選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

AWS CloudHSM 用戶端 SDK 3 使用 pkpspeed 工具驗證 HSM 效能

PDF
RSS
焦點模式
AWS CloudHSM 用戶端 SDK 3 使用 pkpspeed 工具驗證 HSM 效能 - AWS CloudHSM
測試建議pkpspeed 工具的可設定選項可以使用 pkpspeed 工具執行的測試範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本主題說明如何使用用戶端 SDK 3 驗證 AWS CloudHSM 硬體安全模組 (HSM) 效能。

若要驗證 AWS CloudHSM 叢集中 HSMs 的效能,您可以使用用戶端 SDK 3 隨附的 pkpspeed (Linux) 或 pkpspeed_blocking (Windows) 工具。pkpspeed 工具會在理想的條件下執行,並直接調用 HSM 來執行作業,而不需要透過 PKCS11 等的開發套件。建議您單獨對應用程式進行負載測試,以判斷擴展需求。不建議運行以下測試:隨機 (I), ModExp (R) 和 EC 點乘法算法 (Y)。

如需有關在 Linux EC2 執行個體上安裝此用戶端的詳細資訊,請參閱為 CMU (Linux) 安裝和設定 AWS CloudHSM 用戶端。如需有關在 Windows 執行個體上安裝此用戶端的詳細資訊,請參閱安裝和設定 CMU 的 AWS CloudHSM 用戶端 (Windows)

安裝並設定 AWS CloudHSM 用戶端之後,請執行下列命令來啟動用戶端。

Amazon Linux
$ sudo start cloudhsm-client
Amazon Linux 2
$ sudo service cloudhsm-client start
CentOS 7
$ sudo service cloudhsm-client start
CentOS 8
$ sudo service cloudhsm-client start
RHEL 7
$ sudo service cloudhsm-client start
RHEL 8
$ sudo service cloudhsm-client start
Ubuntu 16.04 LTS
$ sudo service cloudhsm-client start
Ubuntu 18.04 LTS
$ sudo service cloudhsm-client start
Windows

  • 用於 Windows 用戶端 1.1.2+:

    C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

  • 用於 Windows 用戶端 1.1.1 和更早版本:

    C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
anchoranchoranchoranchoranchoranchoranchoranchoranchor
$ sudo start cloudhsm-client

如果您已經安裝用戶端軟體,您可能需要下載並安裝最新版以取得 pkpspeed。您可以在 Linux 的 /opt/cloudhsm/bin/pkpspeed 或 Windows 的 C:\Program Files\Amazon\CloudHSM\ 中找到 pkpspeed 工具。

若要使用 pkpspeed,請執行 pkpspeed 命令或 pkpspeed_blocking.exe,並指定 HSM 上加密使用者 (CU) 的使用者名稱和密碼。然後設定要使用的選項,同時考慮以下建議。

測試建議

  • 若要測試 RSA 簽署的效能和驗證操作,請選擇 RSA_CRT 加密 (在 Linux 中) 或選項 B (在 Windows 中)。不要選擇 RSA (Windows 中的選項 A)。加密的效果相同,但 RSA_CRT 的效能最佳。

  • 從少量的執行緒開始。若要測試 AES 效能,一個執行緒通常足以顯示最大的效能。若要測試 RSA 效能 (RSA_CRT),三個或四個執行緒通常足夠。

pkpspeed 工具的可設定選項

  • FIPS 模式: AWS CloudHSM 一律處於 FIPS 模式 (如需詳細資訊,請參閱AWS CloudHSM FAQs)。這可以透過使用 AWS CloudHSM 使用者指南中記錄的 CLI 工具進行驗證,並執行 使用 CMU 取得 AWS CloudHSM 叢集中每個 HSM 的硬體資訊 命令來指示 FIPS 模式狀態。

  • 測試類型 (封鎖與非封鎖):這指定了如何以線程方式執行作業。您很可能會使用非封鎖獲得更好的數目。這是因為他們利用執行緒和並行。

  • 執行緒數目:執行測試的執行緒數目。

  • 執行測試的時間 (秒) (最大值 = 600):pkpspeed 會產生以「作業/秒」為單位測量的結果,並針對執行測試的每秒報告此值。例如,如果測試執行 5 秒鐘,輸出可能會像下列範例值:

    • OPERATIONS/second 821/1

    • OPERATIONS/second 833/1

    • OPERATIONS/second 845/1

    • OPERATIONS/second 835/1

    • OPERATIONS/second 837/1

可以使用 pkpspeed 工具執行的測試

  • AES GCM:測試 AES GCM 模式加密。

  • 基本 3DES CBC:測試 3DES CBC 模式加密。請參閱下列備註 1 查看即將進行的變更。

  • 基本 AES:測試 AES CBC/ECB 加密。

  • 摘要:測試雜湊摘要。

  • ECDSA 簽署:測試 ECDSA 簽署。

  • ECDSA 驗證:測試 ECDSA 驗證。

  • FIPS 隨機:測試 FIPS 相容隨機數的產生 (注意:這只能在封鎖模式中使用)。

  • HMAC:測試 HMAC。

  • 隨機:此測試不相關,因為我們使用的是 FIPS 140-2 HSM。

  • RSA 非 CRT 與 RSA_CRT:測試 RSA 簽署並驗證操作。

  • RSA OAEP 加密:測試 RSA OAEP 加密。

  • RSA OAEP 解密:測試 RSA OAEP 解密。

  • RSA 私有解密非 CRT:測試 RSA 私有金鑰加密 (非優化)。

  • RSA 私有金鑰解密 CRT:測試 RSA 私有金鑰加密 (優化)。

  • RSA PSS 簽署:測試 RSA PSS 簽署。

  • RSA PSS 驗證:測試 RSA PSS 驗證。

  • RSA 公有金鑰加密:測試 RSA 公有金鑰加密。

RSA 公有金鑰加密,RSA 私有解密非 CRT 和 RSA 私有金鑰解密 CRT 還將提示使用者回答以下問題:

Do you want to use static key [y/n]

如果輸入 y,則會將預先計算的金鑰匯入 HSM。

如果輸入 n,則會產生新的金鑰。

【1】 根據 NIST 指引,在 2023 年之後,不允許在 FIPS 模式下使用叢集。對於處於非 FIPS 模式的叢集,在 2023 年之後仍然允許。如需詳細資訊,請參閱 FIPS 140 合規性:2024 機制棄用

範例

以下範例示範在測試 HSM 的 RSA 和 AES 操作效能時,您在 pkpspeed (Linux) 或 pkpspeed_blocking (Windows) 中可以選擇的選項。

範例 :使用 pkpspeed 來測試 RSA 效能

您可以在 Windows、Linux 和相容的作業系統上執行這個範例。

Linux

在 Linux 和相容的作業系統上,使用這些指示。

/opt/cloudhsm/bin/pkpspeed -s CU user name -p password

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00002
Enter the number of thread [1-10]: 3
Enter the cipher: RSA_CRT
Enter modulus length: 2048
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 245 bytes...
[Test duration is 60 seconds]

Do you want to use static key[y/n] (Make sure that KEK is available)?n
Windows
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password

Please select the test you want to run

RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K

eXit------------------------>X
B

Running 4 threads for 25 sec

Enter mod size(2048/3072):2048
Do you want to use Token key[y/n]n
Do you want to use static key[y/n] (Make sure that KEK is available)?  n
OPERATIONS/second                821/1
OPERATIONS/second                833/1
OPERATIONS/second                845/1
OPERATIONS/second                835/1
OPERATIONS/second                837/1
OPERATIONS/second                836/1
OPERATIONS/second                837/1
OPERATIONS/second                849/1
OPERATIONS/second                841/1
OPERATIONS/second                856/1
OPERATIONS/second                841/1
OPERATIONS/second                847/1
OPERATIONS/second                838/1
OPERATIONS/second                843/1
OPERATIONS/second                852/1
OPERATIONS/second                837/
anchoranchor

在 Linux 和相容的作業系統上,使用這些指示。

/opt/cloudhsm/bin/pkpspeed -s CU user name -p password

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00002
Enter the number of thread [1-10]: 3
Enter the cipher: RSA_CRT
Enter modulus length: 2048
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 245 bytes...
[Test duration is 60 seconds]

Do you want to use static key[y/n] (Make sure that KEK is available)?n
範例 :使用 pkpspeed 來測試 AES 效能
Linux

在 Linux 和相容的作業系統上,使用這些指示。

/opt/cloudhsm/bin/pkpspeed -s <CU user name> -p <password>

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00000002
Enter the number of thread [1-10]: 1
Enter the cipher: AES_256
Enter the data size [1-16200]: 8192
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 8192 bytes...
Windows
c:\Program Files\Amazon\CloudHSM>pkpspeed_blocking.exe -s CU user name -p password
login as USER
Initializing Cfm2 library
        SDK Version: 2.03

 Current FIPS mode is: 00000002
Please enter the number of threads [MAX=400] : 1
Please enter the time in seconds to run the test [MAX=600]: 20


Please select the test you want to run

RSA non-CRT------------------->A
RSA CRT----------------------->B
Basic 3DES CBC---------------->C
Basic AES--------------------->D
FIPS Random------------------->H
Random------------------------>I
AES GCM ---------------------->K

eXit------------------------>X
D

Running 1 threads for 20 sec

Enter the key size(128/192/256):256
Enter the size of the packet in bytes[1-16200]:8192
OPERATIONS/second                9/1
OPERATIONS/second                10/1
OPERATIONS/second                11/1
OPERATIONS/second                10/1
OPERATIONS/second                10/1
OPERATIONS/second                10/...
anchoranchor

在 Linux 和相容的作業系統上,使用這些指示。

/opt/cloudhsm/bin/pkpspeed -s <CU user name> -p <password>

SDK Version: 2.03

        Available Ciphers:
                AES_128
                AES_256
                3DES
                RSA  (non-CRT. modulus size can be 2048/3072)
                RSA_CRT (same as RSA)
For RSA, Exponent will be 65537

Current FIPS mode is: 00000002
Enter the number of thread [1-10]: 1
Enter the cipher: AES_256
Enter the data size [1-16200]: 8192
Enter time duration in Secs: 60
Starting non-blocking speed test using data length of 8192 bytes...

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。