[linux-l] tcp/ip Verschluesselung

[Oswald Buddenhagen]

On Tue, Oct 07, 2003 at 07:03:04PM +0200, Olaf Radicke wrote:
> Ich habe mir die Artikel in dem letzten Linux-Magazin zu Thema "VPN"
> durchgelesen. Wenn ich das richtig verstanden habe, ist es sinnvoller
> die Verschlüsselung von Datenaustausch dem Kernel zu überlassen, weil
> der das am schnellsten kann. Programme die das selber machen, also im
> Userspacee laufen sind um 15-20% langsamer.
> 
> Also mache ich bei mein Programm keine interne Verschlüsselung,
> sondern nur eine Autentifizierung mit md5 und überlasse den Rest dem
> Admin.
> 
jeder algorithmus läuft im userspace prinzipiell genauso schnell, wie im
kernelspace *). was zeit kostet, ist das hin-und-herkopieren zwischen
den beiden adressräumen.
wenn deine daten also sowieso aus dem userspace kommen und in der
anwendungsschicht des netzwerk-protokoll-stacks gescrambled werden
können, bist du mit openssl oder sowas viel besser beraten, weil da der
adminstrative aufwand viel kleiner ist.

*) also theoretisch gibt es ja crypto-chips, die hardware sind und somit
nur vom kernel benutzt werden können. ich kann mir allerdings gut
vorstellen, daß der kernel ein für große datenmengen ausgelegtes
interface zum userspace anbietet. wenn die crypto-bibliothek das dann
auch noch unterstützt, hast du von einer kernel-implementierung
überhaupt keinen vorteil mehr.

gruß

-- 
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!
--
Chaos, panic, and disorder - my work here is done.