很有可能在未來一切都會被加密，從你的購物清單到你的醫(yī)療記錄。這是一個(gè)令人興奮的概念，但密碼學(xué)領(lǐng)域尤其不穩(wěn)定，現(xiàn)在有很多工作要做，以確保數(shù)據(jù)能夠在未來得到很好的保護(hù)。

多個(gè)加密操作可以應(yīng)用于每個(gè)數(shù)據(jù)字節(jié)，因?yàn)閿?shù)據(jù)在軟件、網(wǎng)絡(luò)和存儲堆棧的多個(gè)層中受到加密保護(hù)。這些流程支持需要強(qiáng)大安全性的高度關(guān)鍵業(yè)務(wù)功能，但在硬件級別，它們是現(xiàn)有計(jì)算最密集的操作之一。隨著每年生成的數(shù)據(jù)量呈指數(shù)級增長，以及組織采用更大的密鑰大小以及多種同步加密算法來增強(qiáng)安全性，對加密計(jì)算的需求也在持續(xù)增長。與此同時(shí)，這些計(jì)算需求不斷膨脹。

為了解決加密計(jì)算成本問題，硬件行業(yè)一直在努力制定新的指導(dǎo)方針、微架構(gòu)增強(qiáng)和創(chuàng)新的軟件優(yōu)化方法。多年來這種進(jìn)步的有力例子包括引入了下一代固定功能處理器指令，該指令降低了高級加密標(biāo)準(zhǔn) (AES) 對稱加密和最近的 FIPS 算法的計(jì)算要求。因此，在過去 10 年中，組織越來越致力于實(shí)施強(qiáng)大的加密密碼，以更好地保護(hù)數(shù)據(jù)和通信。

但隨著量子計(jì)算的進(jìn)步不斷加速，對稱和非對稱加密算法的安全效能可能會受到威脅。增加密鑰大?。◤?128 位到 256 位）有助于使對稱算法（例如 AES）對量子攻擊更具彈性，但同樣，該解決方案帶來了更高的計(jì)算成本。非對稱加密算法（例如 RSA 和 ECDSA）也很可能會達(dá)不到要求。許多人說量子計(jì)算機(jī)的原始力量將是加密的消亡，但我們認(rèn)為情況并非如此。

上述現(xiàn)有的加密方案可能會被新的后量子加密方法所取代。該行業(yè)正在積極努力過渡到新的密碼學(xué)標(biāo)準(zhǔn)，以應(yīng)對這些迫在眉睫的后量子安全挑戰(zhàn)。事實(shí)上，許多提案已經(jīng)提交給 NIST 后量子密碼學(xué) (PQC) 競賽，其中在密鑰大小、存儲和計(jì)算規(guī)范方面有不同的要求。

隨著量子計(jì)算時(shí)代的到來，整個(gè)行業(yè)需要團(tuán)結(jié)起來，朝著新的方法和標(biāo)準(zhǔn)邁進(jìn)。

這種轉(zhuǎn)變會是什么樣子？過渡將是漫長的，現(xiàn)有的密碼學(xué)將繼續(xù)存在，直到行業(yè)能夠完全采用新興的抗量子算法。我們預(yù)計(jì)這會導(dǎo)致較高的計(jì)算負(fù)擔(dān)，并且組織不會廣泛采用更強(qiáng)的加密，直到底層的后量子算法從計(jì)算性能的角度來看在經(jīng)濟(jì)上是可持續(xù)的。

為了加速未來密碼學(xué)的誕生，業(yè)界將需要開發(fā)創(chuàng)新的硬件改進(jìn)和優(yōu)化的軟件解決方案，共同縮小計(jì)算需求。好消息是我們絕不是從零開始。

以下是當(dāng)今發(fā)生的加密性能改進(jìn)和創(chuàng)新的六個(gè)關(guān)鍵示例：

1. 傳輸層安全 (TLS) 加密算法——TLS 協(xié)議分兩個(gè)階段運(yùn)行。首先是會話啟動(dòng)階段。發(fā)起會話時(shí)，客戶端必須使用公鑰加密方法（通常是 RSA）將私有消息傳遞給服務(wù)器，然后協(xié)議才會生成共享密鑰。RSA 基于模冪運(yùn)算，這是一種產(chǎn)生大部分 TLS 會話啟動(dòng)處理器周期的高成本計(jì)算機(jī)制。將 RSA 與橢圓曲線密碼術(shù) (ECC) 等算法相結(jié)合，使用完美前向保密等技術(shù)，可以提供更高的安全性。

在第二階段，大量數(shù)據(jù)被傳輸。這些協(xié)議對數(shù)據(jù)包進(jìn)行加密以確保機(jī)密性，并利用基于數(shù)據(jù)加密散列的消息驗(yàn)證碼 (MAC) 來防止任何試圖修改傳輸中數(shù)據(jù)的行為。加密和身份驗(yàn)證算法保護(hù) TLS 批量數(shù)據(jù)傳輸，在許多情況下，將兩者結(jié)合在一起可以提高整體性能。一些密碼套件（例如 AES-GCM）甚至定義了組合的“加密 + 身份驗(yàn)證”模式。

2. 公鑰密碼術(shù)——為了支持公鑰密碼中經(jīng)常出現(xiàn)的“大數(shù)”乘法過程的改進(jìn)性能，一些供應(yīng)商正在創(chuàng)建新的指令集。例如，英特爾基于 Ice Lake 的處理器引入了 AVX512 整數(shù)融合乘加 (AVX512_IFMA) 指令集架構(gòu) (ISA) 支持。這些指令將寬 512 位 (ZMM) 寄存器中的 8 個(gè) 52 位無符號整數(shù)相乘，產(chǎn)生結(jié)果的高半部分和低半部分，并將其添加到 64 位累加器中。結(jié)合軟件優(yōu)化技術(shù)（如多緩沖區(qū)處理），這些指令不僅可以為 RSA 提供顯著的性能改進(jìn)，還可以為 ECC 提供顯著的性能改進(jìn)。

3. 對稱加密——兩項(xiàng)指令增強(qiáng)提高了 AES 對稱加密的性能：矢量化 AES (VAES) 和矢量化無進(jìn)位乘法。VAES 指令已擴(kuò)展為使用寬 512 位 (ZMM) 寄存器一次支持最多四個(gè) AES 塊（128 位）的矢量處理，如果使用得當(dāng)，將為所有 AES 模式提供性能優(yōu)勢手術(shù)。一些供應(yīng)商還使用寬 512 位 (ZMM) 寄存器擴(kuò)展了對一次最多四個(gè)無進(jìn)位乘法運(yùn)算的矢量處理的支持，從而為 Galois 散列和廣泛使用的 AES-GCM 密碼提供額外的性能。

4. 散列——可以通過為安全散列算法 (SHA) 創(chuàng)建新的擴(kuò)展來提高計(jì)算性能，該算法將任意大小的數(shù)據(jù)消化成固定大小的 256 位。這些擴(kuò)展包括顯著改進(jìn) SHA-256 性能的指令，從而可以使用更多的加密散列。

5. 函數(shù)拼接——函數(shù)拼接早在 2010 年就率先推出，是一種優(yōu)化通常組合運(yùn)行但順序運(yùn)行的兩種算法的技術(shù)，例如 AES-CBC 和 SHA256，并將它們形成一個(gè)專注于最大化處理器資源的單一優(yōu)化算法和吞吐量。結(jié)果是來自每個(gè)算法的指令的細(xì)粒度交錯(cuò)，以便兩個(gè)算法同時(shí)執(zhí)行。這使得在執(zhí)行單個(gè)算法時(shí)由于數(shù)據(jù)依賴性或指令延遲而原本空閑的處理器執(zhí)行單元能夠執(zhí)行來自另一個(gè)算法的指令，反之亦然。這是非常相關(guān)的，因?yàn)樗惴ㄈ匀痪哂鞋F(xiàn)代微處理器無法完全并行化的嚴(yán)格依賴性。

6.多緩沖區(qū)-多緩沖區(qū)是一種創(chuàng)新高效的技術(shù)，用于并行處理密碼算法的多個(gè)獨(dú)立數(shù)據(jù)緩沖區(qū)。供應(yīng)商之前已經(jīng)為哈希和對稱加密等算法實(shí)現(xiàn)了這種技術(shù)。同時(shí)處理多個(gè)緩沖區(qū)可以顯著提高性能——無論是在代碼可以利用單指令多數(shù)據(jù)（AVX/AVX2/AVX512）指令的情況下，還是在代碼不能利用單指令多數(shù)據(jù)（AVX/AVX2/AVX512）指令的情況下。這一點(diǎn)很重要，因?yàn)楦嗟臄?shù)據(jù)需要加密處理，更廣泛的處理器數(shù)據(jù)路徑的可用性將使行業(yè)能夠跟上步伐。

真正的量子計(jì)算將在不知不覺中到來，行業(yè)思維已經(jīng)開始從“這些數(shù)據(jù)是否應(yīng)該加密？”轉(zhuǎn)變。到“為什么這些數(shù)據(jù)沒有加密？” 作為一個(gè)社區(qū)，我們必須專注于在硬件層面實(shí)施高級密碼學(xué)，以及伴隨的算法和軟件創(chuàng)新，以應(yīng)對后量子世界帶來的挑戰(zhàn)。這樣做將導(dǎo)致一系列重要加密算法在性能和安全性方面取得更多突破，并有助于加速向下一代加密方案的過渡，該行業(yè)將需要在未來十年中度過難關(guān)。

審核編輯 黃昊宇