Безболезнено криптиране Intel Advanced Encryption Standard нови инструкции (AES-NI)

Значението на криптиране

  • Когато включите вашия лаптоп и автоматично се свържете с вашата безжична точка за достъп, вероятно с помощта на WPA криптиране, и AES като алгоритъм за криптиране.
  • Когато се свържете към защитена уеб сайт за споделяне на информация или да закупите някои продукти, това е SSL връзка е криптирана сесия, която има за цел да гарантира, че вашите чувствителни данни не са били на разположение на останалата част от света.
  • Когато вашият лаптоп е с помощта на BitLocker за шифроване на информацията на диска, ако той е откраднат, информацията за своите дискове няма да стане "обществено достояние".
  • Когато създавате IPsec VPN връзка или връзка DirectAccess IPsec съответната мрежа IPsec връзка е защитена с AES криптиране

Има много примери, но е ясно, че за криптиране, и AES в частност, е неразделна част от живота на компютъра, независимо дали го знаят или не.

Като мрежов администратор, вие знаете, че криптирането е важна част от вашата вътрешна инфраструктура. Хакерите вече не се интересуват от възможността да се постави цялата си мрежа, както е било преди. Защо? Защото в такива атаки в цялата организация няма да се печелят пари. С прилагането на повече и по-тежки санкции за незаконното хакерство, повечето хакери вече не го правят единствено в името на интереси. Вместо това, днес хакер е незаконно предприемачите, които искат да правят пари. Един от начините да направите това е компромис от основните сървъри и укриване на този факт. Хакерът иска да открадне информация, която може да бъде изгодно да продават, например, база данни, пълна с лична информация или фирмена тайна. Хакерът обикновено не могат да се правят пари, ако прекъсване на работа на сървъра, и няма да може да се правят пари, ако знаете, че тя е там, и можете да го спре, преди да получи желаното. По този начин, ще трябва да използвате криптиране вътре на инфраструктурата като защитен механизъм "от последна инстанция", за да се предотврати хакери да получат достъп до важна информация.

Криптирането е също важна част от спазването на правилата на обикновените ИТ задачи; като всички следните разпоредби включват криптиране, като част от своите стандарти:

  • HIPAA (Закон за здравното осигуряване отчетност преносимост и)
  • SOX (Sarbanes-Oxley)
  • PCI DSS (Card Industry Data вноска стандарт за сигурност)

AES: Новият стандарт

AES криптиране е настоящият стандарт се използва от правителството на САЩ, и го заменя предишния стандарт, тройно DES, което използва стандартен 56-битов ключ. AES да използвате ключове с различни дължини, които се характеризират като AES-128, AES-192 и AES-256. В зависимост от дължината на ключа може да бъде до 14 цикъла на преобразуване, необходими за производството на крайния ciphertext.

AES също има няколко режима на работа:

  • Електронната кодова книга (ЕЦБ)
  • свързване на кодирани блокове (СВС)
  • брояч (CTR)
  • шифър обратна връзка (CFB)
  • изход за обратна връзка (на В)

Блоковете от веригата криптирана (свързване на кодирани блокове) режим е най-често, тъй като осигурява приемливо ниво на сигурност и не е предмет на статистическа атаки уязвимост.

Трудности: безопасност срещу продуктивност

Основният проблем с такива модерни методи за кодиране, като AES с ТГС е, че те консумират много процесорни ресурси. Това е особено вярно за сървъри, но това може да създаде проблеми за изтеглени клиентски системи, тъй като те са изложени по-малко мощни процесори. Това означава, че можете да откриете себе си пред избор: висока степен на защита срещу високото ниво на производителност на системата ви. Тази ситуация може да бъде толкова проблемна на сървъра страна, че тези начини за заобикаляне на тези проблеми, като SSL или IPsec разтоварвам карти (разтоварване криптиране карта) се използват за намаляване на нивото на натоварване на процесора и може процесорът да изпълнява друга работа, в допълнение към създаване на сесии и криптиране.

Проблемът с добавяне на карти е, че те зависят от приложението и може да не работи, в зависимост от целта, за която искате да ги използвате. Имаме нужда от общо решение, което ще работи във всички криптиране AES сценарии, които не трябва да правите нищо специално, за да се освободят от задачи CPU криптиране. Имаме нужда от решение за "щепсела и да играе", която ще бъде вградена в операционната система и на дънната платка.

Intel AES-NI идва на помощ

Ако сте съгласни с това, тогава има някои добри новини за вас "и нов набор от инструкции Intel AES-NI, която в момента е достъпна в процесори Intel Xeon5600 серия отговаря на тези критерии. По-рано този процесор е бил известен с код му име Westmere-EP. AES-NI изпълнява някои AES стъпки в хардуер, точно в чипа на процесора. Въпреки това, вие трябва да знаете, че AES-NI на процесора не включва пълното прилагане на процеса AES, само някои от компонентите, необходими за оптимизиране на работата. AES-NI прави това чрез добавяне на шест нови AES инструкции: четири от тях за кодиране / декодиране, по един за колоните "микс" (смесване) и един за генериране на текст следващия цикъл "следващия кръг" (където броят на циклите се контролира от дължината малко избрано ти).

В момента Intel AES-NI Основната дейност на три точки:

  • Сигурни транзакции през интернет и интранет
  • Пълен дисково криптиране (например, както е случаят с Microsoft BitLocker)
  • на ниво приложение за криптиране (част от сигурна транзакция)

Сигурни транзакции през интернет и интранет могат да включват използването на SSL, за да се свържете със защитена Уеб сайт в интранет или Интернет. В допълнение, тунелни и транспортни режими IPsec са все по-популярни процедури за защита на вътрешната мрежа и DirectAccess в случай на интернет. Имайте предвид, че SSL се използва за осигуряване на комуникации слой 7 и IPsec се използва за защита комуникационната мрежа (трето) ниво.

Наскоро е било възможно да чуя, че изчислителни облаци се превръща в следващата голяма пробив в света компютър и доставчик на компютърни услуги в облака има голяма полза от Intel AES-NI, където по-голямата част от комуникацията им ще бъде направено чрез шифрован канал. Що се отнася до IPsec, ако сървърът има само няколко IPsec връзки, това ще бъде достатъчно, и SSL разтоварването. Но ако вашият сървър е зареден, Intel AES-NI, самостоятелно или в комбинация с SSL разтоварването е добър вариант.

Освен това, там е компонент на сделката ( 'тайни сделки "). В допълнение към криптиране, приложение или мрежово ниво, приложния слой има криптиране, който използва Intel AES-NI. Например:

  • Бази данни могат да бъдат криптирани
  • Mail могат да бъдат криптирани
  • RMS използва шифроване
  • Файловият самата система може да бъде криптирана (за разлика на ниво криптирането на диска).
  • Приложения като Microsoft SQL могат да използват криптиране прозрачно криптиране на данните (TDE), за да кодира автоматично записите в базата данни.

В крайна сметка се оказва, че Intel AES-NI може значително да ускори сделки и да направи по-щастливи клиенти и по-продуктивни служители.

Пълен дисково криптиране на целия диск криптира с изключение на MBR. В допълнение към Microsoft BitLocker, има и редица други приложения за дисково криптиране, които могат да използват Intel AES-NI, като PGPdisk. Проблемът с пълно криптиране на диска е, че тя може да доведе до спад в производителността, кара потребителите да се откажат от използването на този метод за криптиране. С Intel AES-NI е въздействието върху производителността на практика изчезна, а потребителите ще бъдат по-склонни да включва пълна криптиране на диска и да се възползват от него.

подобрения в производителността

Така че какви са подобренията за успешно представяне ние всъщност виждаме в Intel AES-NI? Въпреки че е трудно да се каже какво точно тази технология може да предложи, тъй като тя е сравнително нова. Но Intel е заемал редица свои собствени тестове, чиито резултати са окуражаващи:

  • Когато се работи с онлайн банкови услуги на служителите на Microsoft IIS / PHP компанията е установила, че сравняването на двете системи са базирани на Nehalem, този с и един без шифроване е увеличение от 23% от потребителите, които могат да бъдат подкрепени на тази система. Когато системата е криптиран Nehalem, в сравнение с не-Nehalem система, подобряване на броя на поддържаните потребители е 4.5 пъти. Това е невероятни резултати!
  • В теста, служителите на кодиране / декодиране на Oracle база 11g данни са установили, че при сравняване на две Nehalem системи, едната с активирано кодиране, а другият - не, системата с активирано кодиране показа 89% намаление на време, за да дешифрира 5,1 млн ред криптирана маса. Имаше и намаляване на 87% от времето за криптиране на видове OLTP на маси и повторното включване и заличаване на един милион реда.
  • Пълен криптиране на диска може да отнеме много време, за първоначалното дисково криптиране. Intel е установил, че когато криптиране Intel 32GB SDD диск за първи път с помощта на шифроване на крайната точка за персонални компютри McAfee наблюдава спад от първото запълване на 42%. Това е просто невероятно тази разлика, че със сигурност ще се почувствате, ако се изчака и да било преди края на процеса на пълно криптиране на диска за първи път.

заключение

Encryption сега е изискване за почти всеки в ежедневието. AES - нов стандарт за шифроване. Въпреки криптиране ни позволява да защитите данните си, тя може да доведе до значително консумацията на ресурси и деградация на производителността, а понякога просто не може да се даде възможност на процесора да изпълнява други задачи, които имаме нужда. В миналото, този проблем може да се справи с преминаването към по-мощен процесор, или се добавят процесори, както и чрез използването на решения за освобождаване от отговорност. Въпреки това, всички тези подходи имат вградени ограничения. Intel AES-NI Новият стандарт значително увеличава производителността и безопасността чрез прехвърляне на 6 нови разпоредби, свързани с AES, върху чип процесор. Това подобрява производителността и сигурността в редица ситуации, като например защитена мрежа и на ниво приложение сесии, сигурни транзакции, както и пълно криптиране на диска с минимално въздействие или пълно навън сам на целия процес на използване. Intel AES-NI трябва да бъде част от всеки план за инсталиране на системи за клиента и сървъра, където се използва криптиране интензивно, като например, когато DirectAccess е свързан с корпоративната мрежа. Съчетанието на Nehalem архитектурата и Intel AES-NI технология обещава да революционизира света на компютъра и да се подобри ефективността на потребители и администратори, както и подобряване на ефективността.

За повече информация за Intel Xeon процесор 5600 серията с Intel AES-NI, кликнете на следната връзка.