La sécurité est l'une des choses les plus importantes à prendre en compte lorsque vous êtes en ligne. Plus vos communications en ligne sont sécurisées par cryptage, mieux c'est. Le cryptage des données a ralenti les vitesses de calcul dans le passé, ce qui s'est amélioré avec les processeurs modernes. Mais nous pouvons faire plus. OpenVPN vient d'introduire un nouveau développement qui augmentera la vitesse pour ses utilisateurs en manquant d'espace dans le noyau :OpenVPN Data Channel Offload (DCO).
Qu'est-ce que l'espace noyau ?
Le noyau est ce qui se charge lorsque vous allumez votre ordinateur (quel que soit le système d'exploitation). C'est la couche de base pour toutes les autres couches. Le matériel constitue la base, l'espace noyau en plus de cela, suivi de l'espace utilisateur. Tout en haut se trouvent les programmes que vous utilisez. Plus vous êtes haut dans une couche, plus vous êtes éloigné du matériel et plus votre programme s'exécute lentement. Ainsi, lorsque vous pensez au chiffrement des données, cela peut être un défi. L'échange de données entre ces deux couches coûte de la puissance de traitement, ce qui introduit un goulot d'étranglement pour la vitesse d'OpenVPN.
Pour un VPN en espace utilisateur, comme OpenVPN, la surcharge de chiffrement et les changements de contexte limitent les vitesses. Avec les processeurs modernes, la surcharge de chiffrement s'est améliorée grâce à des extensions comme Intel AES-NI, qui à son tour améliore les vitesses pour les utilisateurs d'OpenVPN. Mais la surcharge avec les changements de contexte doit encore être traitée. À mesure que les vitesses Internet personnelles et professionnelles augmentent et que les applications utilisent plus de bande passante, les utilisateurs s'attendent à des vitesses rapides avec les communications en ligne. Ainsi, l'impact de ces frais généraux est devenu plus perceptible.
Retourner la sagesse conventionnelle :OpenVPN DCO
Nous avons maintenant OpenVPN Data Channel Offload, ou ovpn-dco. OpenVPN DCO implémente le module du noyau Linux qui gère le canal de données OpenVPN. OpenVPN n'envoie plus de trafic de données entre l'utilisateur et l'espace du noyau pour le routage et le chiffrement/déchiffrement. Les opérations sur les charges utiles ont lieu dans le noyau Linux pour optimiser les performances. Cela réduit la latence et le coût du transfert de charge utile entre l'utilisateur et l'espace du noyau.
En plus de cela, le cryptage est maintenant multi-thread. Le multi-threading est le processus de division des tâches ou des travaux en unités plus petites et de leur affectation à différents processeurs. Qu'est-ce que cela signifie pour l'utilisateur final ? Le transfert de données est beaucoup plus rapide.
James Yonan, CTO d'OpenVPN, parle de l'importance du déchargement :"Le déchargement est vraiment le Saint Graal de la sécurité et des performances, car il nous permet d'adopter les protocoles standard de l'industrie tels que SSL/TLS, mais en déchargeant le traitement des paquets vers l'espace du noyau ou matériel, nous pouvons repousser les performances jusqu'aux limites de la vitesse du fil.”
Le DCO OpenVPN intègre l'intégralité du canal de données OpenVPN dans le module du noyau tout en gardant le canal de contrôle en dehors du noyau, en continuant à utiliser les protocoles SSL/TLS standard, y compris la prise en charge des fonctionnalités TLS 1.3.
Tester la vitesse
Pour vous donner une idée de l'amélioration de la vitesse, voici les résultats des tests avec la version de développement OpenVPN 2.6 dco dans trois configurations différentes :
Les chiffres de performance ci-dessous sont les résultats des tests iperf3 effectués sur un système AMD ThreadRipper 3970x exécutant Hyper-V en tant qu'hyperviseur avec des invités Linux et Windows. L'algorithme de chiffrement utilisé est AES-256-GCM.
Disponibilité OpenVPN DCO
OpenVPN Cloud, notre VPN de nouvelle génération, a déjà lancé DCO en production, où nous constatons des gains de performances d'un ordre de grandeur côté serveur et nous nous attendons à voir des gains similaires du côté client lorsque ovpn-dco se généralisera côté client.
Ce développement est incroyablement excitant, car l'élimination de ce goulot d'étranglement notoire n'est pas un objectif ambitieux à long terme :c'est déjà en cours.
- Le client Linux OpenVPN3 est disponible en version bêta.
- ovpn-dco-win est actuellement disponible en tant qu'aperçu technique et sera officiellement disponible dans le cadre de la version 2.6 au quatrième trimestre 2021.
- Le serveur Linux OpenVPN associé au module DCO atteint des vitesses vraiment impressionnantes. L'aperçu technique est sorti et les développeurs travaillent actuellement sur la version large.
OpenVPN Inc. croit en l'open source et le soutient pleinement. Les développeurs travaillant sur OpenVPN3 et OpenVPN Cloud prendront ces nouvelles capacités impressionnantes et les restitueront à la communauté. Nous publierons OpenVPN 2.6.0 au quatrième trimestre de cette année, avec le support DCO inclus. Tant que vous utilisez une version de développement OpenVPN 2.6, vous pourrez profiter d'une grande amélioration de la vitesse de transfert de données lorsque vous installez le module open source DCO sur les plates-formes Windows ou Linux. Nous intégrerons également le module DCO pour Windows dans OpenVPN Connect v3 dans une future version; de cette façon, tous les utilisateurs de Windows peuvent bénéficier de cette vitesse accrue. OpenVPN Access Server bénéficiera également du module DCO pour Linux, lorsque nous introduirons cette fonctionnalité dans une future version d'OpenVPN Access Server.