文章讲述了作者与金融IT行业的朋友讨论国产ARM芯片在国密算力领域的应用时遇到的问题,包括性能瓶颈、高昂的成本和资质认证的混淆。作者揭示了鲲鹏芯片虽然声称有国密二级资质,实则依赖外部数字认证的补充功能,强调了用户在选择时需要谨慎核查以避免额外成本和潜在风险。
过年跟一个搞金融IT的朋友吃了顿便饭,都是业内人,话题自然拐到了圈内八卦上。结果没想到又吃了一次国产ARM的瓜,而且这次是在水深鱼大的国密算力领域,必须得和大家分享一下。
众所周知,随着2020年新版《密码法》的出台,以及2023年新版《商用密码管理条例》的颁布实施,使得密码行业产品、系统的国密改造逐渐成为合规性的刚需,这在很大程度上促进了密码行业的快速发展。
与此同时,用户端也迎来两个问题:
一是新增的海量的国密算力需求,单靠传统密码卡能否解决?
二是堆叠密码卡带来的巨大成本增量,终端用户能否承受,是否愿意买单?(毕竟一张中端密码卡大几千,高端密码卡动辄上万,这可不是小打小闹)
朋友老金所在的金融科技公司应该颇有实力,为响应国家号召,决定在下一代银行核心系统中实现国密算法(商密)的应用进行尝试。但核心系统若采用传统密码机方案进行加解密势必要直面上述两大难题。老金刚好负责这一块,经过一个多月的全面调研,扒出不少内幕,吃瓜不少,吃惊也不小。
刚开始,老金公司内部商讨认为,最有希望解决上面所说的两个问题的途径是,在通用CPU内部集成高性能国密协处理器:一来可以凭借内部高速总线连接、专用硬件加速单元以及高主频优势,极大地提升国密运算性能;二来与大量堆叠密码卡相比,可以很大程度降低用户成本。
此外,跟传统密码机加密方式相比,这种内置形式还有一些别的优点,比如,采用分布式加解密就近计算的方式,免去了关键数据在服务器和密码机之间的来回传输,既解决了集中式加解密的网络瓶颈问题,又提升了数据安全性。从主流国产CPU的反应来看,的确也大都选择了这条路线。
那就进入下一步筛查工作吧。首先,兆芯采用的指令集方式加速sm3和sm4,只具备国密算力加速能力,不具备密钥管理功能,显然无法满足国密二级(各大行业普遍需求的等级)要求,直接pass。
正要研究一下其它几家的情况,这时候,领导暗示老金可以优先选择鲲鹏试试水。这倒好,连筛选环节都给省略了。在领导的强烈“建议”下,老金最后只能选择了鲲鹏。
按照鲲鹏官网介绍部署KAE加速模块,前半程还算顺利,但使用openssl speed跑出来的性能数据很差,似乎并没有被加速。老金把部署步骤仔仔细细检查了很多遍,也没发现什么做的不对的地方,总之KAE就是没生效。
几天后一个偶然的机会,在KAE的使用案例中,一行小字终于让老金豁然开朗:原来是没缴“保护费”,难怪KAE不生效。上证据大家自己看吧:
因为是技术预研,因此老金也没有直接向HW询价,心想也没几个钱,使能一下CPU内部的一个功能模块能花多少钱呢。结果私下问了密码行业的朋友,差点没给他惊掉下巴,一个license居然要大几千块!!!省下的买密码卡的钱全交给HW了,还要搭上切换方案的移植开发优化成本,这是图啥呢?
为了防止信息有误,他还特意又找了其他几个从事密码行业的朋友求证,一个license确实是大几千块。另外鲲鹏KAE只支持sm3和sm4,不支持sm2,对于核心业务系统中大量使用的签名、验签,以及非对称加解密需求,只能以纯软件的方式运算,或者再增加FPGA加速sm2,这成本又得呼呼往上窜……
这还没完,鲲鹏KAE提供的也是单纯的国密算力加速功能,并不具备密钥管理能力。按照老金的理解,他不可能满足国密二级要求啊,但是市面上大家都说鲲鹏有国密二级资质!这是怎么回事,赶紧打开密码局官网查询,这才恍然大悟。
看清楚了,原来是北京数字认证基于鲲鹏的TrustZone机制补充了密钥管理功能,二级资质的委托认证方是数字认证,生产制造方也是数字认证,只不过给产品取名字的时候给鲲鹏挂了个名而已。
不得不说HW这个真真假假的宣传策略是真的好用,弄得大家都以为鲲鹏芯片本身就有国密二级资质。这个不是单纯的资质归谁的问题,而是涉及到用户的切身利益,因为如果要使用他的密钥管理功能,还要向数字认证再交一次“保护费”;如果要继续深度开发,也需要绑定数字认证一起谈合作。这个成本可就远超传统密码机了!
最后,为了防止其他几家CPU的内置密码模块也存在这种“挂名”情况,老金都挨着详细查询了一遍,还好其他几家目前还没发现这种现象。心有余悸的老金强烈建议,有疑问一定多查多看多问,谨防入坑!
1036
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
