[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Kleines Gateway, Kryptohardware


Da der ungeeignete Rechner, der diese Aufgabe bisher erfuellt,
allmaehlich Aufloesungserscheinungen zeigt, muesste ich mir ein neues
Gateway fuer den Heimbedarf zulegen:

- Unterstuetzt von OpenBSD. PC-Architektur, i386 oder amd64, bietet
  sich an.
- Einigermassen kompakt. Kann durchaus Luefter haben.
- Dreibeiniges Gateway (LAN, WLAN, WAN), also muss 3Ã? 100M-Ethernet
  reinpassen, eher 2Ã? 100M und 1Ã? 1000M.
- (Serielles BIOS. Okay, gestrichen, weil der Markt das nicht
  hergibt.)
- Muss IPsec mit voller WLAN-Datenrate fahren koennen!

Die allseits beliebten Soekris-Kloetzchen sind leider voellig unter-
motorisiert. Der Prozessor ist am Anschlag, wenn er nur Pakete mit
.11g-Rate vermitteln muss. Verschluesselungsbeschleuniger (s.u.)
sind sinnlos, weil das Prozessorchen zu schwach ist, um den Overhead
abzuarbeiten.

Der VIA C3 mit Nehemiah-Kern ist auf den ersten Blick interessant:
kleiner, stromsparender Prozessor mit direkt in den Prozessor
integrierter Verschluesselungsmaschinerie, erhaeltlich auf kompakten
Platinen. Leider kann er nur AES und keinen gaengigen Hash, muss
also den aufwendigen HMAC wieder zu Fuss berechnen. Der Nachfolger
C7 mit Ester-Kern ist dagegen ein Traumkandidat fuer ein IPsec-Gateway:
AES, SHA, und Multiplizierer fuer RSA in Hardware. Leider scheint
er ausserhalb von VIAs Webseiten nicht zu existieren und auch VIA
selbst verkauft keine mit ihm bestueckten Platinen.

  Ein kleiner Exkurs, wo wir gerade von Kryptohardware reden: Ich
  wollte mir kuerzlich einen solchen Beschleuniger als PCI-Steckkarte
  zulegen, einfach mal zum Ausprobieren. Im Vergleich zu einer
  Umsetzung im Prozessorkern sind solche Koprozessoren natuerlich
  umstaendlich. Sie muessen vom Hauptprozessor vorab fuer jede
  Verschluesselungsaktion konfiguriert werden und die Daten muessen
  zweimal ueber den PCI-Bus.

  Ein Blick ueber die von OpenBSD unterstuetzten Beschleuniger zeigt,
  dass nur neuere Hifn-Koprozessoren von Interesse sind. Hifn selbst
  fuehrt einige PCI-Karten im Produktkatalog auf, aber kaufen kann
  man diese anscheinend nicht. Die einzige Quelle, die ich gefunden
  habe, sind die entsprechenden Soekris-Karten. Konkret hatte ich
  die vpn1401 im Auge. Die uebliche Quelle fuer Soekris-Produkte,
  KD85.com, hat die Karte nicht mehr in der Preisliste. Nachfrage
  bei Wim hat ergeben, dass sie schlicht nicht stabil ist (irgendwelche
  Probleme mit der Taktabnahme vom PCI-Bus), sich oefters verklemmt
  und nicht fuer den Produktiveinsatz geeignet. Wenn selbst der
  ueberaus geschaeftstuechtige Wim etwas nicht verkaufen will, dann
  ist das ernst zu nehmen. (Wer will, kann die Karten weiterhin von
  Sørens Bruder in Daenemark beziehen.)

  Kurzum, es gibt keine Kryptokarten auf dem Markt.

Aktuelle Prozessoren fuer den PC-Markt sind natuerlich laengst so
schnell, dass sie die Verschluesselung mit der hier gewuenschten
Datenrate selbst abwickeln koennen. Mangels Alternativen schiele ich
jetzt Richtung eines dieser kompakten "Barebone"-Wuerfel o.ae. mit
Pentium M. Die c't und die Anzeigen sind voll davon, aber mit einer
starken Ausrichtung auf "Mediacenter". Nun interessieren mich die
Video- und Audio-Fertigkeiten aber ueberhaupt nicht, ich brauche das
Geraet eben als Netzwerkkomponente. Gibt es da irgendwas auf dem
Markt? Netzwerkinterfaces muessen nicht auf der Hauptplatine integriert
sein, aber dann muessen Steckplaetze da sein, ich haenge keine USB-
Ethernet-Adapter daran. Der Mac mini scheidet entsprechend auch
aus.

Moechte jemand etwas ergaenzen?

-- 
Christian "naddy" Weisgerber                          naddy@xxxxxxxxxxxx