Подпись документа
В данном разделе рассматривается производительность КриптоПро DSS при выполнении операции подписи. Влияние аутентификации сведено к минимуму путём получения маркера доступа перед началом выполнения теста.
Данные получены для подписи формата CAdES BES (отделённая) и алгоритма подписи ГОСТ Р 34.10 - 2012 (256).
| Размер документа | DSS-TEST[1,1] |
DSS-TEST[1,2] |
DSS-TEST[2,1] |
DSS-TEST[2,2] |
|---|---|---|---|---|
| 32 B | 1900 | 1990 | 2314 (60% CPU) |
3163 |
| 1KB | 1892 | 1976 | 2319 (60% CPU) |
3137 |
| 10 KB | 1850 | 1868 | 2300 (60% CPU) |
3025 |
| 50 KB | 1210 | 1209 | 2087 |
2100 |
| 100 KB | 887 | 890 | 1450 |
1417 |
| 500 KB | 385 | 380 | 436 (70% CPU) |
451 (75% CPU) |
| 1 MB | 216 | 219 | 228 (60% CPU) |
220 (60% CPU) |
| 2 MB | 112 | 115 | 117 (50% CPU) |
116 (50% CPU) |
| 3 MB | 70 | 72 | 77 (45% CPU) |
78 (45% CPU) |
| 4 MB | 55 | 56 | 57 (30% CPU) |
59 (30% CPU) |
| 10 MB | 21 | 22 | 23 (30% CPU) |
25 (30% CPU) |
| 20 MB | 11 | 11 | 13 (30% CPU) |
14 (30% CPU) |
Документы можно разделить на три категории
- маленькие (до 10 KB),
- средние (от 10 KB до 500 КB)
- большие (500 KB и больше).
Операция подписи маленьких документов полностью загружает CPU одного сервера
DSS в конфигурации DSS-TEST[1,1]. Конфигурация DSS-TEST[1,2] с двумя
серверами HSM не приводит к увеличению производительности и показывает
аналогичные результаты. Из этого следует, что операция подписи маленьких
документов не загружает HSM полностью. При включении двух серверов DSS в
балансировку в конфигурации DSS-TEST[2,1] один сервер HSM оказывается
полностью загружен, что приводит к падению загрузки CPU на серверах DSS. При
дублировании DSS и HSM в конфигурации DSS-TEST[2,2] загрузка снова
смещается на серверы DSS.
Операция подписи средних документов требует больше ресурсов для десериализации
содержимого запросов и хэширования документа. Увеличение размера документа
приводит к постепенному снижению производительности. Сервер DSS во время
выполнения данной операции загружен полностью, переход от конфигурации
DSS-TEST[1,1] к DSS-TEST[2,1] приводит к существенному росту
производительности, при этом добавление второго сервера HSM на
производительность системы не влияет.
Операция подписи больших документов требует существенных сетевых ресурсов. Во всех конфигурациях система показала одинаковые результаты, загрузка сети при этом не поднималась выше 3 Гбит/c. Указанное поведение требует дальнейшего исследования (возможные причины: ошибки в реализации клиента, приводящие к тому, что он не может полностью использовать всю ширину канала для отправки сообщений; ограничения пропускной способности HAProxy). По мере получения новой информации данные в таблице и содержимое всего раздела будет дополняться.
Отдельно следует рассмотреть операцию подписи больших документах в сетях с небольшой пропускной способностью. Документы размером выше, чем 500 KB полностью загружают сеть пропускной способностью 1Гбит/c, что подтверждается данными раздела Пропусная способность сети: максимальная производительность при данном размере документов не может превосходить 191 операцию в секунду. При этом чем больше размер документа, тем меньше нагружается CPU и тем сильнее падает производительность, так как сервис большую часть времени проводит на чтении данных из канала.
| Размер документа | DSS-TEST[1,1] |
|---|---|
| 500 KB | 151 (80% CPU, 90% NET) |
| 1 MB | 72 (72% CPU, 90% NET) |
| 2 MB | 36 (65% CPU, 90% NET) |
| 3 MB | 24 (56% CPU, 90% NET) |
| 4 MB | 19 (46% CPU, 90% NET) |