我在设置内核配置AES之前和之后使用以下命令测量了CONFIG_CRYPTO_AES_NI_INTEL的性能,但性能非常相似,我不确定它是否使用AES-NI,我检查cpu是否有AES-NI能力,CPUID显示AES-NI启用,
# openssl s_time -connect myserver:443 -www /file.html -new -time 30 -cipher AES128-SHA
Collecting connection statistics for 30 seconds
2293 connections in 10.42s; 220.06 connections/user sec, bytes read
2404343494
2293 connections in 31 real seconds, 1048558 bytes read per connection
为什么启用配置选项CONFIG_CRYPTO_AES_NI_INTEL并没有任何区别。请注意我已经有了
CONFIG_CRYPTO_AES=y
CONFIG_CRYPTO_AES_X86_64=y
CONFIG_CRYPTO_CRYPTD=y
两种情况
答案 0 :(得分:4)
CPU只是非常快所以你可能确实没有注意到。通常,本机代码会如此之快,以至于它只会使连接饱和,只留下实际的I / O时序和延迟/加密开销(SSL帧仍然会导致需要发送更多字节)。此外,HMAC (a hash based message authentication code) over the plaintext将花费与加密本身相同的时间。
对于AES计算本身而言,与仅使用CPU的加密相比,实际上可能具有大约两倍的性能。当然,您仍然缺少针对时间攻击的增强保护,如果您禁用AES-NI,ALU不会受到重创,并且可能会有一些电源优势。
答案 1 :(得分:0)
添加
-evp
并更改密码
希望有帮助。