Planisys Logo

Planisys Blog

DNS, Email Security, CDN, and Cybersecurity

NVIDIA Crypto-offloading

Published on March 2, 2025

sustainable datacenter

Siguiendo con nuestros recientes análisis sobre la interfaz criptográfica PKA de NVIDIA BlueField-3 -piedra angular de la reducción del consumo energético relacionado a crypto como TLS/IPSEC/VPN en servidores- una pregunta recurrente de nuestros clientes es:

💡 ¿Qué volúmenes de backup cifrado podemos procesar eficientemente con Nvidia BlueField-3?

🔹 Aclarando una idea errónea común

La interfaz RShim (SoC Management Interface) no está diseñada para la transferencia de datos de alta velocidad entre el host x86 y el DPU BlueField-3. Su propósito es únicamente para gestión, aprovisionamiento y registros de logs.

🔹 ¿Cómo ocurre la transferencia de datos real?

🚀 Las transferencias de alta velocidad se realizan a través de RDMA sobre PCIe 5.0 (16 líneas, 64 GB/s bidireccionales) y son completamente programables utilizando el SDK DOCA de NVIDIA.

Para esto, tuvimos que desarrollar código con la biblioteca RDMA en ambos extremos, tanto en el host x86 como en el BlueField-3, utilizando la biblioteca RDMA DOCA.

El ancho de banda de 64GBps está en el orden del ancho de banda de una GPU Nvidia de alto rendimiento.

🔹 Descargando Operaciones Criptográficas en BlueField-3

El modelo de BlueField-3 que hemos elegido cuenta con:

Mellanox CX-7 (ConnectX-7) con dos interfaces de 100 Gbps, lo que nos da un ancho de banda total de 200 Gbps. En un artículo subsiguiente, exploraremos el network offloading que proveen estas maravillosas NIC.

Aprovechando DOCA DMA & DOCA Crypto, logramos:

✅ Transferir respaldos cifrados eficientemente entre la RAM del x86 y el BlueField-3.

✅ Utilizar el motor criptográfico PKA para calcular hashes SHA3-512 resistentes a computación cuántica a velocidad de hardware.

✅ Descargar cargas de procesasmiento del host x86 mientras maximizamos el ancho de banda de PCIe 5.0.

Para la verificación de integridad de respaldos cifrados a gran escala, esta arquitectura nos permite manejar hashing a velocidades muy superiores a las de un CPU tradicional. 🚀

Tal vez sea importante aclarar, que en otros escenarios no percibimos la cantidad enorme de operaciones cifradas que estamos realizando (p.ej. VPNs, TLS en mails, etc) y la conveniencia de hacer crypto-offloading para reducción del consumo energético.

🔹 Hacia un procesamiento más eficiente y sostenible

Este es otro paso adelante en la reducción del consumo energético en los centros de datos, mientras aceleramos el procesamiento seguro de la información, y nos damos el lujo de utilizar algoritmos quantum-resistentes sin "quemar" la CPU x86.

🔹 Operatividad para devops/sysadmins

Para quienes no hayan escuchado hablar de NVIDIA Bluefield-3 o no se imaginan cómo opera, se trata de una DPU que se inserta en un servidor x86 de alta capacidad, se accede via interfaz RShim por ssh a un Ubuntu 22.04 especial para ARM , y la aceleración crypto se logra utilizando un módulo de OpenSSL 3.x llamado pka.

Previamente , en el servidor x86 (un Ubuntu o Debian, aunque puede ser de otra familia Linux) se debe instalar DOCA SDK para activar el driver Rshim. Luego se inyecta en la DPU una imagen llamada BFB (BlueField Bootable Firmware Bundle) que contiene el Ubuntu preinstalado , incluyendo el DOCA SDK, en un entorno muy familiar para un sysadmin o devops acostumbrado a Debian/Ubuntu o Linux en general.

#NVIDIA #DPU #BlueField3 #CryptoAcceleration #RDMA #PCIe5 #DOCA #Cybersecurity #HighPerformanceComputing #DataSecurity #EnergyEfficiency #PowerEfficiency #SustainableTech #GreenIT #EcoFriendlyTech