Via PADLOCK module nutzen

[dakkar]

hallihallo

folgende lage:
ich hab nen via c7 , welcher durch das padlock modul encryption aufgaben (ssl, cryptsetup etc) hardwaretechnisch lösen kann. also nen kern gebaut, padlock als modul rein und ab die post.
hat alles geklappt und wenn ich per

Code: Alles auswählen

modprobe padlock

das modul lade, haut das auch soweit hin:

Code: Alles auswählen

upholder:~# lsmod
Module                  Size  Used by
...
padlock_sha             3712  0 
padlock_aes            22208  0 
padlock                 1536  0 
...

ABER
1. tut sich da nicht grade viel beschleunigungsmaessig und
2. vor allem sind die "default" encryption module auch noch da.

wie krieg ich das hin, dass die padlock_aes statt der "normalen" aes genutzt wird?

ich hoff ich hab das problem vernueftig rüberbringen koennen

mfg
dakky

[gms]

wie krieg ich das hin, dass die padlock_aes statt der "normalen" aes genutzt wird?

mit den normalen Kernel-Hausmitteln funktioniert soetwas über "aliases"

So legst du einen alias für die 2.6er Kernel an:

Code: Alles auswählen

echo "alias aes padlock" >>/etc/modprobe.d/local

wenn du keinen 2.4er Kernel mehr verwendest, solltest du auch die Datei "/etc/modprobe.conf" entfernen, damit obiges Directory verwendet wird

Code: Alles auswählen

test -f /etc/modprobe.conf && mv /etc/modprobe.conf /etc/modprobe.conf.old

wenn du noch einen 2.4er Kernel verwendest, melde dich noch einmal, dort funktioniert das ganze in bißchen anders.

Gruß
gms

[dakkar]

hallihallo gms.

erstmal danke fuer deine antwort. ja du liegst richtig, ich nutze den 2.6.20-1.
bzgl des alias anlegen:
es gibt nur die local im modprobe.d nicht. dafuer aliases. ich geh mal davon aus dass das die richtige konfig ist?
ne modprobe.conf gibts nicht.

vielen dank
dakky

[gms]

es gibt nur die local im modprobe.d nicht. dafuer aliases.

Du könntest eine Datei mit einem beliebigen Namen verwenden, auch z.B. "aliases"
Der Name "local" ist aber mehr oder weniger reserviert und sollte von keinem Paket verwendet werden. Wenn du diesen verwendest läuft deine Einstellung daher keine Gefahr überschrieben zu werden, im Gegensatz zu Einstellungen, die du in der Datei "aliases" vornimmst.

Gruß
gms

[pluvo]

Hallo dakkar,

wie sieht es aus? Funktioniert es?
Wenn die Leistung stimmt, wollte ich das auch mal ausprobieren

[pluvo]

Im Debian Etch Standard-Kernel (linux-image-2.6.18-4-486) ist padlock (inklusive aes-Unterstützung von padlock) als Modul eingebaut

/boot/config-2.6.18-4-486:

Code: Alles auswählen

#
# Hardware crypto devices
#
CONFIG_CRYPTO_DEV_PADLOCK=m
CONFIG_CRYPTO_DEV_PADLOCK_AES=y

Das Modul padlock_aes gibt es nicht, nur das Modul padlock. Wenn man nun das Modul padlock lädt, hilft das nicht, weil cryptsetup nicht padlock benutzt sondern das Modul aes.
(Und das Entladen von aes ging bei mir nicht, weil cryptsetup eine Partition eingebunden hatte )

Also legt man einfach ein Alias an (danke gms)und startet den PC neu:

Code: Alles auswählen

echo "alias aes padlock" >>/etc/modprobe.d/local
reboot

Nach dem Neustart wird man dann von der Mitteilung, das padlock im Einsatz ist begrüsst:

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.

Bisher funktioniert bei mir alles ganz gut.

Ich muss das nur noch irgendwie testen und vergleichen

[pluvo]

Kleiner Zwischenbericht: Die AES Unterstützung ist wirklich sehr gut
Wenn man einen Padlock Chip hat, sollte man diesen auch nutzen. Es lohnt sich!


Ich habe nun den Kernel 2.6.21.1 und dort klappt es mit AES auch hervorragend.
Aber wie läuft das mit SHA1/SHA256? Wenn ich zum Beispiel für die beiden Module sha1 und sha256 ein Alias auf padlock anlege, dann bleibt der beim booten hängen

Benutzt er das schon standardmäßig? Wenn ich ein Alias von aes auf padlock anlege, gibt er beim booten das aus:

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.
padlock: Using VIA PadLock ACE for SHA1/SHA256 algorithms.
padlock: 3 drivers are available.

[pluvo]

Ich habe nun Lenny/Testing und den Debian-Kernel linux-image-2.6.21-2-686:

Es handelt sich um ein voll verschlüsseltes System (alles ist verschlüsselt bis auf /boot).
Hier reicht es nicht, nur den Alias anzulegen, man muss auch das initramfs neubauen. Ansonsten wird trotz Alias immer das Modul aes verwendet.

Code: Alles auswählen

echo "alias aes padlock_aes" >> /etc/modprobe.d/local
update-initramfs -u
reboot

Man muss das Modul padlock_aes angeben, denn nur mit padlock wird er nicht mehr starten!


Ach wie gut, dass "update-initramfs" eine Sicherung (/boot/initrd.img-2.6.21-2-686.dpkg.bak) vom initramfs anlegt, und man diese mit Grub im Notfall auch booten kann


Das einzige Problem ist, dass "alias sha256 padlock_sha" und "alias sha1 padlock_sha" nicht klappt

[kleinerkiffer]

hi
dank diesem thread läuft das padlock modul jetzt auch bei mir.
leider sitze ich auf meinem 2.6.18 kern und kann den
2.6.22 nicht nutzen, da ich darauf die avm fritz card pci treiber nicht zum laufen kriege.

das modul padlock aus dem 2.6.18 kern ist doch nur für aes zuständig
und die padlock fähigkeit des boards wird dabei nicht für sha genutzt , habe ich das richtig verstanden?

meine andere frage: ein mainboard das padlock unterstützt soll, laut einem anderen forum auch einen hardware zufallszahlen generator dabei haben. Wie kann ich diesen unter etch nutzen? habe leider kein passendes modul im kern gefunden.

[darkside40]

Erstmal danke für diesen Thread, ohne den hätte ich es garnicht hingekriegt auch nur ein bisschen was von der Padlock Engine zum laufen zu bringen.

Einiges läuft jetzt auch schon, durch einen eintrag in der /etc/modules werden alle Padlock Module geldaen, das kann ich ja auch in der Ausgabe von lsmod sehen.

Durch ein alias in der form:

Code: Alles auswählen

alias aes padlock-aes

wird die AES ver- und entschlüsselung jetzt auch hoffentlich von Padlock übernommen.

Das einzige Problem was ich jetzt noch habe ist das ich das ganze nicht für SHA1 und SHA256 hinkriege.
Wenn ich das ganze genauso wie für AES mache bootet der Rechner nicht mehr mit einem verweiss darauf das er die Fallback Module für SHA1 und SHA256 nicht laden konnte, weswegen habe ich keine Ahnung (meine CPU unterstützt es als C7 aber auf jeden fall).

Kann mir einer von euch sagen wie ich jetzt auch SHA zum rennen kriege.

Also in der der Dmesg werd ich auf jedenfall mit folgendem begrüßt (wenn ich nur AES lade):

Code: Alles auswählen

padlock: Using VIA PadLock ACE for AES algorithm.
padlock: Using VIA PadLock ACE for SHA1/SHA256 algorithms.
padlock: 3 drivers are available.

Und das steht dann in meiner /proc/crypto:

Code: Alles auswählen

name         : sha256
driver       : sha256-padlock
module       : padlock_sha
priority     : 300
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 32

name         : sha1
driver       : sha1-padlock
module       : padlock_sha
priority     : 300
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 20

name         : sha256
driver       : sha256-generic
module       : sha256
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 32

name         : sha1
driver       : sha1-generic
module       : sha1
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 20

name         : cbc(aes)
driver       : cbc-aes-padlock
module       : padlock_aes
priority     : 400
refcnt       : 1
type         : blkcipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
ivsize       : 16

name         : ecb(aes)
driver       : ecb-aes-padlock
module       : padlock_aes
priority     : 400
refcnt       : 1
type         : blkcipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
ivsize       : 0

name         : aes
driver       : aes-padlock
module       : padlock_aes
priority     : 300
refcnt       : 1
type         : cipher
blocksize    : 16
min keysize  : 16
max keysize  : 32

name         : md5
driver       : md5-generic
module       : kernel
priority     : 0
refcnt       : 1
type         : digest
blocksize    : 64
digestsize   : 16

Hoffe ihr könnt damit was anfangen.

[gms]

Willkommen im Forum!

Welche Kernelversion verwendest du, bzw hast du es schon mit einem Kernel >= 2.6.19 versucht ?

Gruß
gms

[darkside40]

Ich nutzte die die Ubuntu Kernel Version 2.6.20-16-server, also bei der schon der SHA Code drin sein sollte und wo auch die die 3 Padlock Module dabei sind.

Mein Problem ist jetzt halt das ich nicht weiss wie ich den Kernel anweisen soll statt den standard SHA Modulen (sha1.ko und sha256.ko) das Padlock Modul Padlock-sha.ko zu nutzen.

Bei AES hat es ja über das alias scheinbar funktioniert aber wie gesagt diese Lösung funktioniert nicht bei SHA.

Übrigens das SHA Modul ist auch nach dem Start geladen.

[gms]

Übrigens das SHA Modul ist auch nach dem Start geladen.

das scheint auch völlig in Ordnung zu sein, der Padlock Treiber lädt "sha*-generic" als Fallback.

Mein Problem ist jetzt halt das ich nicht weiss wie ich den Kernel anweisen soll statt den standard SHA Modulen (sha1.ko und sha256.ko) das Padlock Modul Padlock-sha.ko zu nutzen.

Ich habe mich mit diesem Thema nicht wirklich auseinander gesetzt, Ich habe keine entsprechende HW.
Anscheindend ist es aber eher so vorgesehen, daß die Applikation wählen sollte, welche Engine benutzt werden soll:

Applications that use OpenSSL library for their cryptographic needs (such as OpenSSH) must explicitly load the available hardware crypto engines. This can be done with these simple calls during startup of the program:

auf der anderen Seite gibt es wiederum einen Patch, der Padlock für alle Applikationen, die openssl verwenden aktiviert:

Once you get bored with patching heaps of client programs have a look at this patch from Cecilia: openssl-0.9.8e-engine.diff, 2007-07-20 01:38
"The openssl-0.9.8e patch will make the ssl-library to load the padlock engine. This means, if you apply the openssl-0.9.8e patch, you do not have to apply any other patches or modifications, since every time the ssl-library is called, the padlock-engine is initialized by the ssl-library."
In other words - Patch for OpenSSL to always load PadLock engine.

scheint mir also auch noch nicht so ganz ausgereift zu sein, das mit dem Padlock :roll:

Gruß
gms

[darkside40]

Schade ich dachte eigentlich das Padlock dann auch z.B. das Hashen von Torrents (ist ja SHA1) beschleunigen kann.

Mal schauen ob ich dann wenigstens mein OpenSSL mal patche.

[mR. bluE]

hi,
ich hab mir jetzt auch eine VIA CPU zugelegt und gehofft das die Padlock Engine automatisch in Lenny 5.01 erkannt und unterstützt wird, dem ist leider nicht so
Ich habe dann Versucht, wie hier http://a110wiki.de/wiki/VIA_Padlock beschrieben vorzugehen.
Also mit

Code: Alles auswählen

lenny:~# modprobe padlock-sha
lenny:~# modprobe padlock-aes

die Module geladen (was mir unwichtig erschien hab ich mal weggemacht das es übersichtlicher bleibt):

Code: Alles auswählen

lenny:~# lsmod
Module                  Size  Used by
padlock_aes             4608  0
padlock_sha             3584  0
....
sha256_generic         11392  0
aes_i586                7680  4
aes_generic            29224  2 padlock_aes,aes_i586
cbc                     3200  3
dm_crypt               11012  1
crypto_blkcipher       14724  6 padlock_aes,cbc,dm_crypt
dm_mirror              14720  0
dm_log                  8192  1 dm_mirror
dm_snapshot            14240  0
dm_mod                 45384  15 dm_crypt,dm_mirror,dm_log,dm_snapshot
....

danach habe ich in die /etc/initramfs-tools/modules die zwei Zeilen

Code: Alles auswählen

padlock-aes
padlock-sha

eingefügt anschließend geupdatet (leider gabs fehlermeldungen)

Code: Alles auswählen

lenny:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-2.6.26-2-486
cryptsetup: WARNING: target hda2_crypt has a random key, skipped
ln: angegebenes Ziel â/tmp/mkinitramfs_XHjPyu//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden
W:copy_exec: Not copying /lib/i686/cmov/libutil.so.1 to $DESTDIR/lib//libutil.so.1, which is already a copy of /lib/libutil.so.1
cpio: ./etc/dropbear/log/main: Cannot stat: Datei oder Verzeichnis nicht gefunden

die hda2 ist mein SWAP mit zufallsgenerator
das mit dropbear liegt evtl. hier dran > http://gpl.coulmann.de/ssh_luks_unlock.html
mit den anderen Fehlermeldungen kann ich nix anfangen
Danach hab ich ein reboot gemacht und gehofft das dm-crypt jetzt die Padlock engine nutzt
dem scheint allerdings nicht so zu sein

Code: Alles auswählen

	lenny:~# hdparm -tT /dev/mapper/karl-dump
	/dev/mapper/karl-dump:
	Timing cached reads:   1100 MB in  2.00 seconds = 549.93 MB/sec
	Timing buffered disk reads:   50 MB in  3.07 seconds =  16.26 MB/sec

16MB/sec ist doch viel zu wenig.....

versucht habe ich noch

Code: Alles auswählen

lenny:~# alias aes padlock-aes 

hat allerdings auch nix gebracht.

mit openssl geht aber schon was
ohne Padlock:

Code: Alles auswählen

lenny:~# openssl speed -evp aes-128-cbc
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc      20922.97k    32270.55k    37122.90k    38781.27k    39294.29k

mit Padlock:

Code: Alles auswählen

lenny:~# openssl speed -evp aes-128-cbc -engine padlock
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc      40771.39k   160911.06k   352794.28k   502411.95k   571828.91k

OK 14,5 fach schneller mit Padlock als ohne, sieht ja schonmal nicht schlecht aus...

aber wie ich Lenny jetzt beibringen kann, das erstens die beiden padlock Module automatisch geladen werden und zweitens wie das beim Installationsprozess verschlüsseltes LVM mit der Padlock Engine zugegriffen werden kann, weiß ich noch nicht.
Tja die Infos im Netz sind auch sehr spärlich, gibts irgendwo ein Internationales Debian Forum bei dem ich mich noch melden kann? Im VIA Forum herrscht zumindest Tote Hose, tja das nächste mal denk ich lieber 2mal nach bevor ich eine so spezielle Hardware kaufe

EDIT:
ok in /etc/modules habe ich einfach die padlock-sha und padlock-aes hinzugefügt, jetzt werden die beiden Module auch beim Start geladen

aber schnneller ist der benchmarktest mit hdparm immernoch net

[mR. bluE]

also Padlock ist nicht aktiv, meine CPU Auslastung steigt auf 100% wenn ich die schreibgeschwindigkeit testen möchten

Code: Alles auswählen

dd if=/dev/zero bs=1024 count=1000000 of=/test/1GB.file

also ausgabe bekomme ich

Code: Alles auswählen

1000000+0 Datensätze ein
1000000+0 Datensätze aus
1024000000 Bytes (1,0 GB) kopiert, 49,4087 s, 20,7 MB/s

[gms]

EDIT:
ok in /etc/modules habe ich einfach die padlock-sha und padlock-aes hinzugefügt, jetzt werden die beiden Module auch beim Start geladen

aber schnneller ist der benchmarktest mit hdparm immernoch net

padlock müßte vor den dm Modulen, oder zumindest vor dm_crypt geladen werden, damit es von diesem zumindest theoretisch benutzt werden kann. Soetwas kannst du über /etc/modprobe.d ( früher modprobe.conf ) steuern. In den Manpages ist ein nettes Beispiel hierzu, also "man modprobe.d" aufrufen und dort nach "install", "fred" oder "barney" suchen. Nicht vergessen die initrd neu zu erstellen

Gruß
gms

[mR. bluE]

Hi,
ok jetzt bin ich schoneinmal ein Schritt weiter wenn du sagst die müssen vor dm-crypt geladen werden, ich hab ja alles verschlüsselt ausser /boot....
Damit ich mich überhaupt über die Shell einloggen und dort das PW für die Verschlüsselung eintragen kann habe ich ne eigene initrd "gebaut" und die /boot/grub/menu.lst entsprechend abgeändert, die genaue Alneitung ist hier > http://gpl.coulmann.de/ssh_luks_unlock.html
also müsste ich da noch irgendwie die padlock module hinzufügen....

eine "man modprobe.d" hab ich keine, auch nix mit aptitude gefunden, ich nehme mal an du meinst "man modprobe" oder?
demnach müsste ich ich

Code: Alles auswählen

modprobe -v padlock_aes 

machen? aber ist das dann nicht das gleiche wie die zeile padlock_aes per hand in die /etc/modules einfüge?

[gms]

eine "man modprobe.d" hab ich keine, auch nix mit aptitude gefunden, ich nehme mal an du meinst "man modprobe" oder?

nein, bei "man modprobe" bekommst du nur die Anleitung zum modprobe Kommando, mit "man modprobe.d" oder "man modprobe.conf" bekommst du die Anleitung zur Konfiguration ( sollte im Paket "module-init-tools" vorhanden sein )

demnach müsste ich ich

Code: Alles auswählen

modprobe -v padlock_aes 

machen? aber ist das dann nicht das gleiche wie die zeile padlock_aes per hand in die /etc/modules einfüge?

über die /etc/modules kannst du zwar eine Reihenfolge festlegen, nachdem beim Laden von Modulen ein Großteil aber asynchron ablauft, hast du über die /etc/modules keine Garantie, daß padlock fertig initialisiert ist, sobald dm_crypt geladen wird. Solche Abhängigkeiten können jedoch über die "install" Konfiguration definiert werden

Gruß
gms

[mR. bluE]

hi,
also es war die man modprobe.conf

Code: Alles auswählen

                This  is  the most powerful primitive in modprobe.conf: it tells modprobe to run your comâ
                 mand instead of inserting the module in the kernel as normal.   The  command  can  be  any
                 shell  command:  this allows you to do any kind of complex processing you might wish.  For
                 example, if the module "fred" worked better with the  module  "barney"  already  installed
                 (but  it  didnât  depend  on  it,  so modprobe wonât automatically load it), you could say
                 "install fred /sbin/modprobe barney; /sbin/modprobe --ignore-install fred", which would do
                 what  you wanted.  Note the --ignore-install, which stops the second modprobe from re-runâ
                 ning the same install command.  See also remove below.
               

um bei dem beispiel zu bleiben wäre fred dioe padlock_aes, und barney die aes_i586 , also mein cmd müsste dann so aussehen

Code: Alles auswählen

install padlock_aes /sbin/modprobe aes_i586; /sbin/modprobe --ignore-install padlock_aes 

was ich nicht verstehe

Note the --ignore-install, which stops the second modprobe from re-runâ
ning the same install command.

was meinen die denn mit second modprobe?

[gms]

um bei dem beispiel zu bleiben wäre fred dioe padlock_aes, und barney die aes_i586 , also mein cmd müsste dann so aussehen

in Analogie zu dem Beispiel hatte ich eher dm_crypt als "fred" und "padlock_aes" als "barney" gesehen, aber so müßte es eigentlich auch gehen

was ich nicht verstehe

Note the --ignore-install, which stops the second modprobe from re-runâ
ning the same install command.

was meinen die denn mit second modprobe?

durch die Einstellung "install fred" wird statt einem einfachen "modprobe fred" das Kommando "modprobe barney, modprobe fred" durchgeführt. Damit bei dem letzten "modprobe fred" nicht nochmals ein "modprobe barney, modprobe fred" durgeführt wird, muß daher bei diesem die "install fred" Einstellung ignoriert werden. Daher die Option "--ignore-install".
Bin mir jetzt unsicher, ob das jetzt verständlich erklärt wurde

Gruß
gms

[mR. bluE]

also so langsam bin ich am verzweifeln, wer hätte denn gedacht das dass so kompliziert wird.......

Code: Alles auswählen

install dm_crypt /sbin/modprobe padlock_aes; /sbin/modprobe --ignore-install dm-crypt
install: angegebenes Ziel âpadlock_aesâ ist kein Verzeichnis

klar ist padlock_aes kein verzeichniss sondern ein modul *cofused*

ich such schon seit tagen google nach beiträgen ab, irgendwie glaub ich ich bin der einzige der debian und ne via cpu nutzt......

[gms]

irgendwie glaub ich ich bin der einzige der debian und ne via cpu nutzt......

nicht jeder mit Debian und einer Via CPU wird dm-crypt einsetzen wollen

Code: Alles auswählen

install dm_crypt /sbin/modprobe padlock_aes; /sbin/modprobe --ignore-install dm-crypt
install: angegebenes Ziel âpadlock_aesâ ist kein Verzeichnis

klar ist padlock_aes kein verzeichniss sondern ein modul *cofused*

das ist auch kein Kommando, das gehört in die Modul-Konfiguration, also in eine Datei innerhalb von "/etc/modprobe.d", z.B in "/etc/modprobe.d/local". Die Dateien die sich in "/etc/modprobe.d" befinden, werden vom "modprobe" Kommando herangezogen und entsprechend interpretiert. Damit diese Einstellungen auch innerhalb der initrd ziehen, muß diese nachträglich neu gebaut werden

Gruß
gms

[mR. bluE]

mittlerweile glaube ich ja auch das der hund mit dem neu bauen der initrd begraben liegt

Code: Alles auswählen

lenny:~# update-initramfs -u
update-initramfs: Generating /boot/initrd.img-2.6.26-2-486
cryptsetup: WARNING: target hda2_crypt has a random key, skipped
ln: angegebenes Ziel â/tmp/mkinitramfs_XHjPyu//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden
W:copy_exec: Not copying /lib/i686/cmov/libutil.so.1 to $DESTDIR/lib//libutil.so.1, which is already a copy of /lib/libutil.so.1
cpio: ./etc/dropbear/log/main: Cannot stat: Datei oder Verzeichnis nicht gefunden

ich habe das komplette sys ausser /boot verschlüsselt, damit ich mich aber mim terminal einwählen kann bin nach der Anleitung http://gpl.coulmann.de/ssh_luks_unlock.html vorgegangen, mir fehlen aber schlicht die Kenntnisse die obige Fehlermeldung vernünftig zu interpretieren, das die initrd.img-2.6.26-2-486 trotz fehler neu "gebaut" wird kann ich am Zeitstempel erkennen, die Padlock Module werden aber dennoch nicht beim booten mitgeladen wenn ich die in die /etc/initramfs-tools/modules schreibe....

[gms]

Bis auf die "ln: angegebenes Ziel..." Zeile schaut das ganz ok aus, aber versuche einmal mit der "-v" Option mehr Informationen herauszuholen, bzw schau dir einmal die initrd an, was wirklich darin alles enthalten ist. Letzteres wird in diesem How-To beschrieben