SSL公開鍵長の2048ビット移行にロードバランサのSSLパフォーマンス低下率0%を実証
SSL公開鍵長の2048ビット移行とSSLパフォーマンス問題
暗号アルゴリズムの2010年問題に、SSL TPSパフォーマンス低下率0%
ロードバランサ「PAS 3716-SSL3000」の実証結果を発表します。
http://www.piolink.co.jp/news/110215.html
1.暗号アルゴリズムの2010年問題
インターネットショッピング、個人情報送信や機密文書のやりとり等においては、
盗聴や内容の不正改ざんを防ぐために認証やデータの暗号化して通信を行うのが
基本となっています。しかし、近年コンピュータ性能の向上と暗号解読技術の
進展により従来の暗号技術が破られる危険が高まっています。
このような状況の中で米国国立標準技術研究所(NIST)が弱い暗号アルゴリズムを
2010年末までにより安全な強い暗号アルゴリズムに移行させる方針を打ち出し、
世界的により高い暗号技術への対応が急がれています。
今後、高い暗号技術に移行した場合にインターネット上の暗号技術を支える各種機器に
おいては高い暗号技術への対応は勿論のこと、さらに高い暗号処理能力の実装が求めら
れています。
2.SSL公開鍵長の2048ビット移行に伴う問題
WEB経由で個人情報を入力する行為は、インターネット上のセキュリティを確保するた
めにSSL技術が標準的に使用されています。 SSL処理には高い処理能力を必要とする
ことから、サーバの前に位置する負荷分散装置(ロードバランサ)でSSLアクセラレー
ション処理を行うのが一般的です。SSL処理において要求される高い暗号技術として、
SSL公開鍵長を今まで標準的に使用してきた1024ビットからはるかに堅牢な2048
ビットの鍵長に移行することが求められています。
しかし、1024ビットから2048ビットへの移行により、負荷分散装置には高いSSL処理
能力が必要となります。SSL処理能力としては、SSL TPSとSSLスループットがありま
すが、鍵長が2048ビットに移行することにより大きく影響するのはSSL TPSになり
ます。SSL TPSが影響するのは、新しい接続でSSL処理を始めるための初期ハンドシェ
イク、再ネゴシエーション、及びSSLセッション ID再利用のみです。
負荷分散装置(ロードバランサ)としてSSL公開鍵長の2048ビット化によるSSL処理能
力の低下は致命的です。特に、既にSSLを使用しているお客様でこれから「暗号アルゴ
リズムの2010年問題」の対応としてSSL公開鍵を2048ビットに移行しなければならな
い場合、SSL TPS処理能力の大幅な低下により今まで運用してきたシステムを見直さな
ければなりません。または、これからシステム導入を進めるお客様にとっては高い処理
能力のロードバランサを必要とするのでコストが膨らみます。
3.PASにおけるSSLパフォーマンス検証の結果
お客様の「暗号アルゴリズムの2010年問題」の対応に役に立てるために、弊社の
ロードバランサであるPASにおいてSSL公開鍵長の2048ビットへの移行によるSSL
パフォーマンスについて計測機器を用いて検証しました。検証対象のPASとしては、
お客様に一番多く導入されているローエンドのエントリーモデルである
「PAS 3716-SSL3000」を用いて実施しました。
■ 測定結果 1:「SSL+L4SLB」機能におけるSSL TPS
測定対象機器のPASには、SSL設定とL4のサーバ負荷分散機能を定義し一番シンプルな
デフォルト設定を行いました。測定時のトラフィックは一番負荷の掛かるシナリオと
して、1 SSLトランザクションとして「TCP接続・SSLセッション接続・HTTPリクエ
スト・HTTP応答・SSL終了・TCP終了」で定義しました。詳細設定環境及び用語につい
ては、本レポートの<参考1> SSLパフォーマンス検証時の動作環境と<参考2>
用語の説明を参照してください。
測定結果としてデータサイズが1KBまでに鍵長1024ビットでも2048ビットでも
3,000TPSを維持致しました。
■測定結果 2:「SSL+L7SLB」機能におけるSSL TPS
測定対象機器のPASには、SSL設定とL7のサーバ負荷分散機能を定義し一番シンプルな
デフォルト設定を行いました。その他の条件は「SSL+L4SLB」と同じです。
測定結果としては、データサイズが128Byteまでには鍵長1024ビットでも2048ビット
でも3,000TPSを維持しています。
4.SSLパフォーマンスにおけるPASの優位性
PASにおけるSSLパフォーマンス検証の結果は下記の通りです。
「PAS 3716-SSL3000」は、SSL公開鍵長が2048ビットになってもSSLパフォーマンス
の低下はありません。
コストパフォーマンスを提唱する私達パイオリンクにとって、この2010年問題及び
検証結果はエンドユーザー様の影響範囲が大きいものと捉えました。そこでPAS製品の
特徴である基本に忠実なサーバ負荷分散機能とSSLアクセラレーション機能でシンプル
なロードバランサ性能を利用したSSL TPSパフォーマンスは、SSL公開鍵長が2048
ビットになっても低下しないことを確認しました。
低下率0%の理由は、CPUのリソース、ハードディスク等のシステムリソースを多く
使用する機能が無く、余分なフリクションが現れない事が性能低下を回避致しました。
そして、私達パイオリンクは、全てのお客様にPAS 3716-SSL3000をスペック
通り3000TPSでご提供できる環境を整えました。
なお、今回のSSLパフォーマンス検証においては、エントリーモデルである
PAS 3716-SSL3000を採用しました。他のアプリケーション・スイッチ・ベンダーは
上位機種でのパフォーマンステストレポートを公開しているのに対して、弊社はお客様
が一番多く導入して頂いているモデルでのパフォーマンステストレポート先に提供する
ことによりお客様の「暗号アルゴリズムの2010年問題」対応に役に立つロードバランサ
ベンダーであることに心がけております。
<参考1> SSLパフォーマンス検証時の動作環境(項目=設定内容)
Avalanche
S/W バージョン=Avalanche 3.30
HTTP=HTTP 1.1
SSL 暗号化アルゴリズム=RC4-MD5
データサイズ=128Byte, 1KB, 4KB, 8KB, 16KB, 32KB
HTTP Cookie=使用しない
SSL バージョン=SSL v3 / TLS v1
SSL セッションID再利用=使用しない
Client IP 個数=200個
PAS
製品モデル名=PAS 3716-SSL3000
SSL ライセンス=3000 TPS
公開鍵長(SSL key)=RSA 1024ビット、2048ビット
SSL セッション再利用=使用しない
L4SLB 対象のサーバ数=7個
L7SLB 対象のサーバ数=7個
Avalanche と Steady state が5分間持続できるように設定して TPS を測定します。
Zero Loss 率を 0.001%とし、3回測定した後、その平均値を最終TPSとして算定しま
した。
<参考2> 用語の説明
・L4SLB
OSI 参照モデルの第4層(Layer 4)であるトランスポート層での情報を基に負荷分散
処理を行うことを意味する。TCP/IPで説明するとIPアドレスとTCP、UDPのポート番号
を用いて負荷分散を行うことを意味する。L4サーバ負荷分散とも言う。
・L7SLB
OSI 参照モデルの第7層(Layer 7)であるアプリケーション層での情報を基に負荷分
散処理を行うことを意味する。TCP/IPで説明するとHTTP、FTP、SIP、DNSなどのアプ
リケーション レイヤにおける情報に基づいて負荷分散を行う。例えば、HTTPヘッダー
の詳細内容に基づいて処理すべきサーバを割り当てたり、セッションを維持するなどの
処理を行うことを意味する。L7サーバ負荷分散とも言う。
・SSL TPS
1秒あたりのSSLトランザクション数を意味する。1 SSL トランザクションは、
TCP接続、SSLセッション接続、HTTPリクエスト、HTTP応答、SSLセッション終了
、TCP終了と定義する。
・SSLスループット
SSLトランザクション処理でSSLセッション確立の後はバルク暗号化したスループッ
トとして測定する。最大SSLスループットを測定する場合は大きいデータのバルク
暗号化スループットとして測定する。
「PAS 3716-SSL3000」は、実際に検証が可能な評価機の無料貸し出しサービスを
実施しております。貸し出しのご希望は、お問い合わせ欄よりご依頼下さい。
お問い合わせ先
株式会社パイオリンク 営業部
住所:160-0022 東京都新宿区新宿1-34-14 第2貝塚ビル3F
TEL:03-5367-2547 FAX:03-5367-2546
E-mail:sales@piolink.co.jp URL: http://www.piolink.co.jp
暗号アルゴリズムの2010年問題に、SSL TPSパフォーマンス低下率0%
ロードバランサ「PAS 3716-SSL3000」の実証結果を発表します。
http://www.piolink.co.jp/news/110215.html
1.暗号アルゴリズムの2010年問題
インターネットショッピング、個人情報送信や機密文書のやりとり等においては、
盗聴や内容の不正改ざんを防ぐために認証やデータの暗号化して通信を行うのが
基本となっています。しかし、近年コンピュータ性能の向上と暗号解読技術の
進展により従来の暗号技術が破られる危険が高まっています。
このような状況の中で米国国立標準技術研究所(NIST)が弱い暗号アルゴリズムを
2010年末までにより安全な強い暗号アルゴリズムに移行させる方針を打ち出し、
世界的により高い暗号技術への対応が急がれています。
今後、高い暗号技術に移行した場合にインターネット上の暗号技術を支える各種機器に
おいては高い暗号技術への対応は勿論のこと、さらに高い暗号処理能力の実装が求めら
れています。
2.SSL公開鍵長の2048ビット移行に伴う問題
WEB経由で個人情報を入力する行為は、インターネット上のセキュリティを確保するた
めにSSL技術が標準的に使用されています。 SSL処理には高い処理能力を必要とする
ことから、サーバの前に位置する負荷分散装置(ロードバランサ)でSSLアクセラレー
ション処理を行うのが一般的です。SSL処理において要求される高い暗号技術として、
SSL公開鍵長を今まで標準的に使用してきた1024ビットからはるかに堅牢な2048
ビットの鍵長に移行することが求められています。
しかし、1024ビットから2048ビットへの移行により、負荷分散装置には高いSSL処理
能力が必要となります。SSL処理能力としては、SSL TPSとSSLスループットがありま
すが、鍵長が2048ビットに移行することにより大きく影響するのはSSL TPSになり
ます。SSL TPSが影響するのは、新しい接続でSSL処理を始めるための初期ハンドシェ
イク、再ネゴシエーション、及びSSLセッション ID再利用のみです。
負荷分散装置(ロードバランサ)としてSSL公開鍵長の2048ビット化によるSSL処理能
力の低下は致命的です。特に、既にSSLを使用しているお客様でこれから「暗号アルゴ
リズムの2010年問題」の対応としてSSL公開鍵を2048ビットに移行しなければならな
い場合、SSL TPS処理能力の大幅な低下により今まで運用してきたシステムを見直さな
ければなりません。または、これからシステム導入を進めるお客様にとっては高い処理
能力のロードバランサを必要とするのでコストが膨らみます。
3.PASにおけるSSLパフォーマンス検証の結果
お客様の「暗号アルゴリズムの2010年問題」の対応に役に立てるために、弊社の
ロードバランサであるPASにおいてSSL公開鍵長の2048ビットへの移行によるSSL
パフォーマンスについて計測機器を用いて検証しました。検証対象のPASとしては、
お客様に一番多く導入されているローエンドのエントリーモデルである
「PAS 3716-SSL3000」を用いて実施しました。
■ 測定結果 1:「SSL+L4SLB」機能におけるSSL TPS
測定対象機器のPASには、SSL設定とL4のサーバ負荷分散機能を定義し一番シンプルな
デフォルト設定を行いました。測定時のトラフィックは一番負荷の掛かるシナリオと
して、1 SSLトランザクションとして「TCP接続・SSLセッション接続・HTTPリクエ
スト・HTTP応答・SSL終了・TCP終了」で定義しました。詳細設定環境及び用語につい
ては、本レポートの<参考1> SSLパフォーマンス検証時の動作環境と<参考2>
用語の説明を参照してください。
測定結果としてデータサイズが1KBまでに鍵長1024ビットでも2048ビットでも
3,000TPSを維持致しました。
■測定結果 2:「SSL+L7SLB」機能におけるSSL TPS
測定対象機器のPASには、SSL設定とL7のサーバ負荷分散機能を定義し一番シンプルな
デフォルト設定を行いました。その他の条件は「SSL+L4SLB」と同じです。
測定結果としては、データサイズが128Byteまでには鍵長1024ビットでも2048ビット
でも3,000TPSを維持しています。
4.SSLパフォーマンスにおけるPASの優位性
PASにおけるSSLパフォーマンス検証の結果は下記の通りです。
「PAS 3716-SSL3000」は、SSL公開鍵長が2048ビットになってもSSLパフォーマンス
の低下はありません。
コストパフォーマンスを提唱する私達パイオリンクにとって、この2010年問題及び
検証結果はエンドユーザー様の影響範囲が大きいものと捉えました。そこでPAS製品の
特徴である基本に忠実なサーバ負荷分散機能とSSLアクセラレーション機能でシンプル
なロードバランサ性能を利用したSSL TPSパフォーマンスは、SSL公開鍵長が2048
ビットになっても低下しないことを確認しました。
低下率0%の理由は、CPUのリソース、ハードディスク等のシステムリソースを多く
使用する機能が無く、余分なフリクションが現れない事が性能低下を回避致しました。
そして、私達パイオリンクは、全てのお客様にPAS 3716-SSL3000をスペック
通り3000TPSでご提供できる環境を整えました。
なお、今回のSSLパフォーマンス検証においては、エントリーモデルである
PAS 3716-SSL3000を採用しました。他のアプリケーション・スイッチ・ベンダーは
上位機種でのパフォーマンステストレポートを公開しているのに対して、弊社はお客様
が一番多く導入して頂いているモデルでのパフォーマンステストレポート先に提供する
ことによりお客様の「暗号アルゴリズムの2010年問題」対応に役に立つロードバランサ
ベンダーであることに心がけております。
<参考1> SSLパフォーマンス検証時の動作環境(項目=設定内容)
Avalanche
S/W バージョン=Avalanche 3.30
HTTP=HTTP 1.1
SSL 暗号化アルゴリズム=RC4-MD5
データサイズ=128Byte, 1KB, 4KB, 8KB, 16KB, 32KB
HTTP Cookie=使用しない
SSL バージョン=SSL v3 / TLS v1
SSL セッションID再利用=使用しない
Client IP 個数=200個
PAS
製品モデル名=PAS 3716-SSL3000
SSL ライセンス=3000 TPS
公開鍵長(SSL key)=RSA 1024ビット、2048ビット
SSL セッション再利用=使用しない
L4SLB 対象のサーバ数=7個
L7SLB 対象のサーバ数=7個
Avalanche と Steady state が5分間持続できるように設定して TPS を測定します。
Zero Loss 率を 0.001%とし、3回測定した後、その平均値を最終TPSとして算定しま
した。
<参考2> 用語の説明
・L4SLB
OSI 参照モデルの第4層(Layer 4)であるトランスポート層での情報を基に負荷分散
処理を行うことを意味する。TCP/IPで説明するとIPアドレスとTCP、UDPのポート番号
を用いて負荷分散を行うことを意味する。L4サーバ負荷分散とも言う。
・L7SLB
OSI 参照モデルの第7層(Layer 7)であるアプリケーション層での情報を基に負荷分
散処理を行うことを意味する。TCP/IPで説明するとHTTP、FTP、SIP、DNSなどのアプ
リケーション レイヤにおける情報に基づいて負荷分散を行う。例えば、HTTPヘッダー
の詳細内容に基づいて処理すべきサーバを割り当てたり、セッションを維持するなどの
処理を行うことを意味する。L7サーバ負荷分散とも言う。
・SSL TPS
1秒あたりのSSLトランザクション数を意味する。1 SSL トランザクションは、
TCP接続、SSLセッション接続、HTTPリクエスト、HTTP応答、SSLセッション終了
、TCP終了と定義する。
・SSLスループット
SSLトランザクション処理でSSLセッション確立の後はバルク暗号化したスループッ
トとして測定する。最大SSLスループットを測定する場合は大きいデータのバルク
暗号化スループットとして測定する。
「PAS 3716-SSL3000」は、実際に検証が可能な評価機の無料貸し出しサービスを
実施しております。貸し出しのご希望は、お問い合わせ欄よりご依頼下さい。
お問い合わせ先
株式会社パイオリンク 営業部
住所:160-0022 東京都新宿区新宿1-34-14 第2貝塚ビル3F
TEL:03-5367-2547 FAX:03-5367-2546
E-mail:sales@piolink.co.jp URL: http://www.piolink.co.jp
すべての画像