Nedureroase de criptare Intel avansate de criptare instrucțiuni nou standard (aes-Ni)

Importanța criptare

  • Când porniți laptop-ul și conectarea la punctul de acces fără fir în mod automat, atunci probabil aveți criptare WPA și AES ca algoritmul de criptare.
  • Când vă conectați la un site web securizat pentru a partaja informații sau pentru a achiziționa anumite produse, este o conexiune SSL este o sesiune criptată, care este proiectat pentru a se asigura că datele sensibile nu au fost disponibile pentru restul lumii.
  • Când laptopul utilizează BitLocker pentru a cripta informațiile de pe disc, în cazul în care este furat, informația de pe discurile sale nu vor deveni „domeniu public.“
  • Când creați o conexiune VPN IPsec sau conexiunea DirectAccess IPsec la rețeaua companiei IPsec este protejată cu criptare AES

Există o mulțime de exemple, dar este clar că criptarea și AES, în special, este o parte integrantă a vieții de calculator, indiferent dacă îl cunoști sau nu.

Ca un administrator de rețea, știți că criptarea este o parte critică a infrastructurii interne. Hackerii nu mai sunt interesați de posibilitatea de a pune întreaga rețea, așa cum era înainte. De ce? Pentru că, în astfel de atacuri în întreaga organizație nu vor câștiga bani. Odată cu aplicarea tot mai severe sancțiuni pentru hacking ilegale, majoritatea hackerilor care nu o mai face doar de dragul de interes. În schimb, hacker astăzi este antreprenor ilegal care vrea să facă bani. O modalitate de a face acest lucru este un compromis al serverelor cheie și ascunderea acestui fapt. Hackerul vrea să fure informații care pot fi profitabil de a vinde, de exemplu, o bază de date completă de informații personale sau secretele companiei. Hackerul de obicei, nu se poate face bani dacă funcționarea server de întrerupere, și nu va fi capabil de a face bani dacă știi că este acolo, și îl puteți opri înainte de a primi dorit. Astfel, trebuie să utilizați criptarea în interiorul infrastructurii ca un mecanism de protecție „de ultimă instanță“ pentru a preveni hackeri a obține acces la informații importante.

Criptarea este, de asemenea, o parte importantă a respectării normelor de IT sarcini de zi cu zi; cum ar fi toate următoarele prevederi includ criptarea, ca parte a standardelor sale:

  • HIPAA (de Asigurari de Sanatate portabilitatii si responsabilitate Act)
  • SOX (Sarbanes-Oxley)
  • PCI DSS (Payment Card Industry Standard Date de Securitate)

AES: Noul standard

criptare AES este standardul actual utilizat de guvernul SUA, și înlocuiește standardul anterior, triplu DES, care a folosit o cheie standard de 56 de biți. AES pot folosi chei de diferite lungimi, care sunt caracterizate ca AES-128, AES-192 și AES-256. În funcție de lungimea cheii poate fi de până la 14 de cicluri de transformare necesare pentru a produce ciphertext final.

AES are, de asemenea, mai multe moduri de operare:

  • dicționarului electronic (BCE)
  • cifru bloc înlănțuire (CBC)
  • Contor (CTR)
  • Feedback-ul cifru (CFB)
  • Feedback-ul de ieșire (OFB)

Blocurile de lanț criptat (Cifru bloc înlănțuirea) mod este cea mai comună, deoarece oferă un nivel acceptabil de securitate și nu este supusă vulnerabilității atacurilor statistice.

Dificultăți: Siguranță vs. productivitate

Problema principală cu astfel de metode avansate de criptare AES cu CBC este faptul că acestea consumă o mulțime de resurse CPU. Acest lucru este valabil mai ales pentru servere, dar poate crea probleme pentru sistemele client descărcate, astfel cum acestea sunt stabilite procesoare mai puternice. Acest lucru înseamnă că ați putea găsi te confruntă cu o alegere: un grad ridicat de protecție împotriva nivelului ridicat de performanță a sistemului dumneavoastră. Această situație poate fi atât de problematică pe partea de server, că astfel de modalități de a ocoli aceste probleme, ca SSL sau IPsec carduri (descărcare criptarea cardului) sunt utilizate pentru a reduce nivelul de încărcare a procesorului și permite procesorului să efectueze alte lucrări, în plus față de crearea de sesiuni și criptare.

Problema cu adăugarea de hărți este că acestea depind de cererea și poate să nu funcționeze, în funcție de scopul pentru care doriți să le utilizați. Avem nevoie de o solutie totala, care va funcționa în toate scenariile de criptare AES, care nu a avut nevoie să facă nimic special să scape de sarcinile de criptare CPU. Avem nevoie de o soluție pentru „plug and play“, care va fi construit în sistemul de operare și placa de bază.

Intel AES-NI vine vorba de salvare

Dacă sunteți de acord cu acest lucru, atunci există o veste bună pentru tine „, un nou set de instrucțiuni Intel AES-NI, care este disponibil în prezent în seria de procesoare Intel Xeon5600 îndeplinește aceste criterii. La începutul acestui procesor a fost cunoscut sub numele de cod Westmere-EP. AES-NI efectuează niște pași AES în hardware-ul, chiar în cipul procesorului. Cu toate acestea, ar trebui să știți că AES-NI pe procesorul nu include punerea în aplicare integrală a procesului AES, doar o parte din componentele necesare pentru a optimiza performanța. AES-NI face acest lucru prin adăugarea de șase noi instrucțiuni AES: patru dintre ele pentru criptare / decriptare, una pentru coloanele „amestec“ (amestec), și unul pentru generarea de text următorul ciclu de „runda următoare“ (în cazul în care numărul de cicluri este controlat de o lungime de bit selectată tu).

În momentul de față, Intel AES-NI este axat în principal pe trei puncte:

  • Securitatea tranzactiilor pe Internet si Intranet
  • criptare completă de disc (de exemplu, așa cum este cazul cu Microsoft BitLocker)
  • criptare la nivel de aplicare (parte a unei tranzacții securizate)

Securitatea tranzactiilor pe internet și intranet pot include utilizarea SSL pentru conectarea la un site Web securizat într-un intranet sau pe Internet. În plus, IPsec tunel de transport și modurile sunt tratamente din ce în ce mai populare pentru protejarea intranet și DirectAccess în cazul internetului. Rețineți că SSL este utilizat pentru a asigura stratul de comunicații 7, și IPsec este folosit pentru a proteja rețeaua de comunicații nivelul (a treia).

Recent, a fost posibil să se audă că cloud computing devine următoarea mare descoperire în lumea computerelor și furnizor de servicii de nor de calculator beneficiază foarte mult de la Intel AES-NI, în cazul în care majoritatea comunicării acestora se va face printr-un canal criptat. În ceea ce privește IPsec, în cazul în care serverul are doar câteva conexiuni IPsec, acesta va fi de ajuns, și descărcare SSL. Dar, dacă serverul dvs. este încărcat, Intel AES-NI, singur sau în combinație cu SSL offloading este o opțiune bună.

În plus, există o componentă a tranzacției ( „tranzacții sigure“). În plus față de criptare, aplicații sau strat de rețea, stratul de aplicație au de criptare, care utilizează Intel AES-NI. De exemplu:

  • Bazele de date pot fi criptate
  • Mail pot fi criptate
  • RMS utilizează criptarea
  • Sistemul de fișiere în sine poate fi criptat (spre deosebire de la criptarea discului de nivel).
  • Aplicații, cum ar fi Microsoft SQL poate folosi criptarea Transparent Data Encryption (TDE) pentru a cripta automat intrările din baza de date.

În cele din urmă se dovedește că Intel AES-NI poate accelera în mod semnificativ de tranzacții și să facă angajații clienți mai fericiți și mai productive.

criptare completă de disc criptează întregul disc, cu excepția MBR. În plus față de Microsoft BitLocker, există o serie de alte aplicații de criptare disc care pot utiliza Intel AES-NI, cum ar fi PGPdisk. Problema cu criptare completă de disc este că aceasta poate provoca degradarea performanței, cauzând utilizatorilor să renunțe la utilizarea acestei metode de criptare. Cu Intel AES-NI este impactul asupra performanței practic a dispărut, iar utilizatorii vor fi mai dispuși să includă o criptare completă de disc și să profite de ea.

îmbunătățiri ale performanței

Deci, ce sunt îmbunătățirile de performanță pe care le vedem de fapt cu Intel AES-NI? Deși este greu de spus exact ceea ce această tehnologie are de oferit, pentru că este destul de nou. Dar Intel a deținut o serie de propriile lor teste, ale căror rezultate sunt încurajatoare:

  • Atunci când se lucrează cu servicii bancare online pe personalul Microsoft IIS / PHP companiei a constatat că, comparând cele două sisteme se bazează pe Nehalem, unul cu si fara criptare a fost o creștere de 23% dintre utilizatorii care pot fi sprijinite pe acest sistem. Atunci când sistemul este criptat Nehalem comparativ cu sistem non-Nehalem, îmbunătățirea numărului de utilizatori a fost de 4,5 ori mai susținute. Este rezultate uimitoare!
  • În testul, angajații de criptare / decriptare de baze de date Oracle 11g a constatat că atunci când se compară două sisteme de Nehalem, unul cu criptare activat, iar cealaltă - nu, sistemul cu criptare activat a indicat o reducere de 89%, în timp pentru a descifra tabelul criptat 5100000 rând. A existat, de asemenea, o reducere de 87% din timp pentru criptarii tipuri OLTP de tabele și de re-inserție și deleție de un milion de rânduri.
  • criptare completă a discului poate lua o mulțime de timp pentru criptarea inițială a discului. Intel a constatat că, atunci când criptarea Intel 32GB SDD conduce pentru prima dată, cu ajutorul punctului final de criptare pentru PC-uri McAfee a observat o scădere de la prima umplere de 42%. Este pur și simplu uimitor diferența pe care cu siguranta se va simți dacă așteptați oricând înainte de sfârșitul întregul proces de criptare disc pentru prima dată.

concluzie

Criptarea este acum o cerință pentru aproape toată lumea în viața de zi cu zi. AES - un nou standard de criptare. Deși criptarea ne permite să vă proteja datele, aceasta poate provoca un consum semnificativ de resurse și degradarea performanței, și, uneori, pur și simplu nu poate permite procesorului pentru a efectua alte sarcini de care avem nevoie. În trecut, această problemă ar putea face față prin trecerea la un procesor mai puternic sau de procesoare adaugand, precum și prin utilizarea deciziilor de descărcare de gestiune. Cu toate acestea, toate aceste abordări au construit-in limite. Intel AES-NI Noul standard crește semnificativ productivitatea și siguranța prin transferarea 6 noi reglementări asociate cu AES, pe cipul procesorului. Acest lucru îmbunătățește performanța și securitatea într-un număr de situații, cum ar fi rețea securizată și sesiuni la nivel de aplicație, tranzacții sigure, și criptare completă de disc cu un impact minim sau completă sunt singuri pe întregul proces de utilizare. Intel AES-NI ar trebui să facă parte din orice plan de a instala sistemele de client și server, în cazul în care criptarea este utilizat intensiv, cum ar fi atunci când DirectAccess este conectat la rețeaua companiei. Combinatia de arhitectura Nehalem și tehnologia Intel AES-NI promite să revoluționeze lumea computerelor și a îmbunătăți performanța utilizatorilor și administratorilor, împreună cu performanțe îmbunătățite.

Pentru mai multe informații despre procesor 5600 seria Intel Xeon cu Intel AES-NI, faceți clic pe link-ul următor.