[zorp-hu] ssh, https

Attila Nagy bra at fsn.hu
2005. Aug. 15., H, 12:14:17 CEST


Balazs Scheidler wrote:
>>A fenti probléma enyhíthető lenne kicsit, ha a kripto műveleteket külön 
>>thread/processz végezné, nem? Ebben az esetben gyakorlatilag 
> Nem vegeztunk, pedig erdekes lenne. Jobban vegig gondolva nem hiszem,
> hogy jobb megoldas out-of-line vegezni a kripto muveleteket a masodik
> processzoron, ez mindenkeppen latency-t ad hozza. Inkabb arra kell
> figyelni, hogy az emlitett kripto kodok lehetoleg lockolas nelkul
> fussanak.
Ezt kifejtenéd kicsit? Hogyhogy lockolás nélkül? Ha jól sejtem, jelenleg 
minden openssl-t használó része a Zorpnak külön forkolt processzben fut 
és nem többszálú. Hol jön itt képbe a lockolás?

Latency... Gyanítom, hogy a memóriasávszélesség (legrosszabb esetben) 
azért nagyobb, mint a legnagyobb PCI buszé. :)

Arról nem is beszélve, hogy a kernel egy processzt futásidőben is 
áttehet másik processzorra és mivel a kripto nincs szétválasztva mondjuk 
a protokollelemzéstől, így viszonylag rossz ötletnek tűnik az erre 
forkolt processzt processzorhoz kötni.

De lehet, hogy teljesen hülyeség, ehhez tényleg meg kellene nézni valami 
életszerű környezetben.

>>Persze, azt hiszem ezt már csak durva firmware hackkel lehetne 
>>megoldani. De erre is volt már példa. :)
> naja, ha az openssl magan a kartyan futna es lenne ott egy kulon TCP/IP
> stack.
Semmi sem lehetetlen. :)

> 1) az openssl-ben van processzen beluli session cache, ezt kulon
> implementalni nem kell
> 2) megneztem kozelebbrol, es sajnos ahogy a Zorp hasznalja az SSL-t, ugy
> ez a cache nem mukodik. fel is vettem egy hibajegyet ezzel kapcsolatban.
Nagyszerűen hangzik, köszönöm. :)

>>Jobbat kérdezek (ha van): van lehetőség arra, hogy mondjuk memcached-del 
>>ezt a session store-t több gépen is használhatóvá tegyük?
> bar a memcached-t nem ismerem, de az OpenSSL lehetove teszi un.
> "external session id cache" letrehozasat, ezt hasznalja az apache is a
> fork()-olt processzek kotzi adatmegosztashoz.
Gondolom ez működik TCP/UDP socketen is.

>>Lehet, hogy teoretikus a kérdés, mert nem kezeltek ilyen infót, hülye 
>>vagyok a zorphoz, na. :)
> jelenleg session informaciot csak a peldanyon belul lehet megtartani,
> ott viszont eleg egyszeru. (azaz azt meg lehet oldani kizarolag
> Zorp-bol, hogy a sikeres POP3 authentikacio utan mukodik az SMTP, bar
> ugye ezt mar tulhaladta a kor az SMTP auth miatt).
Az igaz, de az, hogy a lehetőséget biztosítja a Zorp azért jelent 
valamit. :)

-- 
Attila Nagy                                   e-mail: Attila.Nagy at fsn.hu
Adopt a directory on our free software   phone @work: +361 371 3536
server! http://www.fsn.hu/?f=brick             cell.: +3630 306 6758


További információk a(z) zorp-hu levelezőlistáról