doc/noncediff.texi

   1 @node Nonce difference
   2 @section Nonce difference
   3
   4 GoVPN prevents replay attacks by remembering the last used nonce in
   5 messages from the remote peer. All incoming messages must have higher
   6 nonce number (technically it is counter), otherwise they are dropped.
   7
   8 Because of UDP nature that does not guarantee packet ordering during
   9 transmission, GoVPN will drop valid non-replayed UDP packets. That leads
  10 to performance decrease.
  11
  12 In most cases there is no need in so strict nonce boundaries and
  13 @code{-noncediff} command line option allows to create the window of
  14 allowable nonce differences. This is trade-off between highest security
  15 and possible performance degradation. For example @code{-noncediff 128}
  16 works rather well (no packet drops) with 1 Gbps link with two switches.
  17 By default no nonce differences are allowed (highest security).