Si uno se conecta con un software de cliente VPN a un proveedor de servicios VPN (como ExpressVPN, NordVPN, etc.) que usa OpenVPN, y ese servicio está cifrado de extremo a extremo, y el proveedor de servicios VPN usa AES-NI, ¿qué impuestos tiene en términos? ¿Qué tipo de computación suele ser el cifrado que se realiza en el dispositivo cliente, en términos generales?
He considerado comprar un enrutador de hardware (categoría de firewall, sin punto de acceso Wi-Fi) para enrutar mi red doméstica a través de dicho servicio OpenVPN, y estoy tratando de comprender qué potencia de CPU y memoria necesita el enrutador de hardware para proporcionar servicios cifrados sin restricciones. Velocidades de Internet. Algunos de los modelos de enrutadores más caros (por ejemplo, los que usan procesadores Intel i5-i7) afirman que pueden manejar el cifrado AES-NI a altas velocidades, pero no está claro si se refieren a una situación en la que el enrutador actúa como un servidor para crear un red VPN personalizada para mi hogar, o si se refieren a una situación como la mía en la que conectaría mis dispositivos domésticos a un enrutador, a un proveedor de servicios VPN.
En otras palabras: ¿realmente necesito preocuparme por el rendimiento informático avanzado del enrutador, si no tengo la intención de ejecutar una red VPN personalizada?
Respuesta1
y el proveedor de servicios VPN utiliza AES-NI
AES es un cifrado, AES-NI es una característica de la CPU Intel que acelera este cifrado. No mezcles los dos.
Los clientes no pueden distinguir entre un servidor que utiliza AES "hardware" a través de AES-NI y un servidor que utiliza AES "software". En ambos casos se aplica el mismo algoritmo y los datos se cifran de la misma forma.
Estoy tratando de comprender qué potencia de CPU y memoria necesita el enrutador de hardware para proporcionar velocidades de Internet cifradas sin restricciones.
No necesita una gran cantidad de memoria, principalmente sólo CPU. Y depende de si la CPU tiene algún tipo de aceleración de hardware para el cifrado. El sitio web del producto del fabricante debe tener información al respecto (comoejemplo), y algunos de ellos incluso publican resultados de pruebas para configuraciones comunes.
Busqué en Google información sobre computadoras de placa única, que supongo que tienen una potencia similar. Por ejemplo, el RPi 4 puede procesar AES a ~600 Mbps si no hace nada más (no tiene extensiones AES de ARM).
Los enrutadores generalmente usan diferentes tipos de CPU que las computadoras de escritorio, pero aun así realicé una prueba comparativa en varias de mis PC (todas ellas con varios tipos de CPU Intel x64):sinLa aceleración AES puede cifrar AES-CBC a ~1 Gbps, y losconEl hardware AES (usando Intel AES-NI) puede hacer lo mismo a ~6 Gbps.
No está claro si se refieren a una situación en la que el enrutador actúa como un servidor para crear una red VPN personalizada para mi hogar, o si se refieren a una situación como la mía en la que conectaría mis dispositivos domésticos a un enrutador, en un proveedor de servicios VPN.
No existe una diferencia real entre los dos. Si un extremo cifra datos, el otro extremo tiene que descifrarlos, y viceversa, pero no importa si el servidor o el cliente está haciendo una cosa o la otra. (Los clientes de alguna manera no descargan el "trabajo pesado" al servidor; hacerlo, en realidad, perdería por completo el objetivo de cifrar los datos en primer lugar).
Para AES-GCM o AES-CTR es aproximadamente la misma cantidad de trabajo en ambos sentidos. Para AES-CBC, como acabo de descubrir, el descifrado se puede realizar en paralelo pero el cifrado no, por lo que el lado que envía los datos tiene que hacer más trabajo que el lado que los recibe.
En otras palabras: ¿realmente necesito preocuparme por el rendimiento informático avanzado del enrutador, si no tengo la intención de ejecutar una red VPN personalizada?
Sí, todavía lo haces. La única medida es¿Cuántos bytes y/o paquetes por segundo?desea procesar, no importa si es un servidor o un cliente.(Algunos sistemas VPN ni siquiera distinguen los dos roles).
Por ejemplo, si estás planeando 50 Mbps a través de la VPN, realmente no necesitarás mucha energía, pero si esperas 1 Gbps, entonces algún tipo de aceleración de hardware.voluntadser necesario.
Tenga en cuenta que AES se utiliza a través de varios modos de operación (AES-GCM, AES-CTR, AES-CBC) y no todas las funciones de aceleración de hardware son compatibles con todos los modos, y no todos los modos son igualmente posibles de acelerar. ver por ejemploeste documento Intel AES-NI.