VIA C7, PadLock e Linux

[dennyv]

Dovrebbe arrivarmi (o almeno spero ) una scheda VIA PC2500 con processore VIA C7 dotato di unità di crittografia hardware denominata PadLock.

A quanto ho capito ne esistono due versioni: la prima, chiamata ACE è apparsa sui C3 Nehemiah e supporta AES e RSA tramite Montgomery Multipler; la seconda chiamata ACE2 è integrata nei C7 e oltre alle funzioni della prima versione è in grado di eseguire l'hashing tramite SHA-1, SHA-224 e SHA-256.
La cpu inoltre è dotata di 2 RNG (Generatori di numeri casuali) e supporto all'NX bit.

Ora veniamo a Linux. La prima versione della cpu è pienamente supportata (senza bisogno di patch) dal kernel 2.6.11, mentre le funzioni introdotte con l'avvento del core C5J "Esther" (il C7 appunto) verranno inserite nel 2.6.19; attualmente il supporto è disponibile sotto forma di patch (http://www.logix.cz/michal/devel/padlock/).

Discorso simile per OpenSSL il quale dalla versione 0.9.8 integra il supporto per AES, mentre quello per SHA verrà introdotto nella prossima release e per ora è disponibile una patch (sempre sito sopra).
Il problema sta nel fatto che ogni applicazione dipendente da OpenSSL deve essere ricompilata in modo che dichiari esplicitamente di voler utilizzare l'engine 'padlock'; fatto sta che per ogni applicazione, per esempio OpenSSH, bisogna aggiungere nel main le chiamate

Codice:

+       ENGINE_load_builtin_engines();
+       ENGINE_register_all_complete();
+       ENGINE_set_default_ciphers(ENGINE_by_id("padlock"));

Buona parte del supporto per Linux è grazie a Michal Ludvig (http://www.logix.cz/michal/devel/padlock/). Per quanto mi riguarda ho solo aggiornato la sua patch per OpenSSH 3.8p1 a OpenSSH 4.5p1 (disponibile qua e presto sul sito di Michal).

VIA dal canto suo tramite il portale VIA Arena ha rilasciato l'SDK per l'unità PadLock in modo completamente Open Source e le classi di Java (JCP) per la crittografia hardware da sostituire a quelle software implementate nella JRE.

Volevo sapere chi ha già avuto esperienze in merito cosa ne pensa e se tale engine può essere uno strumento valido, visto che verrà impiegata su un serverino a scarso traffico (il mio ) dove però faccio uso costante di OpenSSL (HTTPS, SSH, SFTP, TLS, eventuali partizioni criptate ecc...).

Grazie a tutti! Ciao!

[ilsensine]

Nessuno credo ci abbia mai giocato, ma sarebbe interessante sapere se le chiamate possono essere demandate a una funzione constructor di una libreria. Così dovrebbe essere sufficiente un LD_PRELOAD di quella libreria, senza cambiare il codice ai programmi che fanno uso di openssl.

Ti va di provare? Conosci un minimo il c?

[dennyv]

Quote:

Originariamente inviato da ilsensine

Nessuno credo ci abbia mai giocato, ma sarebbe interessante sapere se le chiamate possono essere demandate a una funzione constructor di una libreria. Così dovrebbe essere sufficiente un LD_PRELOAD di quella libreria, senza cambiare il codice ai programmi che fanno uso di openssl.

Ti va di provare? Conosci un minimo il c?

Sì volentieri, adoro giocare ! Giusto il minimo conosco di c, quello che mi è servito per l'esame di algoritmi
Comunque ho capito quello che vorresti fare.

Vi farò sapere quando mi arriverà la board (sempre )

Grazie per l'interessamento, ciao!

[dennyv]

E' arrivata oggi... devo gentooizarla e poi diamo il via ai giochi...

[SilverXXX]

Ma per il padlock, non era già presente il supporto?

[dennyv]

Quote:

Originariamente inviato da SilverXXX

Ma per il padlock, non era già presente il supporto?

Solo per quello di prima generazione (ACE) presente nei core C5P (Nehemiah). Per l'ACE2 dei C7/C5J è stato inserito nel kernel 2.6.19, mentre per OpenSSL per il momento serve una patch.

Il supporto all'ACE2 consiste nell'hashing hardware (SHA).

EDIT: aggiungo il link del commit http://kernel.org/git/?p=linux/kerne...e6bf028b4a2aaf