web-dev-qa-db-ja.com

「クリプトオフロード」ではASICを使用する必要がありますか?この概念は他の場所にも適用できますか?

私はCCSP試験の勉強をしており、トレーニング資料は「crypto offloading」という用語について少し曖昧です。

この用語は、TLSについて説明する際に言及されました。

TLSは、アプリケーション間の通信時にプライバシーを確​​保するために設計されたプロトコルです。これは、メールを渡す2つのSMTPサーバーなどの2つのサーバー間、またはあるタイプの機密情報または保護された情報を渡すアプリケーションの場合のように、クライアントとWebサーバー間で発生する可能性があります。 数年前、このタイプの暗号化はサーバーとクライアントの両方に負担をかけますが、今日の高度な特定用途向け集積回路(ASIC)はその問題を解決します。これらのチップは暗号機能を処理するように特別に設計されており、したがって、マシンのメインCPUで暗号化を処理するよりもはるかに高速で効率的です。これはcrypto offloadingとして知られていますが、この用語は試験材料

[〜#〜] only [〜#〜]は、ASICチップを使用して暗号オフロードを実行する方法ですか?概念は、強力な/専用システムが暗号化操作を処理するホストレベルに抽象化されますか?たとえば、ハードウェアセキュリティモジュール(HSM)の使用は、「暗号化オフロード」の形式と見なされますか?または、結局のところ、それはすべてASICチップの使用に戻りますか?

うまくいけば、私の質問は理にかなっています。 :-)

2
Mike B

簡単に言えば、暗号オフロードはASICを必要としません。拡大するために:

暗号オフロードとは、暗号化操作の計算負荷を汎用システムから取り除き、代わりに専用システムで実行することを意味します。トレーニング資料の例では、TLSを扱い、メールまたはWebサーバーからの接続を暗号化する責任を取り除き、代わりに専用のSSLターミネーターに任せています。実際の基盤となるハードウェア(例ではASIC)は、上位レベルの概念にとって重要ではありません。

SSLターミネーター(またはTLSオフロード機能を備えたロードバランサー)に加えて、暗号化オフロードの他のいくつかの例は、レイヤー2ネットワーク暗号化アプライアンス、VPNコンセントレーター、または実際に暗号操作をオフロードするために役立つHSMです。アプリケーションまたはサービスから。

SSLターミネーター、VPNコンセントレーター、またはHSMの内部では、ASIC、FPGA(@cHaoがコメントで言及している)、または標準の汎用CPUを使用して暗号操作を実行している可能性があります。 20年前、ASICは、今日の汎用CPUに比べてパフォーマンスが向上したため、非常に一般的なオプションでした。今日はそれほどではありません。 ASICを搭載したデバイスはまだ見つかりますが、実際にそれらを必要とするものはありません。 Seretasの100Gb/sラインレートリンクエンクリプターでさえ、代わりにはるかに安価で柔軟なFPGAを使用しています。最近の汎用CPUは非常に強力であり、かなり重い暗号化も処理できるだけでなく、多くのアプリケーションは暗号をオフロードする必要をもう感じていません...今日のCPU(ほとんど暗号化のための特定のAES命令さえあります)、暗号を配置する要求は、もはやオフロードを正当化するのに十分ではありません。

4
Xander