Вопросы обеспечения производительности криптографических

реклама
Вопросы обеспечения
производительности
криптографических средств при
соблюдении требований по защите
ООО «КРИПТО-ПРО»
Начальник отдела криптографического анализа
Попов Владимир Олегович
vpopov@cryptopro.ru
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Реализация криптографических систем на платформе
Intel/MS :
аппаратные платформы Intel
IA32 (Pentium III, Pentium IV c расширениями MMX,
SSE II, SSE III);
IA64 (Itanium);
В перспективе EM64T (Xeon64)
операционные системы MS
(CSP 2.0)
Windows 98/98SE/NT/ 2000/МЕ/ XP
(CSP 3.0)
Windows 2000/XP;
Windows 2003.
элементы КриптоПро CSP
CSP 2.0
загружаемая библиотека CSP,
криптографический сервис CSP,
модуль сетевой аутентификации TLS,
система настройки ОС
CSP 3.0 (добавляется)
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
криптодрайвер
www.cryptopro.ru
Архитектура криптографических служб в ОС Windows
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Архитектура криптографических служб в ОС Windows предполагает
возможность реализовывать на ее базе криптографические
системы с национальными алгоритмами и форматами.
Однако, в силу особенностей реализации, она не дает возможности
непосредственного включения новых CSP без доработки модулей
ОС либо использования механизмов обхода некоторых вызовов
системных и прикладных библиотек ОС.
Внедрение новых криптографических алгоритмов и форматов
требует настройки ряда системных модулей и переработки служб
криптографических протоколов ОС.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Вопросы реализации СКЗИ ООО КРИПТО-ПРО
на платформе Intel/MS
•
•
Использование российских стандартов
криптографической защиты данных.
Выполнение требований российских нормативов
обеспечения безопасности криптографических
систем,
• Обеспечение надежности выполнения
криптографических запросов.
• Настройка ОС на использование Крипто ПРО
CSP,
регистрация CSP.
• Обеспечение высокой производительности
сертифицированных средств
криптографической
защиты.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Варианты использования
Структурная схема IP шифратора
Управление ключевой
системой
ключи
CSP
Прикладной уровеньовень
Уровень ядра ОС
Драйвер среднего уровня
Криптодрайвер
Драйвер IP
(нижний уровень)
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Структурная схема шифрования дисков
Система разграничения
доступа ОС
Ключевая система
шифрования дисков
CSP
ключи
Прикладной уровеньовень
Уровень ядра ОС
Драйвер файловой
системы
Криптодрайвер
Драйвер дисков
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Выполнение требований российских нормативов по
безопасности и надежности криптографических систем
1. надежностные характеристики узлов и элементов ПЭВМ.
2. система требований к системному программному
обеспечению и прикладным программам
• контроль загрузки
• контроль целостности
• контроль запусков
• контроль влияния на СКЗИ
(доверие к операционной системе)
3. надежность выполнения криптографических вызовов
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Производительность СКЗИ КриптоПро CSP
Производительность блочного шифрования и расшифрования на Pentium 4 HT, 3.066ГГц.
70000
60000
57914
61522
60768
58988
57395
50000
44829
43636
40000
Кб/с
30000
30090
28695
29079
28547
28778
28436
24306
20000
19791
17942
20211
20000
17776
19394
18047
10000
0
CNT encrypt
CSP 2.0
CNT decrypt
CBC encrypt
CBC decrypt
CSP 3.0, быстрое шифрование выключено
ECB encrypt
ECB decrypt
Hash
CSP 3.0, быстрое шифрование включено
Диаграммы производительности блочного шифрования на процессорах Intel Pentium 4 HT с CSP
2.0, CSP 3.0, использующим не оптимизированный код, и CSP 3.0 с оптимальным кодом
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Производительность блочного шифрования и расшифрования на Xeon Pentium 4,
1800 MHz
25000
24745
24612
24120
24061
23971
20380
20000
17470
17410
15705
16137
15560
15837
15000
15260
14601
Кб/с
10000
10144
10027
10101
10197
10120
10116
8638
5000
0
CNT encrypt
CSP 2.0
CNT decrypt
CBC encrypt
CBC decrypt
CSP 3.0, быстрое шифрование выключено
ECB encrypt
ECB decrypt
Hash
CSP 3.0, быстрое шифрование включено
Диаграммы производительности блочного шифрования на процессорах Intel Pentium 4
Xeon с CSP 2.0, CSP 3.0, использующим не оптимизированный код, и CSP 3.0 с
оптимальным кодом
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Производительность подписи по ГОСТ Р34.10-2001, Pentium 4 HT, 3.066ГГц.
586,7
600
496,8
500
456
389,1
400
290,3
op/s 300
228,5
200
100
0
Elliptic Sign
CSP 2.0
CSP 3.0, выключен оптимальный код
Elliptic Verify
CSP 3.0, включен оптимальный код
Диаграммы скорости операций генерации и проверки подписи по
ГОСТ Р34.10-2001 на процессорах Intel Pentium 4 HT
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Производительность подписи по ГОСТ Р34.10-2001, Xeon Pentium 4, 1800Mhz
287,8
266,9
300
250
200
156,8
144,5
150,6
op/s 150
72,8
100
50
0
Elliptic Sign
CSP 2.0
CSP 3.0, выключен оптимальный код
Elliptic Verify
CSP 3.0, включен оптимальный код
Диаграммы скорости операций генерации и проверки подписи по
ГОСТ Р34.10-2001 на процессорах Intel Pentium 4 Xeon
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Особенности переноса СКЗИ КриптоПро CSP
на систему с процессором Intel Itanium.
Особенности перехода на платформу IA64 (Itanium)
1. новая архитектура вычислителя
2. двойственность операционной системы в реализации архитектур IA64
и IA32.
Направления разработки
1. создание двухпровайдерной системы.
2. разработка системы управления двумя провайдерами.
3. инструментирование системных библиотек Win64.
4. внедрение системы контроля целостности.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Проблемы внедрения криптографических средств
на базе платформ Intel/MS общего назначения
1. Необходимость создания защищенных исполнений ОС общего
назначения.
2. Желательно, чтобы фирма Intel в дополнение к общедоступным
интегральным данным по надежности представила надежностные
характеристики отдельных узлов и элементов ПЭВМ (процессор,
ОЗУ, шина и т.п.).
3. Желательно с фирмой Microsoft проработать вопросы
упрощения настроек операционной системы, осуществляемой при
использовании продуктов ООО "КРИПТО-ПРО".
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
ВОПРОСЫ
Попов Владимир Олегович
vpopov@cryptopro.ru
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Скачать