Сетевое шифрование: программное или аппаратное?

Даниил Пустовой
Директор по развитию DNA Distribution

Программная криптография

Чаще всего программная криптография используется как дополнительная функция в таких устройствах, как маршрутизаторы, коммутаторы и межсетевые экраны (МЭ). Каждое из таких устройств оптимизировано под соответствующую основную функцию, а поддержка шифрования добавляется прежде всего как маркетинговое преимущество с целью повышения продаж. Устройства такого класса универсальны и хорошо подходят для решения широкого спектра задач по обеспечению безопасности передаваемых данных.

Однако многофункциональность всегда имеет свою цену. Удобство – это важный аспект, позволяющий удовлетворить все потребности разом, но не для профессионалов. Когда необходим качественный результат, выбор всегда в пользу специализированных устройств, спроектированных для наилучшего выполнения целевой задачи.

Аппаратная криптография

Мировым лидером по аппаратной криптографической защите данных является международная компания Thales (рус. "Талес"). В специализированных шифраторах, таких как Thales Datacryptor, используется аппаратная криптография, основанная на технологии ППВМ (программируемая пользователем вентильная матрица, универсальное полупроводниковое устройство, конфигурируемое производителем, позволяет получить очень высокую скорость шифрования с предельно низкой задержкой). Отличие в производительности между аппаратным шифратором на основе ППВМ и программным шифрованием может быть просто ошеломительным.

Задержка – это ключевой параметр, определяющий эффективность криптографического устройства, который представляет собой суммарное время на получение, шифрование и отправку пакета данных. Задержка программного шифрования измеряется в миллисекундах, в то время как аппаратного – в микросекундах, то есть в тысячу раз быстрее. На скоростях 10 Гбит/с и выше негативное влияние задержки на производительность растет экспоненциально, поэтому у Thales Datacryptor она составляет всего 5 мкс. Стоит подчеркнуть, что поддержка устройством сетевого интерфейса определенной номинальной скорости, например 10 Гбит/с, не может говорить о производительности без учета параметров задержки.

Не все данные одинаковы

Существуют различные размеры кадров данных, что еще больше усложняет задачу. Например, голосовые и видеоданные разбиваются на значительно более мелкие кадры, чем при традиционной передаче файлов. В IP-телефонии множество мелких кадров голосовых данных создают огромную нагрузку на микропроцессор при шифровании программным способом. В криптоустройствах на основе ППВМ каждый кадр данных обрабатывается с одинаково низкой задержкой независимо от его размера. Аналогично ситуация обстоит и со сверхбольшими "джамбо-кадрами" размером больше 1500 байт. Микропроцессору требуется пропорционально размеру больше времени на их шифрование, что никак не влияет на скорость обработки криптоустройствами на ППВМ.

Что же выбрать?

Специализированные криптографические решения Thales используются правительствами 55 стран мира, 19 из 20 крупнейших банков, большинством крупнейших аэрокосмических и производственных компаний. Таким образом, специализированные шифраторы – оптимальный выбор для защиты критически важных каналов связи. Универсальные решения со встроенной программной криптографией, такие как маршрутизаторы, свитчи, МЭ, могут быть удобны для решения широкого спектра задач, в случае если производительность и качество обслуживания не являются критически важными критериями. Кроме того, универсальные решения не сертифицируются по стандартам безопасности, определяющим требования к криптографическим механизмам (например, FIPS 140-2), поэтому не имеют многих средств защиты от взлома и не гарантируют отсутствия багов и уязвимостей.