Vad är maskinvaruaccelererad AES-kryptering på NAS-servrar –

Vad är AES och vad står AES-NI för?

AES (Advanced Encryption Standard) är ett blockchiffersystem som för närvarande är krypteringsstandarden runt om i världen, sedan 2006 har det etablerat sig som den mest använda symmetriska krypteringsalgoritmen i världen. Denna symmetriska krypteringsalgoritm har en fast blockstorlek på 128 bitar och nyckellängder på 128, 192 och 256 bitar. AES anses för närvarande vara en säker symmetrisk krypteringsalgoritm, även om det finns AES-krypteringslägen som är säkrare än andra, förutom att de tillhandahåller ytterligare konfidentialitetsegenskaper som äkthet (integritet) om vi redan använder GCM (Galois counter mode) som det är AEAD (Autentiserad kryptering med länkad data). Dessutom ger AES GCM-krypteringsläget bättre prestanda genom att tillåta att data hanteras parallellt.

Processortillverkare som Intel, AMD eller ARM har integrerat AES-instruktionsuppsättningen i sina processorer för att dramatiskt förbättra prestandan vid kryptering och dekryptering av data, vilket gör läs- och skrivhastigheterna klart mycket snabba jämfört med en annan processor som inte har denna funktion. Denna AES-instruktionsuppsättning kallas vanligtvis AES-NI (Advanced Encryption Standard New Instructions), eller helt enkelt hårdvarukrypteringsacceleration, för att indikera att en viss processor stöder denna teknik.

Intel- och AMD-processorer kompatibla med AES-NI

AES-NI är en förlängning av instruktionsuppsättningen i X86-arkitekturer som gör att vi avsevärt kan öka hastigheten för kryptering och dekryptering av data. I de flesta fall är den här funktionen aktiverad som standard i BIOS på din dator, men det rekommenderas att du kontrollerar om den här funktionen är aktiverad i BIOS. I vissa fall med äldre datorer stöder inte BIOS detta alternativ, så det rekommenderas att du kontrollerar vår version och uppdaterar den när det är möjligt.

För närvarande är alla nya processorer som dyker upp på marknaden, med undantag för de billigaste ARM-baserade processorerna, AES-NI-kompatibla, men det rekommenderas alltid att besöka de officiella webbplatserna för olika tillverkare för att ta reda på i första hand om processorn stöder specifikt hårdvaruacceleration av kryptering. Till exempel har alla Intel- och AMD-processorer sedan många år tillbaka den här tekniken, som är så viktig idag, och det är att vi avsevärt kan förbättra prestandan vid läsning och skrivning när vi har att göra med data krypterad med AES, förutom CPU:n overhead för att utföra denna operation är väldigt liten jämfört med en processor som inte stöder den här funktionen.

Hur vet jag om min NAS-server stöder hårdvarukrypteringsacceleration?

När vi köper en NAS-server anger vanligtvis tillverkarens officiella webbplats om den stöder hårdvarukrypteringsacceleration eller inte, men det skulle alltid vara tillrådligt att se vilken processor denna NAS-server har och gå till processortillverkarens officiella webbplats och kontrollera tillförlitligt om den stöder AES-NI eller hårdvaruaccelererad kryptering för att ta bort alla tvivel om det. Vi kommer att ge dig två illustrativa exempel på NAS-servrar som stöder hårdvarukrypteringsacceleration, en med en Intel-processor och en med en AMD-processor.

Om vi ​​går till den officiella webbplatsen för QNAP TVS-h1288X-modellen kan vi se att denna NAS-server verkligen inkluderar AES-NI-krypteringsmotorn, därför har vi hårdvaruaccelererad kryptering.

Denna NAS-server innehåller en Intel Xeon W-1250-processor, om vi går till Intels officiella webbplats kan vi verifiera att den effektivt stöder “Nya instruktioner från Intel AES”, så vi kan bekräfta att denna processor stöder hårdvaruacceleration av kryptering .

När det gäller QNAP TS-473A NAS Server, som är billigare än den tidigare, inkluderar den AMD Ryzen V1500B-processor, enligt den officiella QNAP-webbplatsen kommer vi också att ha hårdvaruaccelererad AES-NI-kryptering, så vi kommer att tillhandahålla utmärkt prestanda vid kryptering och dekryptering av information.

Om vi ​​går till den officiella webbplatsen för AMD Ryzen V1500-processorfamiljen kan vi se i säkerhetssektionen att den har olika funktioner relaterade till datakryptering och säkerhet, men detta indikerar inte tydligt att den har AES-NI.

Om vi ​​går till någon processorjämförelsesida kan vi se att den stöder AES-NI, som du kan se nedan:

Idag har alla Intel- och AMD-processorer som kommer ut på marknaden, även om de är nybörjare, hårdvaruaccelererad AES-NI-kryptering, för idag är detta en välbehövlig funktion, så vi kommer att förklara nedan.

Varför behöver jag en NAS-server med hårdvarukrypteringsacceleration?

NAS-servrar låter oss lagra all information i dem, om vi vill vidta säkerhetsåtgärder för att säkerställa konfidentialitet är det viktigt att kryptera all data, antingen krypterad när den ligger på hårddisken eller krypterad när man kommunicerar med NAS-servern. … På så sätt kan vi vara säkra på att vår data inte kan läsas utan ett huvudlösenord som dekrypterar den.

Kryptering av volymer och mappar

NAS-servrar, genom sina operativsystem, låter dig anpassa kryptering av såväl volymer som mappar I fallet med QNAP kan vi till exempel kryptera (kryptera) hela volymen för att maximera skyddet av information i händelse av att en hårddisk tas bort eller att NAS-enheten blir fysiskt stulen. På så sätt kommer all data som vi kopierar till denna volym att krypteras och dekrypteras i farten, och processorn tar hand om denna uppgift. Om vi ​​har en processor med AES-NI kommer vi att märka att allt går bra och vi har inga flaskhalsar, dessutom kan vi se att processorutnyttjandet inte når 90% eller 100% vid överföring av filer. Om vi ​​inte hade den här funktionen skulle vi se att huvudprocessorn på NAS-servern skulle explodera vid 100 % användning, och läs- och skrivprestandan skulle vara klart lägre eftersom vi skulle ha en flaskhals på grund av denna kryptering/dekryptering av data.

Vi kan när som helst blockera åtkomst till denna krypterade volym, ändra lösenordet och andra parametrar för att hantera den krypterade volymen:

En annan intressant funktion är att vi bara kan kryptera mappen, det finns inget behov av att kryptera hela volymen. I det här fallet kommer vi också att använda den populära symmetriska krypteringsalgoritmen AES för uppgiften att kryptera och dekryptera data. Om vi ​​har en processor med AES-NI kan vi ha samma prestanda som om mappen inte var krypterad, därför rekommenderas det alltid att kryptera allt innehåll.

Som du kan se har vi bara möjlighet att kryptera en mapp, men vi rekommenderar att du använder volymkryptering direkt.

SMB 3.0 – Krypterade LAN-överföringar

Det senaste SMB 3.0-protokollet tillåter oss inte bara att utföra säker autentisering med kryptering, utan all dataöverföring från källa till destination kan krypteras med AES symmetrisk krypteringsalgoritm. Om NAS-servern stöder hårdvarukrypteringsacceleration kan vi se att prestandan vi får är densamma eller nästan densamma som om vi skulle använda SMB 2.0, som inte använder datakryptering.

Tack vare inkluderingen av AES-NI kommer vi att kunna skydda all vår kommunikation på det lokala nätverket så att om någon kan fånga upp information, kommer han inte att kunna dekryptera den, samtidigt som vi behåller vår konfidentialitet.

FTPES: FTP-protokoll med datakryptering

Säker FTP, även känd som FTPES, drar helt klart nytta av denna mycket viktiga funktion hos NAS-servrar. FTPES använder TLS 1.2 eller TLS 1.3 för kontrollkanalen, men för datakanalen som vi ska överföra all information över använder den vanligtvis AES-GCM, även om detta kan ändras beroende på FTPES-serverns konfiguration. … Att ställa in på en QNAP NAS är lika enkelt som att klicka på “FTP med SSL / TLD (Explicit)” för att aktivera denna viktiga funktion.

När vi ansluter till FTPES-servern med hjälp av program som FileZilla ser vi att kommunikationen är helt krypterad. Det kommer att visa oss det digitala certifikatet som vi var tvungna att konfigurera eller som NAS-servern automatiskt konfigurerade för oss. Vi kan se att 2048-bitars RSA public key-algoritmen användes med SHA256 som signatur. Detta kommer att indikera att sessionen genomfördes med TLS 1.2 med en specifik kryptografisk uppsättning, och att datakrypteringen för utbyte av information är AES-128-GCM, så vi har AEAD som vi förklarade tidigare.

I FileZilla kommer ett hänglås att dyka upp i det nedre högra hörnet som indikerar att anslutningen är krypterad och säker.

SFTP – krypterat SSH-baserat protokoll

SFTP är baserat på SSH, det kommer att tillåta oss att utbyta filer för säker autentisering på servern med alla SSH-krypteringsprotokoll. Detta protokoll används ofta eftersom endast en port behöver öppnas genom vilken all kommunikation flyter. I det här fallet måste konfigurationen av SFTP-servern göras via SSH-sektionen, som du kan se nedan:

Genom att ansluta till denna SFTP-server med ett program som FileZilla kommer han att berätta om de olika algoritmerna han använde. Till exempel gjordes ett nyckelutbyte med ECDH med Curve25519 med SHA-256-hash. Servernyckeln är 3072 RSA-bitar och datakrypteringen sker med AES-256-GCM, vilket gör att data kan överföras med mycket hög hastighet.

I det nedre högra hörnet av FileZilla kan du också se ett hänglås som indikerar att utbytet är säkert.

VPN-server med högsta prestanda

De flesta NAS-servrar har VPN-servrar för att ansluta oss till det lokala nätverket säkert och på distans. Om vår NAS inkluderar AES-NI och vi använder protokoll som OpenVPN baserade på TLS, kan vi uppnå mer bandbredd för att ladda upp eller ladda ner filer. I våra tester bekräftade vi att en NAS med hårdvarukrypteringsacceleration, såsom QNAP TS-1277, kan ha symmetriska hastigheter upp till 500 Mbps, men om den inte hade hårdvarukrypteringsacceleration skulle prestandan vara ungefär 100 Mbps som för närvarande är fallet med routrar som integrerar VPN och inte har hårdvaruaccelererad kryptering. Om din NAS-server inte stöder AES-NI kan WireGuard vara ett bra alternativ, detta säkra VPN-protokoll är mycket snabbare än OpenVPN eller IPsec IKEv2, så det rekommenderas starkt att använda det.

Som du kan se är det viktigt idag att NAS-servern har hårdvaruaccelererad kryptering, dessutom rekommenderas det också starkt att våra datorer inkluderar denna väsentliga funktion för att kunna dra full nytta av hastigheten på LAN som de är idag. redan multi-gigabit (2,5G och mer).

Relaterade artiklar

Back to top button