Какой шифр следует использовать с OpenVPN с точки зрения производительности и безопасности?
В соответствии сhttp://openvpn.net/index.php/open-source/documentation/howto.html#security, по умолчанию используется Blowfish, а рекомендация/пример — использовать AES-256-CBC из-за большего размера ключа. Является ли 256-битный AES лучшей практикой?
решение1
AES-256-CBC, вероятно, "лучший". Однако AES-128-CBC примерно в 2 раза быстрее, по крайней мере, согласно openssl, и отлично подходит для всего, кроме трафика с самой высокой безопасностью. OpenVPN довольно эффективен, поэтому мой опыт показывает, что оба работают очень хорошо.
решение2
Для шифра TLS можно выбрать хороший 256-битный шифр, и он не будет сильно замедлять работу, поскольку канал TLS является только каналом управления и не передает много данных по сравнению с основным каналом.