Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
623 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Hardware

  [CRYPTO] Via padlock pour chiffrage de block device

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[CRYPTO] Via padlock pour chiffrage de block device

n°861921
jinkazama
Posté le 11-11-2006 à 16:02:21  profilanswer
 

Cela fait un certain temps que nous installons des systeme de stockage ( allant du plus simple des NAS a des SAN assez avances niveau fonctionalites ).
 
Je me suis fabrique mon propre mini SAN iSCSI sur lequel mes machines bootent a partir du reseau ethernet en Gigabit. Comme je suis parano, tous les "block devices" exportes en iSCSI sont chiffres au niveau du disque en AES-CBC-ESSIV:SHA256 ( et la reinitialisation du SAN necessite une intervention humaine pour la passphrase demande au boot niveau initrd ).
 
Le probleme est que le chiffrage soft demandent des ressources tout simplement halucinantes. J'ai regarde niveau carte de chiffrage hardware et la pluspart que j'ai trouve sont soit hors de prix et destines a etre utilise en tant que VPN, soit trop limite ( sur bus PCI ) en bande passante.
 
Par contre, je suis tombe sur le CPU VIA C7 qui supporte le chiffrage AES et SHA256 en hardware avec des performances tout a fait hallucinantes... Le probleme avec ce type de solution, c'est que generalement le C7 est soude a une carte mere... vraiment merdique ( pas de dual Gigabit, pas de ECC, pas de PCI-X ).
 
J'ai vu que VIA vendant aussi des C7 socket 479 compatible CM intel et qu'il exite des CM serveur socket 479... Est ce que quelqu'un a deja reussit a utiliser le couple C7+CM Intel avec succes?
 
Sinon, je suis ouvert a tout autre solution qui me permet d'avoir des possibilites de chiffrage de plusieurs centaines de Mo / Sec...

mood
Publicité
Posté le 11-11-2006 à 16:02:21  profilanswer
 

n°862529
aspegic500​mg
Posté le 13-11-2006 à 20:43:38  profilanswer
 

en socket 479 y'a pas beaucoup de cartes-mères, soit du i855, soit une asus p4p800 et son adaptateur, soit du i945 chez asus et aopen mais en mini-itx avec un seul gigabit :/ (au pire une carte gigabit pci, mais ca mangera toute la bande passante du bus pci)
 
à noter la vieille aopen i855 qui a un dual-gigabit: http://www.ldlc.com/fiche/PB00027313.html (faut aussi en trouver)
 
ah sinon y'a ça, i915, vidéo intégré, pci-express, dual gigabit:
 
http://images.tigerdirect.com/SkuImages/gallery/large/A457-3000-a.JPG
 
 
 
 
Les cartes-mères via prennent les processeurs intel, mais pas vu d'info sur l'inverse, t'es sûr que ca existe ? :??:

Message cité 1 fois
Message édité par aspegic500mg le 13-11-2006 à 21:09:26
n°862533
M300A
Posté le 13-11-2006 à 21:00:37  profilanswer
 

jinkazama a écrit :

Cela fait un certain temps que nous installons des systeme de stockage ( allant du plus simple des NAS a des SAN assez avances niveau fonctionalites ).
 
Je me suis fabrique mon propre mini SAN iSCSI sur lequel mes machines bootent a partir du reseau ethernet en Gigabit. Comme je suis parano, tous les "block devices" exportes en iSCSI sont chiffres au niveau du disque en AES-CBC-ESSIV:SHA256 ( et la reinitialisation du SAN necessite une intervention humaine pour la passphrase demande au boot niveau initrd ).
 
Le probleme est que le chiffrage soft demandent des ressources tout simplement halucinantes. J'ai regarde niveau carte de chiffrage hardware et la pluspart que j'ai trouve sont soit hors de prix et destines a etre utilise en tant que VPN, soit trop limite ( sur bus PCI ) en bande passante.
 
Par contre, je suis tombe sur le CPU VIA C7 qui supporte le chiffrage AES et SHA256 en hardware avec des performances tout a fait hallucinantes... Le probleme avec ce type de solution, c'est que generalement le C7 est soude a une carte mere... vraiment merdique ( pas de dual Gigabit, pas de ECC, pas de PCI-X ).
 
J'ai vu que VIA vendant aussi des C7 socket 479 compatible CM intel et qu'il exite des CM serveur socket 479... Est ce que quelqu'un a deja reussit a utiliser le couple C7+CM Intel avec succes?
 
Sinon, je suis ouvert a tout autre solution qui me permet d'avoir des possibilites de chiffrage de plusieurs centaines de Mo / Sec...


 
:eek:
 
Bourrin.

n°862686
initiators
Posté le 14-11-2006 à 12:06:36  profilanswer
 

T'a achete des cartes iSCSI pour un usage perso? Ou est ce que gere le iSCSI en soft?

n°862743
Taz
bisounours-codeur
Posté le 14-11-2006 à 14:52:06  profilanswer
 

moi je confirme que comme techno ça tabasse à condition d'avoir un kernel qui gère bien ça (genre linux n'est-ce pas) et le reste des softs avec la bonne extension (genre openssl avec le padlock compilé)

n°862754
FCKGW
◥▶◀◤
Posté le 14-11-2006 à 15:08:45  profilanswer
 

Ca fonctionne pas trop mal avec les AMD64, pas grâce aux 64 bits, mais grâce aux registres généraux supplémentaires r8->r15. Avec l'optimisation ASM du kernel (iceluy en -O2) et dm-crypt en aes256-cbc-essiv:sha256, je suis monté jusqu'a 95Mo/s en lecture "aléatoire" avec un proco à 2.6GHz  :wahoo:  
 
Une autre solution pour les bricoleurs pourrait être d'utiliser un FPGA sur un port PCI-E. Vu que le kernel contient toute l'infrastructure nécéssaire au support des accélérateurs hardware, ça doit pas être trop dur de faire un petit driver.
[:joce]

n°862928
jinkazama
Posté le 15-11-2006 à 07:45:22  profilanswer
 

aspegic500mg a écrit :


Les cartes-mères via prennent les processeurs intel, mais pas vu d'info sur l'inverse, t'es sûr que ca existe ? :??:


 
Sorti au Japon en bundle avec une CM VIA pour ~ 200 EUR. La CM en question accepte les CPU intel a la place du via, mais je ne sait pas dans l'autre sens...

n°862929
jinkazama
Posté le 15-11-2006 à 07:47:55  profilanswer
 

initiators a écrit :

T'a achete des cartes iSCSI pour un usage perso? Ou est ce que gere le iSCSI en soft?


 
J'ai des iSCSI HBA PCI-X Adaptec ( 7211-C ) qui fonctionnent tres bien pour des postes sous Windows. Pour linux j'utilise un netboot : iSCSI gere en software...

n°862932
jinkazama
Posté le 15-11-2006 à 07:52:37  profilanswer
 

FCKGW a écrit :

Ca fonctionne pas trop mal avec les AMD64, pas grâce aux 64 bits, mais grâce aux registres généraux supplémentaires r8->r15. Avec l'optimisation ASM du kernel (iceluy en -O2) et dm-crypt en aes256-cbc-essiv:sha256, je suis monté jusqu'a 95Mo/s en lecture "aléatoire" avec un proco à 2.6GHz  :wahoo:  
 
Une autre solution pour les bricoleurs pourrait être d'utiliser un FPGA sur un port PCI-E. Vu que le kernel contient toute l'infrastructure nécéssaire au support des accélérateurs hardware, ça doit pas être trop dur de faire un petit driver.
[:joce]


 
Bon bah une solution pourrait etre d'utiliser du dual opteron dual core a ~2GHz... pour atteindre les ~300Mo/Sec :) ( a voir si cela fonctionne correctement... )
 
Si on peut reelement atteindre les 95 Mo/Sec avec un simple Athlon/Opteron a 2.6Ghz, je ne vais pas aller m'emmerder avec le CPU de VIA...

n°863116
FCKGW
◥▶◀◤
Posté le 15-11-2006 à 17:20:36  profilanswer
 

jinkazama a écrit :

Bon bah une solution pourrait etre d'utiliser du dual opteron dual core a ~2GHz... pour atteindre les ~300Mo/Sec :) ( a voir si cela fonctionne correctement... )
 
Si on peut reelement atteindre les 95 Mo/Sec avec un simple Athlon/Opteron a 2.6Ghz, je ne vais pas aller m'emmerder avec le CPU de VIA...


 
95Mo/s, c'était avec deux Maxtor Atlas 15KII en raid0. J'ai rien de plus rapide pour tester, mais je suppose qu'avec un gros array en raid5, on peut monter encore plus haut. Mais bon, les données passent par le driver scsi/sata, dm-raid, dm-crypt et userland, si tu écris une application dédiée à l'encryption, y'a moyen d'aller beaucoup plus haut. Dans cette config (assez classique), tu ne tires pas parti du SMP, donc, oublie la multiplication des cores [:spamafote]
 
Ce qui est sur par contre, c'est qu'en x86, tu trouveras rien de plus performant que les cpu Via :/


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Hardware

  [CRYPTO] Via padlock pour chiffrage de block device

 

Sujets relatifs
connaitre le device du lecteur cd sous nuxgnome : "block selection mode" comme kwrite pour kde?
probleme de driver pour carte son VIA AC'97 Enhanced Audio Controller Linux & Via Epia
Impossible d'activer le DMA sur Via VT8237Hylafax (Erreur FIFO: open: No such device or address)
[freesbie] Incorrect super block au montage de mon disque dur usbEXT3 Block bitmap in group 96
problème Rythmnbox: device "/dev/dsp" already in use[ Réseau NFS Via Freebox] Problème de lenteur
Plus de sujets relatifs à : [CRYPTO] Via padlock pour chiffrage de block device


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR