Da der ungeeignete Rechner, der diese Aufgabe bisher erfüllt,
allmählich Auflösungserscheinungen zeigt, müsste ich mir ein neues
Gateway für den Heimbedarf zulegen:
- Unterstützt von OpenBSD. PC-Architektur, i386 oder amd64, bietet
sich an.
- Einigermaßen kompakt. Kann durchaus Lüfter haben.
- Dreibeiniges Gateway (LAN, WLAN, WAN), also muss 3× 100M-Ethernet
reinpassen, eher 2× 100M und 1× 1000M.
- (Serielles BIOS. Okay, gestrichen, weil der Markt das nicht
hergibt.)
- Muss IPsec mit voller WLAN-Datenrate fahren können!
Die allseits beliebten Soekris-Klötzchen sind leider völlig unter-
motorisiert. Der Prozessor ist am Anschlag, wenn er nur Pakete mit
.11g-Rate vermitteln muss. Verschlüsselungsbeschleuniger (s.u.)
sind sinnlos, weil das Prozessorchen zu schwach ist, um den Overhead
abzuarbeiten.
Der VIA C3 mit Nehemiah-Kern ist auf den ersten Blick interessant:
kleiner, stromsparender Prozessor mit direkt in den Prozessor
integrierter Verschlüsselungsmaschinerie, erhältlich auf kompakten
Platinen. Leider kann er nur AES und keinen gängigen Hash, muss
also den aufwendigen HMAC wieder zu Fuß berechnen. Der Nachfolger
C7 mit Ester-Kern ist dagegen ein Traumkandidat für ein IPsec-Gateway:
AES, SHA, und Multiplizierer für RSA in Hardware. Leider scheint
er außerhalb von VIAs Webseiten nicht zu existieren und auch VIA
selbst verkauft keine mit ihm bestückten Platinen.
Ein kleiner Exkurs, wo wir gerade von Kryptohardware reden: Ich
wollte mir kürzlich einen solchen Beschleuniger als PCI-Steckkarte
zulegen, einfach mal zum Ausprobieren. Im Vergleich zu einer
Umsetzung im Prozessorkern sind solche Koprozessoren natürlich
umständlich. Sie müssen vom Hauptprozessor vorab für jede
Verschlüsselungsaktion konfiguriert werden und die Daten müssen
zweimal über den PCI-Bus.
Ein Blick über die von OpenBSD unterstützten Beschleuniger zeigt,
dass nur neuere Hifn-Koprozessoren von Interesse sind. Hifn selbst
führt einige PCI-Karten im Produktkatalog auf, aber kaufen kann
man diese anscheinend nicht. Die einzige Quelle, die ich gefunden
habe, sind die entsprechenden Soekris-Karten. Konkret hatte ich
die vpn1401 im Auge. Die übliche Quelle für Soekris-Produkte,
KD85.com, hat die Karte nicht mehr in der Preisliste. Nachfrage
bei Wim hat ergeben, dass sie schlicht nicht stabil ist (irgendwelche
Probleme mit der Taktabnahme vom PCI-Bus), sich öfters verklemmt
und nicht für den Produktiveinsatz geeignet. Wenn selbst der
überaus geschäftstüchtige Wim etwas nicht verkaufen will, dann
ist das ernst zu nehmen. (Wer will, kann die Karten weiterhin von
Sørens Bruder in Dänemark beziehen.)
Kurzum, es gibt keine Kryptokarten auf dem Markt.
Aktuelle Prozessoren für den PC-Markt sind natürlich längst so
schnell, dass sie die Verschlüsselung mit der hier gewünschten
Datenrate selbst abwickeln können. Mangels Alternativen schiele ich
jetzt Richtung eines dieser kompakten "Barebone"-Würfel o.ä. mit
Pentium M. Die c't und die Anzeigen sind voll davon, aber mit einer
starken Ausrichtung auf "Mediacenter". Nun interessieren mich die
Video- und Audio-Fertigkeiten aber überhaupt nicht, ich brauche das
Gerät eben als Netzwerkkomponente. Gibt es da irgendwas auf dem
Markt? Netzwerkinterfaces müssen nicht auf der Hauptplatine integriert
sein, aber dann müssen Steckplätze da sein, ich hänge keine USB-
Ethernet-Adapter daran. Der Mac mini scheidet entsprechend auch
aus.
Möchte jemand etwas ergänzen?
--
Christian "naddy" Weisgerber naddy@mips.inka.de
Received on Mon Dec 5 21:55:29 2005