<div dir="ltr">Hi Jeff,<div><br></div><div>Thanks for the info, couple of questions ,</div><div><br></div><div>1.  <span style="font-size:12.8px"> </span><span style="font-size:12.8px">However there was a bug in pre 4.1 kernels where AES-NI does not work right for GCM operations.</span></div><div>kapil : can you point me to </div><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 12:31 PM, Jeff Leung <span dir="ltr"><<a href="mailto:jleung@v10networks.ca" target="_blank">jleung@v10networks.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span class="">> Hi,<br>
><br>
> i am looking for ways to improve the throughput while using the<br>
> strongswan IPSEC.<br>
><br>
> I read that AES-GCM provides excellent throughput over default<br>
> AES-CBC-<br>
</span>> 128 when used with AES-NI support in intel processors.<br>
<span class="">><br>
><br>
> i want to enable AES-GCM128 cipher in my xeon E5 processor, and from<br>
> looking at the Intel white paper, it mentioned about using "Linux<br>
</span>> AES-NI- GCM Crypto Plug-in" to enable this support.<br>
<span class="">> It described about a patch to existing AES-NI driver file, called<br>
> aesni- intel_glue.c and aesni-intel_asm.s.<br>
</span>As strongSwan uses XFRM stack by default on Linux and XFRM being a kernel level implementation, it has the capability of using AES-NI at the driver level. However there was a bug in pre 4.1 kernels where AES-NI does not work right for GCM operations.<br>
<br>
><br>
><br>
> Paper: <a href="http://www.intel.com/content/www/us/en/intelligent-" rel="noreferrer" target="_blank">http://www.intel.com/content/www/us/en/intelligent-</a><br>
<span class="">> systems/wireless-infrastructure/aes-ipsec-performance-linux-paper.html<br>
><br>
><br>
> 1. There is strongswan plugin for intel AES-NI, Can somebody<br>
> confirm/tell me a way to find if this is the same plugin as the one<br>
> mentioned in intel Doc ? To me it looks like that, but i wanted to<br>
> check with someone who might be already using this.<br>
</span>iirc that is meant for userspace mode of operation only. XFRM stack still uses the kernel cryptographic drivers for encrypting and decrypting ESP payloads.<br>
<span class=""><br>
> 2.  Is there some other way to get higher throughput ?<br>
> pcrypt module is available, will it work with AES-GCM ?<br>
><br>
><br>
> libstrongswan plugin :<br>
><br>
> aesni - Intel AES-NI crypto plugin (since 5.3.1<br>
</span>> <<a href="https://wiki.strongswan.org/versions/56" rel="noreferrer" target="_blank">https://wiki.strongswan.org/versions/56</a>> )<br>
<span class="">><br>
><br>
><br>
><br>
> The new aesni plugin provides CBC, CTR, XCBC, CMAC, CCM and GCM crypto<br>
> primitives for AES-128/192/256.<br>
><br>
> The plugin requires AES-NI and PCLMULQDQ instructions and works on<br>
> both<br>
> x86 and x64 architectures. It provides superior crypto performance in<br>
> userland without any external libraries.<br>
><br>
><br>
> Thanks<br>
> kapil.<br>
><br>
><br>
><br>
><br>
<br>
</span>_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a></blockquote></div><br></div></div></div>