Jserv's blog

強化 Linux 網路安全性設計：引入 OpenBSD Cryptographic Framework

[6Wind] 這家嵌入式網路軟體公司日前宣佈，其新版的 embedded Linux networking stack 支援 OpenBSD Cryptographic Framework 與 MIPS64 硬體架構，詳情可參考新聞稿 [Linux net stack supports OCF crypto, multi-core MIPS64]。OCF (OpenBSD Cryptographic Framework) 是強調安全性見長的 OpenBSD 相當重要的設計，正如《Applied Cryptography》作者 Bruce Schneier 所說：

The mantra of any good security engineer is: "Security is not a product, but a process." It's more than designing strong cryptography into a system; it's designing the entire system such that all security measures, including cryptography, work together.

安全性並非單一產品，而是，一種重要的程序，OpenBSD 的開發者在過去的 IPSec 經驗中，學習到必須將加密建設落實於應用程式與作業系統互動的等集中，是此，建立了 /dev/crypto 這個特別的 device driver，而應用程式 (如 OpenSSL) 可透過這個機制，直接存取到核心開放的安全性服務，從而構成 OCF 設計，詳細可參考 OCF 經典文獻 [The Design of the OpenBSD Cryptographic Framework]。而今，[6Wind] 宣佈將 OpenBSD Cryptographic Framework 實做於 Linux network stack 中，雖然尚未公佈 source code，不過可先來看系統架構圖： (click to enlarge)

就新聞稿的說法是，該公司目前實做 OCF 相容的 API，也就是圖片中橘色的部份，允許銜接其他硬體廠商的 IPsec hardware crypto-accelerators，這使得追求更高的安全性與充分發揮硬體加速，成為可行，並作為 OpenBSD 的高效能開放系統的替代選擇。
由 jserv 發表於 June 23, 2006 09:05 PM