推动密码硬件性能改进的六项创新

为了加速未来密码学的诞生，行业需要开发创造性的硬件改进和优化的软件解决方案，这些解决方案协同工作以减少计算需求。好消息是我们无论如何都不会从头开始。

很有可能在未来一切都会被加密，从你的购物清单到你的医疗记录。这是一个令人兴奋的想法，但密码学领域尤其不稳定，现在有很多工作要做，以确保未来数据的安全性。

多个加密操作可以应用于数据的每个字节，因为数据在软件、网络和存储堆栈的多个层上受到加密保护。这些流程支持需要强大安全性的高度关键的业务功能，但在硬件级别，它们属于现有的计算密集型操作。并且对加密计算的需求持续增长，每年生成的数据量呈指数级增长，并且组织采用更大的密钥大小以及多个同步加密算法来增强安全性。一直以来，这些计算需求都在不断膨胀。

为了解决加密计算成本问题，硬件行业一直致力于制定新的指导方针、微架构增强和创新的软件优化方法。多年来这一进步的有力例子包括引入下一代固定功能处理器指令，这些指令降低了高级加密标准 (AES) 对称加密和最近的 FIPS 算法的计算要求。因此，在过去 10 年中，组织越来越致力于实施强大的加密密码，以更好地保护数据和通信。

但随着量子计算的进步不断加速，对称和非对称加密算法的安全功效可能处于危险之中。增加密钥大小（从 128 位到 256 位）有助于使对称算法（例如 AES）更能抵御量子攻击，但同样，这种解决方案带来了更高的计算成本。非对称加密算法（例如 RSA 和 ECDSA）也很可能达不到要求。许多人说量子计算机的原始力量将是加密的消亡，但我们不相信会是这样。

上述现有的加密方案很可能会被新的后量子加密方法所取代。该行业正在积极努力过渡到适合解决这些即将到来的后量子安全挑战的新密码学标准。事实上，NIST Post-Quantum Cryptography (PQC) 竞赛已经有很多提案提交，其中在密钥大小、存储和计算规范方面都有不同的要求。

随着量子计算时代的到来，业界需要齐心协力，朝着新的方法和标准迈进。

这种转变会是什么样子？过渡将是漫长的，现有的密码学将继续存在，直到该行业能够完全采用新兴的抗量子算法。我们预计这会导致高计算负担，并且在底层后量子算法从计算性能的角度变得经济可持续之前，组织不会广泛采用更强的加密。

为了加速未来密码学的诞生，该行业将需要开发创造性的硬件改进和优化的软件解决方案，这些解决方案可以协同工作以减少计算需求。好消息是我们绝不会从头开始。

以下是当今发生的加密性能改进和创新的六个关键示例：

1. 传输层安全 (TLS) 加密算法 — TLS 协议分两个阶段运行。首先是会话启动阶段。当会话开始时，客户端必须在协议生成共享密钥之前使用公钥加密方法（通常是 RSA）将私人消息传递给服务器。 RSA 基于模幂运算，这是一种产生大部分 TLS 会话启动处理器周期的高成本计算机制。将 RSA 与椭圆曲线加密 (ECC) 等算法相结合，使用完美前向保密等技术，可以提供更高的安全性。

在第二阶段，传输大量数据。这些协议对数据包进行加密以确保机密性，并利用基于数据加密散列的消息验证码 (MAC) 来防止任何试图修改传输中数据的行为。加密和身份验证算法保护 TLS 批量数据传输，在许多情况下，将两者拼接在一起可以提高整体性能。 AES-GCM等一些密码套件甚至定义了“加密+认证”组合模式。

2. 公钥密码学—— 为了支持公钥密码中常见的“大数”乘法过程的改进性能，一些供应商正在创建新的指令集。例如，英特尔的 Ice Lake 处理器引入了 AVX512 整数融合乘加 (AVX512_IFMA) 指令集架构 (ISA) 支持。这些指令将宽 512 位 (ZMM) 寄存器中的 8 个 52 位无符号整数相乘，产生结果的高半和低半并将其添加到 64 位累加器。结合软件优化技术（如多缓冲区处理），这些指令不仅可以显着提高 RSA 的性能，还可以显着提高 ECC 的性能。

3. 对称加密—— 两个指令增强提高了 AES 对称加密的性能：矢量化 AES (VAES) 和矢量化无进位乘法。 VAES 指令已扩展为使用宽 512 位 (ZMM) 寄存器支持一次最多四个 AES 块（128 位）的矢量处理，并且在正确使用时，将为所有 AES 模式提供性能优势手术。一些供应商还使用宽 512 位 (ZMM) 寄存器扩展了对一次最多四个无进位乘法运算的向量处理的支持，以为 Galois 散列和广泛使用的 AES-GCM 密码提供额外的性能。

4. 散列—— 可以通过为安全哈希算法 (SHA) 创建新的扩展来提高计算性能，该算法将任意大小的数据消化为 256 位的固定大小。这些扩展包括显着提高 SHA-256 性能的指令，从而可以使用更多的加密散列。

5. 功能拼接—— 函数拼接于 2010 年首创，是一种优化两种通常组合运行但按顺序运行的算法的技术，例如 AES-CBC 和 SHA256，并将它们形成一个专注于最大化处理器资源和吞吐量的优化算法。结果是来自每个算法的指令的细粒度交错，以便两个算法同时执行。这使得在执行单个算法时由于数据相关性或指令延迟而处于空闲状态的处理器执行单元能够执行来自其他算法的指令，反之亦然。这是非常重要的，因为算法仍然具有现代微处理器无法完全并行化的严格依赖性。

6. 多缓冲区—— 多缓冲区是一种创新且高效的技术，用于并行处理密码算法的多个独立数据缓冲区。供应商之前已经为散列和对称加密等算法实施了这种技术。同时处理多个缓冲区可以显着提高性能——无论是代码可以利用单指令多数据 (AVX/AVX2/AVX512) 指令的情况，还是不能利用的情况。这一点很重要，因为更多的数据需要加密处理，而且更宽的处理器数据路径的可用性将使行业跟上步伐。

真正的量子计算将在不知不觉中到来，业界心态已经开始从“这些数据是否应该加密？”转变。 “为什么这些数据没有加密？”作为一个社区，我们必须专注于在硬件层面实施先进的密码学，以及随之而来的算法和软件创新，以应对后量子世界带来的挑战。这样做将在一系列重要的加密算法中带来更多的性能和安全性突破，并有助于加速行业向未来十年所需的下一代加密方案的过渡。

Wajdi Feghali 是英特尔院士。

>> 本文最初发表在我们的姊妹网站 EE次。

相关内容：

• 根据行业基线评估物联网安全模型
• 将 IoT 设备安全连接到云的指南
• SRAM PUF 的基础知识以及如何部署它以实现物联网安全
• 用于物联网安全的机密边缘计算简介
• 物联网安全 - 密码学
• 了解 NIST 框架安全控制

有关 Embedded 的更多信息，请订阅 Embedded 的每周电子邮件通讯。