La risorsa Italiana per pfSense

7 dicembre 2012

Qual'è l'algoritmo crittografico migliore per le VPN?

Durante la configurazione di una connessione VPN, occorre scegliere quali algoritmi crittografici impiegare. Se non si conosce in modo corretto le capacità dell'hardware impiegato, diventa impossibile sceglire l'algoritmo migliore (in termini di performance). In quest'articolo vedremo come effettuare un test molto rapido per capire quali sono gli algoritmi più perforanti.
Perchè cercare l'algoritmo più performante? La risposta è molto semplice, per ottenere throughput più elevato nelle connessioni VPN.
Molte appliance e/o processori specifici dispongono di circuiti dedicati al calcolo criptografico, un esempio sono i processori VIA C7 che dispongono al loro interno di un unità chiamata PadLock dedicata unicamente ad accelerare i calcoli di criptografia. Un altro esempio di circuiti dedicati sono le schede pci e mini-pci dotate di processori Hi/fn.
Per sapere se il nostro hardware è dotato di acceleratori per VPN è possibile agire in 2 modi:
  1. Verificare nella Dashboard nel box System Information se dopo il campo CPU Type è presente la riga Hardware Crypto in cui viene indicato il tipo di acceleratore;


  2. Verificare l'hardware installato effettuando una ricerca mirata nei dati della macchina.
    Per effettuare questa ricerca è possibile cliccare su Diagnostics > Command Prompt e digitare il comando sysctl -a | grep padlock nel campo Command del box Execute Shell command
    La ricerca ci riporterà tutte le righe (se esistono) in cui è stata ritrovata la parola padlock
Per verificare le prestazioni del nostro hardware possiamo eseguire un semplice comando, accediamo a Diagnostics > Command Prompt > Execute Shell command > Command e digitiamo il comando openssl speed, dopo alcuni minuti verrà proposta una tabella riportante i risultati del test.

[PF-840 Processore VIA C7 da 1 GHz dotato di unità PadLock]

[PF-3110 Processore Intel Pentium(R) Dual-Core CPU E5300 @ 2.60GHz]
Tabella all amano siamo in grado di selezionare l'algoritmo più performante per le nostre connessioni.

2 commenti:

PieroB ha detto...

Nel caso di utilizzo di una CPU AMD Geode, prima di eseguire il test, potrebbe essere utile verificare di avere abilitato il supporto LX Security Block selezionando l'opzione "Use glxsb" nella sezione "glxsb Crypto Acceleration" in System:Advanced:Miscellaneous.

Fabio Viganò ha detto...

Ciao Pietro, grazie per il contributo, avevo tralasciato i processori Geode :)

Nome

Email *

Messaggio *