レコメンデーションをテストする pkpspeed ツールの設定可能なオプション pkpspeed ツールで実行できるテスト例

Client SDK 3: pkpspeed ツールを使用して HSM のパフォーマンスを検証する

このトピックでは、クライアント SDK 3 で HSM パフォーマンスを検証する方法について説明します。

AWS CloudHSM クラスター内の HSMs のパフォーマンスを確認するには、クライアント SDK 3 に含まれている pkpspeed (Linux) または pkpspeed_blocking (Windows) ツールを使用できます。pkpspeed ツールは理想的な条件下で実行され、PKCS11 などの SDK を経由せずに HSM を直接呼び出して操作を実行します。スケーリングのニーズを判断するために、アプリケーションの負荷を個別にテストすることを推奨します。ランダム (I)、(R)、EC ポイントマルチル ModExp (Y) のテストを実行することはお勧めしません。

Linux EC2 インスタンスにクライアントをインストールする方法の詳細については、「AWS CloudHSM クライアントのインストールと設定 (Linux)」を参照してください。Windows インスタンスにクライアントをインストールする方法の詳細については、「AWS CloudHSM クライアントのインストールと設定 (Windows)」を参照してください。

AWS CloudHSM クライアントをインストールして設定したら、次のコマンドを実行して起動します。

クライアントソフトウェアをインストール済みの場合は、必要に応じて最新バージョンの pkpspeed をダウンロードしてインストールします。pkpspeed ツールは、Linux の /opt/cloudhsm/bin/pkpspeed または Windows の C:\Program Files\Amazon\CloudHSM\ にあります。

pkpspeed を使用するには、pkpspeed コマンドあるいは pkpspeed_blocking.exe を実行し、HSM の Crypto User (CU) のユーザー名とパスワードを指定します。次に、以下の推奨事項を考慮に入れながら、使用するオプションを設定します。

レコメンデーションをテストする

RSA の署名および検証オペレーションのパフォーマンスをテストするには、Linux または Windows のオプション B の RSA_CRT 暗号を選択します。RSA は選択しないでください (option A in Windows のオプション A)。暗号は同じですが、RSA_CRT はパフォーマンス用に最適化されています。
少数のスレッドで開始します。AES パフォーマンスをテストする場合、通常、1 つのスレッドで十分に最大のパフォーマンスが示されます。RSA パフォーマンスをテストする場合 (RSA_CRT) は、通常、3〜4 つのスレッドで十分です。

pkpspeed ツールの設定可能なオプション

FIPS モード: は常に FIPS モード AWS CloudHSM です (詳細については、AWS CloudHSM FAQsを参照してください）。これは、 AWS CloudHSM 「ユーザーガイド」に記載されている CLI ツールを使用し、FIPS モードのステータスを示す getHSMInfo コマンドを実行することで確認できます。
テストタイプ (ブロッキングとノンブロッキング): スレッド方式でのオペレーションの実行方法を指定します。ノンブロッキングを使用すると良い数値が得られる可能性が高くなるでしょう。これは、スレッドと同時実行性を利用するためです。
スレッド数: テストを実行するスレッドの数。
テスト実行時間 (最大 = 600): pkpspeed は「オペレーション/秒」で測定された結果を生成し、テストが実行される毎秒この値を報告します。例えば、テストを 5 秒間実行する場合、出力は次のサンプル値のようになります。
- OPERATIONS/second 821/1
- OPERATIONS/second 833/1
- OPERATIONS/second 845/1
- OPERATIONS/second 835/1
- OPERATIONS/second 837/1

pkpspeed ツールで実行できるテスト

AES GCM: AES GCM モードの暗号化をテストします。
ベーシック 3DES CBC: 3DES CBC モードの暗号化をテストします。今後の変更については、以下の注記「1」を参照してください。
ベーシック AES: AES CBC/ECB 暗号化をテストします。
ダイジェスト: ハッシュダイジェストをテストします。
ECDSA サイン: ECDSA サインをテストします。
ECDSA 検証: ECDSA 検証をテストします。
FIPS ランダム: FIPS 準拠の乱数の生成をテストします (注: これはブロッキングモードでのみ使用できます)。
HMAC: HMAC をテストします。
ランダム: FIPS 140-2 HSM を使用しているため、このテストは関係ありません。
RSA 非 CRT と RSA_CRT の比較: RSA サインと検証オペレーションをテストします。
RSA OAEP 暗号: RSA OAEP の暗号化をテストします。
RSA OAEP 復号: RSA OAEP の復号化をテストします。
RSA プライベート復号化非 CRT: RSA プライベートキー暗号化 (非最適化) をテストします。
RSA プライベート復号化 CRT: RSA プライベートキー暗号化 (最適化) をテストします。
RSA PSS サイン: RSA PSS サインをテストします。
RSA PSS 検証: RSA PSS 検証をテストします。
RSA パブリックキー暗号: RSA パブリックキー暗号化をテストします。

RSA パブリックキー暗号化、RSA プライベート復号化非 CRT、RSA プライベートキー復号化 CRT でも、ユーザーに次の回答を求めるプロンプトが表示されます。


Do you want to use static key [y/n]

y が入力された場合、事前に計算されたキーが HSM にインポートされます。

n が入力された場合、新しいキーが生成されます。

[1] NIST のガイダンスに従い、これは 2023 年以降、FIPS モードのクラスターでは許可されません。非 FIPS モードのクラスターの場合、2023 年以降も許可されます。詳細については、「FIPS 140 コンプライアンス: 2024 年メカニズムの非推奨」を参照してください。

例

以下の例では、RSA オペレーションと AES オペレーションにおける HSM のパフォーマンスをテストするために pkpspeed (Linux) または pkpspeed_blocking (Windows) で選択できるオプションを示します。

例 - pkpspeed を使用した RSA パフォーマンスのテスト

ここの例は、Windows、Linux、および互換性のあるオペレーティングシステムで実行できます。

例 - pkpspeed を使用した AES パフォーマンスのテスト

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Client SDK 3 キー同期の失敗

Client SDK 5 ユーザーに矛盾する値が含まれている