Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

Teuer...

  1. Thema

Neues Thema Ansicht wechseln


  1. Teuer...

    Autor: HubertHans 16.12.14 - 15:23

    Das Problem ist, das wenn HTTPS ueberall verwendet wird, der Stromverbrauch steigt und mehr Systemleistung benoetigt wird.

    Kaum eine Netzwerkkarte bietet ueberhaupt Unterstuetzung fuer Beschleunigung der Verschluesselung an... (Vielleicht mit Glueck uralte 100Mbit-Karten von Intel oder neuere 10GBE-Adapter). Was im Endeffekt bedeutet: Server brauchen mehr Rechenleistung/ Systemleistung und Energie. Und auch die Clients brauchen mehr Saft als noetig. Wenn man bei Youtube Videos schaut geht bei einem HW-Beschleunigten Video der Großteil der CPU-Last fuer HTTPS drauf. Wer noch einen Core 2 hat wird das schnell merken das HTTPS gut was fressen kann. Ist natuerlich an sich nicht viel. Aber HTTP wuerde die CPU gar nicht merken. Und beim Video-schauen ist eine Verschluesselung eigentlich nicht noetig!

    Bei Servern wirds noch aergerlicher wenn Netzwerkkarten mit TOE verwendet werden. Die meisten echt teuren TOE-faehigen Netzwerkkarten koennen mit HTTPS nichts anfangen und bieten dann keinen Mehrwert zu ner guten Intel-Karte mehr, weil ja alles ueber die CPU rennen muss. Und hier ist es, wie bereits gesagt, auch mit einer hoeheren Auslastung verbunden. TOE-Adapter sollen den I/O erhoehen, in dem die CPU weniger machen muss und auch Speicherbandbreite gespart wird. (CPU muss nicht staendig im RAM wuseln, sondern gibt den Auftrag an die Netzwerkkarte und fertig!)



    1 mal bearbeitet, zuletzt am 16.12.14 15:24 durch HubertHans.

  2. Re: Teuer...

    Autor: cware 16.12.14 - 15:26

    Dumme Frage: Welche NICs hantieren denn oberhalb OSI Layer 4 herum?

    Ich frage, damit ich diese meiden kann.

  3. Re: Teuer...

    Autor: DNAofDeath 16.12.14 - 15:32

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Wer noch einen Core 2 hat wird das schnell
    > merken das HTTPS gut was fressen kann.

    Und die ganzen Commodore C64/128D Nutzer erst, gar nicht zu reden von den High-End-Pentium II Neuauflagen die es jetzt zur Weihnachtszeit wieder überall gibt.

    Die werden das schon noch merken, was dieses scheiß HTTPS für ein Leistungskiller ist.

    > Das Problem ist, das wenn HTTPS ueberall verwendet wird, der Stromverbrauch
    > steigt und mehr Systemleistung benoetigt wird.

    Stell dir mal vor, alle Menschen würden Smartphones überall verwenden, statt das überall gebräuchliche, moderne Telefon mit Wählscheibe, was für einen gigantischen Anstieg des Energieverbrauchs gäbe es dann? Unglaublich...



    2 mal bearbeitet, zuletzt am 16.12.14 15:34 durch DNAofDeath.

  4. Re: Teuer...

    Autor: HubertHans 16.12.14 - 15:37

    Wir reden hier von verschiedenen Datenraten. Wie viel Baud bringt ein C64? Ich rede absichtlich von BAUD... Mehr als 3Kbyte/s rechne ich da nicht. Und ich glaube das er gut zu tun hat und laenger braucht. Wenns ueberhaupt mit HTTPS geht :)

    Schaetze auch das das verwendete Modem entsprechend Intelligenz mitbringt.

    Ein Pentium 2 hat an HTTPs richtig gut zu knabbern. Das es funktioniert bestreitet ja keiner... Ist halt nur ein massiver Aufwand. Und Energiebedarf ist wichtig. Deswegen gib ts ja auch entsprechende Hardware. und es war auch ein Segen, das AES in die CPUs kam... Doof nur, wenn die entsprechenden Netzwerkadapter dafuer in den Softwaremodus watscheln muessen. Versuche doch mal auf einem pentium 2 Windows XP zu installieren und danach Updates zu saugen. Der Pentium 2 kennt kein SSE. Deswegen macht er sich an den Updates tot!

    @Cware: Broadcom netxtreme II (Sehr buggy), Qlogic stellt entsprechende Karten her. Und Emulex auch. Intel ebenfalls, aber nur spezielle Karten. Ich weiß das es mal eine alte Intel 100Mbit Karte gab, die konnte IPSEC und AES glaube ich abladen. Intel Pro 100/S oder so?

    Die beruechtigte KillerNIC sollte aus HTTPS nativ beherrschen. Da die Karte aber selbst in der neuesten Version gerade mal 100MBit knackt >> Tuennes



    4 mal bearbeitet, zuletzt am 16.12.14 15:45 durch HubertHans.

  5. Re: Teuer...

    Autor: DNAofDeath 16.12.14 - 22:45

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Baud
    Gigabit
    > C64
    PC
    > Modem
    Fritzbox
    > Pentium 2
    Core i7
    > Windows XP
    Ubuntu, Windows 8.1, OS X

    Ironie kennst du nicht oder? HALLO! AUFWACHEN! WIR LEBEN IN 2014/15!
    Du stellst hier HTTPS so dar, als ob es bei meinem (hypothetischen) I7 morgen bei nem über gestreamten 1080p++ Video alle 4 Kerne zu 100% auslastet.

    Das ist Schwachsinn.

    Der Nutzen von SSL überwiegt in jedem Fall seine Nachteile.
    Punkt.



    2 mal bearbeitet, zuletzt am 16.12.14 22:47 durch DNAofDeath.

  6. Re: Teuer...

    Autor: Markus_T_witter 16.12.14 - 22:50

    SSL benutzt auch keiner mehr es heißt TLS.
    http://de.wikipedia.org/wiki/Transport_Layer_Security

  7. Re: Teuer...

    Autor: HubertHans 17.12.14 - 07:54

    DNAofDeath schrieb:
    --------------------------------------------------------------------------------
    > HubertHans schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Baud
    > Gigabit
    > > C64
    > PC
    > > Modem
    > Fritzbox
    > > Pentium 2
    > Core i7
    > > Windows XP
    > Ubuntu, Windows 8.1, OS X
    >
    > Ironie kennst du nicht oder? HALLO! AUFWACHEN! WIR LEBEN IN 2014/15!
    > Du stellst hier HTTPS so dar, als ob es bei meinem (hypothetischen) I7
    > morgen bei nem über gestreamten 1080p++ Video alle 4 Kerne zu 100%
    > auslastet.
    >
    > Das ist Schwachsinn.
    >
    > Der Nutzen von SSL überwiegt in jedem Fall seine Nachteile.
    > Punkt.

    Ironie?

    Wo habe ich das so dargestellt? Es geht um Serverumgebungen! Da macht sich HTTPS bemerkbar. Die haben nicht nur 1Mbit Traffic, sondern sie schubsen 10GBit bis 100GBit. Und hier ist TLS/SSL und weiß der Geier eben ein Faktor. Natuerlich kann die CPU das in zwischen beschleunigen. Bringt aber nur bei der CPU was. Speichertransferrate ist immer noch hoch und die Netzwerkleistung sinkt!

    Das du dich darueber lustig machst zeigt eher, das du es nicht verstehst. Wo hat HTTPS denn Vorteile? Alles zu verschluesseln macht weder Sinn noch bringt es ueberall einen Nutzen. Ressourcenverschwendung die sich obendrein leicht aushebeln laesst. Die Wanzen sitzen überall. Und Zertifikate sind so vertrauenswuerdig wie ein Wiederholungstaeter...

    Und C64 mit Gigabit >> Ja ne ist klar... Anschluss ist vielleicht Gigabit. Der Rest liegt bei einer Baudrate wo man fast mitlesen kann.



    2 mal bearbeitet, zuletzt am 17.12.14 07:56 durch HubertHans.

  8. Re: Teuer...

    Autor: Breakerzeus 17.12.14 - 09:01

    > Wo hat HTTPS denn Vorteile? Alles zu verschluesseln macht weder Sinn noch
    > bringt es ueberall einen Nutzen.

    Der sinnvolle Begriff an dieser Stelle heisst: Grundrauschen!

    Mal davon abgesehen halte ich HTTPS auch nicht für das Vorzeigemodell in Sachen Verschlüsselung (eher im Gegenteil) aber es ist definitiv besser als gar keine zu verwenden. Und dann ist es ja auch davon abhängig, welchen Standard man benutzt. TLS ist mal totaler Schrott (aber immerhin besser als gar nichts!). An dieser Stelle müsste man schon wenigstens mit AES 256-bit um die Ecke kommen.

    Meine Vermutung ist, dass wir erst mit globalem IPv6 einen Stand erreichen, wo sich ein annehmbarer Sicherheitsstandard (IPsec) findet. Bis dahin sollten auch die meisten Seiten bei AES angekommen sein. Es laufen ja leider immer noch genug RC4'ler da draußen herum *würg*



    1 mal bearbeitet, zuletzt am 17.12.14 09:03 durch Breakerzeus.

  9. Re: Teuer...

    Autor: DNAofDeath 17.12.14 - 09:14

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Ironie?
    Ja mein Beitrag war ironisch gemeint!

    Wo habe ich das so dargestellt? Es geht um Serverumgebungen! Da macht sich
    > HTTPS bemerkbar. Die haben nicht nur 1Mbit Traffic, sondern sie schubsen
    > 10GBit bis 100GBit.
    Ich betreibe selbst einen Dedizierten Server mit 14 produktiv genutzten virtuellen Maschinen drauf, die gesamte Struktur dient dem Betrieb verschiedener Webbased Anwendungen und ist vollständig über TLS ans Netz angebunden.
    Sorry, aber was du erzählst ist schlichtweg Blödsinn, es gibt keinen merklichen Leistungsunterschied zwischen den Betrieb mit und ohne TLS, das wäre uns bei der Umstellung auf TLS-Only damals mit Sicherheit aufgefallen.

    > Und hier ist TLS/SSL und weiß der Geier eben ein
    > Faktor.
    Ja, ALLES ist irgendein Faktor, ob der jedoch mit 0,0000001% oder 50% ins Gewicht fällt, sollte man schon beachten...

    >Natuerlich kann die CPU das in zwischen beschleunigen. Bringt aber
    > nur bei der CPU was. Speichertransferrate ist immer noch hoch und die
    > Netzwerkleistung sinkt!
    Nein, tut sie nicht, nicht in einem Maße, über welches es sich lohnt auch nur einen Gedanken zu verschwenden.

    > Das du dich darueber lustig machst zeigt eher, das du es nicht verstehst.
    Ja, bin total inkompetent :( (sag das bitte bloß nicht meinem Arbeitgeber, sonst bin ich meinen Job als IT-Consultant los!)

    > Wo hat HTTPS denn Vorteile? Alles zu verschluesseln macht weder Sinn noch
    > bringt es ueberall einen Nutzen.
    Wenn du das sagst, bitteschön.

    > Ressourcenverschwendung
    Wenn TLS für dich Ressourcenverschwendung ist, was muss dann erst Facebook für dich sein?

    > die sich obendrein
    > leicht aushebeln laesst. Die Wanzen sitzen überall.
    Verschwörungsfanatikergelaber braucht hier keiner.

    > Und Zertifikate sind so
    > vertrauenswuerdig wie ein Wiederholungstaeter...
    Natürlich, wenn du das sagst, dann also lieber gleich alles ganz weg lassen, kein TLS, keine Zertifikate, macht das Internet gleich viel sicherer...
    Merkst du noch was?
    Das ist wie wenn du sagst "Ja beim Fahrrad kann man ja auch das Schloss durchschweißen oder wegsprengen, dann lieber gar kein Schloss, ausserdem macht das Schloss das Fahrrad schwerer, deswegen kann man kaum noch damit herumfahren, dann lieber gar kein Schloss."
    Völlig irrationales Geschwaller was da von dir kommt.

    > Und C64 mit Gigabit >> Ja ne ist klar... Anschluss ist vielleicht Gigabit.
    Habe ich nie behauptet, dass ein C64 nen Gigabitanschluss hat...
    > Der Rest liegt bei einer Baudrate wo man fast mitlesen kann.
    Nochmal: wir haben 2014!
    Was laberst du von C64 und Baud?
    Wo wird heute bitte ein C64 oder ein Netzwerkanschluss bei dem die Einheit Baud ne Rolle spielt produktiv eingesetzt?
    Bescheuertes Gelaber eines IT-Analphabeten, der beim 386er aufgehört hat mit der Zeit zu gehen, das ist dein Beitrag für mich.



    2 mal bearbeitet, zuletzt am 17.12.14 09:17 durch DNAofDeath.

  10. Re: Teuer...

    Autor: HubertHans 17.12.14 - 11:21

    DNAofDeath schrieb:
    --------------------------------------------------------------------------------
    > HubertHans schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ironie?
    > Ja mein Beitrag war ironisch gemeint!
    >
    > Wo habe ich das so dargestellt? Es geht um Serverumgebungen! Da macht
    > sich
    > > HTTPS bemerkbar. Die haben nicht nur 1Mbit Traffic, sondern sie schubsen
    > > 10GBit bis 100GBit.
    > Ich betreibe selbst einen Dedizierten Server mit 14 produktiv genutzten
    > virtuellen Maschinen drauf, die gesamte Struktur dient dem Betrieb
    > verschiedener Webbased Anwendungen und ist vollständig über TLS ans Netz
    > angebunden.
    > Sorry, aber was du erzählst ist schlichtweg Blödsinn, es gibt keinen
    > merklichen Leistungsunterschied zwischen den Betrieb mit und ohne TLS, das
    > wäre uns bei der Umstellung auf TLS-Only damals mit Sicherheit
    > aufgefallen.
    >
    > > Und hier ist TLS/SSL und weiß der Geier eben ein
    > > Faktor.
    > Ja, ALLES ist irgendein Faktor, ob der jedoch mit 0,0000001% oder 50% ins
    > Gewicht fällt, sollte man schon beachten...
    >
    > >Natuerlich kann die CPU das in zwischen beschleunigen. Bringt aber
    > > nur bei der CPU was. Speichertransferrate ist immer noch hoch und die
    > > Netzwerkleistung sinkt!
    > Nein, tut sie nicht, nicht in einem Maße, über welches es sich lohnt auch
    > nur einen Gedanken zu verschwenden.
    >
    > > Das du dich darueber lustig machst zeigt eher, das du es nicht
    > verstehst.
    > Ja, bin total inkompetent :( (sag das bitte bloß nicht meinem Arbeitgeber,
    > sonst bin ich meinen Job als IT-Consultant los!)
    >
    > > Wo hat HTTPS denn Vorteile? Alles zu verschluesseln macht weder Sinn
    > noch
    > > bringt es ueberall einen Nutzen.
    > Wenn du das sagst, bitteschön.
    >
    > > Ressourcenverschwendung
    > Wenn TLS für dich Ressourcenverschwendung ist, was muss dann erst Facebook
    > für dich sein?
    >
    > > die sich obendrein
    > > leicht aushebeln laesst. Die Wanzen sitzen überall.
    > Verschwörungsfanatikergelaber braucht hier keiner.
    >
    > > Und Zertifikate sind so
    > > vertrauenswuerdig wie ein Wiederholungstaeter...
    > Natürlich, wenn du das sagst, dann also lieber gleich alles ganz weg
    > lassen, kein TLS, keine Zertifikate, macht das Internet gleich viel
    > sicherer...
    > Merkst du noch was?
    > Das ist wie wenn du sagst "Ja beim Fahrrad kann man ja auch das Schloss
    > durchschweißen oder wegsprengen, dann lieber gar kein Schloss, ausserdem
    > macht das Schloss das Fahrrad schwerer, deswegen kann man kaum noch damit
    > herumfahren, dann lieber gar kein Schloss."
    > Völlig irrationales Geschwaller was da von dir kommt.
    >
    > > Und C64 mit Gigabit >> Ja ne ist klar... Anschluss ist vielleicht
    > Gigabit.
    > Habe ich nie behauptet, dass ein C64 nen Gigabitanschluss hat...
    > > Der Rest liegt bei einer Baudrate wo man fast mitlesen kann.
    > Nochmal: wir haben 2014!
    > Was laberst du von C64 und Baud?
    > Wo wird heute bitte ein C64 oder ein Netzwerkanschluss bei dem die Einheit
    > Baud ne Rolle spielt produktiv eingesetzt?
    > Bescheuertes Gelaber eines IT-Analphabeten, der beim 386er aufgehört hat
    > mit der Zeit zu gehen, das ist dein Beitrag für mich.

    Natuerlich...

  11. Re: Teuer...

    Autor: unknown75 19.12.14 - 10:16

    Übles Battle hier...
    Allerdings muss ich DNAofDeath recht geben und hier noch ein Totschlagargument von mir.
    Wenn TLS wirklich so schlimm wäre, so unglaublich viel Geld in Hardware und Verwaltung kostet und keinerlei Nutzen bringt, warum nutzen dann kommerzielle Gewinnorientierte Großunternehmen wie Facebook, Google .... TLS und nicht einfaches HTTP?

    Peace!

  12. Re: Teuer...

    Autor: HubertHans 19.12.14 - 10:39

    unknown75 schrieb:
    --------------------------------------------------------------------------------
    > Übles Battle hier...
    > Allerdings muss ich DNAofDeath recht geben und hier noch ein
    > Totschlagargument von mir.
    > Wenn TLS wirklich so schlimm wäre, so unglaublich viel Geld in Hardware und
    > Verwaltung kostet und keinerlei Nutzen bringt, warum nutzen dann
    > kommerzielle Gewinnorientierte Großunternehmen wie Facebook, Google ....
    > TLS und nicht einfaches HTTP?
    >
    > Peace!

    Ich glaube du hast es nicht richtig gelesen und bist den Uebertreibungen aufgesessen. ich rede vom Serverbereich! Und hier sind viele tausend Verbindungen unterer Schnitt. Da man bei Webservern versucht, moeglichst viele Verbindungen gleichzeitig zu haben und dann je nach System auch spezialisierte Hardware einsetzt, ist HTTPS eben einfach der Leistungskiller. Wenn -bsp- ich statt 10k Verbindunegn dank HTTPS nur noch 9K oder weniger schaffe, dafuer aber die CPU Last hoch geht: Naja... Natuerlich machen sich die Meisten beim Aufsetzen ihrer Server keine Gedanken darueber. Aber in großen Firmen ist andere Hardware am Start. und wenn da -Ohne Sinn und Verstand- TLS & Co fuer voellig unwichtige Dienste eingesetzt wird und somit die Leistungsaufnahme und gleichzeitig die effektive Auslastung herabsetzt: Fail!

    Fuer einen Server ist das Verwalten so vieler Verbindungen bereits eine Belastung, die man versucht, auf die Netzwerkkarten abzuladen. Man kann natuerlich verschluesselte Daten drueber laufen lassen, jedoch muss fuer das Verschluesseln normalerweise die CPU ran. Wird das Protokoll von der Netzwerkkarte nicht untzerstuetzt funktioniert der Offload ebenfalls nicht. Virenscanner mit Proxy und falsch konfigurierte Firewalls zerstoeren TOE ebenfalls.

    HTTPS ist sicherlich nicht vollkommen nutzlos, habe ich nicht behauptet. Aber das der flaechendeckende Einsatz irgendwas bringt ist fraglich. Die Zertifizierungsstellen sind nicht vertrauenswuerdig (Hat sich oft genug gezeigt) Die Hardware ist verwanzt... HTTPS ist da einfach nur verbratene Energie.

    Und das man sich normalerweise keinen Kopf macht ueber ein paar% Systemleistung, die fuer HTTPS bei einem privaten Rechner im Schnitt beim Gucken einesm Videos auftauchen ist auch logisch. Ist aber halt da. Ist genauso wie das benutzen von Soundkarten ohne Hardwarebeschleunigung und realtek Netzwerkschund. Kann man machen, die Nachteile merkt der Dau eh nicht.



    4 mal bearbeitet, zuletzt am 19.12.14 10:45 durch HubertHans.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Modis GmbH, Berlin
  2. Paul Henke GmbH & Co. KG, Löhne
  3. THD - Technische Hochschule Deggendorf, Deggendorf
  4. Universitätsmedizin Göttingen, Göttingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBX570


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49