ssl titkosítás hardveresen

 ( BikMak | 2010. október 20., szerda - 15:24 )

A feladat a következő:
soros porton vagy eth-en bejövő adat titkosítása ssl-el, és továbbküldése ethernet kimeneten a megadott ip címre.

Kérdés: milyen hardverrel lehetne ezt megoldani a lehető legolcsóbban?
(~max 30 000 HUF)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nemvagom mi a cel, de talan egy Mikrotik?
Sorosportja is van meg ethernetje is, habar sorosportal nemvagom mit lehet csinalni managementen kivul.

vannak kis méretű (<1K) adatcsomagok amik viszonylag ritkán (~10 percenként) jönnek be a soros porton, vagy a ethernet porton http kérésként, ezt kéne ssl-el titkosítani és továbbküldeni http kérésként(vagy akár socketen keresztül) egy szervernek.

Valami wireless-router-kategóriájú szappantartó (pl. a Tp-link WR1043ND tök jó árú cucc, 15 rugó alatt megvehető), a legszimpatikusabb linux-alapú firmware-rel kiegészítve (pl. az openwrt sirály), ha kell soros port is, akkor dugsz rá egy usb-serial konvertert (kb. 2-3 rugó), oszt csókolom.

Ha 10 percenként kell elkódolni 1KB-ot, az bármilyen cpu meg tudja csinálni.

+1, ezt javallottam en is a kolleganak, csak igy latatlanban (i.e. tipus/hw ismerete nelkul). de ez tetszik, lehet hogy szerzek egy ilyen ku"tyu"t es eljatszogatok vele, mit tud. thx a tipust ;)

Ha 10 percenként kell elkódolni 1KB-ot, az bármilyen cpu meg tudja csinálni.
ezt valoban me'g egy mikrokontroller is megcsinalja. ami szuk keresztmetszet lehet, az a `memory footprint`. pl egy `openssl s_connect randomhost:443` csak igy elinditiva linux/i386-on felszippant 4m memoriat. az /usr/lib/libssl.so + libcrypto.so is egyutt masfel - ke't mega, csak ko'd. kerdes, hogy egy ekkora cucc mekkora biztonsaggal fut egy ilyen home-router kategoriaju "vason". nincs benne tapasztalat (lasd fenjebb: majd szerzek oszt jatszok), de talan itt ekkora kategoriaknal ez mar nem magatol ertetodo.

SSLeay 0.9.0b, valami 98 körüli verzió, nem hiszem, hogy ne futna el sokkal kevesebb ram-mal, főleg, ha az algoritmusok felét bele sem fordítja az ember. Persze az azóta felfedezett régi sechole-okat ki kéne ölni belőle...

hm, neztem kesobb, pont az altalad linkelt kutyure irjak hogy 32/64m ram is van benne. abba azert mar elfer minden. azt hittem hogy ezekbe azert kevesebb van (4-8m koruli).

" ha kell soros port is"

Azokban szokott lakni konzolport, legfeljebb nem végződik tüskesorban, és 3V-os, vagyis kell rá egy szintillesztő.

tehát https-en keresztül akarsz továbbítani valamit az interneten?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

ja :)

man POST

:)

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Azert ez megsem ugyanaz, mintha az Ethernet datagramot akarnad ssl-el titkositani, ennek amugy is csak pont-pont kapcsolat eseten lenne ertelme (ahol nincs routereles es fizikai a cimzes). Te ezek szerint alkalmazasretegbeli adatot akarsz titkositani. Ekkor viszont a hardveres titkositas csak az SSL-es gyorsitokartyak segitsegevel valosulhat meg. http://sslacceleration.info/hardware.shtml Ehhez persze szoftveres tamogatas is kell.

egy szamitogeppel ;) vmi egyszerubb arm-alapu board, linux + libssl + egy relative kicsi es egyszeru program ami ir/olvas oda/onnan, ahova kell.

a soros porton jovo/meno" adat milyen protokolt hasznal? nyers adatfolyam? inet? (slip/ppp?) sajat? ez azert nem mindegy, egyebkent sem.

Igen, néztem már ilyet, de amit találtam az mind 60-200e környékén volt árban.

olyan 20k korul mar kene hogy legyen valami hasznalhato. legalabbis tobb fuggetlen forras is ezt mondta, meg anno egy idoben en is kerestem effele cuccokat, csak mar nem emlekszem hogy hol (vegul nem kellett). talan argep.hu-n lattam ilyesmit, nem emlekszem. az "arm board" elso keptalalatara raklikkolva pont egy kb ~100 dolcsis eszkoz jon be, amin pont van 2 soros port, 32mega ram, 1 eth, es felmegy ra' minden ami kellhet (es 2 masodpercnel tobbet nem toltottem a problemaval mmint ezzel a keresessel). de mondom, ezen temaban nem nagyon akarok okosnak latszani kozvetlen tapasztalat hianyaban, viszont nem hiszem hogy nagyon messzire kell menni, csak kis keresgeles.

meg egy otlet: 1/ sok home-routerre lehet tenni sajat firmware-t 2/ sok home-routeren van usb port (pl nyomtatonak) 3/ usb <-> soros alakito letezik, oob, parezer huf 4/ libssl-t csak elbir egy ilyen 5/ ha gcc-vel fordithato program erre a kutyure, akkor megirod pc-n kellemesen pedansan, kiteszteled, majd portolod az eszkozre a programot. 6/ az openssl mint program is tud ssl klienskent mukodni, stdin/stdout-ot kot ssl-es socketre, https is megy igy (lasd `openssl s_client ...`), tehat ha kutyure magat az openssl binarist tudod portolni, az is megoldas, es akkor sajat c programmal se kell szivni.

szerintem itt a hupon is talasz 1/...6/ mindegyikere kulon-kulon utalasokat/megoldasokat/javallatokat, nem is kell messzire menni, csak osszetenni ezek alapjan.

Szia!

Épp ilyesmi hardvereket kerestem délután.
Keress rá arra Google-val, hogy "ARM SoM" vagy "ARM SBC". Sok jó dolgot fogsz találni (pl.).
Gyakran Linux fut rajtuk, azt pedig lehet úgy idomítani, hogy ismerje az SSL-t.

Fuszenecker Róbert

Mindenkinek köszönöm a javaslatokat.

Egyelőre ezt néztük ki:
http://www.armdesigner.com/EM2440-III.html

ha valaki találna olcsóbbat, kevesebb sallanggal erre a feladatra, nyugodtan megírhatja, egyelőre megrendeltük ezt, kipróbáltuk, ha találunk később jobbat, akkor átállunk rá.

Itt ugyanugy szoftver vegzi a titkositast, nem celhardver. Maximum annyi, hogy ez kb. beagyazott eszkoz kategoria, nem pedig teljeserteku szamitogep. De ettol meg a titkositas szoftveres lesz, alkalmazasretegbeli.

Igen, valóbban nem, de a cél nem is az volt, hanem hogy ez az egész egy külön hardveren legyen megvalósítva (beágyazott gép/microkontroller stb.). Ez a témaindító hozzászólásból szerintem ki is derült, bár a cím félrevezető lehet, de amikor azt írtam, nem jutott jobb az eszembe.

Ilyen erovel 30kbol vehetsz egy hasznalt P4-es gepet is. Az is kiszolgalja ezt a feladatot. Jo kerdes, mekkora a szamitasi teljesitmeny/felvett villamosenergia hanyados. Ezt is vedd figyelembe.

Ilyen erovel 30kbol vehetsz egy hasznalt P4-es gepet is.
ja, vagy neked fizetnek hogy vigye'l el egy p1-eset, az is megteszi a feladatra :]