5 Sovrapposizione tra TLS e IPsec

Tabella 6.7: Prestazioni TLS con 3DES e SHA1 sopra IPsec (tunnel ESP con 3DES e SHA1) a 10 Mbit/s

Test	$X$ [KB/s]	$U_{CPU}$ [%]	$D_{CPU}$ [ $\ensuremath{µ}$ s/KB]
chiaro	888,30	3,52	39,616
cifratura+autenticazione	822,88	66,25	805,132
solo autenticazione	825,84	43,61	528,117

Per quanto riguarda il carico di rete, si conferma il bassissimo impatto di TLS da questo punto di vista, infatti il throughput è sostanzialmente quello di IPsec. Per quanto riguarda il carico sul processore i risultati ottenuti indicano che le domande di servizio dei due protocolli si sommano: se infatti si aggiunge alla domanda di servizio di IPsec quella di TLS e si sottrae quella della connessione in chiaro (che altrimenti verrebbe contata due volte) si ottengono i risultati qui osservati. Infatti per una connessione TLS cifrata e autenticata si può calcolare $D_{CPU} \simeq 490,\!7 + 353,\!1 - 39,\!6 = 804,\!2$ KB/s (con un dato sperimentale pari a $805,\!1$ KB/s), mentre per una connessione TLS solo autenticata si può calcolare $D_{CPU} \simeq 490,\!7 + 73,\!3 - 39,\!6 = 524,\!4$ KB/s (con un dato sperimentale pari a $528,\!1$ KB/s).

Un'altra conferma che viene da questi dati è il bassissimo overhead (sia sulla rete che sul processore) causato da una connessione TLS non cifrata, anche quando questa si trova sopra ad una connessione IPsec. Questo risultato è interessante perché mostra che dal punto di vista prestazionale non ci sono controindicazioni o ``effetti collaterali'' nell'uso congiunto dei due protocolli. Si può quindi ipotizzare uno scenario di questo tipo: è possibile utilizzare una connessione IPsec end-to-end e sopra di essa un'autenticazione TLS. In questo modo si può sfruttare una connessione IPsec esistente (o si può instaurare appositamente, per sfruttare i vantaggi di IPsec), utilizzando al di sopra di essa l'autenticazione di TLS, tramite la quale è attualmente più semplice autenticare l'applicazione oppure l'utente anziché la macchina.