Kryptobeschleuniger aktivieren

R

RobJ

Well-Known Member
Hallo,

ich habe mir die VPN1401 gekauft und in mein Board gesteckt. Wie kann ich die Karte jetzt aktivieren?
Ich war davon ausgegangen, daß FreeBSD das automatisch vornimmt.
Allerdings habe ich in der dmesg.boot folgendes gefunden:
Code: 
GEOM_ELI: Device ad0s1b.eli created.
GEOM_ELI: Encryption: AES-CBC 256
GEOM_ELI:     Crypto: software

Grüße
RobJ
 
mein epia mini-itx board nutzt dazu das padlock kernelmodul, jenachdem was deine hardware unterstützt musst du u.u. das modul manuell laden.
 
Mal 'ne Frage am Rande ... was tut so'n Ding? Was kryptographiert es? Netzwerkdaten? VPN-Tunnel? Gibt es noch andere Anwendungsgebiete?
 
Hi Steve,

Steve` schrieb:
Mal 'ne Frage am Rande ... was tut so'n Ding? Was kryptographiert es? Netzwerkdaten? VPN-Tunnel? Gibt es noch andere Anwendungsgebiete?
Zum Vergrößern anklicken....

es "kryptographiert" die Daten auf meinen Festplatten. ;)
Jene sind mit Geli verschlüsselt. Damit meine recht langsamen Prozessoren nicht die Verschlüsselung übernehmen müssen, und der Datendurchsatz der Festplatte nicht unnötig gebremst wird, habe ich mir die Karte zu gelegt.

Grüße
RobJ
 
Steve` schrieb:
Mal 'ne Frage am Rande ... was tut so'n Ding? Was kryptographiert es? Netzwerkdaten? VPN-Tunnel? Gibt es noch andere Anwendungsgebiete?
Zum Vergrößern anklicken....

Kurze Antwort: Ja. VPNs, SSL-Verbindungen, etc.

Längere Antwort: FreeBSD (und glaub auch OpenBSD, wahrscheinlich auch alle andern BSDs) hat eine crypto(3) Bibliothek, welche einige gängigen kryptographische Algorithmen implementiert. Diese Bibliothek ist so entworfen, dass sie automatisch und völlig transparent die kryptographischen Berechnungen auf Beschleunigerhardware auslagert (vorrausgesetzt die Hardware wird erkannt).

Jede Software, welche die FreeBSD crypto(3) Bibliothek verwendet, kommt also automatisch in den Genuss der Beschleunigerhardware. Ich vermute, da OpenSSL im FreeBSD Basissystem ist, dass auch OpenSSL auf Kryptobeschleuniger zurückgreifen kann.
 
RobJ schrieb:
Hi Steve,



es "kryptographiert" die Daten auf meinen Festplatten. ;)
Jene sind mit Geli verschlüsselt. Damit meine recht langsamen Prozessoren nicht die Verschlüsselung übernehmen müssen, und der Datendurchsatz der Festplatte nicht unnötig gebremst wird, habe ich mir die Karte zu gelegt.

Grüße
RobJ
Zum Vergrößern anklicken....

Hat der Kryptobeschleuniger denn jetzt den Durchsatz merklich erhöht? Hattest Du nicht 'n Doppelprozessor-PIII-System? Eigentlich sind das ja keine langsamen Prozessoren...
 
Hallo,

Vincent Vega schrieb:
Hat der Kryptobeschleuniger denn jetzt den Durchsatz merklich erhöht? Hattest Du nicht 'n Doppelprozessor-PIII-System? Eigentlich sind das ja keine langsamen Prozessoren...
Zum Vergrößern anklicken....

ja, ich habe hier ein 2x800er System. Die Geschwindigkeit beim Kopieren von NTFS Platten zu Geli UFS Platten lag bei 5-6MB/s. Im Nachhinein habe ich gesehen, daß erheblich viel Last durch ntfs_mount erzeugt wurde. Beim kopieren von UFS zu Geli UFS schafft das System jetzt 10MB/s. Das reicht mir aber nicht aus. Ich wollte mind. USB 2.0 Platten mit vollem Speed ansprechen können. Deshalb die Kryptokarte. Allerdings mußte ich sie kurzfristig wieder heraus nehmen (Zu viele PCI Karten und zu wenige freie Ressourcen für die Slots sorgten für ein Einfrieren des Systems unter Win und FBSD). Sie wird später wieder eingesetzt. Dann kann ich hier präzisere Messungen vornehmen. Dann ist der Dual PIII auch abgelöst. Habe bei eBay günstig ein 2xXeon 3,06Ghz geschossen. :)

Grüße
RobJ
 
Danke für die Antworten. Ich hatte zwar desöfteren über GELI gelesen, konnte das aber nie so recht einordnen. Ich werde es mir mal angucken und mal antesten.
 
RobJ schrieb:
ja, ich habe hier ein 2x800er System. [...] Beim kopieren von UFS zu Geli UFS schafft das System jetzt 10MB/s.
Zum Vergrößern anklicken....

Also auf 2x800MHz wird gerade mal mit 10 MBytes/s von UFS auf ein Geli-verschlüsseltes UFS Dateisystem erreicht? Wow.

Wenn Dein neues System da ist, würde es Dir was ausmachen mal einen simplen Test zu machen bei dem Du eine identische Datenmenge kopierst, einmal mit und einmal ohne Kryptobeschleuniger? Mich würden mal direkte Vergleichswerte interessieren, also wie sich ein Kryptobeschleuniger tatsächlich auf einem modernen System in der Xeon-Klasse auswirkt.
 
Ich glaube allerdings nicht, dass die last auf CPU und Karte verteilt wird, sodass entweder CPU oder Karte benutzt werden, in dem Falle der VPN card von Soekris denke ich sogar das die Xeons schneller sind.
 
Ihr könnt auch eure eigenen Experimente auf einem kleinen Image machen, das erzeugt natürlich zusätzlichen Overhead, aber zum kurzen experimentieren ist es doch ganz nett.

# dd bs=1m count=1024 < /dev/zero > image
# mdconfig -at vnode -f image
md0
# geli init /dev/md0
# geli attach /dev/md0
# newfs -U /dev/md0.eli
# mount /dev/md0.eli /mnt/tmp

Und schon könnt ihr auf eurer eigenen verschlüsselten Partition rumprobieren.
 
Zuletzt bearbeitet:
FreeBSDuser schrieb:
Ich glaube allerdings nicht, dass die last auf CPU und Karte verteilt wird, sodass entweder CPU oder Karte benutzt werden, in dem Falle der VPN card von Soekris denke ich sogar das die Xeons schneller sind.
Zum Vergrößern anklicken....

Du hast wahrscheinlich Recht, die Last wird nicht verteilt werden. Allerdings sind viele Kryptoalgorithmen, allen vorran DES, so entworfen, dass sie sich recht einfach in Hardware abbilden lassen. Für solche speziellen Fälle könnte eine einfache, relativ niedrig getaktete PCI Karte die GHz-Host-CPU durchaus "an die Wand" rechnen.

Wir können alle hier noch wochenlang spekulieren, aber unser Freund RobJ hat wohl bald als einziger die Möglichkeit uns durch "harte" Zahlen schlauer zu machen.
 
Hallo,

Vincent Vega schrieb:
>...
Wenn Dein neues System da ist, würde es Dir was ausmachen mal einen simplen Test zu machen bei dem Du eine identische Datenmenge kopierst, einmal mit und einmal ohne Kryptobeschleuniger?
>...
Zum Vergrößern anklicken....

mach ich gerne. Ich melde mich dann nochmal für die dafür notwendigen Kommandos. Auch wenn ich hardwareseitig aufrüste, bin ich noch FreeBSD Neuling.
 
Vincent Vega schrieb:
Schon klar, aber die Frage war ja, wie sich eine Beschleunigerkarte bei moderner Hardware auswirkt. Und ~ 75 EUR auszugeben nur um mal eben ein Experiment zu machen... ;)
Zum Vergrößern anklicken....
Du kannst zumindest abschätzen wie stark deine CPU belastet wird, wenn du nicht sowieso schon Verschlüsselung verwendest.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben