) komme ich auf 800-1200kB/s. Ohne die Verschlüsselung ists mal gut und gern doppelt so schnell, was eine Skalierung bis 16/16Mbit sicherstellen würde, wenn die Belastung nicht wär. Momentan ist die Leitung noch 4/4, aber das wird ja ned ewig so sein. Ich brauche also wirklich eine Hardware, die nicht nur den Handshake offloadet (so wie die vorher verlinkte IBM Karte), sondern die komplette Verschlüsselung... Richtig liegst du damit, daß ich keine hunderten Connections auf einmal reinbekomme. Das scheint aber der Hauptfokus der meisten Cryptobeschleuniger zu sein, SSL Handshake Offload. Was ich brauche ist nicht, 5000 Handshakes in der Sekunde abarbeiten zu können, sondern wenige laufende Verschlüsselungen/Verbindungen schneller zu machen.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	20.03.2010 - 20:35 Es gibt halt einfach keinen Markt für deinen Bedarf und somit auch kein Angebot. Entweder du kaufst dir irgendwas vollkommen überdimensioniertes - ev. sogar RELATIV billig über ebay - oder du schnitzt dir selber was mit einem eigenen Server, der dir quasi die Verbindungen serviciert...eine sinnvolle Lösung wie du sie benötigst wirds wohl kaum geben.
GrandAdmiralThrawn Lord of Derailment Registered: Aug 2000 Location: BRUCK! Posts: 3834	20.03.2010 - 23:54 Najo, diese Cryptokarten existieren ja. Sogar für PCI. Das hat mich eh schon ziemlich überrascht. Und weil die Nachfrage so gering ist, kriegt man halt $2000 Karten um $5 auf eBay, so wie ich halt [diese hier] gekauft habe (die aber wohl nicht ganz passen dürfte, weils eben nur Handshakes beschleunigt). Ich muß nur das richtige Modell finden, und lernen, wie man sowas mit seinen Services zusammenhängen kann....
ZARO Here to stay Registered: May 2002 Location: Wien 22 Posts: 1005	22.03.2010 - 09:52 Du musst halt abwägen was die höchste last produziert. Ich nehme an, die grösste datenmengen gehen über SFTP. Lösung wäre ein server vorne der mit apache https ssl offload macht und einen SFTP server laufen hat. Somit kannst du dein bestehendes system entlasten. lg RZ

Hardware Cryptocard ("SSL Beschleuniger")

Forum Index > Hardware > Peripherie > Sonstige Peripherie

GrandAdmiralThrawn

COLOSSUS

GrandAdmiralThrawn

EG

GrandAdmiralThrawn

ZARO