Akselerasjon av maskinvarekryptering er en veldig viktig funksjon i NAS-servere og på våre PCer. Takket være denne funksjonen utføres krypterings- og dekrypteringsprosessen med AES symmetrisk krypteringsalgoritme gjennom instruksjoner i prosessoren, noe som gir større ytelse enn om du gjorde det direkte på programvarens operativsystemnivå. AES (avansert kryptering Standard) er for tiden den mest brukte symmetriske krypteringen. Av denne grunn inneholder alle prosessorer denne krypteringsakselerasjonen. I dag i denne artikkelen skal vi forklare i detalj hva akselerasjon for maskinvarekryptering er, hvordan det fungerer og hvordan det forbedrer ytelsen til NAS-serveren vår.
Hva er AES og hva står AES-NI for?
AES (Advanced Encryption Standard) er en blokkrypteringsplan som for tiden er krypteringsstandarden over hele verden, siden 2006 har den etablert seg som den mest brukte symmetriske krypteringsalgoritmen i verden. Denne symmetriske krypteringsalgoritmen har en fast blokkstørrelse på 128 bits og nøkkellengdestørrelser på 128, 192 og 256 bits. For tiden betraktes AES som en sikker symmetrisk krypteringsalgoritme, selv om det er AES-krypteringsmodi som er sikrere enn andre, i tillegg til å gi tilleggsegenskaper til konfidensialitet, for eksempel ekthet (integritet) hvis vi allerede bruker GCM (Galois Counter Mode) som er AEAD (Autentisert kryptering med tilknyttede data). I tillegg muliggjør GCM-krypteringsmodus i AES høyere ytelse ved å la data administreres parallelt.
Prosessorprodusenter som Intel, AMD or ARM har integrert AES-instruksjonssettet i prosessorene sine, med det mål å forbedre ytelsen i datakryptering og dekryptering, noe som gjør at lese- og skrivehastigheten er tydelig veldig høy sammenlignet med en annen prosessor som ikke har denne funksjonen. Dette settet med AES-instruksjoner kalles populært AES-NI (Advanced Encryption Standard New Instructions) eller bare maskinvarekrypteringsakselerasjon, for å indikere at en bestemt prosessor støtter denne teknologien.
Intel- og AMD-prosessorer kompatible med AES-NI
AES-NI er en utvidelse av instruksjonene i X86-arkitekturer som gjør det mulig for oss å øke hastigheten på datakryptering og dekryptering. I de fleste tilfeller er denne funksjonaliteten aktivert som standard i datamaskinens BIOS, men det anbefales at du sjekker om vi har denne funksjonen aktivert i BIOS. I noen tilfeller med eldre datamaskiner støtter ikke BIOS dette alternativet, så det anbefales å se gjennom versjonen vår og oppdatere den når det er mulig.
Foreløpig er alle de nye prosessorene som kommer ut på markedet, bortsett fra de laveste ARM-baserte, kompatible med AES-NI, men det er alltid lurt å besøke den offisielle nettsiden til de forskjellige produsentene for å vite førstehånds om en prosessor i Spesielt støtter maskinvarekryptering akselerasjon. For eksempel, i mange år nå, har alle Intel- og AMD-prosessorer denne teknologien som er så viktig i dag, og det er at vi i stor grad kan akselerere ytelsen i lesing og skriving når vi har å gjøre med data kryptert med AES, i tillegg masse prosessor for å utføre denne operasjonen er veldig lav sammenlignet med en prosessor som ikke støtter denne funksjonen.
Hvordan kan jeg vite om NAS-serveren min støtter akselerasjon med maskinvarekryptering?
Når vi kjøper en NAS-server, normalt på den offisielle nettsiden til produsenten, indikerer den om den støtter maskinvarekryptering akselerasjon eller ikke, men det vil alltid være tilrådelig å se på hvilken prosessor denne NAS-serveren har, og gå inn på den offisielle nettsiden til prosessorprodusenten og verifisere pålitelig om den virkelig støtter AES-NI eller maskinvarekryptering akselerasjon, for å fjerne enhver tvil om det. Vi skal gi deg to klare eksempler på NAS-servere som støtter maskinvarekryptering akselerasjon, en med en Intel-prosessor og den andre med en AMD-prosessor.
Hvis vi går til den offisielle nettsiden til QNAP TVS-h1288X-modellen, kan vi se at denne NAS-serveren inneholder AES-NI-krypteringsmotor, derfor har vi maskinvarekrypteringsakselerasjon.
Denne NAS-serveren har en Intel Xeon W-1250-prosessor. Hvis vi går til det offisielle Intel-nettstedet, kan vi bekrefte at den effektivt støtter "Nye instruksjoner fra AES Intel", og vi kan derfor bekrefte at denne prosessoren støtter akselerasjon med kryptering av maskinvare.
Når det gjelder QNAP TS-473A NAS-serveren, som er lavere enn den forrige, har den en AMD Ryzen V1500B-prosessor, ifølge det offisielle QNAP-nettstedet vil vi også ha AES-NI maskinvarekrypteringsakselerasjon, derfor vil vi vil oppnå en god ytelse når du krypterer og dekrypterer informasjon.
Hvis vi går til den offisielle nettsiden til AMD Ryzen V1500-prosessorfamilien, kan vi se i sikkerhetsdelen at den har forskjellige funksjoner relatert til datakryptering og sikkerhet, men det indikerer ikke tydelig at den har AES-NI.
Hvis vi går til et hvilket som helst prosessersammenligningsnettsted, kan vi se at det støtter AES-NI, som du kan se nedenfor:
I dag har alle Intel- og AMD-prosessorer som kommer ut på markedet, selv om de er på inngangsnivå, AES-NI-maskinvarekrypteringsakselerasjon, fordi det er en veldig nødvendig funksjonalitet i dag, så vi vil forklare nedenfor.
Hvorfor trenger jeg en NAS-server med maskinvarekryptering akselerasjon?
NAS-servere tillater oss å lagre all informasjonen i dem. Hvis vi ønsker å ta sikkerhetstiltak for å ha konfidensialitet, er det viktig å kryptere all data, enten kryptert når den er på harddisken, eller kryptert i kommunikasjon med NAS-serveren . På denne måten kan vi være sikre på at dataene våre ikke kan leses uten hovedpassordet som dekrypterer disse dataene.
Volum- og mappekryptering
NAS-servere gjennom deres operativsystemer lar deg konfigurere kryptering av volumer og også mapper for eksempel når det gjelder QNAP kan vi kryptere (kryptere) et helt volum, for å beskytte informasjonen så mye som mulig i tilfelle det tar ut harddisken eller har NAS stjålet fysisk. På denne måten vil alle dataene som vi kopierer til det volumet krypteres og dekrypteres på farten, slik at prosessoren tar seg av denne oppgaven. Hvis vi har en prosessor med AES-NI, vil vi legge merke til at alt går perfekt, og at vi ikke har noen form for flaskehals, i tillegg vil vi kunne se at CPU-bruken ikke går opp til verdier på 90% eller 100% når vi overfører filer. Hvis vi ikke hadde denne funksjonen, ville vi se hovedprosessoren til NAS-serveren eksplodere ved 100% bruk, og lese- og skriveytelsen er klart lavere, fordi vi vil ha en flaskehals på grunn av denne datakryptering / dekryptering.
Når som helst kan vi blokkere tilgangen til dette krypterte volumet, endre passord og andre krypterte volumadministrasjonsalternativer:
En annen interessant funksjon er at vi bare kan kryptere en mappe, det er ikke nødvendig å kryptere hele volumet. I dette tilfellet vil vi også bruke den populære AES symmetriske krypteringsalgoritmen for krypterings- og dekrypteringsoppgaven til dataene. Hvis vi har en prosessor med AES-NI, kan vi ha samme ytelse som om mappen ikke var kryptert, på denne måten vil det alltid være tilrådelig å kryptere alt innholdet.
Som du kan se, har vi muligheten til å kryptere bare en mappe, men vår anbefaling er å bruke volumkryptering direkte.
SMB 3.0 - Krypterte lokale nettverksoverføringer
Den siste SMB 3.0-protokollen lar oss ikke bare utføre sikker autentisering ved hjelp av kryptering, men all dataoverføring fra en kilde til en destinasjon kan krypteres ved å bruke den symmetriske AES-krypteringsalgoritmen. Hvis NAS-serveren støtter akselerasjonsfunksjonen for maskinvarekryptering, kan vi se at ytelsen vi får er den samme eller nesten den samme som om vi brukte SMB 2.0 som ikke bruker datakryptering.
Takket være innlemmelsen av AES-NI, vil vi være i stand til å beskytte all kommunikasjon i det lokale nettverket, med det mål at hvis noen er i stand til å fange informasjonen, kan de ikke dekryptere den, og opprettholde vårt privatliv.
FTPES: FTP-protokoll med datakryptering
Den sikre FTP-protokollen, eller også kjent som FTPES, drar også klart fordel av denne meget viktige funksjonen til NAS-serverne. FTPES benytter seg av TLS 1.2- eller TLS 1.3-protokollene for kontrollkanalen, men for datakanalen der vi skal overføre all informasjonen, bruker den vanligvis AES-GCM, selv om dette avhengig av konfigurasjonen til FTPES-serveren . Konfigurasjon på en QNAP NAS-server er så enkelt som å klikke "FTP med SSL / TLD (eksplisitt)" for å aktivere denne viktige funksjonaliteten.
Når vi kobler til FTPES-serveren med programmer som FileZilla, kan vi se at kommunikasjonen er fullstendig kryptert. Det vil vise oss det digitale sertifikatet som vi har måttet konfigurere, eller som NAS-serveren automatisk har konfigurert for oss. Vi kan se at en 2048-biters RSA-nøkkelalgoritme har blitt brukt med SHA256 som signatur. Det vil indikere at kommunikasjonsøkten er utført ved bruk av TLS 1.2 med en spesifikk kryptografisk pakke, og at datakryptering for utveksling av informasjon er AES-128-GCM, derfor har vi AEAD som vi har forklart tidligere.
I FileZilla vises en hengelås nederst til høyre, noe som indikerer at forbindelsen er kryptert og sikker.
SFTP - SSH-basert protokoll med kryptering
SFTP-protokollen er basert på SSH, den vil tillate oss å utveksle filer for å autentisere oss selv med serveren på en sikker måte ved hjelp av alle de kryptografiske protokollene til SSH. Denne protokollen brukes mye fordi det bare er nødvendig å åpne en port som all kommunikasjon strømmer gjennom. I dette tilfellet må konfigurasjonen av SFTP-serveren gjøres gjennom SSH-delen, som du kan se nedenfor:
Ved å koble til et program som FileZilla til denne SFTP-serveren, vil den fortelle oss de forskjellige algoritmene den har brukt. For eksempel er nøkkelutvekslingen gjort med ECDH med Curve25519, ved hjelp av en SHA-256-hash. Servernøkkelen er RSA 3072 bits, og datakrypteringen skjer gjennom AES-256-GCM, som vil tillate oss å overføre data i veldig høy hastighet.
Nederst til høyre på FileZilla kan du også se en hengelås som indikerer at kommunikasjonen er sikker.
VPN-server med høyest ytelse
De fleste NAS-servere har VPN servere for å koble oss sikkert og eksternt til det lokale nettverket. Hvis NAS-en vår inneholder AES-NI og vi bruker protokoller som OpenVPN som er basert på TLS, kan vi oppnå større båndbredde for nedlasting eller opplasting av filer. I testene våre har vi bekreftet at en NAS med akselerasjon med maskinvarekryptering som QNAP TS-1277 er i stand til å gi opptil 500 Mbps symmetrisk hastighet, men hvis den ikke hadde maskinvarekrypteringsakselerasjon, ville ytelsen være omtrent 100 Mbps, slik og slik det for øyeblikket er tilfelle med rutere som integrerer et VPN og ikke har akselerasjon med maskinvarekryptering. Hvis NAS-serveren din ikke støtter AES-NI, kan et godt alternativ være å bruke WireGuard, er denne sikre VPN-protokollen mye raskere enn OpenVPN eller IPsec IKEv2, så det anbefales på det sterkeste.
Som du kan se, er det i dag viktig at en NAS-server har maskinvarekrypteringsakselerasjon, i tillegg anbefales det også sterkt at våre PC-er inkluderer denne viktige funksjonaliteten, for å dra full nytte av hastigheten på lokale nettverk som de i dag er allerede Multigigabit (2.5G og utover).
