Arch Linux Tux

[ENC]BladeXP's Blog

Was die Welt nicht alles braucht!


AES-NI Verfügbarkeit überprüfen mit TrueCrypt

2012-04-16 13:44 | categories: software sicherheit windows arch ubuntu debian hardware linux

Häufig stellt sich bei vielen die Frage ob eine Verschlüsselung viel Performance kostet, eine Frage die ich gerne mit dieser Gegenfrage beantworte: Hast du AES-NI?

Hintergrund ist das ohne entsprechende Hardwareunterstützung der CPU die komplette Verschlüsselung relativ aufwändig durchführen muss, dies Kostet Zeit, Performance und gerade bei mobilen Geräten auch ordentlich Energie.

AES-NI ist eine dieser Hardwareerweiterungen welche in vielen modernen Intel Prozessoren zu finden ist (bei AMD ist man da leider im Moment noch recht verloren), aber leider von manchen BIOS / UEFI Implementierungen nicht aktiviert wird. Hier gibt es folgende Möglichkeiten:

  • AES-NI kann im BIOS einfach aktiviert werden (meistens dort wo auch VT, VT-d & Co zu finden sind)
  • Es gibt keine Option für AES-NI, jedoch bietet der Hersteller ein Update an um dies freizuschalten
  • Der Hersteller ist einfach nur unfähig und man hat keine Chance außer zu hoffen
Über die Konsole kann man recht einfach herausfinden ob AES-NI vorhanden ist, und zwar über diesen Befehl:
grep aes /proc/cpuinfo | wc -l
Wenn man hierbei einen Wert größer als 0 sieht ist der Support sowohl im CPU vorhanden als auch aktiviert.

Was AES-NI in der Praxis bringt kann man ganz einfach mit TrueCrypt testen. Und zwar gibt es dort im Menü unter Tools->Benchmark ein kleines Tool mit welchem man die Geschwindigkeit der installierten CPU in Sachen Verschlüsselung testen kann. AES-NI Support gibt es übrigens erst ab Version 7 von TrueCrypt, je nach Distribution ist also ein Backport oder PPA erforderlich um dies auf alten Systemen testen zu können.

In der Regel sollte man mit aktiviertem AES-NI locker Werte im Bereich > 1GB/s erreichen ;-)