基于GPU的X25519/448密钥协商算法的高速实现

摘要

密钥协商算法目前被广泛运用于包括TLS/SSL在内的各种安全协议中,以支持通信双方在不被保护的信道中建立共享秘密。特别是在TLS 1.3中,为保证前向安全性(forward secrecy),移除了利用静态RSA公钥加密算法进行密钥交换的方式,仅保留Diffie Hellman(DH)密钥协商算法,并引入了一个新的密钥协商算法X25519/448。相比于TLS 1.3其他两类DH密钥协商算法(有限域DH和基于NIST-P曲线的椭圆曲线DH),X25519/448的计算量更小且参数的选取过程公开,更受产业界青睐。事实上,包括Open SSH在内的众多开源项目已经将X25519/448作为默认的密钥协商算法。虽然X25519/448的计算量相对较小,但是在云计算、电子交易等大规模并发请求的场景下,它所依赖的椭圆曲线点乘运算仍然是性能瓶颈。本文利用图形处理器(Graphics Processing Unit,GPU)针对X25519/448进行了多层次的性能优化,同时考虑了可能的计时攻击威胁,完成性能的最大化。所实现的X25519/448在桌面级GPUGTX1080达到每秒2860412/357944次操作,在嵌入式GPUTegraX2上达到每秒155459/17909次操作,性能远远超过CPU、FPGA和同类GPU平台实现。其中,Tegra X2上的X25519实现分别是ARM CPU的8.5倍和FPGA的13.2倍,体现了GPU在嵌入式密码计算领域的强大潜能。