UPS・ロードバランサ・タイムサーバ・マルチホーミング・Webメールサーバをご提供します

測定結果：データサイズ１KBまでは鍵長2048ビットで3,000TPSを維持しています。

測定対象機器のPASには、SSL設定とL4のサーバ負荷分散機能を定義し一番シンプルなデフォルト設定を行いました。測定時のトラフィックは一番負荷の掛かるシナリオとして、1 SSLトランザクションとして「TCP接続・SSLセッション接続・HTTPリクエスト・HTTP応答・SSL終了・TCP終了」で定義。

ケース 2 ： 「SSL＋L7SLB」機能におけるSSL TPS

測定結果：データサイズが128Byteまでには鍵長1024ビットでも2048ビットでも3,000TPSを維持。

測定対象機器のPASには、SSL設定とL７のサーバ負荷分散機能を定義し一番シンプルなデフォルト設定を行いました。その他の条件は「SSL+L4SLB」と同じです。

詳細設定環境及び用語については、下記の＜参考１＞ SSLパフォーマンス検証時の動作環境と＜参考２＞ 用語の説明を参照してください。 

−　暗号アルゴリズムの2010年問題とは？　なぜ SSL公開鍵長が変更される？　−

インターネット上でのショッピングや個人情報送信など重要なやり取りは悪用を防ぐために認証やデータを暗号化するのが基本となっています。ですがPC性能向上と暗号解読技術向上により従来暗号技術が破られる危険が高まっています。米国国立標準技術研究所（NIST）が2010年末までにより安全な強い暗号アルゴリズムに移行させる方針を打ち出したことにより、世界的に高い暗号技術への対応が急がれています。今後、高い暗号技術に移行した場合にインターネット上の暗号技術を支える各種機器は、さらに高い暗号処理能力の実装が求められます。セキュリティを確保するにはSSL技術が標準的に使用されています。 SSL処理には高い処理能力を必要とすることから、サーバの前に位置する負荷分散装置（ロードバランサ）でSSLアクセラレーション処理を行うのが一般的です。SSL処理において要求される高い暗号技術として、SSL公開鍵長を今まで標準的に使用してきた1024ビットからはるかに堅牢な2048ビットの鍵長に移行することが求められています。しかし、1024ビットから2048ビットへの移行により、負荷分散装置には高いSSL処理能力が必要となります。SSL処理能力としては、SSL TPSとSSLスループットがありますが、鍵長が2048ビットに移行することにより大きく影響するのはSSL TPSになります。SSL TPSが影響するのは、新しい接続でSSL処理を始めるための初期ハンドシェイク、再ネゴシエーション、及びSSLセッション ID再利用のみです。

ロードバランサにとってSSL公開鍵長2048ビット化によるSSL処理能力の低下は致命的です。特に、既にSSLを使用しているお客様でこれから「暗号アルゴリズムの2010年問題」の対応としてSSL公開鍵を2048ビットに移行しなければならない場合、SSL TPS処理能力の大幅な低下が発生する場合は、運用中のシステムを見直す必要が出てくるでしょう。