Accelerarea criptării hardware este o caracteristică foarte importantă în serverele NAS și în computerele noastre, datorită acestei caracteristici procesul de criptare și decriptare cu algoritmul de criptare simetrică AES se realizează prin instrucțiuni în procesor, permițând performanțe mai mari decât dacă ați face-o direct la nivelul sistemului de operare software. AES (Advanced Criptare Standard) este în prezent cea mai utilizată criptare simetrică, din acest motiv, toate procesoarele încorporează această accelerare de criptare. Astăzi, în acest articol, vom explica în detaliu ce este accelerarea criptării hardware, cum funcționează și cum îmbunătățește performanța serverului nostru NAS.
Ce este AES și ce înseamnă AES-NI?
AES (Advanced Encryption Standard) este o schemă de criptare în bloc care este în prezent standardul de criptare în întreaga lume, din 2006 s-a impus ca cel mai utilizat algoritm de criptare simetrică din lume. Acest algoritm de criptare simetrică are o dimensiune fixă a blocului de 128 biți și dimensiuni cheie de 128, 192 și 256 biți. În prezent, AES este considerat un algoritm de criptare simetric sigur, deși există moduri de criptare AES care sunt mai sigure decât altele, pe lângă furnizarea de caracteristici suplimentare confidențialității, cum ar fi autenticitatea (integritatea) dacă folosim deja GCM (Galois Counter Mode) care este AEAD (criptare autentificată cu date asociate). În plus, modul de criptare GCM din AES permite performanțe mai mari, permițând gestionarea datelor în paralel.
Producători de procesoare precum Intel, AMD or ARM au integrat setul de instrucțiuni AES în procesorele lor, cu scopul de a îmbunătăți foarte mult performanța în criptarea și decriptarea datelor, făcând ca viteza de citire și scriere să fie în mod clar foarte mare în comparație cu un alt procesor care nu are această caracteristică. Acest set de instrucțiuni AES se numește popular AES-NI (Advanced Encryption Standard New Instructions) sau pur și simplu accelerarea criptării hardware, pentru a indica faptul că un procesor specific acceptă această tehnologie.
Procesoare Intel și AMD compatibile cu AES-NI
AES-NI este o extensie a setului de instrucțiuni din arhitecturile X86 care ne permite să creștem foarte mult viteza de criptare și decriptare a datelor. În majoritatea cazurilor, această funcționalitate este activată în mod implicit în BIOS-ul computerului, cu toate acestea, este recomandabil să verificăm dacă această funcționalitate este activată în BIOS. În unele cazuri cu computere mai vechi, BIOS-ul nu acceptă această opțiune, deci este recomandabil să revizuiți versiunea noastră și să o actualizați ori de câte ori este posibil.
În prezent, toate noile procesoare care apar pe piață, cu excepția celor de ultimă generație bazate pe ARM, sunt compatibile cu AES-NI, cu toate acestea, este întotdeauna recomandabil să vizitați site-ul oficial al diferiților producători pentru a afla din prima un procesor în Specificații acceptă accelerarea criptării hardware. De exemplu, de mulți ani încoace, toate procesoarele Intel și AMD au această tehnologie atât de importantă astăzi și este că putem accelera foarte mult performanța în citire și scriere atunci când avem de-a face cu date criptate cu AES, în plus, o gramadă de Procesor pentru efectuarea acestei operații este foarte scăzut în comparație cu un procesor care nu acceptă această funcție.
Cum pot afla dacă serverul meu NAS acceptă accelerarea criptării hardware?
Când cumpărăm un server NAS, în mod normal pe site-ul oficial al producătorului, indică dacă acceptă sau nu accelerarea criptării hardware, totuși, ar fi întotdeauna recomandabil să analizăm ce procesor are acest server NAS și să intrăm pe site-ul oficial al producătorul procesorului și verificați în mod fiabil dacă acesta acceptă într-adevăr AES-NI sau accelerarea criptării hardware, pentru a elimina orice îndoială cu privire la aceasta. Vă vom oferi două exemple clare de servere NAS care acceptă accelerarea criptării hardware, unul cu procesor Intel și celălalt cu procesor AMD.
Dacă mergem pe site-ul oficial al modelului QNAP TVS-h1288X, putem vedea că acest server NAS încorporează un motor de criptare AES-NI, prin urmare, avem accelerare de criptare hardware.
Acest server NAS încorporează un procesor Intel Xeon W-1250, dacă mergem pe site-ul oficial Intel putem verifica dacă acesta acceptă în mod eficient „Instrucțiunile noi de la AES Intel”, prin urmare, putem afirma că acest procesor acceptă accelerarea criptării hardware.
În cazul serverului QNAP TS-473A NAS, care este inferior decât cel anterior, acesta încorporează un procesor AMD Ryzen V1500B, conform site-ului oficial QNAP vom avea și accelerarea de criptare hardware AES-NI, prin urmare, noi va obține o performanță excelentă la criptarea și decriptarea informațiilor.
Dacă accesăm site-ul oficial al familiei de procesoare AMD Ryzen V1500, putem vedea în secțiunea de securitate că are caracteristici diferite legate de criptarea și securitatea datelor, însă nu indică clar că are AES-NI.
Dacă mergem la orice site de comparație a procesorului, putem vedea că acesta acceptă AES-NI, după cum puteți vedea mai jos:
Astăzi, toate procesoarele Intel și AMD care apar pe piață, chiar dacă sunt entry-level, au accelerare de criptare hardware AES-NI, deoarece astăzi este o funcționalitate foarte necesară, așa că vom explica mai jos.
De ce am nevoie de un server NAS cu accelerare de criptare hardware?
Serverele NAS ne permit să stocăm toate informațiile în ele, dacă dorim să luăm măsuri de securitate pentru a avea confidențialitate, este esențial să criptăm toate datele, fie criptate odată ce sunt pe hard disk, fie criptate în comunicațiile cu serverul NAS . În acest fel, putem fi siguri că datele noastre nu pot fi citite fără parola principală care decriptează acele date.
Criptarea volumului și a folderelor
Serverele NAS prin intermediul sistemelor lor de operare vă permit să configurați criptarea volumelor și a folderelor , de exemplu, în cazul QNAP putem cripta (cripta) un volum întreg, pentru a proteja informațiile cât mai mult posibil în cazul în care scoateți hard diskul sau aveți NAS furat fizic. În acest fel, toate datele pe care le copiem în volumul respectiv vor fi criptate și decriptate din mers, făcând procesorul să se ocupe de această sarcină. Dacă avem un procesor cu AES-NI vom observa că totul merge perfect și nu avem niciun tip de blocaj, în plus, vom putea vedea că utilizarea procesorului nu urcă la valori de 90% sau 100% când transferăm fișiere. Dacă nu am avea această caracteristică, am vedea că procesorul principal al serverului NAS explodează la o utilizare de 100%, iar performanța de citire și scriere este clar mai mică, deoarece vom avea un blocaj datorită acestei criptări / decriptări a datelor.
În orice moment putem bloca accesul la acest volum criptat, putem schimba parola și alte opțiuni de gestionare a volumului criptat:
O altă caracteristică interesantă este că putem cripta doar un folder, nu este necesar să criptăm întregul volum. În acest caz, vom folosi, de asemenea, popularul algoritm de criptare simetrică AES pentru sarcina de criptare și decriptare a datelor. Dacă avem un procesor cu AES-NI, putem avea aceeași performanță ca și când folderul nu ar fi criptat, în acest fel, va fi întotdeauna recomandabil să criptăm tot conținutul.
După cum puteți vedea, avem posibilitatea de a cripta un singur folder, cu toate acestea, recomandarea noastră este să utilizați direct criptarea volumului.
SMB 3.0 - Transferuri de rețea locală criptate
Cel mai recent protocol SMB 3.0 nu numai că ne permite să efectuăm autentificarea sigură utilizând criptarea, dar toate transferurile de date de la o sursă la o destinație pot fi criptate, utilizând algoritmul de criptare AES simetric. Dacă serverul NAS acceptă caracteristica de accelerare a criptării hardware, putem vedea că performanța pe care o vom obține este aceeași sau aproape aceeași ca și când am folosi SMB 2.0 care nu utilizează criptarea datelor.
Datorită încorporării AES-NI, vom putea proteja toate comunicațiile noastre în rețeaua locală, cu obiectivul ca, dacă cineva este capabil să capteze informațiile, nu le poate decripta, păstrându-ne confidențialitatea.
FTPES: protocol FTP cu criptare date
Protocolul FTP securizat, sau cunoscut și sub numele de FTPES, beneficiază în mod clar de această caracteristică foarte importantă a serverelor NAS. FTPES folosește protocoalele TLS 1.2 sau TLS 1.3 pentru canalul de control, cu toate acestea, pentru canalul de date pe care urmează să transferăm toate informațiile pe care le folosește în general AES-GCM, deși, în funcție de configurația serverului FTPES, acest lucru s-ar putea schimba . Configurarea pe un server QNAP NAS este la fel de simplă ca și apăsarea „FTP cu SSL / TLD (Explicit)” pentru a activa această funcționalitate importantă.
Când ne conectăm la serverul FTPES cu programe precum FileZilla, putem vedea că comunicația este complet criptată. Ne va arăta certificatul digital pe care a trebuit să îl configurăm sau pe care serverul NAS l-a configurat automat pentru noi. Putem vedea că un algoritm de cheie publică RSA de 2048 biți a fost folosit cu SHA256 ca semnătură. Va indica faptul că sesiunea de comunicare a fost efectuată folosind TLS 1.2 cu o suită criptografică specifică și că criptarea datelor pentru schimbul de informații este AES-128-GCM, prin urmare, avem AEAD așa cum am explicat anterior.
În FileZilla va apărea un lacăt în partea dreaptă jos, indicând faptul că conexiunea este criptată și sigură.
SFTP - protocol SSH cu criptare
Protocolul SFTP se bazează pe SSH, ne va permite să schimbăm fișiere pentru a ne autentifica cu serverul într-un mod sigur folosind toate protocoalele criptografice ale SSH. Acest protocol este utilizat pe scară largă, deoarece este necesar doar să deschideți un singur port, prin care să curgă toate comunicațiile. În acest caz, configurația serverului SFTP trebuie realizată prin secțiunea SSH, după cum puteți vedea mai jos:
Prin conectarea cu un program precum FileZilla la acest server SFTP, ne va spune diferiții algoritmi pe care i-a folosit. De exemplu, schimbul de chei a fost făcut cu ECDH cu Curve25519, folosind un hash SHA-256. Cheia serverului este RSA 3072 biți, iar criptarea datelor se face prin AES-256-GCM, ceea ce ne va permite să transferăm date la o viteză foarte mare.
În partea dreaptă jos a FileZilla puteți vedea și un lacăt care indică faptul că comunicarea este sigură.
Server VPN de cea mai înaltă performanță
Majoritatea serverelor NAS au VPN servere pentru a ne conecta în siguranță și la distanță la rețeaua locală. Dacă NAS-ul nostru încorporează AES-NI și folosim protocoale precum OpenVPN care se bazează pe TLS, putem obține o lățime de bandă mai mare pentru descărcarea sau încărcarea fișierelor. În testele noastre, am verificat că un NAS cu accelerare de criptare hardware, cum ar fi QNAP TS-1277, este capabil să ofere până la 500 Mbps viteză simetrică, totuși, dacă nu ar avea accelerare de criptare hardware, performanța ar fi de aproximativ 100 Mbps, astfel și așa cum se întâmplă în prezent cu routerele care integrează un VPN și nu au accelerare de criptare hardware. Dacă serverul NAS nu acceptă AES-NI, o alternativă bună poate fi utilizarea WireGuard, acest protocol VPN sigur este mult mai rapid decât OpenVPN sau IPsec IKEv2, deci este foarte recomandat.
După cum puteți vedea, astăzi este esențial ca un server NAS să aibă accelerare de criptare hardware, în plus, este, de asemenea, foarte recomandat ca computerele noastre să încorporeze această funcționalitate importantă, pentru a profita din plin de viteza rețelelor locale care astăzi deja Multigigabit (2.5G în continuare).
