Войти
Криптографическая структура OpenBSD (OCF ) - это уровень виртуализации услуг для единообразного управления криптографическим оборудованием с помощью операционной системы. Это часть проекта OpenBSD, включенного в операционную систему начиная с OpenBSD 2.8 (декабрь 2000 г.). Как и другие проекты OpenBSD, такие как OpenSSH, он был перенесен на другие системы, основанные на Berkeley Unix, такие как FreeBSD и NetBSD и Solaris и Linux. Один из портов Linux поддерживается Intel для использования с его проприетарным криптографическим программным и аппаратным обеспечением для обеспечения аппаратного ускорения SSL шифрования для открытого исходного кода HTTP-сервера Apache.
Криптография требует больших вычислительных ресурсов и используется во многих различных контекстах. Программные реализации часто служат узким местом для информационного потока или увеличивают сетевую задержку. Специальное оборудование, такое как криптографические ускорители, может уменьшить проблему узких мест, внедрив параллелизм. Определенные виды оборудования, аппаратные генераторы случайных чисел, также могут создавать случайность более надежно, чем псевдослучайный программный алгоритм, используя энтропию природных событий.
В отличие от графических приложений, таких как игры и обработка фильмов, где аналогичные аппаратные ускорители широко используются и имеют сильную поддержку операционной системы, использование аппаратного обеспечения в криптографии имеет относительно низкое распространение. К концу 1990-х годов возникла потребность в едином уровне операционной системы, который бы служил посредником между криптографическим оборудованием и прикладным программным обеспечением, которое его использовало. Отсутствие этого уровня привело к созданию приложений, которые были жестко запрограммированы для работы с одним или очень небольшим набором криптографических ускорителей.
Проект OpenBSD, который имеет историю интеграции надежной, тщательно проверенной криптографии в ядро своей операционной системы, создал основу для обеспечения криптографического аппаратного ускорения в качестве службы операционной системы.
Поддержка на уровне приложений обеспечивается через псевдоустройство / dev / crypto, которое обеспечивает доступ к драйверам оборудования через стандартный интерфейс ioctl. Это упрощает написание приложений и избавляет программиста от необходимости понимать рабочие детали фактического оборудования, которое будет использоваться.
Реализация OpenBSD IPsec, протокол шифрования на уровне пакетов, был изменен таким образом, чтобы пакеты можно было декодировать пакетами, что улучшает пропускную способность. Одно из объяснений этого - максимизация эффективности использования оборудования - большие пакеты уменьшают накладные расходы на передачу по шине - но на практике разработчики IPsec обнаружили, что эта стратегия повышает эффективность даже программных реализаций.
Многие концентраторы микропрограмм Intel на материнских платах i386 предоставляют аппаратный генератор случайных чисел, и, где возможно, это средство используется для обеспечения энтропии в IPsec.
Поскольку OpenSSL использует OCF, системы с оборудованием, поддерживающим криптографические протоколы RSA, DH или DSA, будут автоматически использовать оборудование без каких-либо изменений. программного обеспечения.
11 декабря 2010 года бывший государственный подрядчик по имени Грегори Перри отправил электронное письмо руководителю проекта OpenBSD Тео де Раадту, утверждая, что ФБР 10 лет назад заплатил некоторым бывшим разработчикам OpenBSD за то, что они поставили под угрозу безопасность системы, вставив «ряд бэкдоров и механизмов утечки ключей побочных каналов в OCF». Тео де Раадт опубликовал это электронное письмо 14 декабря, направив его в список рассылки openbsd-tech и предложив провести аудит кодовой базы IPsec. Де Раадт скептически отнесся к отчету и предложил всем разработчикам самостоятельно проверить соответствующий код. В последующие недели ошибки были исправлены, но никаких доказательств наличия бэкдоров обнаружено не было.
Собственная операционная система Oracle Solaris (первоначально разработанная Sun ) представляет собой не связанный с этим продукт, называемый Solaris Cryptographic Framework, систему подключаемых модулей для криптографических алгоритмов и оборудования.
