dennyv
23-11-2006, 23:23
Dovrebbe arrivarmi (o almeno spero :stordita: ) una scheda VIA PC2500 con processore VIA C7 dotato di unità di crittografia hardware denominata PadLock.
A quanto ho capito ne esistono due versioni: la prima, chiamata ACE è apparsa sui C3 Nehemiah e supporta AES e RSA tramite Montgomery Multipler; la seconda chiamata ACE2 è integrata nei C7 e oltre alle funzioni della prima versione è in grado di eseguire l'hashing tramite SHA-1, SHA-224 e SHA-256.
La cpu inoltre è dotata di 2 RNG (Generatori di numeri casuali) e supporto all'NX bit.
Ora veniamo a Linux. La prima versione della cpu è pienamente supportata (senza bisogno di patch) dal kernel 2.6.11, mentre le funzioni introdotte con l'avvento del core C5J "Esther" (il C7 appunto) verranno inserite nel 2.6.19; attualmente il supporto è disponibile sotto forma di patch (http://www.logix.cz/michal/devel/padlock/).
Discorso simile per OpenSSL il quale dalla versione 0.9.8 integra il supporto per AES, mentre quello per SHA verrà introdotto nella prossima release e per ora è disponibile una patch (sempre sito sopra).
Il problema sta nel fatto che ogni applicazione dipendente da OpenSSL deve essere ricompilata in modo che dichiari esplicitamente di voler utilizzare l'engine 'padlock'; fatto sta che per ogni applicazione, per esempio OpenSSH, bisogna aggiungere nel main le chiamate
+ ENGINE_load_builtin_engines();
+ ENGINE_register_all_complete();
+ ENGINE_set_default_ciphers(ENGINE_by_id("padlock"));
Buona parte del supporto per Linux è grazie a Michal Ludvig (http://www.logix.cz/michal/devel/padlock/). Per quanto mi riguarda ho solo aggiornato la sua patch per OpenSSH 3.8p1 a OpenSSH 4.5p1 (disponibile qua (http://dennyv.vfamilyserver.org/files/wordpress/patches/openssh-4.5p1-engines.diff) e presto sul sito di Michal).
VIA dal canto suo tramite il portale VIA Arena (http://www.viaarena.com/default.aspx?PageID=22&DSCat=161&DCatType=1) ha rilasciato l'SDK per l'unità PadLock in modo completamente Open Source e le classi di Java (JCP) per la crittografia hardware da sostituire a quelle software implementate nella JRE.
Volevo sapere chi ha già avuto esperienze in merito cosa ne pensa e se tale engine può essere uno strumento valido, visto che verrà impiegata su un serverino a scarso traffico (il mio :D ) dove però faccio uso costante di OpenSSL (HTTPS, SSH, SFTP, TLS, eventuali partizioni criptate ecc...).
Grazie a tutti! Ciao!
A quanto ho capito ne esistono due versioni: la prima, chiamata ACE è apparsa sui C3 Nehemiah e supporta AES e RSA tramite Montgomery Multipler; la seconda chiamata ACE2 è integrata nei C7 e oltre alle funzioni della prima versione è in grado di eseguire l'hashing tramite SHA-1, SHA-224 e SHA-256.
La cpu inoltre è dotata di 2 RNG (Generatori di numeri casuali) e supporto all'NX bit.
Ora veniamo a Linux. La prima versione della cpu è pienamente supportata (senza bisogno di patch) dal kernel 2.6.11, mentre le funzioni introdotte con l'avvento del core C5J "Esther" (il C7 appunto) verranno inserite nel 2.6.19; attualmente il supporto è disponibile sotto forma di patch (http://www.logix.cz/michal/devel/padlock/).
Discorso simile per OpenSSL il quale dalla versione 0.9.8 integra il supporto per AES, mentre quello per SHA verrà introdotto nella prossima release e per ora è disponibile una patch (sempre sito sopra).
Il problema sta nel fatto che ogni applicazione dipendente da OpenSSL deve essere ricompilata in modo che dichiari esplicitamente di voler utilizzare l'engine 'padlock'; fatto sta che per ogni applicazione, per esempio OpenSSH, bisogna aggiungere nel main le chiamate
+ ENGINE_load_builtin_engines();
+ ENGINE_register_all_complete();
+ ENGINE_set_default_ciphers(ENGINE_by_id("padlock"));
Buona parte del supporto per Linux è grazie a Michal Ludvig (http://www.logix.cz/michal/devel/padlock/). Per quanto mi riguarda ho solo aggiornato la sua patch per OpenSSH 3.8p1 a OpenSSH 4.5p1 (disponibile qua (http://dennyv.vfamilyserver.org/files/wordpress/patches/openssh-4.5p1-engines.diff) e presto sul sito di Michal).
VIA dal canto suo tramite il portale VIA Arena (http://www.viaarena.com/default.aspx?PageID=22&DSCat=161&DCatType=1) ha rilasciato l'SDK per l'unità PadLock in modo completamente Open Source e le classi di Java (JCP) per la crittografia hardware da sostituire a quelle software implementate nella JRE.
Volevo sapere chi ha già avuto esperienze in merito cosa ne pensa e se tale engine può essere uno strumento valido, visto che verrà impiegata su un serverino a scarso traffico (il mio :D ) dove però faccio uso costante di OpenSSL (HTTPS, SSH, SFTP, TLS, eventuali partizioni criptate ecc...).
Grazie a tutti! Ciao!