詳解 HTTPS 移動端對稱式加密套件優

標籤：推廣   ocs   box   nal   對比   移動   facebook   計算   article   

近幾年，Google、Baidu、Facebook 等互連網巨頭大力推行 HTTPS，國內外的大型互連網公司很多也都已啟用全站 HTTPS。 Google 也推出了針對移動端最佳化的新型加密套件 ChaCha20-Poly1305。

又拍雲 CDN 已經全面支援 Google 推出的針對移動端最佳化的加密套件—— ChaCha20-Poly1305。又拍雲平台上所有的 CDN 使用者都可以享受到該演算法加解密效能提升，網頁載入時間減少，電池壽命延長等優勢。

在這之前又拍雲一直在對 HTTPS 效能進行持續最佳化，致力於 HTTPS 達到更快的資料轉送效能。又拍雲 HTTPS 最佳化已支援了以下特性：Session ID 複用、OCSP Stapling、HSTS、HTTP/2、False Start，這些特性極大的提升了 HTTPS 訪問速度。

又拍雲 CDN 現已支援的Google ChaCha20-Poly1305 加密套件，那麼相比其他加密套件，ChaCha20-Poly1305為什麼會具有這些優勢呢？

對稱式加密演算法對比

常用的對稱式加密演算法如下：

 

 

AES-GCM 是目前常用的區塊編碼器演算法，但是其有一個缺點就是計算量大，導致效能和電量開銷比較大。為瞭解決這個問題，Intel 推出了名為 AES NI（Advanced Encryption Standard new instructions）的 x86 指令拓展集，從硬體上提供對 AES 的支援。對於支援 AES NI 指令的裝置來說，使用 AES-GCM 無疑是最佳選擇。

 

而針對移動端不支援 AES NI 的裝置，Google 在 2014年推出了一種新的流式密碼編譯演算法 ChaCha20-Poly1305。在 ARM 平台上，ChaCha20-Poly1305 的效能是 AES-GCM 的 3-4 倍。

ChaCha20-Poly1305 演算法介紹

Chacha20-Poly1305 是由 Google 專門針對移動端 CPU 最佳化而採用的一種新式流式密碼編譯演算法，它的效能相比普通演算法要提高 3 倍，在 CPU 為精簡指令集的 ARM 平台上尤為顯著（ARM v8 前效果較明顯）。其中 Chacha20 是指對稱式加密演算法，Poly1305 是指身份認證演算法。使用該演算法，可減少加密解密所產生的資料量進而可以改善使用者體驗，減少等待時間，節省電池壽命等。

由於其演算法精簡、安全性強、相容性強等特點，目前 Google致力於全面將其在移動端推廣。

更優異的加解密效能

當前流行的加密套件 AES-GCM，在不支援 AES NI 指令的硬體裝置上，該密碼編譯演算法會讓大部分智能手機、平板電腦以及穿戴式裝置引起效能問題，導致加解密效能時間過長。

而在 Google 公布的資料顯示，Chacha20-Poly1305 能夠提升 30% 以上的裝置加解密效能。同時在部分行動裝置上，ChaCha20-Poly1305 加密的速度是 AES 的 3 倍還多。也即在使用 ChaCha20-Poly1305 時，較舊的電腦或者移動端裝置在加解密方面會花費更少的計算時間。減少加解密時間的減少意味著更快的頁面載入速度以及更少的裝置電池消耗。

針對移動端裝置，在具有硬體 AES 支援的 PC 電腦上，使用 AES-GCM 演算法是比較不錯的選擇，所以又拍雲 CDN 平台會根據用戶端支援的加密套件情況智能選擇 AES-GCM 或者 ChaCha20-Poly1305 這兩者。對於最新的英特爾處理器，又拍雲CDN會使用標準的 AES-GCM 演算法；對於沒有硬體 AES 支援的裝置來說，會優先選擇 ChaCha20-Poly1305。

更安全的密碼編譯演算法組合

ChaCha20-Poly1305 加密套件使用了兩種演算法，其中 Chacha20 是指對稱式加密演算法，而Poly1305 是指身份認證演算法。

 

RFC文檔

從 RFC 文檔中可以看到，ChaCha20 提供了 256 位的加密強度，這對於 AES-GCM 演算法的 128 位的加密強度來說，已經綽綽有餘。也就是說，使用 ChaCha20 作為對稱式加密演算法來保障 HTTPS 安全性已經足夠了。

而 Poly1305 作為身份認證演算法提供身分識別驗證，可以防止攻擊者在 TLS 握手過程中，將虛假資訊插入到安全的資料流中，Poly1305 演算法提供了大約 100 位的安全性加密強度，足以阻止這類攻擊。在 TLS 握手過程中，身分識別驗證相比加密並沒有那麼重要，因為即使攻擊者可以向資料流中添加虛假訊息，在密鑰資訊沒有被破解的情況下，也不會讀取到內部的資料資訊。

綜上所述，ChaCha20-Poly1305 作為一個加密組合，可同時對資料提供機密性，完整性和真實性保證，避開了現有發現的所有安全性漏洞和攻擊，是一組極佳的加密套件組合。

開啟 CHACHA20_POLY1305 方式

又拍雲 CDN 已經預設支援 CHACHA20_POLY1305，並針對不支援 AES-NI 的終端優先選擇此演算法作為對稱式加密演算法。

目前又拍雲提供 SSL 憑證的申購、管理、部署等功能。與國際頂級 CA 機構合作，認證類型豐富，操作流程簡單方便，為使用者提供一站式 HTTPS 安全解決方案。免費版SSL認證1小時內，付費版OV、EV SSL認證3天內即可完成申購簽發，並且一鍵完成SSL認證部署即時開啟全站HTTPS服務開啟。

 

 

目前HTTPS認證低至75折，立即開啟全站HTTPSData Encryption Service

 

推薦閱讀：

從 HTTP 到 HTTPS 再到 HSTS

HTTPS系列乾貨（一）：HTTPS 原理詳解

為什麼非全站升級HTTPS不可？

詳解 HTTPS 移動端對稱式加密套件優