SSH 암호 벤치마킹: 네트워크에 가장 빠른 암호화 선택하기

암호화된 전송이 네트워크가 허용하는 속도보다 느릴 때 SSH 암호를 벤치마킹하는 것이 유용합니다. 암호가 항상 병목 현상의 원인은 아니지만, 빠른 링크나 작은 CPU에서는 scp, sftp, 또는 rsync -e ssh가 연결을 포화시킬 수 있는지 결정할 수 있습니다.

올바른 답변은 클라이언트, 서버, CPU 기능, OpenSSH 빌드 및 네트워크 경로에 따라 다릅니다. 기본 설정을 전체적으로 변경하기 전에 자신의 환경에서 테스트하세요.

SSH 암호 및 그 역할 이해

SSH 암호는 SSH 클라이언트와 서버 간에 교환되는 데이터를 암호화하고 복호화하는 데 사용되는 알고리즘입니다. 주요 목표는 통신의 기밀성, 무결성 및 인증을 보장하는 것입니다. SSH 연결을 시작하면 클라이언트와 서버는 둘 다 지원하는 알고리즘 세트(암호, MAC, 키 교환 방법)를 협상하여 궁극적으로 가장 강력하고 선호되는 옵션에 동의합니다. 이 협상 과정은 보안 채널을 설정하는 데 중요합니다.

다른 암호는 서로 다른 수학적 연산을 사용하여 다양한 계산 요구를 초래합니다. 일부 암호는 하드웨어 가속에 최적화되어 특수 CPU 명령어를 활용하는 반면, 다른 암호는 더 넓은 범위의 프로세서에서 소프트웨어에서 효율적으로 작동하도록 설계되었습니다. 따라서 암호 선택은 CPU 사용률과 결과 데이터 전송 속도에 직접적인 영향을 미칩니다.

성능을 위한 주요 최신 SSH 암호

최신 SSH 환경에서는 두 가지 인증 암호화 암호 제품군이 보안과 성능의 뛰어난 균형으로 두드러집니다: AES-GCM 및 ChaCha20-Poly1305. 둘 다 **연관 데이터를 사용한 인증 암호화(AEAD)**를 제공하므로, 데이터를 암호화하고 단일 패스로 무결성 검사를 제공하여 이전의 암호화 후 MAC 방식보다 더 효율적이고 안전합니다.

AES-GCM (고급 암호화 표준 - Galois/카운터 모드)

AES-GCM은 Galois/카운터 모드에서 작동하는 매우 인기 있고 널리 채택된 블록 암호입니다. 강력한 보안을 제공하며 AES에 대한 하드웨어 지원이 있는 시스템에서 특히 빠릅니다. 대부분의 최신 CPU(Intel, AMD 및 점점 더 많은 ARM 프로세서)에는 AES 작업을 극적으로 가속화하는 전용 명령어 세트(x86/x64 아키텍처의 AES-NI 등)가 포함되어 있어 AES-GCM을 매우 효율적으로 만듭니다.

• 장점: 하드웨어 가속 CPU에서 뛰어난 성능, 강력한 보안, 널리 지원됨.
• 단점: 소프트웨어 전용 구현(예: AES-NI가 없는 오래되거나 특수 CPU)에서는 느릴 수 있습니다.

ChaCha20-Poly1305

ChaCha20-Poly1305는 Daniel J. Bernstein이 개발한 스트림 암호입니다. 특정 암호화 하드웨어 가속이 없는 CPU에서도 매우 잘 작동하는 소프트웨어 친화적인 설계로 유명합니다. 따라서 임베디드 시스템, 오래된 프로세서 또는 하드웨어 가속이 일관되게 사용 가능하지 않거나 다른 알고리즘에 최적화되지 않은 환경을 포함한 다양한 하드웨어에 탁월한 선택입니다.

• 장점: 뛰어난 소프트웨어 성능, 강력한 보안, 타이밍 부채널 공격에 강함.
• 단점: 일반적으로 최신 데스크탑/서버 CPU에서 하드웨어 가속 AES-GCM만큼 빠르지 않습니다.

암호 성능에 영향을 미치는 요소

"가장 빠른" 암호는 보편적으로 고정되어 있지 않습니다. 몇 가지 주요 요소에 따라 달라집니다:

1. CPU 아키텍처 및 하드웨어 가속: 이것이 가장 중요한 요소입니다. CPU에 AES-NI 또는 유사한 명령어가 있는 경우 AES-GCM이 거의 확실히 ChaCha20-Poly1305를 능가합니다. 그렇지 않으면 ChaCha20-Poly1305가 선두를 차지할 수 있습니다.
2. SSH 클라이언트 및 서버 구현: SSH 소프트웨어(예: OpenSSH) 및 사용하는 암호화 라이브러리(예: OpenSSL)의 효율성은 실제 성능에 영향을 미칠 수 있습니다. 최신 버전에는 종종 최적화가 포함됩니다.
3. 네트워크 조건: 암호 속도와 직접적인 관련은 없지만, 네트워크 지연 시간과 사용 가능한 대역폭은 암호 성능의 인지된 차이를 가리거나 증폭시킬 수 있습니다. 매우 느린 네트워크에서는 암호화의 CPU 비용이 네트워크 제한에 비해 무시할 수 있습니다. 매우 빠른 네트워크(예: 10Gbps 이상)에서는 CPU 바운드 암호화가 병목 현상이 될 수 있습니다.
4. 데이터 양 및 유형: 다른 데이터 크기(작은 파일 대 큰 파일) 및 유형(압축 가능 대 압축 불가능)으로 벤치마킹하면 다른 성능 특성을 드러낼 수 있습니다. 예를 들어, 매우 작은 전송은 암호 속도보다 연결 설정 오버헤드에 의해 지배될 수 있습니다.

SSH 암호 성능 벤치마킹 방법

벤치마킹은 SSH에 특정 암호를 사용하도록 명시적으로 지시하고 알려진 양의 데이터를 전송하는 데 걸리는 시간을 측정하는 것을 포함합니다. 이를 통해 직접 비교가 가능합니다.

1. 지원되는 암호 식별

시작하기 전에 SSH 클라이언트가 지원하는 암호를 확인하세요:

ssh -Q cipher

그런 다음 자세한 SSH 출력을 사용하여 실제 연결이 협상하는 내용을 확인하세요:

ssh -vvv user@your_server

debug1: kex: server->client cipher: [email protected] MAC: <implicit> compression: none와 유사한 줄을 찾으세요. 서버 정책은 sshd_config의 Ciphers에 의해 제어되지만, 유효한 지원은 클라이언트와 서버 모두에 따라 다릅니다.

2. ssh -c로 암호 지정

ssh 클라이언트는 -c 플래그를 사용하여 원하는 암호를 지정할 수 있습니다. 쉼표로 구분된 목록을 제공할 수 있으며, 클라이언트는 목록에서 첫 번째 지원되는 암호를 사용하려고 시도합니다.

테스트할 일반적인 암호:

• [email protected]
• [email protected]
• [email protected]

3. 전송 방법 및 데이터 소스 선택

일관된 벤치마킹을 위해 알려진 양의 데이터를 전송하는 방법이 필요합니다.

• scp (보안 복사): 파일 전송에 이상적입니다. 암호가 병목 현상인지 확인하기 위해 압축이나 디스크 I/O가 아닌 큰 압축 불가능 파일을 사용하세요.
• sftp (SSH 파일 전송 프로토콜): scp와 유사하며 해당 프로토콜을 선호하는 경우 유용합니다.
• dd (데이터 복제기): SSH를 통해 파이프할 데이터 스트림을 생성할 수 있으며, 클라이언트 측에서 파일 시스템 오버헤드 없이 순수 처리량 테스트에 유용합니다.

실용적인 벤치마킹 단계

클라이언트에서 서버로의 전송을 벤치마킹한다고 가정해 봅시다. 클라이언트(또는 서버)에 의미 있는 측정을 허용할 만큼 충분히 크지만(예: 1GB) 테스트 시간이 너무 오래 걸리지 않을 만큼 크지 않은 테스트 파일이 필요합니다. 압축 불가능한 테스트 파일을 만드는 좋은 방법은 /dev/urandom을 사용하는 것입니다. SSH 압축이 비활성화된 경우에만 /dev/zero를 사용하세요. 모든 0 데이터는 압축률이 높기 때문입니다.

클라이언트에서 (1GB 더미 파일 생성):

pwd=$(pwd)
dd if=/dev/urandom of=$pwd/dummy_1GB.bin bs=1M count=1024 iflag=fullblock

scp로 벤치마킹:

1. AES256-GCM 테스트:

   echo "Testing AES256-GCM..."
   time scp -c [email protected] dummy_1GB.bin user@your_server:/tmp/test_gcm.bin
   

2. ChaCha20-Poly1305 테스트:

   echo "Testing ChaCha20-Poly1305..."
   time scp -c [email protected] dummy_1GB.bin user@your_server:/tmp/test_chacha.bin
   

3. AES128-GCM 테스트 (종종 가장 빠름):

   echo "Testing AES128-GCM..."
   time scp -c [email protected] dummy_1GB.bin user@your_server:/tmp/test_aes128_gcm.bin
   

dd 및 pv로 벤치마킹 (실시간 처리량):

이 방법은 SSH를 통해 데이터를 파이프하고 실시간 속도를 표시하여 디스크 I/O 병목 현상을 줄일 수 있습니다. pv(Pipe Viewer)는 진행 상황 및 처리량 정보를 제공합니다.

pv 설치 (아직 설치되지 않은 경우):

sudo apt-get install pv # Debian/Ubuntu
sudo yum install pv     # RHEL/CentOS
sudo brew install pv    # macOS

1. dd 및 pv로 AES256-GCM 테스트:

   echo "Testing AES256-GCM with dd..."
   dd if=/dev/zero bs=1M count=1024 | pv | ssh -o Compression=no -c [email protected] user@your_server "cat > /dev/null"
   

2. dd 및 pv로 ChaCha20-Poly1305 테스트:

   echo "Testing ChaCha20-Poly1305 with dd..."
   dd if=/dev/zero bs=1M count=1024 | pv | ssh -o Compression=no -c [email protected] user@your_server "cat > /dev/null"
   

팁: 각 테스트를 여러 번(예: 3-5회) 실행하고 평균을 내어 네트워크 변동이나 시스템 부하를 고려하세요.

결과 해석 및 권장 사항

벤치마크를 실행한 후 time 명령 출력의 real 시간 또는 pv가 보고한 평균 처리량을 비교하세요. 다음과 같은 뚜렷한 패턴을 관찰할 수 있습니다:

• AES-NI가 있는 최신 CPU: [email protected] 및 [email protected]이 가장 높은 처리량을 제공할 가능성이 매우 높습니다. AES-128은 라운드 수가 적기 때문에 AES-256보다 약간 더 빠른 경우가 많지만, 하드웨어 가속 시스템에서는 차이가 무시할 수 있습니다.
• 오래된 CPU, ARM(특정 암호화 확장 없음) 또는 가상 머신: ChaCha20-Poly1305는 AES-GCM과 비슷하거나 심지어 능가할 수 있으며, 소프트웨어 최적화 설계가 이러한 시나리오에서 빛을 발합니다.

권장 사항:

• 최신 Intel/AMD CPU(및 AES-NI)가 있는 고성능 서버의 경우: **AES-GCM(특히 [email protected])**을 우선시하세요. 뛰어난 속도와 보안을 위해 하드웨어 가속을 활용합니다.
• 다양한 환경, 오래된 하드웨어, ARM 기반 시스템 또는 소프트웨어 성능을 선호하는 상황의 경우: ChaCha20-Poly1305는 하드웨어별 기능에 의존하지 않고 다양한 아키텍처에서 일관된 고성능으로 강력한 보안을 제공하는 훌륭한 선택입니다.
• 보안 우선: 항상 인증 암호화(AEAD)를 제공하는 암호를 선택하세요. AES-GCM과 ChaCha20-Poly1305는 모두 AEAD 암호이며 강력한 것으로 간주됩니다. 가능하면 aes*-cbc와 같은 오래된 비-AEAD 암호는 피하세요.

기타 SSH 성능 고려 사항

암호 선택이 중요하지만, 더 넓은 성능 그림의 일부임을 기억하세요:

• 압축: SSH는 암호화 전에 데이터를 압축할 수 있습니다(-o Compression=yes 또는 ~/.ssh/config에서 Compression yes). 느린 링크를 통한 압축 가능한 데이터의 경우 약간의 CPU 오버헤드를 추가하더라도 인지된 속도를 크게 향상시킬 수 있습니다. 이미 압축된 데이터나 매우 빠른 링크의 경우 성능을 저하시킬 수 있습니다.
• 연결 다중화: OpenSSH의 ControlMaster와 같은 기능을 사용하면 여러 SSH 세션이 단일 기본 TCP 연결을 재사용하여 후속 연결의 핸드셰이크 오버헤드를 줄일 수 있습니다.
• MTU (최대 전송 단위): 네트워크의 MTU가 최적화되어 조각화를 방지하도록 하세요. 조각화는 성능을 저하시킬 수 있습니다.
• SSH 클라이언트/서버 버전: SSH 클라이언트와 서버 소프트웨어를 최신 상태로 유지하세요. 최신 버전에는 종종 성능 개선 사항과 더 빠른 새 암호에 대한 지원이 포함됩니다.

측정 결과에서 선택하세요

SSH 암호 선택을 최적화하면 암호화가 제한 요소일 때 보안 전송 성능을 향상시킬 수 있습니다. 여러 테스트를 실행하고 압축 및 파일 크기를 일관되게 유지하며 전송 시간뿐만 아니라 CPU 사용량도 비교하세요.

많은 최신 서버의 경우 AES-GCM은 하드웨어 가속 덕분에 잘 작동합니다. 오래된 시스템, 임베디드 하드웨어 및 일부 가상화 환경에서는 ChaCha20-Poly1305가 더 나은 선택일 수 있습니다. 격리하고 문서화할 수 있는 호환성 요구 사항이 없는 한 일반 사용에서 오래된 CBC 암호를 유지하지 마세요.