Сетевое шифрование: программное или аппаратное?

Вне зависимости от производителя, функций, системы управления ключами и криптографического алгоритма, решения для сетевого шифрования делятся на две фундаментальные группы: программная криптография (с помощью микропроцессора компьютера или устройства) и аппаратная криптография (на основе специализированных аппаратных ППВМ матриц). Обе данные реализации позволяют шифровать данные, однако необходимо учитывать соотношение между удобством, безопасностью и производительностью при выборе подходящего решения.

Программная криптография

Программная криптография чаще всего используется как дополнительная функция в таких устройствах как маршрутизаторы, коммутаторы и межсетевые экраны. Каждое из таких устройств оптимизировано под соответствующую основную функцию, а поддержка шифрования добавляется, прежде всего, как маркетинговое преимущество с целью повышения продаж. Устройства такого класса универсальны и хорошо подходят для решения широкого спектра задач по обеспечению безопасности передаваемых данных, однако, многофункциональность всегда имеет свою цену. Например, самые распространённые в мире многофункциональные устройства – мобильные телефоны. В смартфоне есть камера – это удобно, но вы не встретите профессионального фотографа, который бы использовал телефон для создания качественных снимков. Любители музыки едва ли пойдут на концерт, где звук на колонки передаётся с  телефона. Удобство – это важный аспект, позволяющий удовлетворить все потребности разом, но не для профессионалов. Когда необходим качественный результат, выбор всегда в пользу специализированных устройств, спроектированных для наилучшего выполнения целевой задачи.

Аппаратная криптография

Мировым лидером по аппаратной криптографической защите данных является международная компания Thales (рус. – Та́лес). В специализированных шифраторах, таких как Thales Datacryptor, используется аппаратная криптография, основанная на технологии ППВМ. ППВМ – программируемая пользователем вентильная матрица, универсальное полупроводниковое устройство, конфигурируемое производителем, позволяет получить очень высокую скорость шифрования с предельно низкой задержкой. Отличие в производительности между ППВМ аппаратным шифратором и программным шифрованием может быть просто ошеломительным.

Задержка – это ключевой параметр, определяющий эффективность криптографического устройства, представляет собой суммарное время на получение, шифрование и отправку пакета данных. Задержка программного шифрования измеряется в миллисекундах, в то время как аппаратного – в микросекундах, т.е. в тысячу раз быстрее. На скоростях 10 Гигабит/с и выше негативное влияние задержки на производительность растёт экспоненциально, поэтому у Thales Datacryptor она составляет всего 5мкс. Стоит подчернить, что поддержка устройством сетевого интерфейса определённой номинальной скорости, например, 10 Гигабит/с не может говорить о производительности без учёта параметров задержки.

Не все данные одинаковы

Существуют различные размеры кадров данных, что ещё больше усложняет задачу. Например, голосовые и видео данные разбиваются на значительно более мелкие кадры, чем при традиционной передаче файлов.  В IP-телефонии множество мелких кадров голосовых данных создают огромную нагрузку на микропроцессор при шифровании программным способом. В ППВМ крипто-устройствах каждый кадр данных обрабатывается с одинаково низкой задержкой независимо от его размера. Аналогично ситуация обстоит и со сверхбольшими «Джамбо-кадрами» размером больше 1500 байт. Микропроцессору требуется пропорционально размеру больше времени на их шифрование, что никак не влияет на скорость обработки ППВМ крипто-устройствами.

Сетевой трафик – непрерывный поток смеси из различных типов данных, изменяющийся в зависимости от нагрузки и времени суток. Аппаратные канальные шифраторы на основе ППВМ матрицы позволяют обеспечить неизменную производительность при любой нагрузке и для всех типов данных, когда эффективность программных криптографических решений подвержена сильным флуктуациям и не может гарантировать заданного качества обслуживания.

Канальные шифраторы Thales Datacryptor. Что же выбрать?

Специализированные криптографические решения Thales используются правительствами 55 стран мира, 19 из 20 крупнейших банков, большинством крупнейших аэрокосмических и производственных компаний. Таким образом, специализированные шифраторы – оптимальный выбор для защиты критически важных каналов связи. Универсальные решения со встроенной программной криптографией, такие как маршрутизаторы, свитчи, межсетевые экраны могут быть удобны для решения широкого спектра задач, в случае если производительность и качество обслуживания не являются критически важными критериями. Кроме того, универсальные решения не сертифицируются стандартам безопасности, определяющим требования к криптографическим механизмам (например, FIPS 140-2),поэтому не имеют многих средств защиты от взлома и не гарантируют отсутствия багов и уязвимостей.