L'accélération du cryptage matériel est une fonctionnalité très importante dans les serveurs NAS et dans nos PC, grâce à cette fonctionnalité, le processus de cryptage et de décryptage avec l'algorithme de cryptage symétrique AES est effectué via des instructions dans le processeur, permettant de meilleures performances que si vous le faisiez directement à le niveau du système d'exploitation du logiciel. AES (Avancé Chiffrement Standard) est actuellement le chiffrement symétrique le plus utilisé, pour cette raison, tous les processeurs intègrent cette accélération de chiffrement. Aujourd'hui, dans cet article, nous allons expliquer en détail ce qu'est l'accélération du chiffrement matériel, comment elle fonctionne et comment elle améliore les performances de notre serveur NAS.
Qu'est-ce qu'AES et que signifie AES-NI ?
AES (Advanced Encryption Standard) est un schéma de cryptage par blocs qui est actuellement la norme de cryptage dans le monde entier. Depuis 2006, il s'est imposé comme l'algorithme de cryptage symétrique le plus utilisé au monde. Cet algorithme de chiffrement symétrique a une taille de bloc fixe de 128 bits et des tailles de longueur de clé de 128, 192 et 256 bits. Actuellement, AES est considéré comme un algorithme de cryptage symétrique sécurisé, bien qu'il existe des modes de cryptage AES qui sont plus sécurisés que d'autres, en plus de fournir des caractéristiques supplémentaires à la confidentialité, telles que l'authenticité (intégrité) si nous utilisons déjà GCM (Galois Counter Mode) qui est AEAD (cryptage authentifié avec données associées). De plus, le mode de cryptage GCM dans AES permet des performances plus élevées en permettant la gestion des données en parallèle.
Les fabricants de processeurs tels que Intel, AMD or BRAS ont intégré le jeu d'instructions AES dans leurs processeurs, dans le but d'améliorer considérablement les performances dans le travail de cryptage et de décryptage des données, ce qui rend la vitesse de lecture et d'écriture est clairement très élevée par rapport à un autre processeur qui n'a pas cette fonctionnalité. Cet ensemble d'instructions AES est communément appelé AES-NI (Advanced Encryption Standard New Instructions) ou simplement accélération de chiffrement matériel, pour indiquer qu'un processeur spécifique prend en charge cette technologie.
Processeurs Intel et AMD compatibles avec AES-NI
AES-NI est une extension du jeu d'instructions dans les architectures X86 qui nous permet d'augmenter considérablement la vitesse de chiffrement et de déchiffrement des données. Dans la plupart des cas, cette fonctionnalité est activée par défaut dans le BIOS de l'ordinateur, cependant, il est conseillé de vérifier si cette fonctionnalité est activée dans le BIOS. Dans certains cas, avec des ordinateurs plus anciens, le BIOS ne prend pas en charge cette option, il est donc conseillé de revoir notre version et de la mettre à jour chaque fois que possible.
Actuellement, tous les nouveaux processeurs qui sortent sur le marché, à l'exception des plus bas de gamme basés sur ARM, sont compatibles avec AES-NI, cependant, il est toujours conseillé de visiter le site officiel des différents fabricants pour savoir de première main si un processeur prend spécifiquement en charge l'accélération du chiffrement matériel. Par exemple, depuis de nombreuses années maintenant, tous les processeurs Intel et AMD disposent de cette technologie qui est si importante aujourd'hui, et c'est qu'on peut considérablement accélérer les performances en lecture et en écriture lorsqu'on a affaire à des données chiffrées avec AES, en plus, le charge de Processeur pour effectuer cette opération est vraiment faible par rapport à un processeur qui ne prend pas en charge cette fonction.
Comment puis-je savoir si mon serveur NAS prend en charge l'accélération du chiffrement matériel ?
Lorsque nous achetons un serveur NAS, normalement sur le site officiel du fabricant, il indique s'il prend en charge l'accélération du cryptage matériel ou non, cependant, il serait toujours conseillé de regarder quel processeur possède ce serveur NAS et d'entrer sur le site officiel du fabricant du processeur et vérifiez de manière fiable s'il prend réellement en charge AES-NI ou l'accélération du chiffrement matériel, pour lever tout doute à ce sujet. Nous allons vous donner deux exemples clairs de serveurs NAS prenant en charge l'accélération du chiffrement matériel, l'un avec un processeur Intel et l'autre avec un processeur AMD.
Si nous allons sur le site officiel du modèle QNAP TVS-h1288X, nous pouvons voir que ce serveur NAS intègre le moteur de cryptage AES-NI, nous avons donc une accélération du cryptage matériel.
Ce serveur NAS intègre un processeur Intel Xeon W-1250, si nous allons sur le site officiel d'Intel, nous pouvons vérifier qu'il prend effectivement en charge les "Nouvelles instructions d'AES Intel", nous pouvons donc affirmer que ce processeur prend en charge l'accélération du chiffrement matériel.
Dans le cas du serveur NAS QNAP TS-473A, qui est plus bas de gamme que le précédent, il intègre un processeur AMD Ryzen V1500B, selon le site officiel de QNAP, nous aurons également une accélération de chiffrement matériel AES-NI, donc, nous permettra d'obtenir d'excellentes performances lors du cryptage et du décryptage des informations.
Si nous allons sur le site officiel de la famille de processeurs AMD Ryzen V1500, nous pouvons voir dans la section sécurité qu'il possède différentes fonctionnalités liées au cryptage et à la sécurité des données, cependant, cela n'indique pas clairement qu'il dispose de l'AES-NI.
Si nous allons sur un site Web de comparaison de processeurs, nous pouvons voir qu'il prend en charge AES-NI, comme vous pouvez le voir ci-dessous :
Aujourd'hui, tous les processeurs Intel et AMD qui sortent sur le marché, même s'ils sont d'entrée de gamme, ont une accélération de chiffrement matériel AES-NI, car c'est une fonctionnalité très nécessaire aujourd'hui, nous allons donc l'expliquer ci-dessous.
Pourquoi ai-je besoin d'un serveur NAS avec accélération de chiffrement matériel ?
Les serveurs NAS nous permettent d'y stocker toutes les informations, si nous voulons prendre des mesures de sécurité pour avoir la confidentialité, il est essentiel de crypter toutes les données, soit cryptées une fois sur le disque dur, soit cryptées dans les communications avec le serveur NAS . De cette façon, nous pouvons être sûrs que nos données ne peuvent pas être lues sans le mot de passe principal qui déchiffre ces données.
Cryptage de volume et de dossier
Les serveurs NAS via leurs systèmes d'exploitation vous permettent de configurer cryptage des volumes et aussi des dossiers , par exemple, dans le cas de QNAP, nous pouvons chiffrer (chiffrer) un volume entier, afin de protéger autant que possible les informations en cas de retrait du disque dur ou de vol physique du NAS. De cette façon, toutes les données que nous copions sur ce volume seront cryptées et décryptées à la volée, ce qui obligera le processeur à se charger de cette tâche. Si nous avons un processeur avec AES-NI, nous remarquerons que tout se passe parfaitement et que nous n'avons aucun type de goulot d'étranglement. De plus, nous pourrons voir que l'utilisation du processeur n'atteint pas des valeurs de 90% ou 100% lorsque nous transférons des fichiers. Si nous n'avions pas cette fonctionnalité, nous verrions le processeur principal du serveur NAS exploser à 100% d'utilisation, et les performances de lecture et d'écriture sont nettement inférieures, car nous aurons un goulot d'étranglement dû à ce chiffrement/déchiffrement des données.
A tout moment nous pouvons bloquer l'accès à ce volume chiffré, changer le mot de passe et d'autres options de gestion du volume chiffré :
Une autre caractéristique intéressante est que nous ne pouvons crypter qu'un dossier, il n'est pas nécessaire de crypter tout le volume. Dans ce cas, nous utiliserons également l'algorithme de cryptage symétrique AES populaire pour la tâche de cryptage et de décryptage des données. Si nous avons un processeur avec AES-NI, nous pouvons avoir les mêmes performances que si le dossier n'était pas crypté, de cette manière, il sera toujours conseillé de crypter tout le contenu.
Comme vous pouvez le voir, nous avons la possibilité de crypter un seul dossier, cependant, notre recommandation est d'utiliser directement le cryptage de volume.
SMB 3.0 - Transferts de réseau local cryptés
Le dernier protocole SMB 3.0 nous permet non seulement d'effectuer une authentification sécurisée à l'aide du cryptage, mais tous les transferts de données d'une source à une destination peuvent être cryptés, en utilisant l'algorithme de cryptage AES symétrique. Si le serveur NAS prend en charge la fonction d'accélération du cryptage matériel, nous pouvons voir que les performances que nous obtiendrons sont les mêmes ou presque les mêmes que si nous utilisions SMB 2.0 qui n'utilise pas le cryptage des données.
Grâce à l'incorporation d'AES-NI, nous pourrons protéger toutes nos communications dans le réseau local, avec l'objectif que, si quelqu'un est capable de capturer les informations, ils ne peuvent pas les déchiffrer, préservant ainsi notre confidentialité.
FTPES : protocole FTP avec cryptage des données
Le protocole FTP sécurisé, ou aussi appelé FTPES, bénéficie également clairement de cette caractéristique très importante des serveurs NAS. FTPES utilise les protocoles TLS 1.2 ou TLS 1.3 pour le canal de contrôle, cependant, pour le canal de données où nous allons transférer toutes les informations, il utilise généralement AES-GCM, bien que cela puisse changer en fonction de la configuration du serveur FTPES . La configuration sur un serveur NAS QNAP est aussi simple que de cliquer sur « FTP avec SSL / TLD (Explicit) » pour activer cette fonctionnalité importante.
Lorsque nous allons nous connecter au serveur FTPES avec des programmes comme FileZilla, nous pouvons voir que la communication est entièrement cryptée. Il nous montrera le certificat numérique que nous avons dû configurer ou que le serveur NAS a configuré automatiquement pour nous. Nous pouvons voir qu'un algorithme à clé publique RSA de 2048 bits a été utilisé avec SHA256 comme signature. Il indiquera que la session de communication a été réalisée à l'aide de TLS 1.2 avec une suite cryptographique spécifique, et que le cryptage des données pour l'échange d'informations est AES-128-GCM, nous avons donc AEAD comme nous l'avons expliqué précédemment.
Dans FileZilla, un cadenas apparaîtra en bas à droite, indiquant que la connexion est cryptée et sécurisée.
SFTP – Protocole basé sur SSH avec cryptage
Le protocole SFTP est basé sur SSH, il va nous permettre d'échanger des fichiers pour nous authentifier auprès du serveur de manière sécurisée en utilisant tous les protocoles cryptographiques de SSH. Ce protocole est largement utilisé car il n'est nécessaire d'ouvrir qu'un seul port, par lequel transitent toutes les communications. Dans ce cas, la configuration du serveur SFTP doit se faire via la section SSH, comme vous pouvez le voir ci-dessous :
En se connectant avec un programme comme FileZilla à ce serveur SFTP, il nous indiquera les différents algorithmes qu'il a utilisés. Par exemple, l'échange de clé a été effectué avec ECDH avec Curve25519, en utilisant un hachage SHA-256. La clé du serveur est RSA 3072 bits, et le cryptage des données se fait via AES-256-GCM, ce qui nous permettra de transférer des données à très grande vitesse.
En bas à droite de FileZilla, vous pouvez également voir un cadenas indiquant que la communication est sécurisée.
Serveur VPN le plus performant
La plupart des serveurs NAS ont VPN serveurs pour nous connecter en toute sécurité et à distance au réseau local. Si notre NAS intègre AES-NI et que nous utilisons des protocoles tels que OpenVPN basé sur TLS, nous pouvons obtenir une plus grande bande passante pour le téléchargement ou le téléchargement de fichiers. Dans nos tests, nous avons vérifié qu'un NAS avec accélération de cryptage matériel tel que le QNAP TS-1277 est capable de fournir jusqu'à 500 Mbps de vitesse symétrique, cependant, s'il n'avait pas d'accélération de cryptage matériel, les performances seraient d'environ 100 Mbps, tel et comme c'est actuellement le cas avec les routeurs qui intègrent un VPN et n'ont pas d'accélération matérielle de chiffrement. Si votre serveur NAS ne prend pas en charge AES-NI, une bonne alternative peut être d'utiliser WireGuard, ce protocole VPN sécurisé est beaucoup plus rapide que OpenVPN ou IPsec IKEv2, il est donc fortement recommandé.
Comme vous pouvez le constater, il est aujourd'hui essentiel qu'un serveur NAS dispose d'une accélération de chiffrement matériel. De plus, il est également fortement recommandé que nos PC intègrent cette fonctionnalité importante, afin de profiter pleinement de la vitesse des réseaux locaux qu'ils sont aujourd'hui. déjà multigigabit (2.5G À partir de).
