AWS CloudHSM Client SDK 3 verifica HSM le prestazioni con lo strumento pkpspeed - AWS CloudHSM
Consigli sui testOpzioni configurabili per lo strumento pkpspeedTest che possono essere eseguiti con lo strumento pkpspeedEsempi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudHSM Client SDK 3 verifica HSM le prestazioni con lo strumento pkpspeed

Questo argomento descrive come verificare le prestazioni del modulo di sicurezza AWS CloudHSM hardware () HSM con Client 3. SDK

Per verificare le prestazioni del HSMs AWS CloudHSM cluster, è possibile utilizzare lo strumento pkpspeed (Linux) o pkpspeed_blocking (Windows) incluso nel Client 3. SDK Lo strumento pkpspeed viene eseguito in condizioni ideali e le chiama direttamente per eseguire le operazioni senza HSM eseguire operazioni simili. SDK PKCS11 Si consiglia di testare il carico dell'applicazione in modo indipendente per determinare le esigenze di scalabilità specifiche. Non è consigliabile eseguire i seguenti test: Random (I), ModExp (R) ed EC point mul (Y).

Per ulteriori informazioni sull'installazione del client su un'EC2istanza Linux, consultaInstalla e configura il AWS CloudHSM client per CMU (Linux). Per ulteriori informazioni sull'installazione del client in un'istanza di Windows, consulta Installa e configura il AWS CloudHSM client per CMU (Windows).

Dopo aver installato e configurato il AWS CloudHSM client, esegui il comando seguente per avviarlo.

Amazon Linux
$ sudo start cloudhsm-client
Amazon Linux 2
$ sudo service cloudhsm-client start
CentOS 7
$ sudo service cloudhsm-client start
CentOS 8
$ sudo service cloudhsm-client start
RHEL 7
$ sudo service cloudhsm-client start
RHEL 8
$ sudo service cloudhsm-client start
Ubuntu 16.04 LTS
$ sudo service cloudhsm-client start
Ubuntu 18.04 LTS
$ sudo service cloudhsm-client start
Windows

  • Per client Windows dalla versione 1.1.2+:

    C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

  • Per client Windows 1.1.1 e versioni precedenti:

    C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

Se il software client è già stato installato, potrebbe essere necessario scaricare e installare la versione più recente per ottenere pkpspeed. Lo strumento pkpspeed è disponibile in /opt/cloudhsm/bin/pkpspeed in Linux o in C:\Program Files\Amazon\CloudHSM\ in Windows.

Per usare pkpspeed, esegui il pkpspeed comando opkpspeed_blocking.exe, specificando il nome utente e la password di un utente crittografico (CU) su. HSM Impostare quindi le opzioni per l'utilizzo tenendo presente le seguenti raccomandazioni.

Consigli sui test

  • Per testare le prestazioni delle operazioni di RSA firma e verifica, scegli il RSA_CRT codice in Linux o l'opzione B in Windows. Non scegliere RSA (opzione A in Windows). I tipi di crittografia sono equivalenti, ma RSA_CRT è ottimizzato per le prestazioni.

  • Iniziare con un numero ridotto di thread. Per testare AES le prestazioni, in genere è sufficiente un thread per mostrare le massime prestazioni. Per testare RSA le prestazioni (RSA_CRT), in genere sono sufficienti tre o quattro thread.

Opzioni configurabili per lo strumento pkpspeed

  • FIPSModalità: AWS CloudHSM è sempre in FIPS modalità (vedi AWS CloudHSM FAQsper i dettagli). Ciò può essere verificato utilizzando gli CLI strumenti documentati nella Guida per l' AWS CloudHSM utente ed eseguendo il Ottieni informazioni sull'hardware per ogni componente HSM di un AWS CloudHSM cluster con CMU comando che indicherà lo stato della FIPS modalità.

  • Tipo di test (con o senza blocchi): specifica come vengono eseguite le operazioni con thread. Molto probabilmente si ottengono risultati migliori usando test senza blocchi. in quanto utilizzano thread e concorrenza.

  • Numero di thread: il numero di thread con cui eseguire il test.

  • Tempo in secondi per eseguire il test (max = 600): pkpspeed produce risultati misurati in "OPERATIONS/second" e riporta questo valore per ogni secondo di esecuzione del test. Ad esempio, se il test viene eseguito per 5 secondi, l'output potrebbe essere simile ai seguenti valori di esempio:

    • OPERATIONS/second 821/1

    • OPERATIONS/second 833/1

    • OPERATIONS/second 845/1

    • OPERATIONS/second 835/1

    • OPERATIONS/second 837/1

Test che possono essere eseguiti con lo strumento pkpspeed

  • AESGCM: verifica AES GCM la crittografia in modalità.

  • Basic 3 DES CBC: verifica la crittografia DES CBC in 3 modalità. Vedi la nota 1 di seguito per una modifica imminente.

  • Base AES: AES CBC ECB test/crittografia.

  • Digest: testa l'hash digest.

  • ECDSASegno: ECDSA segno dei test.

  • ECDSAVerifica: i test ECDSA verificano.

  • FIPSCasuale: verifica la generazione FIPS di un numero casuale conforme (Nota: può essere utilizzato solo in modalità di blocco).

  • HMAC: Test. HMAC

  • Casuale: questo test non è rilevante perché stiamo usando FIPS 140-2HSM.

  • RSAnon- CRT versus RSA _ CRT: i test RSA firmano e verificano le operazioni.

  • RSAOAEPEnc: verifica RSA OAEP la crittografia.

  • RSAOAEPDic: verifica RSA OAEP la decrittografia.

  • RSAprivate dec non- CRT: verifica la crittografia a chiave RSA privata (non ottimizzata).

  • RSAprivate key dec CRT: verifica la crittografia a chiave RSA privata (ottimizzata).

  • RSAPSSSegno: segno RSA PSS dei test.

  • RSAPSSVerifica: i test RSA PSS verificano.

  • RSApublic key enc: verifica la crittografia a chiave RSA pubblica.

RSALa crittografia a chiave pubblica, la non decrittografia RSA privata e la decrittografia a chiave RSA privata CRT richiederanno inoltre all'utente di rispondere a quanto segue: CRT

Do you want to use static key [y/n]

Se y viene immessa, una chiave precalcolata viene importata in. HSM

Se si inserisce n, viene generata una nuova chiave.

[1] Secondo le NIST linee guida, ciò non è consentito per i cluster in FIPS modalità dopo il 2023. Per i cluster non in FIPS modalità, è ancora consentito dopo il 2023. Per informazioni dettagliate, vedi FIPS140 Conformità: obsolescenza del meccanismo 2024.

Esempi

Gli esempi seguenti mostrano le opzioni che è possibile scegliere con pkpspeed (Linux) o pkpspeed_blocking (Windows) per testare le prestazioni e le operazioni di pkpspeed. HSM RSA AES

Esempio — Usare pkpspeed per testare le prestazioni RSA

È possibile eseguire questo esempio in Windows, Linux e in sistemi operativi compatibili.

Linux

Utilizzare queste istruzioni per Linux e sistemi operativi compatibili.

/opt/cloudhsm/bin/pkpspeed -s CU user name -p password

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00002
Enter the number of thread [1-10]: 3
Enter the cipher: RSA_CRT
Enter modulus length: 2048
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 245 bytes...
[Test duration is 60 seconds]

Do you want to use static key[y/n] (Make sure that KEK is available)?n
Windows
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password

Please select the test you want to run

RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K

eXit------------------------>X
B

Running 4 threads for 25 sec

Enter mod size(2048/3072):2048
Do you want to use Token key[y/n]n
Do you want to use static key[y/n] (Make sure that KEK is available)?  n
OPERATIONS/second                821/1
OPERATIONS/second                833/1
OPERATIONS/second                845/1
OPERATIONS/second                835/1
OPERATIONS/second                837/1
OPERATIONS/second                836/1
OPERATIONS/second                837/1
OPERATIONS/second                849/1
OPERATIONS/second                841/1
OPERATIONS/second                856/1
OPERATIONS/second                841/1
OPERATIONS/second                847/1
OPERATIONS/second                838/1
OPERATIONS/second                843/1
OPERATIONS/second                852/1
OPERATIONS/second                837/
Esempio — Usare pkpspeed per testare le prestazioni AES
Linux

Utilizzare queste istruzioni per Linux e sistemi operativi compatibili.

/opt/cloudhsm/bin/pkpspeed -s <CU user name> -p <password>

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00000002
Enter the number of thread [1-10]: 1
Enter the cipher: AES_256
Enter the data size [1-16200]: 8192
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 8192 bytes...
Windows
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password
login as USER
Initializing Cfm2 library
        SDK Version: 2.03

 Current FIPS mode is: 00000002
Please enter the number of threads [MAX=400] : 1
Please enter the time in seconds to run the test [MAX=600]: 20


Please select the test you want to run

RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K

eXit------------------------>X
D

Running 1 threads for 20 sec

Enter the key size(128/192/256):256
Enter the size of the packet in bytes[1-16200]:8192
OPERATIONS/second                9/1
OPERATIONS/second                10/1
OPERATIONS/second                11/1
OPERATIONS/second                10/1
OPERATIONS/second                10/1
OPERATIONS/second                10/...