debianforum.de

[dakkar]

hallihallo

folgende lage:
ich hab nen via c7 , welcher durch das padlock modul encryption aufgaben (ssl, cryptsetup etc) hardwaretechnisch lösen kann. also nen kern gebaut, padlock als modul rein und ab die post.
hat alles geklappt und wenn ich per

Code: Alles auswählen

modprobe padlock

das modul lade, haut das auch soweit hin:

Code: Alles auswählen

upholder:~# lsmod
Module                  Size  Used by
...
padlock_sha             3712  0
padlock_aes            22208  0
padlock                 1536  0
...


ABER
1. tut sich da nicht grade viel beschleunigungsmaessig und
2. vor allem sind die "default" encryption module auch noch da.

wie krieg ich das hin, dass die padlock_aes statt der "normalen" aes genutzt wird?

ich hoff ich hab das problem vernueftig rüberbringen koennen

mfg
dakky

[gms]

wie krieg ich das hin, dass die padlock_aes statt der "normalen" aes genutzt wird?

mit den normalen Kernel-Hausmitteln funktioniert soetwas über "aliases"

So legst du einen alias für die 2.6er Kernel an:

Code: Alles auswählen

echo "alias aes padlock" >>/etc/modprobe.d/local


wenn du keinen 2.4er Kernel mehr verwendest, solltest du auch die Datei "/etc/modprobe.conf" entfernen, damit obiges Directory verwendet wird

Code: Alles auswählen

test -f /etc/modprobe.conf && mv /etc/modprobe.conf /etc/modprobe.conf.old


wenn du noch einen 2.4er Kernel verwendest, melde dich noch einmal, dort funktioniert das ganze in bißchen anders.

Gruß
gms

[dakkar]

hallihallo gms.

erstmal danke fuer deine antwort. ja du liegst richtig, ich nutze den 2.6.20-1.
bzgl des alias anlegen:
es gibt nur die local im modprobe.d nicht. dafuer aliases. ich geh mal davon aus dass das die richtige konfig ist?
ne modprobe.conf gibts nicht.

vielen dank
dakky

[gms]

es gibt nur die local im modprobe.d nicht. dafuer aliases.

Du könntest eine Datei mit einem beliebigen Namen verwenden, auch z.B. "aliases"
Der Name "local" ist aber mehr oder weniger reserviert und sollte von keinem Paket verwendet werden. Wenn du diesen verwendest läuft deine Einstellung daher keine Gefahr überschrieben zu werden, im Gegensatz zu Einstellungen, die du in der Datei "aliases" vornimmst.

Gruß
gms

[pluvo]

Hallo dakkar,

wie sieht es aus? Funktioniert es?
Wenn die Leistung stimmt, wollte ich das auch mal ausprobieren

[pluvo]

Im Debian Etch Standard-Kernel (linux-image-2.6.18-4-486) ist padlock (inklusive aes-Unterstützung von padlock) als Modul eingebaut

/boot/config-2.6.18-4-486:

Code: Alles auswählen

#
# Hardware crypto devices
#
CONFIG_CRYPTO_DEV_PADLOCK=m
CONFIG_CRYPTO_DEV_PADLOCK_AES=y

Das Modul padlock_aes gibt es nicht, nur das Modul padlock. Wenn man nun das Modul padlock lädt, hilft das nicht, weil cryptsetup nicht padlock benutzt sondern das Modul aes.
(Und das Entladen von aes ging bei mir nicht, weil cryptsetup eine Partition eingebunden hatte )

Also legt man einfach ein Alias an (danke gms)und startet den PC neu:

Code: Alles auswählen

echo "alias aes padlock" >>/etc/modprobe.d/local
reboot

Nach dem Neustart wird man dann von der Mitteilung, das padlock im Einsatz ist begrüsst:

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.

Bisher funktioniert bei mir alles ganz gut.

Ich muss das nur noch irgendwie testen und vergleichen

[pluvo]

Kleiner Zwischenbericht: Die AES Unterstützung ist wirklich sehr gut
Wenn man einen Padlock Chip hat, sollte man diesen auch nutzen. Es lohnt sich!


Ich habe nun den Kernel 2.6.21.1 und dort klappt es mit AES auch hervorragend.
Aber wie läuft das mit SHA1/SHA256? Wenn ich zum Beispiel für die beiden Module sha1 und sha256 ein Alias auf padlock anlege, dann bleibt der beim booten hängen

Benutzt er das schon standardmäßig? Wenn ich ein Alias von aes auf padlock anlege, gibt er beim booten das aus:

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.
padlock: Using VIA PadLock ACE for SHA1/SHA256 algorithms.
padlock: 3 drivers are available.

[pluvo]

Ich habe nun Lenny/Testing und den Debian-Kernel linux-image-2.6.21-2-686:

Es handelt sich um ein voll verschlüsseltes System (alles ist verschlüsselt bis auf /boot).
Hier reicht es nicht, nur den Alias anzulegen, man muss auch das initramfs neubauen. Ansonsten wird trotz Alias immer das Modul aes verwendet.

Code: Alles auswählen

echo "alias aes padlock_aes" >> /etc/modprobe.d/local
update-initramfs -u
reboot

Man muss das Modul padlock_aes angeben, denn nur mit padlock wird er nicht mehr starten!


Ach wie gut, dass "update-initramfs" eine Sicherung (/boot/initrd.img-2.6.21-2-686.dpkg.bak) vom initramfs anlegt, und man diese mit Grub im Notfall auch booten kann


Das einzige Problem ist, dass "alias sha256 padlock_sha" und "alias sha1 padlock_sha" nicht klappt

[kleinerkiffer]

hi
dank diesem thread läuft das padlock modul jetzt auch bei mir.
leider sitze ich auf meinem 2.6.18 kern und kann den
2.6.22 nicht nutzen, da ich darauf die avm fritz card pci treiber nicht zum laufen kriege.

das modul padlock aus dem 2.6.18 kern ist doch nur für aes zuständig
und die padlock fähigkeit des boards wird dabei nicht für sha genutzt , habe ich das richtig verstanden?

meine andere frage: ein mainboard das padlock unterstützt soll, laut einem anderen forum auch einen hardware zufallszahlen generator dabei haben. Wie kann ich diesen unter etch nutzen? habe leider kein passendes modul im kern gefunden.

[darkside40]

Erstmal danke für diesen Thread, ohne den hätte ich es garnicht hingekriegt auch nur ein bisschen was von der Padlock Engine zum laufen zu bringen.

Einiges läuft jetzt auch schon, durch einen eintrag in der /etc/modules werden alle Padlock Module geldaen, das kann ich ja auch in der Ausgabe von lsmod sehen.

Durch ein alias in der form:

Code: Alles auswählen

alias aes padlock-aes

wird die AES ver- und entschlüsselung jetzt auch hoffentlich von Padlock übernommen.

Das einzige Problem was ich jetzt noch habe ist das ich das ganze nicht für SHA1 und SHA256 hinkriege.
Wenn ich das ganze genauso wie für AES mache bootet der Rechner nicht mehr mit einem verweiss darauf das er die Fallback Module für SHA1 und SHA256 nicht laden konnte, weswegen habe ich keine Ahnung (meine CPU unterstützt es als C7 aber auf jeden fall).

Kann mir einer von euch sagen wie ich jetzt auch SHA zum rennen kriege.

Also in der der Dmesg werd ich auf jedenfall mit folgendem begrüßt (wenn ich nur AES lade):

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.
padlock: Using VIA PadLock ACE for SHA1/SHA256 algorithms.
padlock: 3 drivers are available.

Und das steht dann in meiner /proc/crypto:

Code: Alles auswählen

name         : sha256
driver       : sha256-padlock
module       : padlock_sha
priority     : 300
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 32

name         : sha1
driver       : sha1-padlock
module       : padlock_sha
priority     : 300
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 20

name         : sha256
driver       : sha256-generic
module       : sha256
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 32

name         : sha1
driver       : sha1-generic
module       : sha1
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 20

name         : cbc(aes)
driver       : cbc-aes-padlock
module       : padlock_aes
priority     : 400
refcnt       : 1
type         : blkcipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
ivsize       : 16

name         : ecb(aes)
driver       : ecb-aes-padlock
module       : padlock_aes
priority     : 400
refcnt       : 1
type         : blkcipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
ivsize       : 0

name         : aes
driver       : aes-padlock
module       : padlock_aes
priority     : 300
refcnt       : 1
type         : cipher
blocksize    : 16
min keysize  : 16
max keysize  : 32

name         : md5
driver       : md5-generic
module       : kernel
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 16

Hoffe ihr könnt damit was anfangen.

[gms]

Willkommen im Forum!

Welche Kernelversion verwendest du, bzw hast du es schon mit einem Kernel >= 2.6.19 versucht ?

Gruß
gms

[darkside40]

Ich nutzte die die Ubuntu Kernel Version 2.6.20-16-server, also bei der schon der SHA Code drin sein sollte und wo auch die die 3 Padlock Module dabei sind.

Mein Problem ist jetzt halt das ich nicht weiss wie ich den Kernel anweisen soll statt den standard SHA Modulen (sha1.ko und sha256.ko) das Padlock Modul Padlock-sha.ko zu nutzen.

Bei AES hat es ja über das alias scheinbar funktioniert aber wie gesagt diese Lösung funktioniert nicht bei SHA.

Übrigens das SHA Modul ist auch nach dem Start geladen.

[gms]

Übrigens das SHA Modul ist auch nach dem Start geladen.

das scheint auch völlig in Ordnung zu sein, der Padlock Treiber lädt "sha*-generic" als Fallback.

Mein Problem ist jetzt halt das ich nicht weiss wie ich den Kernel anweisen soll statt den standard SHA Modulen (sha1.ko und sha256.ko) das Padlock Modul Padlock-sha.ko zu nutzen.

Ich habe mich mit diesem Thema nicht wirklich auseinander gesetzt, Ich habe keine entsprechende HW.
Anscheindend ist es aber eher so vorgesehen, daß die Applikation wählen sollte, welche Engine benutzt werden soll:

Applications that use OpenSSL library for their cryptographic needs (such as OpenSSH) must explicitly load the available hardware crypto engines. This can be done with these simple calls during startup of the program:

auf der anderen Seite gibt es wiederum einen Patch, der Padlock für alle Applikationen, die openssl verwenden aktiviert:

Once you get bored with patching heaps of client programs have a look at this patch from Cecilia: openssl-0.9.8e-engine.diff, 2007-07-20 01:38
"The openssl-0.9.8e patch will make the ssl-library to load the padlock engine. This means, if you apply the openssl-0.9.8e patch, you do not have to apply any other patches or modifications, since every time the ssl-library is called, the padlock-engine is initialized by the ssl-library."
In other words - Patch for OpenSSL to always load PadLock engine.

scheint mir also auch noch nicht so ganz ausgereift zu sein, das mit dem Padlock :roll:

Gruß
gms

[darkside40]

Schade ich dachte eigentlich das Padlock dann auch z.B. das Hashen von Torrents (ist ja SHA1) beschleunigen kann.

Mal schauen ob ich dann wenigstens mein OpenSSL mal patche.

[mR. bluE]

hi,
ich hab mir jetzt auch eine VIA CPU zugelegt und gehofft das die Padlock Engine automatisch in Lenny 5.01 erkannt und unterstützt wird, dem ist leider nicht so
Ich habe dann Versucht, wie hier http://a110wiki.de/wiki/VIA_Padlock beschrieben vorzugehen.
Also mit

Code: Alles auswählen

lenny:~# modprobe padlock-sha
lenny:~# modprobe padlock-aes


die Module geladen (was mir unwichtig erschien hab ich mal weggemacht das es übersichtlicher bleibt):

Code: Alles auswählen

lenny:~# lsmod
Module                  Size  Used by
padlock_aes             4608  0
padlock_sha             3584  0
....
sha256_generic         11392  0
aes_i586                7680  4
aes_generic            29224  2 padlock_aes,aes_i586
cbc                     3200  3
dm_crypt               11012  1
crypto_blkcipher       14724  6 padlock_aes,cbc,dm_crypt
dm_mirror              14720  0
dm_log                  8192  1 dm_mirror
dm_snapshot            14240  0
dm_mod                 45384  15 dm_crypt,dm_mirror,dm_log,dm_snapshot
....


danach habe ich in die /etc/initramfs-tools/modules die zwei Zeilen

Code: Alles auswählen

padlock-aes
padlock-sha

eingefügt anschließend geupdatet (leider gabs fehlermeldungen)

Code: Alles auswählen

lenny:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-2.6.26-2-486
cryptsetup: WARNING: target hda2_crypt has a random key, skipped
ln: angegebenes Ziel â/tmp/mkinitramfs_XHjPyu//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden
W:copy_exec: Not copying /lib/i686/cmov/libutil.so.1 to $DESTDIR/lib//libutil.so.1, which is already a copy of /lib/libutil.so.1
cpio: ./etc/dropbear/log/main: Cannot stat: Datei oder Verzeichnis nicht gefunden


die hda2 ist mein SWAP mit zufallsgenerator
das mit dropbear liegt evtl. hier dran > http://gpl.coulmann.de/ssh_luks_unlock.html
mit den anderen Fehlermeldungen kann ich nix anfangen
Danach hab ich ein reboot gemacht und gehofft das dm-crypt jetzt die Padlock engine nutzt
dem scheint allerdings nicht so zu sein

Code: Alles auswählen

   lenny:~# hdparm -tT /dev/mapper/karl-dump
   /dev/mapper/karl-dump:
   Timing cached reads:   1100 MB in  2.00 seconds = 549.93 MB/sec
   Timing buffered disk reads:   50 MB in  3.07 seconds =  16.26 MB/sec


16MB/sec ist doch viel zu wenig.....

versucht habe ich noch

Code: Alles auswählen

lenny:~# alias aes padlock-aes

hat allerdings auch nix gebracht.

mit openssl geht aber schon was
ohne Padlock:

Code: Alles auswählen

lenny:~# openssl speed -evp aes-128-cbc
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc      20922.97k    32270.55k    37122.90k    38781.27k    39294.29k


mit Padlock:

Code: Alles auswählen

lenny:~# openssl speed -evp aes-128-cbc -engine padlock
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc      40771.39k   160911.06k   352794.28k   502411.95k   571828.91k


OK 14,5 fach schneller mit Padlock als ohne, sieht ja schonmal nicht schlecht aus...

aber wie ich Lenny jetzt beibringen kann, das erstens die beiden padlock Module automatisch geladen werden und zweitens wie das beim Installationsprozess verschlüsseltes LVM mit der Padlock Engine zugegriffen werden kann, weiß ich noch nicht.
Tja die Infos im Netz sind auch sehr spärlich, gibts irgendwo ein Internationales Debian Forum bei dem ich mich noch melden kann? Im VIA Forum herrscht zumindest Tote Hose, tja das nächste mal denk ich lieber 2mal nach bevor ich eine so spezielle Hardware kaufe

EDIT:
ok in /etc/modules habe ich einfach die padlock-sha und padlock-aes hinzugefügt, jetzt werden die beiden Module auch beim Start geladen

aber schnneller ist der benchmarktest mit hdparm immernoch net