AESNI

[sirrus]

Hallo zusammen,

ich habe eine OPNsense auf KVM laufen. SandyBridge CPU und SandyBridge Funktionen an die VM durchgereicht.

Code Select Expand

CPU: Intel Xeon E312xx (Sandy Bridge) (3400.03-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x206a1  Family=0x6  Model=0x2a  Stepping=1
  Features=0xf83fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE,SSE2,SS>
  Features2=0x9ef82203<SSE3,PCLMULQDQ,SSSE3,CX16,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,AESNI,XSAVE,OSXSAVE,AVX,HV>
  AMD Features=0x2c100800<SYSCALL,NX,Page1GB,RDTSCP,LM>
  AMD Features2=0x21<LAHF,ABM>
  XSAVE Features=0x1<XSAVEOPT>

....

aesni0: <AES-CBC,AES-XTS> on motherboard


Die CPU Features werden richtig durchgereicht, aesni0 wird auch geladen. Aber wenn ich Teste wird es nicht angezeigt:

Code Select Expand

/usr/bin/openssl engine -t -c
ergibt:

Code Select Expand

(rsax) RSAX engine support
[RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]


Wie kann ich aesni richtig aktivieren? Unter System/Einstellungen/Verschiendenes ist unter Hardware die AES-NI aktiviert.

Nachtrag - openssl und libressl - habe ich versucht.

Grüße
Andreas

[wurmloch]

Moin,

schau mal hier, vielleicht hilft's:

https://forum.opnsense.org/index.php?topic=3011.msg9244#msg9244

https://forum.opnsense.org/index.php?topic=3402.msg11125#msg11125

Gruß, Uwe

[franco]

Hi Andreas,

Unter System: Settings: Misc kann das Kernel-Modul geladen werden, ist aber dann nur für IPsec relevant.

Die Binary für OpenSSL / LibreSSL ist /usr/local/bin/openssl.

Und AES_NI in ist nur im Envelope (-evp) Modus in OpenSSL verfügbar, also immer dann wenn aufgerufen direkt per Assembler.


Grüße
Franco

[sirrus]

Danke Franco.

Hab mir hier schon den Schädel zermartert warum man das bei OpenSSL nicht sieht.

Also mit dem bereits geladenen aesni Modul sollten OpenVPN und IPsec darauf zugreifen können.

Grüße
Andreas

[sirrus]

Und danke an Wurmloch für die Links...