Schnelle Festplattenverschlüsselung 1

Erstellt von René Keller am 17. Juli 2009

Wie die Leser dieses Blogs erahnen werden, laufen alle von mir aufgesetzten Server auf FreeBSD. FreeBSD besitzt nativ Verschlüsselungsfunktionen, die komfortabel dazu genutzt werden können, den kompletten Festplatteninhalt sicher zu verschlüsseln. Dies bietet sich insbesondere für jede Rechner an, die vertrauliche Daten enthalten und in normal abgesicherten Räumlichkeiten stehen (Büros, insbesondere im Erdgeschoss).

Allerdings ist die Verschlüsselung sämtilcher ein- und ausgehender Festplattendaten ziemlich rechenintensiv, was zu einem merklich geringerem Datendurchsatz bei Lese- und Schreiboperationen führt. Da für einen Server aber beides gewährleistet sein musste, bin ich über Google auf die VPN-Accelerator-Karte

Soekris Engineering VPN-Karte / vpn1401

gestoßen, die die Verschlüsselung und Kompression von Daten mit gängigen Verfahren auf einem eigenen Prozessor durchführt und somit die übrigen System-Ressourcen schont. Nach Angaben des Herstellers verschlüsselt sie mit einer Geschwindigkeit von 210 und 460 Mbps, je nach Verfahren. Da diese Karte bereits für 69,00 € inkl. MwSt. zu haben ist, habe ich sie einfach mal ausprobiert.

Die Installation

Leider muss zur Installation der Kernel neu kompiliert werden, was aber bei FreeBSD kein Problem ist. Hier einfach die bestehende Kernel-Konfiguration (oder standardmäßig bspw. /sys/i386/conf/GENERIC) bearbeiten und folgende Zeilen hinzufügen:

  device crypto
  device cryptodev
  device hifn

Anschließend den Kernel neubauen und in der Datei /boot/loader.conf vermerken, dass das Verschlüsselungsmodul bereits beim Systemstart geladen werden soll:

  hifn_load="YES"

Nach einem Neustart wurde die Karte direkt von GELI erkannt. Seither wird für Lese- und Schreiboperationen weniger CPU-Zeit verbraucht, ferner ist das Systemverhalten deutlich agiler. Auch SSH- und SSL-Anwendungen profitieren von dieser Hardware.

Allerdings benutze ich eine verhältnismäßig langsame Athlon XP 2400 CPU. Ob bei moderneren Mehrkernprozessoren ein Geschwindigkeitsvorteil bemerkbar ist, müsste man mal ausprobieren. Gerner postet mir einer seine Erfahrung!

Trackbacks

Klicke den Link an, um zur ursprünglichen Seite zurück zu kehren.

Kommentare

You must be logged in to leave a response.