Если вы подключаетесь с помощью клиентского программного обеспечения VPN к поставщику услуг VPN (например, ExpressVPN, NordVPN и т. д.), который использует OpenVPN, и этот сервис имеет сквозное шифрование, а поставщик услуг VPN использует AES-NI, насколько обременительным с точки зрения вычислений обычно является шифрование, выполняемое на клиентском устройстве, грубо говоря?
Я рассматривал возможность покупки аппаратного маршрутизатора (категория межсетевого экрана, без точки доступа Wi-Fi) для маршрутизации моей домашней сети через такую службу OpenVPN, и я пытаюсь понять, насколько мощный процессор и память нужны аппаратному маршрутизатору, чтобы обеспечить неограниченную зашифрованную скорость Интернета. Некоторые из более дорогих моделей маршрутизаторов (например, использующие процессоры Intel i5–i7) рекламируют возможность обработки шифрования AES-NI на высоких скоростях, но неясно, относятся ли они к ситуации, когда маршрутизатор действует как сервер для создания настраиваемой сети VPN для моего дома, или они относятся к ситуации, такой как моя, когда я подключаю свои домашние устройства к маршрутизатору, к поставщику услуг VPN.
Другими словами: действительно ли мне нужно беспокоиться о производительности расширенных вычислений маршрутизатора, если я не собираюсь запускать собственную сеть VPN?
решение1
а поставщик услуг VPN использует AES-NI
AES — это шифр, AES-NI — это функция процессора Intel, которая ускоряет этот шифр. Не путайте эти два понятия.
Клиенты не могут отличить сервер, который использует "аппаратный" AES через AES-NI, от сервера, который использует "программный" AES. В обоих случаях применяется один и тот же алгоритм, и данные шифруются одинаково.
Я пытаюсь понять, насколько мощный процессор и память нужны аппаратному маршрутизатору, чтобы обеспечить неограниченную скорость зашифрованного Интернета.
Ему не нужен большой объем памяти, в основном только CPU. И это зависит от того, имеет ли CPU какое-либо аппаратное ускорение для шифра. На сайте производителя продукта должна быть информация об этом (например,пример), а некоторые из них даже публикуют результаты испытаний для распространенных конфигураций.
Я поискал в Google информацию об одноплатных компьютерах, которые, как я полагаю, схожи по мощности. Например, RPi 4 может обрабатывать AES на скорости ~600 Мбит/с, если он не делает ничего другого (у него нет расширений AES от ARM).
Маршрутизаторы обычно используют другие типы процессоров, чем настольные компьютеры, но тем не менее я провел тест производительности на нескольких своих ПК (все они имели различные типы процессоров Intel x64):безУскорение AES может шифровать AES-CBC со скоростью ~1 Гбит/с, и те,сАппаратный AES (с использованием Intel AES-NI) может делать то же самое со скоростью ~6 Гбит/с.
неясно, имеют ли они в виду ситуацию, когда маршрутизатор действует как сервер для создания настраиваемой VPN-сети для моего дома, или же они имеют в виду ситуацию, подобную моей, когда я подключаю свои домашние устройства к маршрутизатору, подключенному к поставщику услуг VPN.
Между ними нет никакой реальной разницы. Если один конец шифрует данные, другой конец должен их расшифровать, и наоборот, но неважно, делает ли это сервер или клиент. (Клиенты каким-то образом не перекладывают «тяжелую работу» на сервер — это фактически полностью упускало бы из виду сам смысл шифрования данных в первую очередь.)
Для AES-GCM или AES-CTR это примерно одинаковый объем работы в обоих направлениях. Для AES-CBC, как я только что узнал, расшифровка может выполняться параллельно, а шифрование — нет, поэтому сторона, отправляющая данные, должна выполнить больше работы, чем сторона, получающая данные.
Другими словами: действительно ли мне нужно беспокоиться о производительности расширенных вычислений маршрутизатора, если я не собираюсь запускать собственную сеть VPN?
Да, вы все еще делаете это. Единственная мера —сколько байт и/или пакетов в секундувы собираетесь обрабатывать — неважно, являетесь ли вы сервером или клиентом.(Некоторые системы VPN вообще не различают эти две роли.)
Например, если вы планируете скорость 50 Мбит/с через VPN, вам вообще не понадобится много энергии, но если вы ожидаете 1 Гбит/с, то вам понадобится какое-то аппаратное ускорение.волябыть необходимым.
Обратите внимание, что AES используется в различных режимах работы (AES-GCM, AES-CTR, AES-CBC) и не все функции аппаратного ускорения совместимы с каждым режимом, и не все режимы одинаково возможны для ускорения. См. напримерэтот документ Intel AES-NI.