Wenn man sich über eine VPN-Client-Software mit einem VPN-Dienstanbieter (wie ExpressVPN, NordVPN usw.) verbindet, der OpenVPN verwendet, und dieser Dienst Ende-zu-Ende-verschlüsselt ist, und der VPN-Dienstanbieter AES-NI verwendet – wie rechenintensiv ist dann grob gesagt typischerweise die Verschlüsselung, die auf dem Client-Gerät stattfindet?
Ich habe überlegt, einen Hardware-Router (Firewall-Kategorie, ohne WLAN-Zugangspunkt) zu kaufen, um mein Heimnetzwerk über einen solchen OpenVPN-Dienst zu leiten, und versuche herauszufinden, wie leistungsstark die CPU und der Speicher des Hardware-Routers sein müssen, um uneingeschränkte verschlüsselte Internetgeschwindigkeiten bereitzustellen. Einige der teureren Routermodelle (z. B. mit Intel i5-i7-Prozessoren) werben damit, AES-NI-Verschlüsselung bei hohen Geschwindigkeiten verarbeiten zu können, aber es ist unklar, ob sie sich auf eine Situation beziehen, in der der Router als Server fungiert, um ein benutzerdefiniertes VPN-Netzwerk für mein Zuhause zu erstellen – oder ob sie sich auf eine Situation wie meine beziehen, in der ich meine Heimgeräte mit einem Router eines VPN-Dienstanbieters verbinden würde.
Mit anderen Worten: Muss ich mir wirklich Gedanken über die Rechenleistung eines erweiterten Routers machen, wenn ich nicht beabsichtige, ein benutzerdefiniertes VPN-Netzwerk zu betreiben?
Antwort1
und der VPN-Dienstanbieter verwendet AES-NI
AES ist eine Verschlüsselung, AES-NI ist eine Funktion der Intel-CPU, die diese Verschlüsselung beschleunigt. Verwechseln Sie die beiden nicht.
Clients können nicht zwischen einem Server unterscheiden, der „Hardware“-AES über AES-NI verwendet, und einem Server, der „Software“-AES verwendet. In beiden Fällen wird derselbe Algorithmus angewendet und die Daten werden auf dieselbe Weise verschlüsselt.
Ich versuche herauszufinden, wie leistungsstark die CPU und der Speicher des Hardware-Routers sein müssen, um uneingeschränkte, verschlüsselte Internetgeschwindigkeiten bereitzustellen.
Es wird nicht viel Speicher benötigt, hauptsächlich nur die CPU. Und es hängt davon ab, ob die CPU über eine Art Hardwarebeschleunigung für die Verschlüsselung verfügt. Auf der Produktwebsite des Herstellers sollten Informationen dazu zu finden sein (z. B.Beispiel), und einige von ihnen veröffentlichen sogar Testergebnisse für gängige Konfigurationen.
Ich habe bei Google nach Informationen zu Single-Board-Computern gesucht, die vermutlich eine ähnliche Leistung haben. Beispielsweise kann der RPi 4 AES mit ~600 Mbit/s verarbeiten, wenn er nichts anderes tut (er verfügt nicht über die AES-Erweiterungen von ARM).
Router verwenden im Allgemeinen andere CPUs als Desktop-Computer, aber ich habe trotzdem einen Benchmark auf mehreren meiner PCs durchgeführt (alle mit verschiedenen Intel x64 CPUs):ohneAES-Beschleunigung kann AES-CBC mit ~1 Gbps verschlüsseln, und diemitHardware-AES (mit Intel AES-NI) kann dasselbe mit ~6 Gbit/s.
es ist unklar, ob sie sich auf eine Situation beziehen, in der der Router als Server fungiert, um ein benutzerdefiniertes VPN-Netzwerk für mein Zuhause zu erstellen – oder ob sie sich auf eine Situation wie meine beziehen, in der ich meine Heimgeräte mit einem Router eines VPN-Dienstanbieters verbinden würde.
Es gibt keinen wirklichen Unterschied zwischen beiden. Wenn ein Ende Daten verschlüsselt, muss das andere Ende sie entschlüsseln und umgekehrt, aber es spielt keine Rolle, ob der Server oder der Client das eine oder das andere tut. (Clients verlagern die „schwere Arbeit“ nicht irgendwie auf den Server – das würde den Sinn der Datenverschlüsselung völlig verfehlen.)
Bei AES-GCM oder AES-CTR ist der Arbeitsaufwand in beide Richtungen ungefähr gleich. Bei AES-CBC kann, wie ich gerade herausgefunden habe, die Entschlüsselung parallel erfolgen, die Verschlüsselung jedoch nicht, sodass die Seite, die die Daten sendet, mehr Arbeit leisten muss als die Seite, die die Daten empfängt.
Mit anderen Worten: Muss ich mir wirklich Gedanken über die Rechenleistung eines erweiterten Routers machen, wenn ich nicht beabsichtige, ein benutzerdefiniertes VPN-Netzwerk zu betreiben?
Ja, das tun Sie immer noch. Die einzige Maßnahme istwie viele Bytes und/oder Pakete pro SekundeSie verarbeiten möchten – dabei spielt es keine Rolle, ob Sie Server oder Client sind.(Einige VPN-Systeme unterscheiden zwischen den beiden Rollen überhaupt nicht.)
Wenn Sie beispielsweise 50 Mbit/s über das VPN planen, benötigen Sie eigentlich nicht viel Leistung, aber wenn Sie 1 Gbit/s erwarten, dann ist eine Art Hardwarebeschleunigung erforderlich.Willenötig sein.
Beachten Sie, dass AES in verschiedenen Betriebsmodi (AES-GCM, AES-CTR, AES-CBC) verwendet wird und nicht alle Hardwarebeschleunigungsfunktionen mit jedem Modus kompatibel sind und nicht alle Modi gleichermaßen beschleunigt werden können. Siehe zum Beispieldieses Intel AES-NI-Dokument.