About / Advertise
Med ny hårdvara kan nätet klara kryptering i gigabitfart
Säkerhet kostar processortid både för e-handelsbolaget och för företaget med ett virtuellt privat nätverk för sina anställda. Men med ny hårdvara ska nätet bli både snabbt och säkert. Det lovar tillverkarna av olika säkerhetskretsar eller säkerhetsprocessorer.
Säkerhet kostar processortid både för e-handelsbolaget och för företaget med ett virtuellt privat nätverk för sina anställda. Men med ny hårdvara ska nätet bli både snabbt och säkert. Det lovar tillverkarna av olika säkerhetskretsar eller säkerhetsprocessorer.
Kretsar för att accelerera kryptering och verifiera nycklar har funnits på marknaden en tid. Men med explosionen av e-handelsplatser och banktjänster på nätet räknar analysföretaget Gartner group med att marknaden ska explodera under det kommande året. Både vad gäller antalet sålda kretsar och kretsarnas prestanda.
- Vi ser att kraven på uppkopplingshastigheten kommer att öka och konsumenterna kommer inte att acceptera att den sjunker bara för att man inför säkra system för transaktioner eller virtuella privata nätverk, säger Alan Brown som är analytiker på Gartner groups halvledaravdelning.
Marknaden för säkerhetsprocessorer kan delas i två huvuddelar med avseende på vilka typer av säkerhetsprotokoll de hanterar. För de virtuella privata nätverken som fungerar genom att information sänds krypterad via det publika Internet finns processorer som hanterar en säker version av Internetprotokollet kallad IPsec. Den andra typen av processorer hanterar protokollet Secure Sockets Layer (SSL) som är avsett för att skapa en anslutning för säkra ekonomiska transaktioner på nätet. Båda protokollen bygger på algoritmer som Triple Data Encryption Standard (3DES), Rivest-Shamir-Adlerman (RSA) eller Secure Hash Algorithm för att utföra krypteringen. Ofta en algoritm som bygger på öppna nycklar, så kallad asymmetrisk kryptering. Dessa algoritmer kräver avancerad matematik för att till exempel ta fram slumptal eller stora primtal. Visserligen går det att ta fram den informationen med hjälp av en generell processor, men genom att lägga till acceleratorfunktioner direkt i hårdvara avlastas annan nätverksutrustning.
Olika konstruktörer har valt olika strategier för att accelerera beräkningen av krypteringen. Antingen att låsa specifika standarder i kretsen, eller som amerikanska Chrysalis-ITS välja en mer generell metod.
- När vi skulle designa vår krets valde vi att titta på vilka algoritmer som är vanliga i olika krypteringsstandarder och lade in funktioner i kretsen för att accelerera dem. Det gör att vi kan vara flexibla när det gäller olika protokoll, säger Steve Davis som är systemarkitekt på Chrysalis-ITS.
Företaget tillverkar system för datasäkerhet för banker och finansinstitutioner och är ett av de som rankas som ledande när det gäller processorer för att accelerera SSL-säkrade transaktioner.
- Till exempel har vi lagt in en väldigt snabb rutin för multiplicering som hjälper oss att finna primtal, generera slumptal och göra den matematiken som krävs för RSA-kryptering väldigt snabbt.
Steve Davis säger att hans processorer klarar att utföra SSL-beräkningar på dataströmmar upp till gigabithastighet.
- Det är mer än vad någon generell processor klarar, säger han.
När säkerhetskretsarna konstrueras krävs hela tiden avvägningar mellan flexibilitet och snabbhet, hur mycket som göras i mjukvara och hur mycket som ska läggas in i hårdvara. När dataöverföringshastigheterna ökar i näten går trenden mot att allt mer läggs i hårdvara.
- Vi rör oss mot att fler algoritmer läggs i hårdvara men försöker att bädda in dem i programvara som är flexibel, säger Steve Davis.
Idag rör sig kretsarna för virtuella privata nätverk mot multigigabithastigheter och möjligheten att hantera tusentals SSL-transaktioner i sekunden.
- Problemet för oss idag är att nå upp till de hastigheter som nätverksleverantörerna vill ha. För SSL finns det produkter som klarar hundra transaktioner i sekunden men jag är övertygad om att företag som Amazon och E-bay skulle vilja ha utrustning som klarar tusen eller etthundratusen transaktioner i sekunden, säger Steve Davis.
Att säkerhetskretsarna inte hinner med beror mycket på att SSL inte varit en flaskhals tidigare. När Chrysalis-ITS konstruerade sin krets siktade de på att klara av 300 SSL-transaktioner i sekunden. Idag, innan kretsen knappt ens nått ut på marknaden, ligger kundkraven på det tiodubbla.
Vid sidan av att ha algoritmer för snabb matematik utrustas säkerhetsprocessorerna med olika funktioner för att ta fram slumptal. Flera har förutom egna rutiner för slumptal möjligheten att matas med externa slumpdata i form av till exempel atmosfäriskt brus. Allt för att tillfredsställa olika krav på säkerhet från olika användare. Vissa beställare litar inte på slumpdata som de inte själva har kontroll på.
Kretsarna har också interna minnen för att lagra nycklar för krypteringen. Dessa nycklar kan skyddas av en intern kryptering och har även funktioner för att radera all information om en attack från en angripare skulle upptäckas.
även om marknaden för säkerhetsprocessorer är relativt ny kan den vara borta redan om ett par år. Alan Brown tror att funktionerna kommer att byggas in i annan nätverksutrustning som nätverksprocessorer.
- Många av de här företagen som tillverkar säkerhetsprocessorer kommer att bli uppköpta och deras teknik kommer att läggas in i andra produkter. När allt kommer omkring är säkerhet inget man vill se även om man vill vet att den finns.
Kretsarna som säkrar nätet
- Vi ser att kraven på uppkopplingshastigheten kommer att öka och konsumenterna kommer inte att acceptera att den sjunker bara för att man inför säkra system för transaktioner eller virtuella privata nätverk, säger Alan Brown som är analytiker på Gartner groups halvledaravdelning.
Marknaden för säkerhetsprocessorer kan delas i två huvuddelar med avseende på vilka typer av säkerhetsprotokoll de hanterar. För de virtuella privata nätverken som fungerar genom att information sänds krypterad via det publika Internet finns processorer som hanterar en säker version av Internetprotokollet kallad IPsec. Den andra typen av processorer hanterar protokollet Secure Sockets Layer (SSL) som är avsett för att skapa en anslutning för säkra ekonomiska transaktioner på nätet. Båda protokollen bygger på algoritmer som Triple Data Encryption Standard (3DES), Rivest-Shamir-Adlerman (RSA) eller Secure Hash Algorithm för att utföra krypteringen. Ofta en algoritm som bygger på öppna nycklar, så kallad asymmetrisk kryptering. Dessa algoritmer kräver avancerad matematik för att till exempel ta fram slumptal eller stora primtal. Visserligen går det att ta fram den informationen med hjälp av en generell processor, men genom att lägga till acceleratorfunktioner direkt i hårdvara avlastas annan nätverksutrustning.
Olika konstruktörer har valt olika strategier för att accelerera beräkningen av krypteringen. Antingen att låsa specifika standarder i kretsen, eller som amerikanska Chrysalis-ITS välja en mer generell metod.
- När vi skulle designa vår krets valde vi att titta på vilka algoritmer som är vanliga i olika krypteringsstandarder och lade in funktioner i kretsen för att accelerera dem. Det gör att vi kan vara flexibla när det gäller olika protokoll, säger Steve Davis som är systemarkitekt på Chrysalis-ITS.
Företaget tillverkar system för datasäkerhet för banker och finansinstitutioner och är ett av de som rankas som ledande när det gäller processorer för att accelerera SSL-säkrade transaktioner.
- Till exempel har vi lagt in en väldigt snabb rutin för multiplicering som hjälper oss att finna primtal, generera slumptal och göra den matematiken som krävs för RSA-kryptering väldigt snabbt.
Steve Davis säger att hans processorer klarar att utföra SSL-beräkningar på dataströmmar upp till gigabithastighet.
- Det är mer än vad någon generell processor klarar, säger han.
När säkerhetskretsarna konstrueras krävs hela tiden avvägningar mellan flexibilitet och snabbhet, hur mycket som göras i mjukvara och hur mycket som ska läggas in i hårdvara. När dataöverföringshastigheterna ökar i näten går trenden mot att allt mer läggs i hårdvara.
- Vi rör oss mot att fler algoritmer läggs i hårdvara men försöker att bädda in dem i programvara som är flexibel, säger Steve Davis.
Idag rör sig kretsarna för virtuella privata nätverk mot multigigabithastigheter och möjligheten att hantera tusentals SSL-transaktioner i sekunden.
- Problemet för oss idag är att nå upp till de hastigheter som nätverksleverantörerna vill ha. För SSL finns det produkter som klarar hundra transaktioner i sekunden men jag är övertygad om att företag som Amazon och E-bay skulle vilja ha utrustning som klarar tusen eller etthundratusen transaktioner i sekunden, säger Steve Davis.
Att säkerhetskretsarna inte hinner med beror mycket på att SSL inte varit en flaskhals tidigare. När Chrysalis-ITS konstruerade sin krets siktade de på att klara av 300 SSL-transaktioner i sekunden. Idag, innan kretsen knappt ens nått ut på marknaden, ligger kundkraven på det tiodubbla.
Vid sidan av att ha algoritmer för snabb matematik utrustas säkerhetsprocessorerna med olika funktioner för att ta fram slumptal. Flera har förutom egna rutiner för slumptal möjligheten att matas med externa slumpdata i form av till exempel atmosfäriskt brus. Allt för att tillfredsställa olika krav på säkerhet från olika användare. Vissa beställare litar inte på slumpdata som de inte själva har kontroll på.
Kretsarna har också interna minnen för att lagra nycklar för krypteringen. Dessa nycklar kan skyddas av en intern kryptering och har även funktioner för att radera all information om en attack från en angripare skulle upptäckas.
även om marknaden för säkerhetsprocessorer är relativt ny kan den vara borta redan om ett par år. Alan Brown tror att funktionerna kommer att byggas in i annan nätverksutrustning som nätverksprocessorer.
- Många av de här företagen som tillverkar säkerhetsprocessorer kommer att bli uppköpta och deras teknik kommer att läggas in i andra produkter. När allt kommer omkring är säkerhet inget man vill se även om man vill vet att den finns.
Kretsarna som säkrar nätet
Jonas Ryberg
