Titelaufnahme

Titel
KMedia - Network data encryption using a hardware crypto engine / von Ondrej Čevan
VerfasserČevan, Ondrej
Begutachter / BegutachterinDietrich, Dietmar
Erschienen2010
UmfangXIV, 167 S. : Ill., graph. Darst.
HochschulschriftWien, Techn. Univ., Dipl.-Arb., 2010
Anmerkung
Zsfassung in dt. Sprache
SpracheEnglisch
DokumenttypDiplomarbeit
Schlagwörter (DE)Verschlüsselungsbeschleuniger / IPsec / Talitos / Linux / Freescale / Leistung von kryptographischen Algorithmen / Netzwerksicherheit / Authenticated Encryption / AEAD
Schlagwörter (EN)cryptographic accelerator / security engine / IPsec / Talitos / Linux / Freescale / performance of cryptographic algorithms / network security / authenticated encryption / AEAD
URNurn:nbn:at:at-ubtuw:1-39488 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
KMedia - Network data encryption using a hardware crypto engine [1.82 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

Es ist das Ziel jedes Netzwerksicherheitsprotokolls die Daten, die durch das nicht vertrauenswürdige Internet transportiert werden, zu sichern. Die verwendeten kryptografischen Algorithmen können allerdings einen gravierenden Einfluss auf die Leistung eines Prozessors haben.

Deswegen wurden kryptografische Beschleuniger entwickelt, um den Prozessor von den kryptografischen Operationen zu entlasten. Diese Masterarbeit präsentiert eine Netzwerkanwendung, genannt KMedia, um die kryptografische Leistung eines Linux Kernels, der auf einem Kommunikations-Einchipsystem-Prozessor von Freescale mit einem eingebauten Verschlüsselungsbeschleuniger läuft, zu messen. Die "Authenticated Encryption" Algorithmen, die in dem Beschleuniger oder in dem Linux Kernel implementiert sind, wurden berücksichtigt und bezüglich ihrer Leistung verglichen. Diese kryptographischen Algorithmen ermöglichen die Geheimhaltung der Datenpakete, die Überprüfung der Datenherkunft und die Erkennung der Datenmanipulation. Die Tests wurden auf der Anwendungsschicht eines Netzwerkstacks ausgeführt und durch Werkzeuge unterstützt die entweder frei verfügbar waren oder im Rahmen der Masterarbeit entwickelt wurden. Die Ergebnisse zeigen, dass die Leistung des getesteten Netzwerkgeräts mit dem Krypto-Beschleuniger im Vergleich zur Leistung ohne Beschleuniger rund 1,3 mal besser mit Datenpaketen kleiner als 470 Bytes und bis zu 4 mal besser mit 32768 Bytes großen Paketen ist. Mit dem Beschleuniger wurden Datenraten nahe der maximalen Bandbreite des Testnetzwerkes erreicht. Die Ergebnisse zeigen auch, dass höhere Beschleunigungen erreicht werden können wenn die Ressourcen des Netzwerkgeräts nicht völlig ausgeschöpft sind, und, dass unterschiedliche Verschlüsselungsalgorithmen mit verschiedenen Datendurchsätzen in der Software ähnliche Durchsätze unter der Verwendung des Krypto-Beschleunigers erreichen.

Zusammenfassung (Englisch)

The goal of every network security protocol is to secure data transmitted through the untrustworthy Internet. However, the employed crypto algorithms can have a serious impact on a processor's performance and therefore cryptographic accelerators were developed to off-load cryptographic operations from the host processor. This master thesis presents a network application, called KMedia, for cryptographic performance measurements in the Linux kernel running on a communication system-on-chip processor from Freescale with an integrated security engine. Hardware and software implemented authenticated encryption algorithms that provide confidentiality, data origin authentication and manipulation detection security services are considered and compared on performance. Tests were executed on the application layer of a network stack and were supported by freely available benchmarking tools and by utilities developed in the scope of this thesis. The results show that the device's performance, when the cryptographic transformations are executed by the cryptographic accelerator instead of by the host processor, is around 1.3 times better for messages having less than 470 bytes, and up to 4 times better for messages with 32768 bytes. With the crypto accelerator data rates close to the link limit of the testing network are reached. The results show also that higher speedups are achieved when the system's resources are not fully exhausted and that different crypto algorithms, with various throughputs in software, exhibit similar throughputs on the security engine.