Geli mit Cryptohardware

kira12

Well-Known Member
Hallo,

welche Cryptehardware ist für eine Festplattenverschlüsselung mit Geli geeignet? Jede die FreeBSD unterstützt oder hat manche Hardware vorzüge? Wie macht sich der BCM5823 für Geli?

Gruß ré
 
Ich kann die Frage zwar nicht beantworten, aber da ich auch mit Geli verschlüssel, würde mich mal interessieren welche vorteile man hat wenn man sich so eine Cryptehardware-Karte einbaut?
 
Ich würde mit meinen bescheidenen Kenntnissen mal vermuten, daß die Ver- und Entschlüsselungsvorgänge dann von der Karte übernommen werden und damit die CPU entlastet wird ...
 
Ich habe selbst leider keine Karte, aber grundsätzlich kann man wohl sagen, das Crypto-Hardware vor allem auf älteren/schwächeren Rechnern richtig was bringen kann. Mit aktuellen Prozessoren wirst Du kaum mehr Durchsatz erreichen, weil I/O der limitierende Faktor wird. Allerdings sinkt die CPU-Belastung z.T. deutlich.

Hier ein paar Papers dazu:
In dem ersten wird gewarnt, dass auf schnellen Rechnern, Crypto Beschleuniger sogar die Performance reduzieren können.

Gruß
SolarCatcher
 
Dem ist eigentlich nichts hinzuzufügen. Nur, dass Intel im Moment mehrere Prozessoren in der Pipeline hat, die Anfang des nächsten Jahres starten werden und AES mittels einiger spezieller Befehle "beschleunigen" können (vor allem der Nehalem-EP, wahrscheinlich aber auch die 32nm Desktop-Ableger). Das bringt schon einiges und da AMD in naher Zeit nachziehen dürfte, ist damit die Debatte um Hardware-Cryptos eh gestorben. Zumindest, sobald FreeBSD die entsprechenden Instruktionen auch nutzen kann.
 
Hallo,

danke für die guten Antworten. Dann stellt sich mir gleich die nächste Frage, welche Crypto Hardware wird von NetBSD 5 unterstützt? In den Hardware Notes finde ich nix zu Crypto Hardware.

Gruß ré
 
Also ich verwende seit zwei Jahren ein VIA C7 @ 1,5 GHz Board. Die VIA C7 CPUs enthalten mit Padlock eine sehr gute Hardwarecrypto. Im Gegensatz zu Intels Witz (wir Implementieren eine Runde AES) bietet Padlock den kompletten Cipher in gängigen Betriebsmodi. Auf einer so schwachen CPU wie VIAs C7 macht dies einen riesen Unterschied.

Der Benchmark OpenSSL Durchsatz steigt von iirc 22 MiByte/s AES-128-ECB auf 1,8 GiByte/s. Bei nicht parallelsierbaren Modi reduziert sich der Hardware beschleunigte Durchsatz auf die Hälfte.

In der Praxis bedeutet dies z.B. für GELI verschlüsselte USB Platten statt 12-15 MiByte/s bei voller CPU auslastung auf 34 MiByte/s bei 12% CPU Auslastung durch den GELI plus I/O.

50MiByte/s bei SATA1 Platten sind damit möglich. Belasten die CPU aber schon, weil es halt auch zur CPU muss. Hat sich was mit Zero-Copy sendfile Magie.
 
Back
Top