Java加密比较:SunJCE是否使用本机代码?

时间:2019-04-10 22:14:20

标签: java encryption jce

我编写了一个测试以比较一些Java加密提供程序的性能(如下所示)。我惊讶地发现SunJCE的实现最终是最快的,因为其他人(至少是Apache Commons Crypto)依赖于本机的opensl实现。

  1. SunJCE是否也使用本机实现?
  2. 此测试是否存在给我错误/误导性结果的问题?
// Nss installed on mac via "brew install nss"
fun getProviders(): List<Provider> {
    return listOf(
        Security.getProvider("SunJCE"),
        sun.security.pkcs11.SunPKCS11(
            "--name=CryptoBenchmark\\n"
                    + "nssDbMode=noDb\\n"
                    + "nssLibraryDirectory=/usr/local/opt/nss/lib/\\n"
                    + "attributes=compatibility"),
        BouncyCastleProvider()
    )
}

fun blockCipherTests(providers: List<Provider>) {
    val ciphers = providers.map {
        try {
            Cipher.getInstance("AES/CTR/NoPadding", it)
        } catch (t: Throwable) {
            println("Error getting cipher from provider $it: $t")
            throw t
        }
    }

    val key = SecretKeySpec(getUTF8Bytes("1234567890123456"),"AES");
    val iv = IvParameterSpec(getUTF8Bytes("1234567890123456"));
    val random = Random()

    ciphers.forEach {
        it.init(Cipher.ENCRYPT_MODE, key)
    }

    // Crypto commons doesn't implement the provider interface(?) so instantiate that cipher separately
    val properties = Properties().apply {
        setProperty(CryptoCipherFactory.CLASSES_KEY, CryptoCipherFactory.CipherProvider.OPENSSL.getClassName());
    }
    val apacheCommonsCipher = Utils.getCipherInstance("AES/CTR/NoPadding", properties)
    apacheCommonsCipher.init(Cipher.ENCRYPT_MODE, key, iv)


    val data = ByteArray(1500)
    val out = ByteArray(1500)
    random.nextBytes(data)
    repeat (10) {
        ciphers.forEach { cipher ->
            val time = measureNanoTime {
                repeat(100) {
                    cipher.doFinal(data)
                }
            }
            println("Cipher ${cipher.provider} took ${time / 100} nanos/run")
        }
        // Run the apache test separately
        val time = measureNanoTime {
            repeat(100) {
                apacheCommonsCipher.doFinal(data, 0, 1000, out, 0)
            }
        }
        println("Cipher apache took ${time / 100} nanos/run")

        println("====================================")
    }
}

fun main() {
    val providers = getProviders()

    println(providers)

    blockCipherTests(providers)
}

1 个答案:

答案 0 :(得分:0)

是的,确实如此。不,不是。

AES-NI是通过 Java内在函数使用的,它通过AES的本机实现替换字节码。因此,尽管找不到直接调用AES-NI指令的方法,但是Java代码中的doFinal调用有时会使用硬件加速。因此,JCE的代码只是Java,但JIT仍可以加快速度。太漂亮了吧?

要真正测试代码,您可能需要为JIT使用预热时间(也要启用AES-NI)。您应该能够使用缓冲区而不是每次为密文生成一个新的数组对象。

更重要的是,可能要捕获该缓冲区的输出,例如将其异或到最终缓冲区中并打印出来。这将使编译器几乎完全跳过代码。如果您对结果本身不真正感兴趣,那么编译器优化就很难处理。毕竟,编译器或JIT可能完全跳过加密以获得相同的结果。

您可能还需要在单个循环中执行更多AES操作。您可以将AES竞赛所需的Monte Carlo测试作为基础。

相关问题
最新问题