|
10.10.2005 10:16:53
И еще раз птыце))) А вы всей рекламе по телевизору верите, да ???
 Тесты производительности на официальной сайте S-Terra Оборудование Gate 7000 2*Xeon 2.4Ghz режим - шифрование + подпись между 2 мя!!! ихними шлюзами Скорость ------------65 мбит !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Где 3 гб???????????????????????????????????????????????? А знаете почему??? Потому что в криптопровайдере CryptoPro нет оптимизации под процессоры (по крайней мере во 2 версии их провайдера) !!! |
|
|
|
|
|
10.10.2005 10:22:52
Про 2 года и компетентность -- я написал "уже как года два" !!! То есть >= 2 лет
То есть по крайней мере )))) |
|
|
|
|
|
10.10.2005 10:25:04
Хотя бы для того, что бы разбирать, какой трафик шифровать, а какой нет. Кстати, если там IPSec, то я не поверю, что там нет пакетного фильтра, поскольку политика IPSec (Security Policy Database) суть - пакетный фильтр с тремя правилами - отбросить, пропустить и пропустить с использованием SA. <q> это к слову о компетентности</q> |
|||
|
|
|
|
10.10.2005 10:37:07
Мое личное мнение, что любое СКЗИ должно быть не более чем проходным шифратором, все прочее - от лукавого. Не должно устройство VPN принимать решение о том, какой трафик шифровать, а какой - нет. Зачем тратить процессорные мощности на обработку пакетов? За него это должны делать сторонние устройства, в том числе маршрутизаторы с FFS и policy-routing'ом и полноценные межсетевые экраны.
Это называется "пакетный фильтр"???  Вот бы ФСТЭК сертифицировало экраны с такими правилами даже пусть по пятому классу - это был бы прорыв на рынке! %))))) |
|||||
|
|
|
|
10.10.2005 10:42:50
Именно это и называется пакетный фильтр. Единственное отличие от многих других пакетных фильтров - не анализирует флаги TCP, а так - все стандартные (для пакетного фильтра) критерии фильтрации присутсвуют.
Ага. Например VPN-клиент |
|||||
|
|
|
|
10.10.2005 10:44:20
 Каким способом можно ускорить ГОСТ 89 ???????? Как вы предлагаете его паралелить между процессорами??? |
|||
|
|
|
|
10.10.2005 10:46:10
Зы. В общем, господин underling, включаем сначала мозг, а затем глотку. И неплохо бы сначала разобраться в том, о чем высказывается ваше многоуважаемое личное мнение.
|
|
|
|
|
|
10.10.2005 10:50:25
Мое личное мнение, что ЛЮБОЕ СКЗИ должно быть не более чем проходным шифратором :funny:
:funny: Так уж и любое? |
|
|
|
|
|
10.10.2005 10:50:31
Гость
В-общем аргументы кончились, начался переход на личности %) Так и запишем |
|
|
|
|
|
10.10.2005 11:02:35
Вернемся к нашим баранам)))
Итак на довольно мощной (2*Xeon 2.4 ghz) машине S-terra дает защишенный канал между двумя машинами всего в 65 мбит. Откуда же берется цифра в 3 ГБ? И за что они вообще хотят денег? Континент дает до 80 мбит (шифрование, имитовставка, туннелирование). Дионис дает больше 100 мбит. Нуууссс уважаемый птыца где же вы???? |
|
|
|
|
|
10.10.2005 11:09:22
Алексей
В КриптоПро, например, синхронизации идет по дескрипторам ключевых контейнеррв. Соответственно для адекватного повышения производительности мультипроцессорным приложениям логично в разных потоках использовать разные контейнеры.
Так ли уж нет? Входит открытый текст, выходит - шифртекст. |
|||||
|
|
|
|
10.10.2005 11:22:00
Как водится, агументы нужны лишь тем, кто в состоянии их слышать.
А как же расшифрование )?А то что в смарт-картах предусмотрена неизвлекаемая память и система аутентификации для доступа к ней, вас не огорчает? Ведь это мешает им оставаться в продиктованных вами рамках. ЗЫ. А про SPD все же рекомендую почитать RFC |
|||||
|
|
|
|
10.10.2005 11:55:07
Гость
А в чем проблема? Симметричная же операция. А, я понял, вы докопались до слова "шифратор". Ну пусть будет по-вашему. Шифратор-расшифратор.
И что? Криптография там вся на борту - все криптографические операции производятся на чипе, соответственно да, ключ никогда не покидает смарт-карту, но суть от этого не меняется: на чип (токен, смарт-карта, чо угодно) через API подается открытый текст, чип отдает через тот же API шифр-текст. Обратное также справедливо.
Не, никто ж не спорит, что на CSP можно сделать Security Policy. Зачем только это надо? Если у кого-то не хватает денег на нормальный экран, ему и VPN гостовый ни к чему, проще обычный IPSEC с 3DES поднять на opensource. Континент, вон, сертифицирован суть с тем же набором возможностей по экранированию аж по третьему классу. И куда ему этот третий класс? Алексей
Я получал на CSP VPN не 3 гигабита, конечно, но 400-450 мегабит в режиме шифрования (в среднем, на пакетах разной длины). |
|||||||||
|
|
|
|
10.10.2005 11:57:43
дык хоть что-то радует а то дос фаерволы дионис вообще затрахали организации
дык крипторпо пытаетца всё съесть а теперь офтоп ... представте на пять минут что такие компании с меньшей сотни человек получат госзаказ на СКЗИ для кажного россиянина, а стоимость их нынешних лицензий около 40у.е. дык станут все милионэрами |
|
|
|
|
|
10.10.2005 14:03:44
Однако, на недавно прошедшем NORTEL-евском форуме (27 сентября) был представлен аналогичный девайс с поддержкой ГОСТа... Но мне кажется, что все это еще сыро и не продается "в розницу".
Вообще шаги, что Cisco что Nortel, больше маркетинговые - нацелены на госучреждения, там бабло не считают, а жаль. |
|
|
|
|
|
10.10.2005 14:20:49
Попробуем обяснить более просто Итак : 2 машины с шифр каналом между ними. Шифр канал закрыт ГОСТОМ. ГОСТ 32 рязрядный блочный шифр, на машинах 32 рязрядные процессоры. Шифруем открытый текст для передачи его с одной машины на другую... На P4 3гц с использованием отпимизации получаем 800 мбит максимум. На провайдере CryptoPro получаем раз в 10 меньше так как никакой оптимизации там нет. Конечно можно запустить еще один поток шифрования на другом процессоре и получить еще один шифрованный канал и тд))) Только вот это тоже самое что и поставить несколько шифраторов меньшей мощности... Теперь более понятно????
|
|||||||
|
|
|
|
10.10.2005 14:35:20
Алексей
Собственно вы изложили своими словами то, что написано выше мной. Про распараллеливание собственно криптографических операций речи и не идет. Чем вас не устраивает способ достижения высокопроизводительного канала VPN путем распараллеливания на уровне ключевых контейнеров? Можно ставить ферму серверов и балансировать контент-коммутатором, можно, например, разбрасывать IPSEC Security Associations'ы по разным процессорам.
Почему "молчат"? Просто народ у нас как-то не привык вчитываться. Чукча не читатель.. на сайте новость от 12.04.2005 |
|||||
|
|
|
|
10.10.2005 16:27:46
А вот на их сайте ()черным по белому написаны другие цифры))) Производительность самого мощного их гейта (Gate7000) в режими шифрование+имитовставка 65 мбит "составила более 440 мегабит " --- на каком оборудовании???????????????????? Стояло 8 ихних Gate7000???? )))) |
|||
|
|
|
|
10.10.2005 17:01:44
Алексей
А, то есть в зависимости от сайта, где опубликована новость, итоговая производительность оборудования может изменяться в пять и более раз
Алексей, вы меня пугаете Цитата с "другого сайта":
|
|||||||
|
|
|
||||||