使用CPU硬件指令对AES加解密进行加速

最新推荐文章于 2024-06-22 14:52:41 发布
最新推荐文章于 2024-06-22 14:52:41 发布
阅读量1.3w 收藏 10
点赞数 5
分类专栏: sqlserver
原文链接:https://yq.aliyun.com/articles/64343
版权

概述

AES是世界上最安全、使用广泛的加密算法,很多安全合规要求里面都明确要求使用AES算法,只是相对于3des、rc4等加密算法,速度慢了很多,幸好有了AES-NI,这是针对AES加密算法的硬件加解密CPU指令集。

AES-NI的全称是:Advanced Encryption Standard New Instructions。指令集说明

更多详细的信息可以参考Intel发布的企业安全AES-NI白皮书,本文重点在目前阿里公有云上的主流机型上进行性能测试对比,用于RDS的SSL(链路加密)和TDE(透明加密)特性中。

支持AES-NI指令集的Intel CPU列表,基本上2010年之后的Intel CPU都支持,另外AMD和ARM的一些型号也支持。

支持AES-NI的安全和加密软件库

绝大多数现代编译器都支持AES-NI指令。常见的支持AES-NI的安全加密软件库:

  • Cryptography API: Next Generation (CNG) (requires Windows)[27]
  • Linux's Crypto API
  • Java 7 HotSpot
  • Network Security Services (NSS) version 3.13 and above28
  • Solaris Cryptographic Framework[29] on Solaris 10 onwards
  • FreeBSD's OpenCrypto API (aesni(4) driver)[30]
  • OpenSSL 1.0.1 and above[31]
  • FLAM®/FLUC® 5.1.08 (released 2015-08-24) and above

查看CPU信息

测试的目标机器是D13机型,具体CPU配置如下:

#lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                24
On-line CPU(s) list:   0-23
Thread(s) per core:    2
Core(s) per socket:    6
CPU socket(s):         2
NUMA node(s):          1
Vendor ID:             GenuineIntel
CPU family:            6
Model:                 45
Stepping:              7
CPU MHz:               2194.853
BogoMIPS:              4388.87
Virtualization:        VT-x
L1d cache:             32K
L1i cache:             32K
L2 cache:              256K
L3 cache:              15360K
NUMA node0 CPU(s):     0-23

检查系统是否支持AES-NI指令

D13机型24个核都开启了AES-NI

#grep -m1 -o aes /proc/cpuinfo
aes
#grep -o aes /proc/cpuinfo|wc -l
24

openssl是否支持AES-NI指令

openssl从1.0.0版本之后开始支持aesni engine,但是在1.0.0版本中必须在代码中显式指定engine,如下:

EVP_CIPHER_CTX ctx;
EVP_CIPHER_CTX_init(&ctx);
ENGINE_load_builtin_engines();
ENGINE* engine=ENGINE_by_id("aesni");
if(engine==NULL){
    printf("aesni not found\n");
}
EVP_EncryptInit_ex(&ctx,EVP_aes_128_cbc(),engine,test_key_128,test_init_vector);
int out;
EVP_CipherUpdate(&ctx,output,&out, test_plain_text, inputlen);

openssl 1.0.1版本后,将这个engine去掉了,变成运行时期自动检测是否支持AES-NI,如下:

extern unsigned int OPENSSL_ia32cap_P[2];

#define AESNI_CAPABLE (OPENSSL_ia32cap_P[1]&(1<<(57-32)))

const EVP_CIPHER *EVP_aes_128_cbc(void) { return AESNI_CAPABLE?&aesni_128_cbc:&aes_128_cbc; }

只有使用openssl EVP的接口定义函数才能够使用AES-NI。简单介绍一下EVP,EVP函数对openssl的底层加解密函数进行了封装,提供高层的通用接口,其中一大好处就是底层的加解密套件可以更换,而调用方无需做代码更改。

测试方法

  • 开启AES-NI指令加速情况下测试aes-256-cbc
openssl speed -elapsed -evp aes-256-cbc
  • 关闭AES-NI指令加速的情况下测试aes-256-cbc的性能
OPENSSL_ia32cap="~0x200000200000000" openssl speed -elapsed -evp aes-256-cbc

在D13机型中不同密钥长度是否开启AES-NI的加解密性能测试数据

测试值的含义是单个CPU每秒处理的数据量。

AES-NI enabledtype16 bytes64 bytes256 bytes1024 bytes8192 bytes
ONaes-256-cbc282.49MB296.7MB300.08MB301.0MB301.21MB
OFFaes-256-cbc136.59MB153.13MB156.37MB158.5MB159.37MB
ONaes-128-cbc385.65MB411.25MB418.37MB420.14MB420.62MB
OFFaes-128-cbc180.44MB209.81MB217.87MB220.55MB222.4MB

AES_NI_001

结论:

  • 密钥长度越长,处理速度越慢
  • AES-NI开启后的处理性能提升2~3倍
redelego@cloud
关注
专栏目录
【ARMv8/ARMv9 硬件加速系列 4 -- 加解密 Cryptographic Extension 介绍】
CodingCos的博客
06-18 335
通过这些硬件加速的功能,可以实现更快速和高效的加密操作,这对于现代计算环境中的安全通讯、数据保护和完整性验证至关重要。这一扩展通过新增专用指令来实现,主要包括针对AES加密、SHA-1和SHA-256哈希算法的加速,以及用于长多项式乘法的指令。ARMv8.2针对ARMv8加密扩展引入了可选的扩展功能,这些扩展仅在AArch64状态下提供加密功能。这一扩展在AArch64和AArch32状态下提供,如果实现支持这两种状态,则在两种状态下提供相同的加密扩展功能。
Intel-CPU-AES指令集检查工具_vvvv_
10-04
Intel-CPU-AES指令集检查工具
优化AES加密算法的策略与实现-实现AES算法加速
密码学小白
06-14 1265
高级加密标准(AES)由于其高效性和安全性广泛应用于数据加密。然而,在处理大规模数据时,进一步提升其性能仍然至关重要。本文探讨了三种优化AES算法的技术——空间换时间、预计算、以及减少内循环嵌套,详细阐述了这些策略的实现原理和具体代码,以期在保证加密强度的同时,显著提升加密处理速度
AES 高级加密加速器实验
最新发布
weixin_64593595的博客
06-22 471
Kendryte K210 内置 AES(高级加密加速器),相对于软件可以极⼤的提高 AES 运算速度AES 加速器支持多种加密/解密模式(ECB,CBC,GCM),多种⻓度的 KEY(ECB,CBC,GCM)的运算。
aes for java,Java加速AES
weixin_39669147的博客
02-22 114
I want to encrypt/decrypt lots of small (2-10kB) pieces of data. The performance is ok for now: On a Core2Duo, I get about 90 MBytes/s AES256 (when using 2 threads). But I may need to improve that in ...
crypto++ AES解密加速
zhongnianmo的博客
10-09 483
通过https://cryptopp.com/cryptopp840.zip链接下载源码,利用生成的动态库进行string的aes的解密(通过链AES加密 C++调用Crypto++加密库 样例 - mengfanrong - 博客园的方式进行解密),当解密的文件非常大时,解密耗时非常久,耗时可以到达一百四十多秒,对程序来说是非常不可接受的,同时同样的文件在python下解密速度非常快,所以需要进行一定的加速,以下是本人的解密加速代码 string decrypt(string cipherTextHe.
加密速度快的AES算法源码
07-21
VC++ AES加解密算法源码,加解密速度快。
SYD8801 硬件AES加密
挖到尽头
08-30 919
SYD8801是一款低功耗高性能蓝牙低功耗SOC,集成了高性能2.4GHz射频收发机、32位ARM Cortex-M0处理器、128kB Flash存储器、以及丰富的数字接口。SYD8801片上集成了Balun无需阻抗匹配网络、高效率DCDC降压转换器,适合用于可穿戴、物联网设备等。具体可咨询:http://www.sydtek.com/   SYD8801 硬件AES加密      aes...
aes加密解密测试代码
10-14
例如,可能有针对特定CPU指令集的优化,或者使用软件实现的AES库如OpenSSL或Crypto++。 测试代码通常包括加密和解密函数的单元测试,以及可能的性能基准测试。这些测试会使用已知的输入和预期的输出,以验证加密...
c++ AES加密.zip
11-24
AES加密可以进行硬件加速,如果CPU支持AES-NI指令集,那么C++库可能会利用这些指令提高加密速度。 10. **编码与解码**: AES处理的是二进制数据,因此在实际应用中,通常需要将字符串或其他数据类型转换为字节流...
基于GPU的AES算法实现
07-28
近几年图形处理器GPU的通用计算能力发展迅速,现在已经发展成为具有巨大并行运算能力的多核处理器,而CUDA架构的推出突破了传统GPU开发方式的束缚,把GPU巨大的通用计算能力解放了出来。本文利用GPU来加速AES算法,即利用GPU作为CPU的协处理器,将AES算法在GPU上实现,以提高计算的吞吐量。最后在GPU和CPU平台上进行了实验,获得了GPU的加速结果,并对实验结果进行了优化。
zhilingji.rar_CPU 指令_cpu指令集。chm_zhilingji
09-24
Intel CPU指令集对软件开发者来说具有重大意义,理解并熟练运用这些指令可以优化程序性能。例如,在游戏开发中,SIMD指令可以提升图形渲染速度;在数据分析中,高效的内存访问和浮点运算指令能加快处理速度。 总结...
RSA 与 AES 加密效率对比,用调研事实说明问题,用算法原理解决疑惑
热门推荐
Java Punk
12-10 1万+
相同的时间条件下,AES 解密的文件是 M 级,而 RSA 解密只有 KB 级,两者解密速度差异相当明显
加密硬件加速
maimang1001的专栏
01-07 650
本文主要讲述如何在 OpenSSL 中使用加密硬件加速(crypto hardware acceleration)。许多互联网应用程序,如 OpenSSH 和 OpenVPN,依赖于 OpenSSL 进行加密/解密。因此,使用硬件实现可以加速加密速度,减少CPU使用率。
高级加密标准指令集(AES指令集)
08-18 2050
现已经集成到许多处理器中。应用程序执行(AES)时,使用指令提高加密和解密的速度(以及对侧信道攻击的抵抗能力)。
AES针对Intel新指令优化
weixin_30505225的博客
03-13 943
AES针对Intel新指令优化 一、 问题描述 AES算法是国际上通行的对称密钥加密解密算法。与一般算法相比,该算法包含了大量的位操作,导致传统高级语言在进行加密解密计算过程中的效率非常低。Intel公司在2010年推出的所有基于32nm工艺的Core处理器上增加了对AES算法的特殊指令支持。 二、 AES介绍 2.1 AES简介 AES, Advanced Encry...
并行加密算法系列(三)之AES on Intel CPU
林微的博客
12-13 4027
1. Intel之AES NI 指令集性能测试 Intel AES New Instructions (AES NI) is a new encryption instruction set, which can improve the AES algorithm, accelerate the encryption of data and strengthen related AES appl
使用python编写程序实现aes加密解密
05-31
好的,以下是一个使用Python的PyCryptodome库实现AES加密和解密的示例代码: ```python from Crypto.Cipher import AES from Crypto.Util.Padding import pad, unpad import base64 def encryptAES(plainText, key): # 将密钥转换为bytes类型 key = key.encode('utf-8') # 初始化加密器,选择ECB加密模式 cipher = AES.new(key, AES.MODE_ECB) # 加密 cipherText = cipher.encrypt(pad(plainText.encode('utf-8'), AES.block_size)) # 返回Base64编码后的密文 return base64.b64encode(cipherText).decode('utf-8') def decryptAES(cipherText, key): # 将密钥转换为bytes类型 key = key.encode('utf-8') # 初始化解密器,选择ECB加密模式 cipher = AES.new(key, AES.MODE_ECB) # 解密 plainText = unpad(cipher.decrypt(base64.b64decode(cipherText.encode('utf-8'))), AES.block_size) # 返回明文 return plainText.decode('utf-8') # 测试 plainText = "Hello, world!" key = "1234567890123456" cipherText = encryptAES(plainText, key) print("Cipher text:", cipherText) decryptedText = decryptAES(cipherText, key) print("Decrypted text:", decryptedText) ``` 这个示例代码使用了PyCryptodome库提供的AES加密和解密函数,使用ECB加密模式进行加密和解密,返回的是Base64编码后的密文。你可以根据自己的需求修改加密模式和返回结果的格式。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值