এসএসএল কতটা ওভারহেড চাপিয়ে দেয়?

168

আমি জানি যে কোনও একক হার্ড-ও-দ্রুত উত্তর নেই, তবে এসএসএল এনক্রিপশন ওভারহেড বনাম এনক্রিপ্ট করা সকেট যোগাযোগের জন্য জেনেরিক অর্ডার অফ-মাত্রার প্রাক্কলনের সান্নিধ্য আছে? আমি কেবল কম প্রক্রিয়াকরণ এবং তারের সময় সম্পর্কে কথা বলছি, অ্যাপ্লিকেশন-স্তর প্রক্রিয়া গণনা করছি না।

হালনাগাদ

নেই HTTPS দ্বারা বনাম HTTP- র সম্পর্কে একটি প্রশ্ন , কিন্তু আমি স্ট্যাক কম খুঁজছেন সম্পর্কে আগ্রহী।

(আমি এড়ানোর বিভ্রান্তির ফ্রেজ "মাত্রার অর্ডার" প্রতিস্থাপিত আমি অনানুষ্ঠানিক অপভাষা যেমন ব্যবহার করছিলেন বরং আনুষ্ঠানিক CompSci অর্থে চেয়ে অবশ্যই যদি আমি। করেছিলেন এটা আনুষ্ঠানিকভাবে বোঝানো, একটি সত্য গুরু হিসাবে আমি চিন্তা বাইনারি হয়েছে বদলে যেত দশমিক !;-)

হালনাগাদ

মন্তব্যে প্রতি অনুরোধ অনুসারে, ধরে নিন আমরা স্থির সংযোগের উপর ভাল মাপের বার্তাগুলির (1k-10k এর পরিসীমা) কথা বলছি। সুতরাং সংযোগ সেট আপ এবং প্যাকেট ওভারহেড উল্লেখযোগ্য সমস্যা নয়।

performance  sockets  ssl  overhead 
joel.neely
সূত্র
আপনি এই অনুরূপ প্রশ্নটি একবার দেখে নিতে পারেন ।
দারিন দিমিত্রভ
1
আপনি কি নিজের অ্যাপ্লিকেশনটিকে আরও কিছুটা বৈশিষ্ট্যযুক্ত করতে পারেন? উদাহরণস্বরূপ, এটি কি স্বল্প-কালীন সংযোগ স্থাপন করে? সংযুক্ত থাকাকালীন, একটি পৃথক বার্তা কত বড় হতে থাকে? (উদাহরণস্বরূপ, আপনি কোনও এসএসএল টানেলের উপরে টেলনেটের সাথে প্রতিটি কী প্রেসটি ফ্লাশ করছেন, বা আপনি 1 টিবি লগ ফাইল অনুলিপি করছেন।)
ইরিকসন

উত্তর:

178

মাত্রার ক্রম: শূন্য।

অন্য কথায়, আপনি যখন টিএলএস যুক্ত করবেন তখন আপনি আপনার থ্রুপুটটি অর্ধেক অংশে কাটা বা এটির মতো দেখতে পাবেন না। "সদৃশ" প্রশ্নের উত্তরগুলি অ্যাপ্লিকেশন কর্মক্ষমতা এবং কীভাবে এটি SSL ওভারহেডের সাথে তুলনা করে তার উপর ফোকাস দেয়। এই প্রশ্নটি বিশেষত অ্যাপ্লিকেশন প্রক্রিয়াজাতকরণ বাদ দেয় এবং নন-এসএসএলকে কেবল এসএসএলের সাথে তুলনা করার চেষ্টা করে। অপ্টিমাইজ করার সময় কর্মক্ষমতা সম্পর্কে বিশ্বব্যাপী দৃষ্টিভঙ্গি বুদ্ধিমান হওয়ার পরেও, এই প্রশ্নটি এটিই জিজ্ঞাসা করছে না।

এসএসএলের প্রধান ওভারহেড হ্যান্ডশেক। ব্যয়বহুল অ্যাসিম্যাট্রিক ক্রিপ্টোগ্রাফিটি সেখানে ঘটে। আলোচনার পরে, তুলনামূলকভাবে দক্ষ প্রতিসম সাইফার ব্যবহার করা হয়। এ কারণেই এটি আপনার এইচটিটিপিএস পরিষেবাদির জন্য এসএসএল সেশনগুলি সক্ষম করতে খুব সহায়ক হতে পারে, যেখানে অনেকগুলি সংযোগ তৈরি করা হয়। দীর্ঘস্থায়ী সংযোগের জন্য, এই "শেষ-প্রভাব" তাত্পর্যপূর্ণ নয় এবং সেশনগুলি তেমন কার্যকর নয় useful

এখানে একটি আকর্ষণীয় উপাখ্যান। গুগল যখন এইচটিটিপিএস ব্যবহার করতে জিমেইল পরিবর্তন করেছে, তখন কোনও অতিরিক্ত সংস্থান প্রয়োজন হয়নি; কোনও নেটওয়ার্ক হার্ডওয়্যার নেই, কোনও নতুন হোস্ট নেই। এটি কেবল সিপিইউ লোডকে প্রায় 1% বাড়িয়েছে।

এরিকসন
সূত্র
6
আপনি কীভাবে "আপনার এইচটিটিপিএস পরিষেবার জন্য এসএসএল সেশনগুলি সক্ষম করবেন"? এটি সম্পর্কে জানতে একটি ভাল সংস্থান কী?
জাস্টিন ভিনসেন্ট
1
এসএসএল সেশনগুলি সক্ষম করা সার্ভার-নির্দিষ্ট। আপনার সার্ভারের জন্য ম্যানুয়াল পড়ুন।
ইরিকসন
7
@ বার্ট ভ্যান হিউকেলোম - বাঁচা রাখার ফলে একটি সকেট (এবং এসএসএল সংযোগ) দীর্ঘ সময়ের জন্য উন্মুক্ত রাখতে সহায়তা করবে যা সাহায্য করে। তবে এসএসএল সেশনগুলি আলোচনার মাধ্যমে ক্রিপ্টোগ্রাফিক প্যারামিটারকে সকেট থেকে সকেটে "স্মরণ" করা হয়। সুতরাং এইচটিটিপি-র লাইভ-লাইভ তার রেফারেন্সযুক্ত সামগ্রী সহ একটি ওয়েব পৃষ্ঠা লোড করার জন্য দরকারী হবে তবে কয়েক সেকেন্ড পরে, এই সংযোগটি বন্ধ হয়ে যাবে। তিন মিনিট পরে, বলুন, যখন অন্য পৃষ্ঠাটি আনয়ন করা হয়, কোনও এসএসএল অধিবেশন সম্পূর্ণ হ্যান্ডশেকটি পুনরাবৃত্তি না করে SSL সংযোগটি পুনরায় প্রতিষ্ঠিত করার অনুমতি দেয়। বিশেষত, পাবলিক কী ক্রিপ্টো সহ ধীর কী এক্সচেঞ্জ এড়ানো যায়।
এরিকসন
2
@ টনিতে কি এমন কোনও বাস্তব বিশ্বের উদাহরণ রয়েছে যেখানে টিএলএস কয়েক শতাংশের বেশি ওভারহেড যুক্ত করে? আমার উত্তরটি প্রশ্নের মতোই সাধারণ। আপনার যদি অন্যরকম গ্রহণ থাকে তবে দয়া করে এটি ভাগ করুন।
এরিকসন
3
@ টনি আমি একবারে একক বাইট লেখার সময় স্পেসের দিক থেকে স্পেনের দিক থেকে এসএসএল সকেটকে ৪২ এর চেয়ে বেশি পারফর্ম করে দেখলাম, যা সবচেয়ে খারাপ পরিস্থিতি। 250x কখনও দেখেনি। আমি ইন্টারনেটে 1700 ডেটা পয়েন্ট সহ একটি বিস্তৃত পরীক্ষা করেছি যেখানে সাধারণ ফলাফল ছিল যে প্লেটেক্সট সকেটগুলি এসএসএলের চেয়ে তিন গুণ বেশি দ্রুত ছিল না, প্রোগ্রামিং ব্যবহার করে বাফারিং এবং ফ্লাশিংয়ের চেয়ে বেশি পরিশীলিত ছিল না। জেএসএসই, সম্ভবত জাভা 5 পরীক্ষার তারিখ দিয়েছে।
লার্নের মারকুইস
39

আমি দ্বিতীয় @ এরিকসন: খাঁটি তথ্য-স্থানান্তর গতির জরিমানা নগণ্য l আধুনিক সিপিইউগুলি কয়েকশ এমবিবিট / এসের একটি ক্রিপ্টো / এইএস থ্রুটপুট পৌঁছে reach সুতরাং আপনি যদি রিসোর্স সীমাবদ্ধ সিস্টেমে না থাকেন (মোবাইল ফোন) টিএলএস / এসএসএল চারপাশের ডেটা স্লিং করার জন্য যথেষ্ট দ্রুত is

তবে মনে রাখবেন যে এনক্রিপশনটি ক্যাশিং এবং লোড ভারসাম্যকে আরও শক্ত করে তোলে। এটি একটি বিশাল কর্মক্ষমতা জরিমানার ফলস্বরূপ।

তবে সংযোগ সেটআপটি সত্যই অনেক অ্যাপ্লিকেশনের শো স্টপার। কম ব্যান্ডউইথ, উচ্চ প্যাকেট ক্ষতি, উচ্চ ল্যাটেন্সি সংযোগ (গ্রামাঞ্চলে মোবাইল ডিভাইস) টিএলএস দ্বারা প্রয়োজনীয় অতিরিক্ত রাউন্ডট্রিপগুলি অযোগ্য কিছুতে ধীর কিছু দিতে পারে।

উদাহরণস্বরূপ আমাদের কিছু অভ্যন্তরীণ ওয়েব অ্যাপ্লিকেশন অ্যাক্সেসের জন্য আমাদের এনক্রিপশন প্রয়োজনীয়তাটি ফেলে দিতে হয়েছিল - চীন থেকে যদি ব্যবহারযোগ্য না হয় তবে তারা যেখানে থাকে।

সর্বোচ্চ
সূত্র
20
৪ বছরের আড়ালদৃষ্টি সহ: চীন সম্ভবত ইচ্ছাকৃতভাবে সমস্ত এসএসএল / টিএলএস ট্র্যাফিক গুছিয়েছে।
সর্বাধিক
3
চীনের ইন্টারনেট সেন্সর করা এবং সবার ট্র্যাফিক স্নিগ্ধ করার চেষ্টা করা ঠিক খবর নয়। যদিও 4 বছরের অন্তর্দৃষ্টি থাকলেও আপনি ভাবেন যে এটি আপনার সাইটে যাওয়ার পথে এনএসএ এমআইটিএমিং ছিল।
ইউজিন বেরেসভস্কি
ফ্লেকি সংযোগগুলির মূলটি হ'ল একবার এনক্রিপশন সেট আপ করা এবং তারপরে সত্যই প্রয়োজন না হলে পুনরায় উদ্বোধন এড়ানো এবং উভয় পক্ষকে কোনও সময় চোখের পাতা ছাড়াই কোনও সময় তাদের আইপি ঠিকানাগুলি পরিবর্তন করার অনুমতি দেওয়া। (ওপেনভিপিএন এটি সমর্থন করে)) আইটিটি বিভাজনকে সম্ভব করে তুলতে সহায়তা করে, কারণ এমটিইউ খুব বিশ্বাসযোগ্য এবং নিখরচায় অসৎ হতে পারে।
Evi1M4chine
12

ধরে নিই যে আপনি সংযোগ সেট-আপ গণনা করছেন না (যেমনটি আপনি আপনার আপডেটে নির্দেশ করেছেন), এটি দৃ strongly়ভাবে নির্বাচিত সিফারের উপর নির্ভর করে। নেটওয়ার্ক ওভারহেড (ব্যান্ডউইথের নিরিখে) নগন্য হবে। সিপিইউ ওভারহেড ক্রিপ্টোগ্রাফি দ্বারা প্রাধান্য পাবে। আমার মোবাইল কোর আই 5 এ, আমি একক কোরতে আরসি 4 দিয়ে প্রতি সেকেন্ডে 250 এমবি এনক্রিপ্ট করতে পারি। (আরসি 4 এটিই আপনার সর্বাধিক পারফরম্যান্সের জন্য চয়ন করা উচিত)) এইএস ধীরে ধীরে, প্রায় 50 এমবি / সেকেন্ডের জন্য "কেবল" সরবরাহ করে। সুতরাং, আপনি যদি সঠিক সিফারগুলি চয়ন করেন তবে আপনি সম্পূর্ণরূপে ব্যবহৃত 1 জিবিট লাইন থাকলেও আপনি কোনও একক বর্তমান কোরকে ক্রিপ্টো ওভারহেডে ব্যস্ত রাখতে পারবেন না। [ সম্পাদনা করুন : আরসি 4 ব্যবহার করা উচিত নয় কারণ এটি আর সুরক্ষিত নয়। তবে, এইএস হার্ডওয়্যার সমর্থন এখন অনেকগুলি সিপিইউতে উপস্থিত রয়েছে, যা এআইএস এনক্রিপশনটিকে এই জাতীয় প্ল্যাটফর্মে সত্যিই দ্রুত করে তোলে]]

সংযোগ স্থাপনা অবশ্য আলাদা। বাস্তবায়নের উপর নির্ভর করে (যেমন টিএলএস মিথ্যা শুরুর জন্য সমর্থন), এটি রাউন্ড-ট্রিপ যুক্ত করবে, যা লক্ষণীয় বিলম্বের কারণ হতে পারে। অতিরিক্তভাবে, ব্যয়বহুল ক্রিপ্টো প্রথম সংযোগ স্থাপনায় স্থান গ্রহণ করে (উপরে বর্ণিত সিপিইউ কেবলমাত্র প্রতি সেকেন্ডে 14 টি সংযোগ গ্রহণ করতে পারে যদি আপনি বেকুবভাবে 4096-বিট কীগুলি ব্যবহার করেন এবং যদি আপনি 2048-বিট কী ব্যবহার করেন তবে 100। পরবর্তী সংযোগগুলিতে, ব্যয়বহুল ক্রিপ্টো এড়িয়ে পূর্ববর্তী সেশনগুলি প্রায়শই পুনরায় ব্যবহৃত হয়।

সুতরাং, সংক্ষেপে বলা:

প্রতিষ্ঠিত সংযোগ স্থানান্তর:

  • বিলম্ব: প্রায় কিছুই না
  • সিপিইউ: নগণ্য
  • ব্যান্ডউইথ: নগণ্য

প্রথম সংযোগ স্থাপনা:

  • বিলম্ব: অতিরিক্ত রাউন্ড-ট্রিপস
  • ব্যান্ডউইথ: কয়েকটি কিলোবাইট (শংসাপত্র)
  • ক্লায়েন্টের সিপিইউ: মাঝারি
  • সার্ভারে সিপিইউ: উচ্চ

পরবর্তী সংযোগ স্থাপনাগুলি:

  • বিলম্ব: অতিরিক্ত রাউন্ড-ট্রিপ (এক বা একাধিক, বাস্তবায়ন-নির্ভর হতে পারে তা নিশ্চিত নয়)
  • ব্যান্ডউইথ: নগণ্য
  • সিপিইউ: প্রায় কিছুই নেই
জান শিজ্জ্বল
সূত্র
গুরুত্বপূর্ণ দ্রষ্টব্য: আর কারও আর আর 4 ব্যবহার করা উচিত নয়। প্রোটোকল মুসকে ভাঙ্গা হিসাবে বিবেচনা করা হবে এবং এটির সাথে আরসি 4 সংক্রমণ গুপ্তচর সংগঠনগুলির সুরক্ষার জন্য খুব কমপক্ষে আন-এনক্রিপ্টড ট্রান্সমিশনের সমতুল্য হিসাবে দেখা উচিত। আজকাল, এই জাতীয় সংস্থাগুলি থেকে স্বতন্ত্র হওয়ার কারণে বাল্ক এনক্রিপশনের জন্য chacha20-poly1305 এর মতো কিছু দৃ strongly়ভাবে সুপারিশ করা হয়।
Evi1M4chine
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.