OpenBSD får stöd i maskinvara för IPsec-kryptering

Från Säkerhet & Sekretess Nr 4, 2000, med tillstånd.

Det spridda unixoperativet OpenBSD kan sedan kort tid tillbaka kompletteras med en extra, maskinvarubaserad krypteringsmotor för symmetrisk kryptering. Därmed avlastas den ordinarie hanteringen av IPsec-lagret i datorn - och man kan nog räkna med en ordentlig ökning i systemprestanda. Enligt uppgift går det att köra IPsec ESP med 3DES/SHA1 vid drygt 63 Mbps (63,12 för att vara exakt).

Nyheten publicerades på e-postlistan OpenBSD-announce nyligen, och av allt att döma handlar det inte om någon direkt standardiserad teknik ännu. Det är hittills bara kort baserade på kretsen HiFn 7751 som kan användas på detta sätt. Kretsen är en IPsec-orienterad kryptomotor för DES/3DES och SHA/MD5.

Den främsta användningen blir antagligen i IPsec-baserade VPN-lösningar med i förväg utdelade nycklar (pre-shared keys). IPsec är en standardfunktion i OpenBSD idag, och därför kan maskinvarustödet för snabb, symmetrisk kryptering komma att underlätta operativets användning framöver i kombinerade brandväggar och gateway-datorer för virtuella privata nät.

Tricket för att öka systemets prestanda ligger i princip i att separera krypteringsoperationerna från resten av den protokollbearbetning som sker i IPsec-lagret - i praktiken genom att låta arbetet ske vid en något senare tidpunkt. OpenBSD-folket har meddelat att det kommer att arbeta vidare med att få mer maskinvara anpassad till operativet, bland annat från IRE och Bluesteelnet. Men det hänger bland annat på hur villiga tillverkarna är att samarbeta.

Den bakomliggande tanken sägs bland annat vara att utöka det kryptografiska ramverket i OpenBSD till att även stödja RSA/DSA för de kretspaket som stödjer sådan kryptering. Därmed kan OpenSSL utnyttjas - och på så sätt går det att skrämma upp prestanda även för https och ssh.