[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Kleines Gateway, Kryptohardware
[Thread Prev] | [Thread Next]
- Subject: Kleines Gateway, Kryptohardware
- From: Christian Weisgerber <naddy@xxxxxxxxxxxx>
- Date: Mon, 5 Dec 2005 20:54:16 +0000 (UTC)
- To: uugrn@xxxxxxxxxxxxxxx
Da der ungeeignete Rechner, der diese Aufgabe bisher erfuellt, allmaehlich Aufloesungserscheinungen zeigt, muesste ich mir ein neues Gateway fuer den Heimbedarf zulegen: - Unterstuetzt von OpenBSD. PC-Architektur, i386 oder amd64, bietet sich an. - Einigermassen kompakt. Kann durchaus Luefter haben. - Dreibeiniges Gateway (LAN, WLAN, WAN), also muss 3� 100M-Ethernet reinpassen, eher 2� 100M und 1� 1000M. - (Serielles BIOS. Okay, gestrichen, weil der Markt das nicht hergibt.) - Muss IPsec mit voller WLAN-Datenrate fahren koennen! Die allseits beliebten Soekris-Kloetzchen sind leider voellig unter- motorisiert. Der Prozessor ist am Anschlag, wenn er nur Pakete mit .11g-Rate vermitteln muss. Verschluesselungsbeschleuniger (s.u.) sind sinnlos, weil das Prozessorchen zu schwach ist, um den Overhead abzuarbeiten. Der VIA C3 mit Nehemiah-Kern ist auf den ersten Blick interessant: kleiner, stromsparender Prozessor mit direkt in den Prozessor integrierter Verschluesselungsmaschinerie, erhaeltlich auf kompakten Platinen. Leider kann er nur AES und keinen gaengigen Hash, muss also den aufwendigen HMAC wieder zu Fuss berechnen. Der Nachfolger C7 mit Ester-Kern ist dagegen ein Traumkandidat fuer ein IPsec-Gateway: AES, SHA, und Multiplizierer fuer RSA in Hardware. Leider scheint er ausserhalb von VIAs Webseiten nicht zu existieren und auch VIA selbst verkauft keine mit ihm bestueckten Platinen. Ein kleiner Exkurs, wo wir gerade von Kryptohardware reden: Ich wollte mir kuerzlich einen solchen Beschleuniger als PCI-Steckkarte zulegen, einfach mal zum Ausprobieren. Im Vergleich zu einer Umsetzung im Prozessorkern sind solche Koprozessoren natuerlich umstaendlich. Sie muessen vom Hauptprozessor vorab fuer jede Verschluesselungsaktion konfiguriert werden und die Daten muessen zweimal ueber den PCI-Bus. Ein Blick ueber die von OpenBSD unterstuetzten Beschleuniger zeigt, dass nur neuere Hifn-Koprozessoren von Interesse sind. Hifn selbst fuehrt einige PCI-Karten im Produktkatalog auf, aber kaufen kann man diese anscheinend nicht. Die einzige Quelle, die ich gefunden habe, sind die entsprechenden Soekris-Karten. Konkret hatte ich die vpn1401 im Auge. Die uebliche Quelle fuer Soekris-Produkte, KD85.com, hat die Karte nicht mehr in der Preisliste. Nachfrage bei Wim hat ergeben, dass sie schlicht nicht stabil ist (irgendwelche Probleme mit der Taktabnahme vom PCI-Bus), sich oefters verklemmt und nicht fuer den Produktiveinsatz geeignet. Wenn selbst der ueberaus geschaeftstuechtige Wim etwas nicht verkaufen will, dann ist das ernst zu nehmen. (Wer will, kann die Karten weiterhin von Sørens Bruder in Daenemark beziehen.) Kurzum, es gibt keine Kryptokarten auf dem Markt. Aktuelle Prozessoren fuer den PC-Markt sind natuerlich laengst so schnell, dass sie die Verschluesselung mit der hier gewuenschten Datenrate selbst abwickeln koennen. Mangels Alternativen schiele ich jetzt Richtung eines dieser kompakten "Barebone"-Wuerfel o.ae. mit Pentium M. Die c't und die Anzeigen sind voll davon, aber mit einer starken Ausrichtung auf "Mediacenter". Nun interessieren mich die Video- und Audio-Fertigkeiten aber ueberhaupt nicht, ich brauche das Geraet eben als Netzwerkkomponente. Gibt es da irgendwas auf dem Markt? Netzwerkinterfaces muessen nicht auf der Hauptplatine integriert sein, aber dann muessen Steckplaetze da sein, ich haenge keine USB- Ethernet-Adapter daran. Der Mac mini scheidet entsprechend auch aus. Moechte jemand etwas ergaenzen? -- Christian "naddy" Weisgerber naddy@xxxxxxxxxxxx