La sicurezza è una delle cose più importanti da considerare quando sei online. Più le tue comunicazioni online sono protette con la crittografia, meglio è. La crittografia dei dati ha rallentato la velocità di elaborazione in passato, che è migliorata con le moderne CPU. Ma possiamo fare di più. OpenVPN ha appena introdotto un nuovo sviluppo che aumenterà la velocità per i suoi utenti esaurendo lo spazio del kernel:OpenVPN Data Channel Offload (DCO).
Cos'è lo spazio del kernel?
Il kernel è ciò che viene caricato all'accensione del computer (indipendentemente dal sistema operativo). È lo strato di base per tutti gli altri strati. L'hardware costituisce la base, lo spazio del kernel in più, seguito dallo spazio utente. In cima ci sono i programmi che usi. Più in alto in un livello, più sei lontano dall'hardware e più lento è l'esecuzione del tuo programma. Quindi, quando pensi alla crittografia dei dati, può essere una sfida. Lo scambio di dati tra questi due livelli costa la potenza di elaborazione, il che introduce un collo di bottiglia per la velocità di OpenVPN.
Per una VPN per lo spazio utente, come OpenVPN, l'overhead di crittografia e i cambi di contesto limitano le velocità. Con le moderne CPU, il sovraccarico di crittografia è migliorato grazie a estensioni come Intel AES-NI, che a sua volta migliora le velocità per gli utenti OpenVPN. Ma l'overhead con i cambi di contesto deve ancora essere affrontato. Poiché le velocità di Internet personali e aziendali aumentano e le applicazioni utilizzano più larghezza di banda, gli utenti si aspettano velocità elevate con le comunicazioni online. Pertanto, l'impatto di questo sovraccarico è diventato più evidente.
Ribaltando la saggezza convenzionale:OpenVPN DCO
Ora abbiamo OpenVPN Data Channel Offload, o ovpn-dco. OpenVPN DCO implementa il modulo del kernel Linux che gestisce il canale dati OpenVPN. OpenVPN non invia più il traffico dati tra l'utente e lo spazio del kernel per l'instradamento e la crittografia/decrittografia. Le operazioni sui payload avvengono nel kernel Linux ottimizzando le prestazioni. Ciò elimina la latenza e il costo del trasferimento del carico utile tra l'utente e lo spazio del kernel.
Inoltre, la crittografia ora è multi-thread. Il multithreading è il processo di suddivisione di attività o lavori in unità più piccole e di assegnazione a CPU diverse. Cosa significa per l'utente finale? Il trasferimento dei dati avviene molto più velocemente.
James Yonan, CTO di OpenVPN, parla dell'importanza dell'offload:"L'offload è davvero il Santo Graal sia della sicurezza che delle prestazioni perché ci consente di abbracciare protocolli standard del settore come SSL/TLS, ma scaricando l'elaborazione dei pacchetti nello spazio del kernel o hardware, possiamo spingere le prestazioni ai limiti della velocità del cavo."
OpenVPN DCO incorpora l'intero canale dati OpenVPN nel modulo del kernel mantenendo il canale di controllo all'esterno del kernel, continuando a utilizzare i protocolli SSL/TLS standard, incluso il supporto per le funzionalità TLS 1.3.
Test della velocità
Per darti un'idea del miglioramento della velocità, ecco i risultati dei test con la versione di sviluppo dco OpenVPN 2.6 in tre diverse configurazioni:
I numeri delle prestazioni seguenti sono i risultati dei test iperf3 condotti su un sistema AMD ThreadRipper 3970x che esegue Hyper-V come hypervisor con guest Linux e Windows. L'algoritmo di cifratura utilizzato è AES-256-GCM.
Disponibilità DCO OpenVPN
OpenVPN Cloud, la nostra VPN di nuova generazione, ha già lanciato DCO in produzione, dove stiamo assistendo a miglioramenti delle prestazioni dell'ordine di grandezza sul lato server e ci aspettiamo di vedere guadagni simili nel client quando ovpn-dco si diffonderà sul lato client.
Questo sviluppo è incredibilmente eccitante, perché eliminare questo famigerato collo di bottiglia non è un ambizioso obiettivo futuro a lungo termine, ma sta già accadendo.
- Il client Linux OpenVPN3 è disponibile in versione beta.
- ovpn-dco-win è attualmente disponibile come anteprima tecnica e sarà ufficialmente disponibile come parte della versione 2.6 nel quarto trimestre del 2021.
- Il server Linux OpenVPN accoppiato al modulo DCO raggiunge velocità davvero impressionanti. L'anteprima tecnica è disponibile in questo momento con gli sviluppatori che stanno lavorando alla versione generale.
OpenVPN Inc. crede nell'open source e lo sostiene pienamente. Gli sviluppatori che lavorano su OpenVPN3 e OpenVPN Cloud prenderanno queste nuove straordinarie funzionalità e le restituiranno alla comunità. Rilasceremo OpenVPN 2.6.0 nel quarto trimestre di quest'anno, con supporto DCO incluso. Finché utilizzi una build di sviluppo OpenVPN 2.6, potrai godere di un notevole miglioramento nella velocità di trasferimento dei dati installando il modulo DCO open source su piattaforme Windows o Linux. In una versione futura incorporeremo anche il modulo DCO per Windows in OpenVPN Connect v3; in questo modo, tutti gli utenti Windows possono beneficiare di questa maggiore velocità. OpenVPN Access Server beneficerà anche del modulo DCO per Linux, quando introdurremo questa funzionalità in una versione futura di OpenVPN Access Server.