OPNsense Forum

International Forums => German - Deutsch => Topic started by: sirrus on July 30, 2016, 12:43:26 am

Title: AESNI
Post by: sirrus on July 30, 2016, 12:43:26 am
Hallo zusammen,

ich habe eine OPNsense auf KVM laufen. SandyBridge CPU und SandyBridge Funktionen an die VM durchgereicht.

Code: [Select]
CPU: Intel Xeon E312xx (Sandy Bridge) (3400.03-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x206a1  Family=0x6  Model=0x2a  Stepping=1
  Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
  Features2=0x9ef82203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
  AMD Features=0x2c100800<SYSCALL,NX,Page1GB,RDTSCP,LM>
  AMD Features2=0x21<LAHF,ABM>
  XSAVE Features=0x1<XSAVEOPT>

....

aesni0: <AES-CBC,AES-XTS> on motherboard

Die CPU Features werden richtig durchgereicht, aesni0 wird auch geladen. Aber wenn ich Teste wird es nicht angezeigt:

Code: [Select]
/usr/bin/openssl engine -t -cergibt:
Code: [Select]
(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]

Wie kann ich aesni richtig aktivieren? Unter System/Einstellungen/Verschiendenes ist unter Hardware die AES-NI aktiviert.

Nachtrag - openssl und libressl - habe ich versucht.

Grüße
Andreas
Title: Re: AESNI
Post by: wurmloch on July 30, 2016, 07:54:21 am
Moin,

schau mal hier, vielleicht hilft's:

https://forum.opnsense.org/index.php?topic=3011.msg9244#msg9244 (https://forum.opnsense.org/index.php?topic=3011.msg9244#msg9244)

https://forum.opnsense.org/index.php?topic=3402.msg11125#msg11125 (https://forum.opnsense.org/index.php?topic=3402.msg11125#msg11125)

Gruß, Uwe
Title: Re: AESNI
Post by: franco on July 30, 2016, 08:57:20 am
Hi Andreas,

Unter System: Settings: Misc kann das Kernel-Modul geladen werden, ist aber dann nur für IPsec relevant.

Die Binary für OpenSSL / LibreSSL ist /usr/local/bin/openssl.

Und AES_NI in ist nur im Envelope (-evp) Modus in OpenSSL verfügbar, also immer dann wenn aufgerufen direkt per Assembler.


Grüße
Franco
Title: Re: AESNI
Post by: sirrus on July 31, 2016, 01:36:43 am
Danke Franco.

Hab mir hier schon den Schädel zermartert warum man das bei OpenSSL nicht sieht.

Also mit dem bereits geladenen aesni Modul sollten OpenVPN und IPsec darauf zugreifen können.

Grüße
Andreas
Title: Re: AESNI
Post by: sirrus on July 31, 2016, 01:37:59 am
Und danke an Wurmloch für die Links...