Notiz Mozilla: Firefox 76 bekommt einen HTTPS-Only-Mode

[Wattwanderer]

Warum benutzt man überhaupt http(s) für die Übertragung einer Datei vom eigenen Server?

Wahrscheinlich beschreibt das die Situation derer die die glauben bei HTTPS gäbe es die Verschlüsselung kostenlos.

Wie ich versuchte darzulegen stellt man Hardware hin die 100 bis 1.000 mal schneller sind als die Bandbreite die bedient werden soll und schließt daraus Verschlüsselung gäbe es umsonst. In vielen Fällen hätten sie damit wohl auch recht. Z.B. wenn man reine Webserver betreibt deren CPUs deutlich unter 10 % Auslastung bleiben.

Nextcloud, SVN, DAVFS wären konkrete Fälle die ich nutze wo mir schwant Verschlüsselung könnte für so manche Trägheit schuld sein ohne gemessen zu haben. Bei VPN weiss ich es aber ganz genau weil ich wegen mangelnder Verschlüsselungsleistung die Hardware mehrmals getauscht habe.

Nutzt man bei HTTPS andere Verschlüsselung als bei OpenVPN?

 

[gaelic]

Wahrscheinlich beschreibt das die Situation derer die die glauben bei HTTPS gäbe es die Verschlüsselung kostenlos.

Das beschreibt eher das Verhalten von Menschen die auch 500MB per Email verschicken und sich über Probleme wundern.

 

[Der-Orden-Xar]

Was anderes würde ich aber gar nicht erst benutzen (erst recht nicht MD5), es ist nicht umsonst Standard.

Neben AES im GCM und CCM (letzteres AFAIK aber von keinen Browser unterstützt) ist nur das genannte ChaCha20 mit TLS 1.3 erlaubt.
Das lange verwendete AES im CBC-Modus dagegen nicht.

 

[Autokiller677]

Hast du schon mal sagen wir mal eine 10 GB Datei mit und ohne Verschlüsselung von deiner Raspi heruntergeladen?

Falls das ohne Einfluss auf den Durchsatz bleiben soll, würde ich sogar mein Workflow mit VPN überdenken und versuchen die Traffic über HTTPS zu tunneln.

10GB über den dann doppelt begrenzden USB Bus (USB Bus zur Festplatte + USB Bus zum Ethernet)? Nein danke. Das meine ich dann eben mit dem richtigen Gerät für den Zweck.

Wenn ich das regelmäßig mache, besorge ich mir irgendwas, dass Gigabit auslasten kann - das schafft der Raspi nicht, egal ob mit oder ohne Verschlüsselung. Und wenn es nur selten ist, kann ich auch ein paar Minuten länger warten.

Mein Raspi 3 schafft es auf jeden Fall das Backup vom NAS (anderer Standort) entgegen zu nehmen und auf die Festplatte rauszuschreiben - mit den vollen 10MB/s, die die Internetverbindung hergibt. Die Daten kommen verschlüsselt (rsync over SSH) an und werden verschlüsselt (veracrypt) auf der HDD gespeichert. CPU Last hab ich dabei ehrlich gesagt noch nicht aktiv beobachtet - solang der volle Durchsatz läuft, ist es mir auch egal.

Daher zu deiner Frage auch noch eine Obergrenzen-Abschätzung: Es würde maximal 16 Minuten dauern die 10GB zu ziehen. Für hin und wieder ausreichend. Wenn ich sowas öfter bräuchte, käme hier auch ein ordentliches NAS hin. Fertig.

 

[Wattwanderer]

...

Daher zu deiner Frage auch noch eine Obergrenzen-Abschätzung: Es würde maximal 16 Minuten dauern die 10GB zu ziehen. Für hin und wieder ausreichend. Wenn ich sowas öfter bräuchte, käme hier auch ein ordentliches NAS hin. Fertig.

Ich sage ja nicht, dass du das jeden Tag machen sollst. Ich bitte lediglich die Behauptung, HTTPS kostet nichts, zu überprüfen.

Dabei scheint ein Raspi als idealer Kandidat.

Es schafft kein GBIT/s, also ist da auch keine heimliche Reserve wie z.B. ein i5 wo man die Bandbreite von Ethernet misst und nicht die CPU.

Dann noch Verschlüsselung drauf. Wie viel schafft er in dieser Situation.

Die Differenz muss dann die Verschlüsselung sein?

Wenn ich das so abschätze von Einsteiger NAS, würde ich sagen es bricht etwa 50 % bis 80 % ein. Mitnichten "gar kein Performanceeinbruch".

 

[P220]

Der Pi bricht total ein, das ist Fakt ja.. moderne CPUs sind nicht nur stärker sondern haben auch Techniken die Leistung auch besser zu nutzen. Für Verschlüsselung ist er halt einfach nicht gemacht, obwohl es funktioniert.

 

[Autokiller677]

Ich sage ja nicht, dass du das jeden Tag machen sollst. Ich bitte lediglich die Behauptung, HTTPS kostet nichts, zu überprüfen.

Dabei scheint ein Raspi als idealer Kandidat.

Es schafft kein GBIT/s, also ist da auch keine heimliche Reserve wie z.B. ein i5 wo man die Bandbreite von Ethernet misst und nicht die CPU.

Dann noch Verschlüsselung drauf. Wie viel schafft er in dieser Situation.

Die Differenz muss dann die Verschlüsselung sein?

Wenn ich das so abschätze von Einsteiger NAS, würde ich sagen es bricht etwa 50 % bis 80 % ein. Mitnichten "gar kein Performanceeinbruch".

Ich guck mal, ob ich nachher einen Test mache.

Letztlich gilt halt (für mich), das weder ein Raspi noch ein Bilig-NAS geeignet sind für hohe Zugriffszahlen oder viel Datendurchsatz. Die sind beide maximal als Slow-Storage für's Backup brauchbar, und Mini-Services, bei mir z.B. AirPlay Empfänger, PiHole etc. Insbesondere der Raspi ist ja auch gar nicht als Plattform für viel Datendurchsatz designt.

Wer sich die als Arbeitspferd kauft, ist (egal ob mit oder ohne Verschlüsselung) meiner Meinung nach an der falschen Adresse. Die Schwachbrüstigkeit zeigt sich dann ja nicht nur an der fehlenden AES-NI Erweiterung, sondern auch an jeder anderen Ecke des Systems, sobald man es mal ordentlich tritt oder mit mehreren Leuten ankommt.

 

[Yuuri]

Ich sage ja nicht, dass du das jeden Tag machen sollst. Ich bitte lediglich die Behauptung, HTTPS kostet nichts, zu überprüfen.

Als in den 90ern dedizierte GPUs aufkamen... Hast du da auch gefragt, ob sich das überhaupt lohnt? CPU Rendering reicht doch aus... :O 640x480 in maximal 30 fps... Und was ist mit MMX, SSE, AVX? Hast du mittlerweile 64 Bit (2003) akzeptiert?

AES-NI existiert in x86 seit 2008, demzufolge sollte mittlerweile jede herkömmliche CPU die Extension besitzen. Bei ARM steht es seit v8 im Draft (2013), welches seit spätestens 2016 veröffentlicht wurde. Hersteller brachten entsprechende Implementationen natürlich auch vorher auf den Markt.

Fakt ist, heutzutage kostet Verschlüsselung quasi nichts mehr. Oder anders ausgedrückt: durchschnittlich 2 % im Peak.

Wenn du veraltete, auf Kosten optimierte Bastelhardware wie den Pi nutzt und gar als Referenz darstellst... Sorry... Ein Trabant war auch nie die Referenz für ein "Auto". Du könntest auch einfach ne Pi-Alternative mit mindestens einer ARM v8 oder gar x86 CPU nutzen, dann hast du nämlich die AES Extensions mit drin und kannst problemlos verschlüsseln. Sonst leb halt weiter mit einer ARM v7 CPU und beharre weiter darauf, dass in deiner Welt "Verschlüsselung teuer ist", obwohl jeder andere Mensch in 2020 es problemlos ohne Einbußen nutzen kann.

Die Welt dreht sich halt weiter und eine ARM v7 CPU ist heute für nichts mehr eine Referenz. Außer kostengünstig bleibt da nichts übrig auf der Pro-Seite.

 

[XimeX]

Und wie schon erwähnt kannst du ja auch ChaCha20-Poly1305 verwenden wenn du eine CPU hast die noch keine AES Erweiterung hat. Der Algorithmus ist für solche Zwecke gedacht.

@Wattwanderer hast du dir schon mal Wireguard als Ersatz für OpenVPN angeschaut?
Hier ein Vergleich:
https://blog.ordix.de/images/easyblog_articles/458/a1sx2_400_jhm_WireGuard.JPG

 

[P220]

Wireguard

Aktuell eher noch ne experimentelle Geschichte..

Auf Pis habe ich persönlich langsam auch keine Lust mehr, viel zu langsam (in jeder Hinsicht, also nicht nur Transfer, sondern alles, inklusive Releasezyklen der Teile, gar der Versand etc). Einfach 50-100€ mehr drauf packen und Ruhe ist. Klar ist auch Geld, aber mir ist es das Wert....

 

[XimeX]

Aktuell eher noch ne experimentelle Geschichte..

Also wenn es jetzt nächste Woche im Stable Linux Kernel drinnen ist und mir ansehe wer das schon aller produktiv einsätzt würd ich nimmer sagen dass das experimentell ist. vll noch nicht rock solid aber stable genung

 

[I'm unknown]

Ich bitte lediglich die Behauptung, HTTPS kostet nichts, zu überprüfen.

Abseits vom Pi ist das nun einmal die Realität. Alle modernen Smartphones sind verschlüsselt - und ein Oneplus 7 kann dabei ca. 1,4GB/s vom Flash lesen...

Der Pi bricht total ein, das ist Fakt ja..

Kommt darauf an auf was bezogen. In der c't kostet LUKS als Verschlüsselung für das Speichermedium rund 25% beim Pi 4: https://www.heise.de/ct/artikel/Bastelcomputer-Raspberry-Pi-4-im-Test-4460668.html
Deckt sich auch mit den Benchmarks von hier mit >60 MB/s Durchsatz: https://www.cnx-software.com/2019/06/24/raspberry-pi-4-benchmarks-mini-review/

Allgemein ist auf einem Pi gesehen zum Veröffentlichungszeitrum absolute Low-End-HW verbaut. Und soweit ich das mitbekommen habe funktionieren die Crypto-Extensions auf den neueren Modellen nicht. Daraus abzuleiten Verschlüsselung ist heute noch besonders teuer halte ich jedoch für sehr weit her geholt.
Sieht man auch an Tests von NVME-SSDs mit/ohne Verschlüsselung (SW vom OS) mit LUKS oder Bitlocker. Der Verlust an Performance ist hier recht gering.