VPN 서비스 클라이언트의 암호화 의무는 계산적으로 얼마나 부담이 됩니까?

VPN 서비스 제공업체는 AES-NI를 사용합니다.

AES는 암호이고 AES-NI는 이 암호를 가속화하는 Intel CPU 기능입니다. 두 가지를 섞지 마십시오.

클라이언트는 AES-NI를 통해 "하드웨어" AES를 사용하는 서버와 "소프트웨어" AES를 사용하는 서버 간의 차이점을 알 수 없습니다. 두 경우 모두 동일한 알고리즘이 적용되며 데이터는 동일한 방식으로 암호화됩니다.

저는 무제한의 암호화된 인터넷 속도를 제공하기 위해 하드웨어 라우터에 얼마나 강력한 CPU와 메모리가 필요한지 이해하려고 노력하고 있습니다.

많은 양의 메모리가 필요하지 않으며 대부분 CPU만 필요합니다. 그리고 CPU에 암호화에 대한 일종의 하드웨어 가속 기능이 있는지 여부에 따라 다릅니다. 제조업체의 제품 웹사이트에는 이에 대한 정보가 있어야 합니다(예:예), 그 중 일부는 일반적인 구성에 대한 테스트 결과를 게시하기도 합니다.

• 나는 전력면에서 비슷한 단일 보드 컴퓨터에 대한 정보를 검색했습니다. 예를 들어 RPi 4는 다른 작업을 수행하지 않으면 ~600Mbps에서 AES를 처리할 수 있습니다(ARM의 AES 확장이 없음).

• 라우터는 일반적으로 데스크톱 컴퓨터와는 다른 종류의 CPU를 사용하지만 그럼에도 불구하고 내 PC(모두 다양한 종류의 Intel x64 CPU를 탑재함)의 여러 대에 벤치마크를 실행했습니다.없이AES 가속은 ~1Gbps에서 AES-CBC를 암호화할 수 있습니다.~와 함께하드웨어 AES(Intel AES-NI 사용)는 ~6Gbps에서 동일한 작업을 수행할 수 있습니다.

그들이 라우터가 우리 집에 대한 맞춤형 VPN 네트워크를 생성하기 위해 서버 역할을 하는 상황을 언급하고 있는지, 아니면 내 집 장치를 라우터에 연결하는 상황을 언급하고 있는지는 확실하지 않습니다. VPN 서비스 제공업체.

둘 사이에는 실질적인 차이가 없습니다. 한쪽 끝이 데이터를 암호화하면 다른 쪽 끝은 이를 해독해야 하며 그 반대의 경우도 마찬가지입니다. 그러나 서버나 클라이언트가 둘 중 하나를 수행하는지 여부는 중요하지 않습니다. (클라이언트는 어떻게든 "과중한 작업"을 서버에 오프로드하지 않습니다. 그렇게 하면 실제로 처음에 데이터를 암호화하는 지점을 완전히 놓칠 수 있습니다.)

AES-GCM 또는 AES-CTR의 경우 두 가지 방식 모두 거의 동일한 작업량입니다. AES-CBC의 경우 방금 알아낸 대로 복호화는 병렬로 수행할 수 있지만 암호화는 수행할 수 없으므로 데이터를 보내는 쪽이 데이터를 받는 쪽보다 더 많은 작업을 수행해야 합니다.

즉, 사용자 지정 VPN 네트워크를 실행할 의도가 없다면 고급 라우터 컴퓨팅 성능에 정말로 관심을 가져야 합니까?

예, 아직도 그렇습니다. 유일한 조치는초당 바이트 및/또는 패킷 수처리하려고 합니다. 서버인지 클라이언트인지는 중요하지 않습니다.(일부 VPN 시스템은 두 역할을 전혀 구분하지도 않습니다.)

예를 들어, VPN을 통해 50Mbps를 계획하고 있다면 실제로는 많은 전력이 필요하지 않지만, 1Gbps를 기대한다면 일종의 하드웨어 가속이 필요합니다.~ 할 것이다필요하다.

AES는 다양한 작동 모드(AES-GCM, AES-CTR, AES-CBC)를 통해 사용되며 모든 하드웨어 가속 기능이 모든 모드와 호환되는 것은 아니며 모든 모드에서 동일하게 가속이 가능한 것은 아닙니다. 예를 들어 참조이 Intel AES-NI 문서.