[wolfman 0]

Есть предположение, что скоро поставят задачу реализации шифрования Ethernet трафика по ГОСТ на плисе.

 

Надо будет шифровать 2-4 потока гигабитного ethernet, работать желательно без потери скорости.

 

Кто с этим сталкивался порекомендуйте какую плис лучше использовать?

 

Плис желательно со встроенными высокоскоростными трансиверами, т.е Spartan6, Cyclone4, Arria.

 

Нужна ли будет внешняя память, и если нужна, то примерно какой объем?

 

 

 

 

[Koluchiy 0]

У меня такое чувство, что Вы задаете вопросы, ответы на которые появятся примерно на середине работы над проектом :05: .

[wolfman 0]

У меня такое чувство, что Вы задаете вопросы, ответы на которые появятся примерно на середине работы над проектом :05: .

 

угу, потому и спрашиваю, чтобы время зря не терять. Кто-нибудь на форуме наверняка делал.

 

 

 

 

[_ANDREW 0]

Вы имеете ввиду ГОСТ 28147-89? я его начинал делать, ради эксперимента, и не на такие скорости.. но потом эта задача отпала. но работу в режиме простой замены почти доделал.

я бы посоветовал применить VIRTEX6, хотя думаю и Spartan6 с лихвой хватит и думаю что внешняя память будет не нужна, т.к. нет в алгоритме таких больших массивов данных которые не уместятся в BlockRAM плиски...

[Tue 0]

wolfman, а Вы планируете делать "проточный" Ethernet шифратор ? то есть с одной стороны будет заходить незашифрованный пакет Ethernet, с другой будет выходить он же, но зашифрованный ? Или эти Ethernet пакеты будут заходить/выходить в компьютер ?

Если речь идет о Full Duplex, то даже при 50% утилизации ОДНОГО гигабитного линка получаем поток 1e9/8/1e6*0.5 = 62.5 МБайт/сек. У нас люди делали шифраторы по ГОСТ. Скорость одного шифратора на Cyclone 4 получалась ~ 12 МБайт/сек. Таким образом на обработку такого потока Вам понадобится поставить не менее 5 шифраторов. Из этих цифр можно также попробовать оценить необходимые объемы памяти. Даже в микросхеме Arria встроенной памяти для буферизирования перед шифрованием такого потока данных вряд ли хватит (хотя с очень большими кристаллами Arria дел не имел)

 

[BSV 0]

wolfman, а Вы планируете делать "проточный" Ethernet шифратор ? то есть с одной стороны будет заходить незашифрованный пакет Ethernet, с другой будет выходить он же, но зашифрованный ? Или эти Ethernet пакеты будут заходить/выходить в компьютер ? Если речь идет о Full Duplex, то даже при 50% утилизации ОДНОГО гигабитного линка получаем поток 1e9/8/1e6*0.5 = 62.5 МБайт/сек. У нас люди делали шифраторы по ГОСТ. Скорость одного шифратора на Cyclone 4 получалась ~ 12 МБайт/сек. Таким образом на обработку такого потока Вам понадобится поставить не менее 5 шифраторов. Из этих цифр можно также попробовать оценить необходимые объемы памяти. Даже в микросхеме Arria встроенной памяти для буферизирования перед шифрованием такого потока данных вряд ли хватит (хотя с очень большими кристаллами Arria дел не имел)

Либо что-то не то у Вас люди делали, либо Xilinx получше для этой задачи подходит.

 

По Xilinx у меня такие данные:

Spartan2E - 64 MHz (16 Мбайт/c)

Spartan3 ~ 120 MHz (30 Мбайт/c)

Virtex5 ~200 MHz (точно уже не помню, но частота определялась не ГОСТом) (50 Мбайт/c)

 

Если использовать несколько вычислителей, то поскольку пакеты разной длины, порядок их на выходе может меняться. Спартана 6 должно хватить. Только над ключевой системой Вам придется крепко подумать (возможно из этого вылезут какие-то требования по памяти), особенно если устройство предполагается сертифицировать.

[vmp 0]

Кто с этим сталкивался порекомендуйте какую плис лучше использовать?

Почти любую, внешняя память не понадобится.

Плата сетевого шифратора для шины PCI Express

В настоящий момент поставляются карты на скорость 100 Мбит. Гигабитного шифратора в списке поставляемой продукции нет.

[wolfman 0]

wolfman, а Вы планируете делать "проточный" Ethernet шифратор ? то есть с одной стороны будет заходить незашифрованный пакет Ethernet, с другой будет выходить он же, но зашифрованный ?

 

да, именно так и планирую.

 

to BSV

сертифицировать обязательно будем.

 

Если встроенной памяти будет не хватать всегда можно использовать внешнюю, DDR2 или DDR3. или могут быть проблемы?

 

to ALL

Ребята всем спасибо, буду думать.

[Oldring 0]

Кто с этим сталкивался порекомендуйте какую плис лучше использовать?

 

Не сталкивался, но похоже, что даже самый слабый 6-й Спартан должен потянуть. Но готовьтесь к параллельной обработке 4-8 независимых потоков данных на поток Ethernet. Впрочем, возможно хватит и двух.

[vmp 0]

да, именно так и планирую.

Ох и огребете вы проблем с проходным шифратором. Для начала самая простая проблема - размер пакета. Неужели вы собираетесь шифровать все пакеты на одном и том же ключе? Такое решение никто не сертифицирует. В противном случае придется каким-то образом удлиннять пакет, чтобы вставить в него информацию о ключе. Как вы собираетесь делать это, не нарушая стандарта?

 

[Maverick_ 15]

Как вы собираетесь делать это, не нарушая стандарта?

 

Ставится коробочка с шифрованием Ethernet после ПК и по кабелю уже передаются шифрованные данные. Эти шифрованные данные поступают на коробочку, которая дешифрует и в ПК поступает обычный Ethernet. В итоге по кабелю идет только шифрованная информация.

Пример такой коробочки

 

Кто с этим сталкивался порекомендуйте какую плис лучше использовать?

 

Плис желательно со встроенными высокоскоростными трансиверами, т.е Spartan6, Cyclone4, Arria.

 

Нужна ли будет внешняя память, и если нужна, то примерно какой объем?

Я не сталкивался, но думаю, что вот такая плата на Xilinx SP605 должна подойти.

[wolfman 0]

Ох и огребете вы проблем с проходным шифратором. Для начала самая простая проблема - размер пакета. Неужели вы собираетесь шифровать все пакеты на одном и том же ключе? Такое решение никто не сертифицирует. В противном случае придется каким-то образом удлиннять пакет, чтобы вставить в него информацию о ключе. Как вы собираетесь делать это, не нарушая стандарта?

 

Как говорится: глаза боятся, а руки делают...

 

Думаю все же заложиться на 4-ый сыклон 150-ку, 800 бакинсих.

 

 

Ставится коробочка с шифрованием Ethernet после ПК и по кабелю уже передаются шифрованные данные. Эти шифрованные данные поступают на коробочку, которая дешифрует и в ПК поступает обычный Ethernet. В итоге по кабелю идет только шифрованная информация.

Пример такой коробочки

 

К сожалению это не вариант. :(

[Maverick_ 15]

А чем предложенная плата не подошла?

Дешевле 800$ ;)

[vmp 0]

Как говорится: глаза боятся, а руки делают...

Раз уж речь идет про ГОСТ.

Ключевая система уже есть? Согласована?

Само устройство сертифицировать собираетесь и под какую категорию?

Проблема не столько в том, чтобы сделать, а в том чтобы сделать устройство, которое работает и поддается сертификации.

[VslavX 0]

По Xilinx у меня такие данные:

Spartan2E - 64 MHz (16 Мбайт/c)

Spartan3 ~ 120 MHz (30 Мбайт/c)

Virtex5 ~200 MHz (точно уже не помню, но частота определялась не ГОСТом) (50 Мбайт/c)

Я практически на ПЛИС не делал, но примерялся - шифрование-деширование по 28147 в режиме простой замены требует 16 раундов для 64-битного блока. То есть - 2 такта на байт, это теоретический предел без использования конвееризации. А с конвееризацией можно теоретически поднять то 8 байтов на такт. То есть 100МГц Спартан с полным конвеером (займет 1К+ триггеров) вполне выдаст 800Мбайт/сек - c временным разделением вполне 4-8 гигабитных потока пропускается.