[linux-l] tcp/ip Verschluesselung

Steffen Dettmer steffen at dett.de
Mi Okt 8 02:16:21 CEST 2003 

* Oswald Buddenhagen wrote on Tue, Oct 07, 2003 at 19:58 +0200:
> On Tue, Oct 07, 2003 at 07:03:04PM +0200, Olaf Radicke wrote:
> > Also mache ich bei mein Programm keine interne Verschlüsselung,
> > sondern nur eine Autentifizierung mit md5 und überlasse den Rest dem
> > Admin.
> > 
> wenn deine daten also sowieso aus dem userspace kommen und in
> der anwendungsschicht des netzwerk-protokoll-stacks gescrambled
> werden können, bist du mit openssl oder sowas viel besser
> beraten, weil da der adminstrative aufwand viel kleiner ist.

Ja (kommt natürlich auch auf die Infrastruktur an), und es hat
den Vorteil, das es eine bessere Authentifizierung ermöglicht
(beispielsweise passphrase geschützt), auf Application Level
eben. Auf Network/Transport Level geht das nicht so gut: alle
Benutzer teilen sich ein Network Layer, einer authentifiziert
damit ja alle, geht ja nur ein Windows ;) (und ein
User-Systemen). 

Oswald, kennst Du OpenSSL? Ist das schön benutzbar? Stell ich mir
sehr kompliziert vor! Muß man sich dafür richtig mit ASN.1 und
Freunden auskennen, oder kann man da auch so "einfach mal mit
einem Tag Einarbeitung" was sinnvolles rauskriegen? Wie groß ist
denn ein rudimentäres SSL-Testtool (vielleicht einer, der per
SSL/TLS einem Browser ne Art HTML Datei schickt) so? 100 Zeilen
Code? 1000? Noch mehr? (die Frage ist ganz allgemein gemeint, hab
nicht gesucht, gibt ja bestimmt Beispielprogramme).

> *) also theoretisch gibt es ja crypto-chips, die hardware sind und somit
> nur vom kernel 
[direkt]
> benutzt werden können. ich kann mir allerdings gut
> vorstellen, daß der kernel ein für große datenmengen ausgelegtes
> interface zum userspace anbietet. wenn die crypto-bibliothek das dann
> auch noch unterstützt, hast du von einer kernel-implementierung
> überhaupt keinen vorteil mehr.

Bei Userspace VPN kommt ja hinzu, daß der Kernel ein Packet
empfängt, an den Userspace decryptor schickt, das Ergebnis
zurückbekommt, und diese dann nochmal zum Zielprozeß kopieren
muß. Dieses dreimal kopieren ist ja dann in jedem Fall langsamer,
als es nur einmal zum richtigen Prozeß zu kopieren. Ist hier
natürlich anders, weil ja nur ein Prozeß da ist :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l