Hårdvarukrypteringsacceleration är en mycket viktig funktion i NAS-servrar och i våra datorer, tack vare den här funktionen utförs krypterings- och dekrypteringsprocessen med AES symmetrisk krypteringsalgoritm genom instruktioner i processorn, vilket möjliggör större prestanda än om du gjorde det direkt på mjukvarans operativsystemnivå. AES (avancerad kryptering Standard) är för närvarande den mest använda symmetriska krypteringen, av denna anledning innehåller alla processorer denna krypteringsacceleration. Idag kommer vi i den här artikeln att förklara i detalj vad hårdvarukryptering är, hur det fungerar och hur det förbättrar vår NAS-server.
Vad är AES och vad står AES-NI för?
AES (Advanced Encryption Standard) är ett blockkrypteringsschema som för närvarande är krypteringsstandarden över hela världen, sedan 2006 har det etablerat sig som den mest använda symmetriska krypteringsalgoritmen i världen. Denna symmetriska krypteringsalgoritm har en fast blockstorlek på 128 bitar och nyckellängdstorlekar på 128, 192 och 256 bitar. AES anses för närvarande vara en säker symmetrisk krypteringsalgoritm, även om det finns AES-krypteringslägen som är säkrare än andra, förutom att ge ytterligare egenskaper för konfidentialitet, såsom äkthet (integritet) om vi redan använder GCM (Galois Counter Mode) som är AEAD (Autentiserad kryptering med associerad data). Dessutom möjliggör GCM-krypteringsläget i AES högre prestanda genom att data kan hanteras parallellt.
Processortillverkare som Intel, AMD or ARM har integrerat AES-instruktionsuppsättningen i sina processorer, i syfte att kraftigt förbättra prestandan i datakryptering och dekryptering, vilket gör läshastigheten och läshastigheten helt klart mycket hög jämfört med en annan processor som inte har den här funktionen. Denna uppsättning AES-instruktioner kallas populärt AES-NI (Advanced Encryption Standard New Instructions) eller helt enkelt hårdvarukrypteringsacceleration, för att indikera att en specifik processor stöder denna teknik.
Intel- och AMD-processorer kompatibla med AES-NI
AES-NI är en förlängning av instruktionsuppsättningen i X86-arkitekturer som gör att vi kan öka hastigheten för datakryptering och dekryptering. I de flesta fall är denna funktion aktiverad som standard i datorns BIOS, men det är tillrådligt att kontrollera om vi har denna funktion aktiverad i BIOS. I vissa fall med äldre datorer stöder inte BIOS detta alternativ, så det är tillrådligt att granska vår version och uppdatera den när det är möjligt.
För närvarande är alla nya processorer som kommer ut på marknaden, förutom de lägsta ARM-baserade, kompatibla med AES-NI, men det är alltid tillrådligt att besöka de olika tillverkarnas officiella hemsida för att veta förstahands om en processor i Specifikt stöder hårdvarukryptering acceleration. Till exempel, under många år har alla Intel- och AMD-processorer den tekniken som är så viktig idag, och det är att vi kraftigt kan påskynda läsnings- och skrivprestanda när vi har att göra med data krypterad med AES, dessutom mängder av CPU för att utföra denna operation är riktigt låg jämfört med en processor som inte stöder den här funktionen.
Hur vet jag om min NAS-server stöder hårdvarukryptering?
När vi köper en NAS-server, normalt på tillverkarens officiella webbplats, indikerar det om den stöder hårdvarukryptering eller inte, men det skulle alltid vara tillrådligt att titta på vilken processor denna NAS-server har och gå in på den officiella webbplatsen för processortillverkaren och verifiera pålitligt om den verkligen stöder AES-NI eller hårdvarukrypteringsacceleration, för att ta bort alla tvivel om det. Vi kommer att ge dig två tydliga exempel på NAS-servrar som stöder hårdvarukrypteringacceleration, en med en Intel-processor och den andra med en AMD-processor.
Om vi går till den officiella webbplatsen för QNAP TVS-h1288X-modellen kan vi se att denna NAS-server inte innehåller AES-NI-krypteringsmotor, därför har vi hårdvarukrypteringsacceleration.
Denna NAS-server har en Intel Xeon W-1250-processor. Om vi går till den officiella Intel-webbplatsen kan vi verifiera att den effektivt stöder "Nya instruktioner från AES Intel", därför kan vi bekräfta att denna processor stöder hårdvarukryptering.
När det gäller QNAP TS-473A NAS-servern, som är lägre än den tidigare, innehåller den en AMD Ryzen V1500B-processor, enligt den officiella QNAP-webbplatsen kommer vi också att ha AES-NI hårdvarukryptering, därför vill vi kommer att uppnå enastående prestanda vid kryptering och dekryptering av information.
Om vi går till den officiella webbplatsen för AMD Ryzen V1500-processorfamiljen kan vi se i säkerhetsavsnittet att den har olika funktioner relaterade till datakryptering och säkerhet, men det indikerar inte tydligt att den har AES-NI.
Om vi går till någon webbplats för processorjämförelse kan vi se att den stöder AES-NI, som du kan se nedan:
Idag har alla Intel- och AMD-processorer som kommer ut på marknaden, även om de är nybörjarnivå, AES-NI-hårdvarukrypteringsacceleration, eftersom det är en mycket nödvändig funktionalitet idag, så vi kommer att förklara nedan.
Varför behöver jag en NAS-server med hårdvarukryptering?
NAS-servrar tillåter oss att lagra all information i dem. Om vi vill vidta säkerhetsåtgärder för att ha sekretess är det viktigt att kryptera all data, antingen krypterad när den är på hårddisken eller krypterad i kommunikation med NAS-servern . På detta sätt kan vi vara säkra på att våra data inte kan läsas utan huvudlösenordet som dekrypterar dessa data.
Volym- och mappkryptering
NAS-servrar via deras operativsystem gör att du kan konfigurera kryptering av volymer och även mappar , till exempel i fallet med QNAP kan vi kryptera (kryptera) en hel volym, för att skydda informationen så mycket som möjligt i händelse av att den tar bort hårddisken eller har NAS stulits fysiskt. På det här sättet krypteras och dekrypteras all data som vi kopierar till den volymen direkt, vilket gör att processorn tar hand om den här uppgiften. Om vi har en processor med AES-NI kommer vi att märka att allt går perfekt och att vi inte har någon typ av flaskhals, dessutom kommer vi att kunna se att CPU-användningen inte går upp till värden på 90% eller 100% när vi överför filer. Om vi inte hade den här funktionen skulle vi se huvudprocessorn på NAS-servern explodera vid 100% användning och läs- och skrivprestandan är klart lägre, eftersom vi kommer att ha en flaskhals på grund av denna datakryptering / dekryptering.
När som helst kan vi blockera åtkomst till den krypterade volymen, ändra lösenordet och andra alternativ för krypterad volymhantering:
En annan intressant funktion är att vi bara kan kryptera en mapp, det är inte nödvändigt att kryptera hela volymen. I det här fallet kommer vi också att använda den populära AES symmetriska krypteringsalgoritmen för krypterings- och dekrypteringsuppgiften för datan. Om vi har en processor med AES-NI kan vi ha samma prestanda som om mappen inte var krypterad, på det sättet är det alltid tillrådligt att kryptera allt innehåll.
Som du kan se har vi möjligheten att kryptera bara en mapp, men vår rekommendation är att använda volymkryptering direkt.
SMB 3.0 - Krypterade lokala nätverksöverföringar
Det senaste SMB 3.0-protokollet låter oss inte bara utföra säker autentisering med hjälp av kryptering, utan all dataöverföring från en källa till en destination kan krypteras med hjälp av den symmetriska AES-krypteringsalgoritmen. Om NAS-servern stöder hårdvarukrypteringsaccelereringsfunktionen kan vi se att prestandan vi får är densamma eller nästan densamma som om vi använde SMB 2.0 som inte använder datakryptering.
Tack vare införlivandet av AES-NI kommer vi att kunna skydda all vår kommunikation i det lokala nätverket, med målet att, om någon kan fånga informationen, kan de inte dekryptera den och bibehålla vår integritet.
FTPES: FTP-protokoll med datakryptering
Det säkra FTP-protokollet, eller även känt som FTPES, drar också klart nytta av denna mycket viktiga funktion hos NAS-servrar. FTPES använder TLS 1.2 eller TLS 1.3-protokollen för kontrollkanalen, men för datakanalen där vi ska överföra all information som den brukar använda AES-GCM, men beroende på konfigurationen av FTPES-servern kan detta förändras . Konfiguration på en QNAP NAS-server är så enkelt som att klicka på "FTP med SSL / TLD (Explicit)" för att aktivera denna viktiga funktionalitet.
När vi ansluter till FTPES-servern med program som FileZilla kan vi se att kommunikationen är helt krypterad. Det visar oss det digitala certifikatet som vi har fått konfigurera, eller som NAS-servern automatiskt har konfigurerat för oss. Vi kan se att en 2048-bitars RSA-nyckelalgoritm har använts med SHA256 som signatur. Det kommer att indikera att kommunikationssessionen har genomförts med TLS 1.2 med en specifik kryptografisk svit, och att datakryptering för informationsutbyte är AES-128-GCM, därför har vi AEAD som vi har förklarat tidigare.
I FileZilla visas ett hänglås längst ned till höger, vilket indikerar att anslutningen är krypterad och säker.
SFTP - SSH-baserat protokoll med kryptering
SFTP-protokollet är baserat på SSH, det gör det möjligt för oss att utbyta filer för att autentisera oss med servern på ett säkert sätt med hjälp av alla kryptografiska protokoll i SSH. Detta protokoll används ofta eftersom det bara är nödvändigt att öppna en port, genom vilken all kommunikation flyter. I det här fallet måste SFTP-serverkonfigurationen göras genom SSH-avsnittet, som du kan se nedan:
Genom att ansluta till ett program som FileZilla till denna SFTP-server kommer den att berätta för oss vilka algoritmer den har använt. Till exempel har nyckelutbytet gjorts med ECDH med Curve25519, med en SHA-256-hash. Servernyckeln är RSA 3072 bitar, och datakrypteringen sker via AES-256-GCM, vilket gör att vi kan överföra data i mycket hög hastighet.
Längst ner till höger på FileZilla kan du också se ett hänglås som indikerar att kommunikationen är säker.
Högsta prestanda VPN-server
De flesta NAS-servrar har VPN servrar för att ansluta oss säkert och på distans till det lokala nätverket. Om vår NAS innehåller AES-NI och vi använder protokoll som OpenVPN som är baserat på TLS kan vi uppnå större bandbredd för nedladdning eller uppladdning av filer. I våra tester har vi verifierat att en NAS med hårdvarukrypteringsacceleration som QNAP TS-1277 kan ge upp till 500 Mbps symmetrisk hastighet, men om den inte hade hårdvarukrypteringsacceleration skulle prestandan vara cirka 100 Mbps, sådan och som för närvarande är fallet med routrar som integrerar ett VPN och inte har hårdvarukrypteringsacceleration. Om din NAS-server inte stöder AES-NI kan ett bra alternativ vara att använda WireGuard, detta säkra VPN-protokoll är mycket snabbare än OpenVPN eller IPsec IKEv2, så det rekommenderas starkt.
Som du kan se är det idag viktigt att en NAS-server har hårdvarukrypteringsacceleration, dessutom rekommenderas det också att våra datorer använder denna viktiga funktionalitet för att dra full nytta av hastigheten på lokala nätverk som de idag är redan Multigigabit (2.5G framåt).
