请告诉我,如何检查OpenSSL是否支持/使用Intel AES-NI?
答案 0 :(得分:30)
如何检查OpenSSL是否支持/使用Intel AES-NI?
它不是那么简单,尽管应该如此。 OpenSSL曾经提供一种功能来获取ia32处理器检测到的功能,但它不再可用。请参阅OPENSSL_ia32cap man page中对OPENSSL_ia32cap_loc的讨论。另请参阅OpenSSL邮件列表中的Verify AES-NI use at runtime?。
如果您正在链接到OpenSSL静态库,那么您可以使用:
extern unsigned int OPENSSL_ia32cap_P[];
# define AESNI_CAPABLE (OPENSSL_ia32cap_P[1]&(1<<(57-32)))
if(AESNI_CAPABLE)
/* AES-NI is available */
如果您正在链接到OpenSSL共享对象,则符号OPENSSL_ia32cap_P 不导出。在这种情况下,您需要编写自己的检测代码。
我甚至不打扰OpenSSL,因为它只适用于库的静态链接。我分享了下面用于检测的代码。我相信我从英特尔的戴夫约翰斯顿(他设计的RDRAND电路)中扯掉了很大一部分。
注意 :以下代码可能会错误地拒绝AMD processor with AES-NI。我没有要测试的处理器,所以我无法提供代码。
注意 :以下代码在Valgrind下无法按预期执行。对于AES-NI或RDRAND指令没有仿真,因此Valgrind从CPUID返回“已修改”的值,因此看起来它们不可用。请参阅邮件列表中的Incorrect results from inline assembly when running under Valgrind。
尽管AES-NI可用,但不意味着您将使用它。
如果你使用像AES_*这样的低级原语,那么你将不使用AES-NI,因为它是一个软件实现。
如果使用高级EVP_*档,那么您将使用AES-NI(如果可用)。该库将自动切换到AES-NI。
如果 AES-NI可用,但您不想使用它,请在启动程序之前执行以下操作:
$ export OPENSSL_ia32cap="~0x200000200000000"
您可以使用以下OpenSSL命令测试速度差异。切换上面的导出以查看差异:
$ openssl speed -elapsed -evp aes-128-ecb
struct CPUIDinfo {
unsigned int EAX;
unsigned int EBX;
unsigned int ECX;
unsigned int EDX;
};
int HasIntelCpu();
int HasAESNI();
int HasRDRAND();
void cpuid_info(CPUIDinfo *info, const unsigned int func,
const unsigned int subfunc);
int HasIntelCpu() {
CPUIDinfo info;
cpuid_info(&info, 0, 0);
if (memcmp((char *) (&info.EBX), "Genu", 4) == 0
&& memcmp((char *) (&info.EDX), "ineI", 4) == 0
&& memcmp((char *) (&info.ECX), "ntel", 4) == 0) {
return 1;
}
return 0;
}
int HasAESNI() {
if (!HasIntelCpu())
return 0;
CPUIDinfo info;
cpuid_info(&info, 1, 0);
static const unsigned int AESNI_FLAG = (1 << 25);
if ((info.ECX & AESNI_FLAG) == AESNI_FLAG)
return 1;
return 0;
}
int HasRDRAND() {
if (!HasIntelCpu())
return 0;
CPUIDinfo info;
cpuid_info(&info, 1, 0);
static const unsigned int RDRAND_FLAG = (1 << 30);
if ((info.ECX & RDRAND_FLAG) == RDRAND_FLAG)
return 1;
return 0;
}
void cpuid_info(CPUIDinfo *info, unsigned int func, unsigned int subfunc) {
__asm__ __volatile__ (
"cpuid"
: "=a"(info->EAX), "=b"(info->EBX), "=c"(info->ECX), "=d"(info->EDX)
: "a"(func), "c"(subfunc)
);
}
答案 1 :(得分:15)
根据jww提供的信息构建了几个快速的衬垫:
openssl speed -elapsed -evp aes-128-cbc ... OPENSSL_ia32cap="~0x200000200000000" openssl speed -elapsed -evp aes-128-cbc ...
第一行的输出应明显快于第二行。就我而言,在i5测试机器上几乎翻了一倍。