負け組アーキテクトの憂鬱

メモしておきたいことや読書の記録を淡々と書く。

2006年05月

OpenSSLの負荷がなんとな〜く気になった

いろんな場面で利用されるOpenSSLライブラリの負荷を気にしてみる。

CPUの種類や、そもそもの処理能力によって、どの暗号方式が最適、という訳ではないけれどもある程度の強度があれば後はCPU負荷をかけない方が好ましい。まあ、sshでログインするときとかscpでファイル転送する時とかでも、暗号方式まで気にかける必要は無いと思うけどおまじない程度に。

OpenSSLのベンチマーク

% openssl speed blowfish aes des-ede3




とりあえず有名どころの共有鍵暗号の速度を比べてみる。



MMXPentium 300MHzのPCでの実行結果
CPU: Pentium/P55C (quarter-micron) (298.72-MHz 586-class CPU)


The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
des ede3 1809.59k 1828.74k 1836.21k 1837.18k 1832.34k
blowfish cbc 12423.03k 13355.11k 13659.77k 13736.58k 13402.22k
aes-128 cbc 3841.30k 3944.06k 3972.62k 3980.04k 3932.53k
aes-192 cbc 3312.47k 3400.67k 3422.42k 3427.40k 3392.73k
aes-256 cbc 2941.93k 3003.08k 3019.78k 3023.68k 2996.91k


はい。ぶっちぎりでblowfishが速いですね。



負け組サーバでの実行結果
CPU: たしかCeleronの2.8GHzあたり


The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
des ede3 5272.80k 5262.20k 5328.27k 5300.16k 5309.05k
blowfish cbc 31557.67k 34742.63k 35849.35k 36071.39k 35522.48k
aes-128 cbc 40804.59k 35591.99k 35668.66k 35942.70k 35874.93k
aes-192 cbc 30106.18k 30627.30k 30803.19k 30829.11k 30801.65k
aes-256 cbc 24943.19k 27134.90k 27181.36k 27240.30k 27306.14k



はい。ぶっちぎりトリプルDESが遅いです。それ以外はどっこいどっこいか。
同じ128bitだったらaesのが速いみたい。SSEの影響?



少なくともこのMMXぺんたのマシンと繋がる時にはblowfishが一番速いのがわかりました。

たとえばOpenSSHの設定
クライアント側でCipherの優先順位を変えてやります。$HOME/.ssh/configで、


Ciphers blowfish-cbc,aes128-cbc,aes192-cbc,aes256-cbc,3des-cbc



こんな風にしてやればblowfishを優先的に使ってくれるようになります。動作確認はsshを-vオプション付きで実行(デバッグ出力をするようになる)してみて、



debug1: kex: server->client blowfish-cbc hmac-md5 none
debug1: kex: client->server blowfish-cbc hmac-md5 none



こんな出力が入っていれば大成功。



puttyとかWinSCPでは「接続」→「SSH」あたりに「暗号化選択のポリシー」みたいな設定項目があると思うので、そこでblowfishを一番上に持ってくると大丈夫なはず。

非力なマシンとか、めっさ暗号/復号処理がたくさんあるサーバなんかでは気休め程度にはなるかもしんないしならないかもしんない(何)。

TypeKeyに苦戦

TypeKeyに登録してある人はコメント書き込み時にわざわざ名前とかメールアドレスとか入力しなくても良いんですってね!

便利そうなので使ってみたら・・・・

TypeKeyのログイン名をメールアドレスで登録しちまってたもんだから、TypeKeyプロフィールページへのリンクでメールアドレスが丸分かりでした。さすが負け組。

サポートに問い合わせしてみたら、ログイン名の変更は出来ないので新しいTypeKeyを登録してください、とのこと(迅速な対応ありがとうございます)。

でも、個人ライセンスは今のTypeKeyに紐付いてるんだよね・・・。

いくらお求めやすいお値段とはいえ、新しいTypeKey用にもう1ライセンス買い直しは家計に大打撃、ランチのメニューも大幅格下げなこと請け合いですよ。かといっていちいち再ログインするのもメンドクサイし、何のためのシングルサインオンだかわかりませんよ!という具合。

困った客だというのは百も承知で、引き続きいろいろ問い合わせ中です。
ホントごめんなさい。

つづく。
続きを読む