[zorp-hu] ssh, https

Attila Nagy bra at fsn.hu
2005. Aug. 11., Cs, 15:26:50 CEST


Balazs Scheidler wrote:
> A kerdes nem ennyire egyszeru, ugyanis a legtobb crypto-t hasznalo
> alkalmazas nem sima szimmetrikus ciphereket hasznal, sokkal inkabb
> egyfajta hibrid rendszert, es ha "openssl speed rsa" parancsot adsz ki,
> akkor lathato, hogy egy mai rendszer 1024 bites kulcsokkal 100% proci
> terheles mellett bizony kb 250-300 alairas muveletet tud vegrehajtani.
Xeon 3,6 GHz:
                   sign    verify    sign/s verify/s
rsa  512 bits   0.0003s   0.0000s   3313.1  40031.9
rsa 1024 bits   0.0012s   0.0001s    861.0  15376.7
rsa 2048 bits   0.0066s   0.0002s    150.7   5036.9
rsa 4096 bits   0.0432s   0.0007s     23.1   1355.2

Opteron 2,6 GHz:
rsa  512 bits   0.0002s   0.0000s   4748.2  53740.7
rsa 1024 bits   0.0006s   0.0000s   1573.6  24484.7
rsa 2048 bits   0.0033s   0.0001s    303.0   9478.9
rsa 4096 bits   0.0201s   0.0003s     49.8   3028.7

Hogy viszonyulnak ezek a számok a gyorsítókártyákéhoz?

Egy nCipher nFast Ultra (nem tudom ez kb. milyen árban lehet) adatlapja 
10000 TPS-t ad meg (RSA1024 decrypt, bővebb infót hirtelen nem találtam) 
  300 Mbps-es (full duplex) áteresztőképesség mellett.

Itt némi előny látszik, de ha egy modern processzor képes 1600 műveletre 
másodpercenként, az (a vélhető árkülönbség miatt) nem tűnik olyan nagy 
veszteségnek.

Gondolom ti is végeztetek mérést ilyen kártyákkal. Mikor ajánljátok? 
Ajánljátok?

> tehat a gyorsitas egyik elsodleges celja az RSA muveletek off-loadolasa,
> igy a processzor egyeb fontos feladatokkal tud foglalkozni. (pl. elemzi
> a protokoll streamet).
Arra ott a második processzor. Ma már "fillérekért" lehet venni egy két 
processzoros dual core opteronos gépet, amely a fenti benchmark szerint 
olyan 4-6000 sign/s-et tudhat, persze csak ha ezzel foglalkozik...

> szimmetrikus gyorsitokartyaknal nem ennyire egyertelmu a helyzet,
> gyakran a setup illetve a PCI transfer ideje akkora latencyt okoz, hogy
> nagyobb atvitel erheto el kizarolag szoftveres crypto alkalmazasaval.
Az nCiphernek ha jól látom vannak Ethernet kártyával egybeépített 
termékei is. Ezekről esetleg van valami tapasztalatotok? Itt megfelelő 
felépítés esetén ez a késleltetés kiiktatható.

> itt ezeket kell merlegelni:
>   - a CPU terhelese, vagy a latency a nagyobb problema? lehet, hogy a
> CPU terhelese mar akkora, hogy az ateresztokepesseg novekedne a
> gyorsitokartya alkalmazasaval, meg akkor is, ha setup/pci transfer idot
> visz el.
Igen, ilyet én is el tudok képzelni.

Az árakkal nem vagyok tisztában, ezért (is) érdeklődök. Ha mondjuk egy 
megfelelő kártya a 3-500 ezer forintos kategóriában mozog (a fent 
említett Ultra elég high-endnek tűnik a cég többi kártyájához képest, de 
lehet, hogy mellélőttem :), akkor nekem úgy tűnik, hogy a "dobj bele a 
képletbe még több PC-t" gazdaságosabb és nem utolsósorban hibatűrőbb 
megoldást ad.

Nem beszélve arról, hogy ha feltételezem (feltételezhetem?), hogy a Zorp 
cache-eli az SSL-es kapcsolatokat, akkor ez az 1500 TPS gyakorlatban 
sokkal többet jelenthet.

Akkor ez az új kérdésem, ha még jó vagyok a válaszra. :)

Cache-elhetők ezek az SSL kapcsolatok?

Köszönöm!

-- 
Attila Nagy                                   e-mail: Attila.Nagy at fsn.hu
Adopt a directory on our free software   phone @work: +361 371 3536
server! http://www.fsn.hu/?f=brick             cell.: +3630 306 6758


További információk a(z) zorp-hu levelezőlistáról