Cette semaine débute à Londres la conférence Infosecurity Europe, la plus importante en Europe dans le domaine de la sécurité. Le français Thales y défendra son approche particulière orientée hardware par la voix de son spécialiste Joe Warren.

La plupart des grands acteurs présenteront à Infosecurity leurs dernières nouveautés, en particulier Thales qui vise de plus en plus les entreprises de tailles moyennes avec ses boîtiers de filtrage spécialisés et ses services. Pour Joe Warren, l’un des spécialistes de la firme, quelles que soient les caractéristiques, la marque, le système de gestion des clés, ou la méthode de cryptage, les solutions de chiffrement de réseau peuvent être classées en deux catégories fondamentales : le cryptage par microprocesseur et le cryptage à base de puces programmables, les FPGA.infosecurity-logoUn choix stratégique

Ces deux méthodes de mise en œuvre sont toutes les deux capables de chiffrer parfaitement les données, cependant, les compromis entre une simplicité, à priori confortable, et les performances doivent être biens analysées. Au moment de décider quelle méthode est la plus appropriée pour un cas d’utilisation précis, les deux méthodes diffèrent.

 Le chiffrage basé sur un microprocesseur

La solution la plus répandue, le logiciel de chiffrement qui exploite un microprocesseur est généralement bien intégrée dans les routeurs, les commutateurs et les pare-feu. Ces appareils sont étudiés pour que chacune de leurs fonctions principales respectives soient parfaitement optimisées. Pour se différencier, dans certains cas, le chiffrement n‘a souvent été ajouté que pour plus de polyvalence et de commodité. Dans ce cas, les solutions de chiffrement à base de microprocesseurs s’avèrent de bons compromis pour une variété d’applications comme celles qui sont destinées aux mobiles. Toutes les données « en mouvement » doivent être sécurisées, cependant, la « commodité » offerte par la souplesse de ses appareils a toujours un prix. C’est bien le cas des mobiles qui sont maintenant les ordinateurs polyvalents les plus largement utilisés.

Machines polyvalentes ou outils spécialisés

Conçus à l’origine pour les conversations téléphoniques, les téléphones mobiles se transforment également en lecteurs MP3, appareils photo, calculatrices, et pratiquement tous les logiciels imaginables peuvent être exécutés par leurs microprocesseurs et leur système d’exploitation spécifiques. Bien que ces portables soient très pratiques, vous ne verrez probablement jamais un photographe professionnel utiliser un téléphone pour prendre une photo difficile telle que, par exemple, un oiseau en plein vol. La notion de performances et de qualité nécessitent une autre approche. Prenez par exemple votre chanson préférée sur un mobile jouée en streaming via Bluetooth face à des haut-parleurs de haut de gamme. La musique peut être tout à coup arrêtée par le son d’un simple appel entrant, annoncé à tout le monde. La commodité d’utilisation, qui est l’avantage de ces terminaux, suffira largement pour tous ceux d’entre nous qui ne sont ni des photographes professionnels ni des audiophiles exigeants. Mais pour ceux qui ont vraiment besoin des meilleurs résultats possibles, les appareils spécialisés dédiés à une tâche précise seront toujours les solutions les plus efficaces (ci-dessous une machine de chiffrement pour les transmissions radios utilisée par l’armée américaine durant la seconde guerre mondiale)

 

Le cryptage par FPGAchiffrement

Les dispositifs de chiffrage matériel à base de FPGA sont utilisés dans la plupart des systèmes à usage unique comme le Thales Datacryptor. Les FPGA sont des composants périphériques qui peuvent être programmés pour traiter et crypter les données à des vitesses très élevées et cela avec un délai de latence extrêmement faible. La différence de performances entre un chiffrement par microprocesseur et un chiffreur à base de FPGA peut être étonnante.

La latence est une mesure clé utilisée pour déterminer l’efficacité d’un dispositif de chiffrage, elle fait référence au temps qu’il faut pour recevoir un paquet, le chiffrer, « rempaqueter » les données et le renvoyer sur sa destination finale. La latence d’un traitement par microprocesseur se mesure en millisecondes tandis que la latence d’un FPGA est mesurée en microseconde. Et pour ceux qui aiment la précision, le temps de latence d’un traitement FPGA est un millier de fois plus réduit que celui d’un traitement par microprocesseur classique. À une vitesse de 10 Gbps et plus, l’effet négatif des délais de latence lié au microprocesseur sur le rendement grandit de façon exponentielle.

Toutes les données que l’on transfère ne sont pas nées « égales »

Comme dit plus haut, les solutions à base de microprocesseur mettent plus de temps pour chiffrer les trames de données applicatives que les systèmes à base de FPG. Pour compliquer le problème, les trames ont chacune leurs caractéristiques propres et existent dans une grande variété de tailles. Par exemple, les trames des données voix et vidéo sont considérablement plus petites que celles de la majorité des transferts de fichiers les plus courants. Dans la voix sur IP, dans un classique appel téléphonique, les petites trames de données sont rapides et nombreuses et créent un fardeau énorme pour les solutions de chiffrage à base de microprocesseur.

Par contre, les systèmes de chiffrement à base de FPGA traitent chaque trame de données avec la même très faible latence, ce qui se traduit par des performances de chiffrement quasiment constantes indépendamment de la taille des trames. Une situation comparable se retrouve avec les gros paquets tels que des jumbo-frames de certaines bases de données. Là encore, les solutions de chiffrement à base de microprocesseurs ont du mal à digérer les jumboframe, et il leur faut bien sûr plus de temps pour chiffrer les paquets plus gros. Sans surprise, les processus de solutions de chiffrement à base de FPGA traitent les jumbo frames avec la même consistance et les performances de traitements effectuées sur des données plus petites.

jumbotag