詳解 HTTPS 移動端對稱加密套件優
近幾年,Google、Baidu、Facebook 等互聯網巨頭大力推行 HTTPS,國內外的大型互聯網公司不少也都已啓用全站 HTTPS。 Google 也推出了針對移動端優化的新型加密套件 ChaCha20-Poly1305。html
又拍雲 CDN 已經全面支持 Google 推出的針對移動端優化的加密套件—— ChaCha20-Poly1305。又拍雲平臺上全部的 CDN 用戶均可以享受到該算法加解密性能提高,網頁加載時間減小,電池壽命延長等優點。算法
在這以前又拍雲一直在對 HTTPS 性能進行持續優化,致力於 HTTPS 達到更快的數據傳輸性能。又拍雲 HTTPS 優化已支持瞭如下特性:Session ID 複用、OCSP Stapling、HSTS、HTTP/二、False Start,這些特性極大的提高了 HTTPS 訪問速度。安全
又拍雲 CDN 現已支持的谷歌 ChaCha20-Poly1305 加密套件,那麼相比其餘加密套件,ChaCha20-Poly1305爲何會具備這些優點呢?性能
對稱加密算法對比
經常使用的對稱加密算法以下:優化
AES-GCM 是目前經常使用的分組加密算法,可是其有一個缺點就是計算量大,致使性能和電量開銷比較大。爲了解決這個問題,Intel 推出了名爲 AES NI(Advanced Encryption Standard new instructions)的 x86 指令拓展集,從硬件上提供對 AES 的支持。對於支持 AES NI 指令的設備來講,使用 AES-GCM 無疑是最佳選擇。加密
而針對移動端不支持 AES NI 的設備,Google 在 2014年推出了一種新的流式加密算法 ChaCha20-Poly1305。在 ARM 平臺上,ChaCha20-Poly1305 的性能是 AES-GCM 的 3-4 倍。3d
ChaCha20-Poly1305 算法介紹
Chacha20-Poly1305 是由 Google 專門針對移動端 CPU 優化而採用的一種新式流式加密算法,它的性能相比普通算法要提升 3 倍,在 CPU 爲精簡指令集的 ARM 平臺上尤其顯著(ARM v8 前效果較明顯)。其中 Chacha20 是指對稱加密算法,Poly1305 是指身份認證算法。使用該算法,可減小加密解密所產生的數據量進而能夠改善用戶體驗,減小等待時間,節省電池壽命等。htm
因爲其算法精簡、安全性強、兼容性強等特色,目前 Google致力於全面將其在移動端推廣。blog
更優異的加解密性能
當前流行的加密套件 AES-GCM,在不支持 AES NI 指令的硬件設備上,該加密算法會讓大部分智能手機、平板電腦以及可穿戴設備引發性能問題,致使加解密性能時間過長。v8
而在 Google 公佈的數據顯示,Chacha20-Poly1305 可以提高 30% 以上的設備加解密性能。同時在部分移動設備上,ChaCha20-Poly1305 加密的速度是 AES 的 3 倍還多。也即在使用 ChaCha20-Poly1305 時,較舊的計算機或者移動端設備在加解密方面會花費更少的計算時間。減小加解密時間的減小意味着更快的頁面加載速度以及更少的設備電池消耗。
針對移動端設備,在具備硬件 AES 支持的 PC 電腦上,使用 AES-GCM 算法是比較不錯的選擇,因此又拍雲 CDN 平臺會根據客戶端支持的加密套件狀況智能選擇 AES-GCM 或者 ChaCha20-Poly1305 這二者。對於最新的英特爾處理器,又拍雲CDN會使用標準的 AES-GCM 算法;對於沒有硬件 AES 支持的設備來講,會優先選擇 ChaCha20-Poly1305。
更安全的加密算法組合
ChaCha20-Poly1305 加密套件使用了兩種算法,其中 Chacha20 是指對稱加密算法,而Poly1305 是指身份認證算法。
RFC文檔
從 RFC 文檔中能夠看到,ChaCha20 提供了 256 位的加密強度,這對於 AES-GCM 算法的 128 位的加密強度來講,已經綽綽有餘。也就是說,使用 ChaCha20 做爲對稱加密算法來保障 HTTPS 安全性已經足夠了。
而 Poly1305 做爲身份認證算法提供身份驗證,能夠防止攻擊者在 TLS 握手過程當中,將虛假信息插入到安全的數據流中,Poly1305 算法提供了大約 100 位的安全性加密強度,足以阻止這類攻擊。在 TLS 握手過程當中,身份驗證相比加密並無那麼重要,由於即便攻擊者能夠向數據流中添加虛假消息,在密鑰信息沒有被破解的狀況下,也不會讀取到內部的數據信息。
綜上所述,ChaCha20-Poly1305 做爲一個加密組合,可同時對數據提供機密性,完整性和真實性保證,避開了現有發現的全部安全漏洞和攻擊,是一組極佳的加密套件組合。
開啓 CHACHA20_POLY1305 方式
又拍雲 CDN 已經默認支持 CHACHA20_POLY1305,並針對不支持 AES-NI 的終端優先選擇此算法做爲對稱加密算法。
目前又拍雲提供 SSL 證書的申購、管理、部署等功能。與國際頂級 CA 機構合做,證書類型豐富,操做流程簡單方便,爲用戶提供一站式 HTTPS 安全解決方案。免費版SSL證書1小時內,付費版OV、EV SSL證書3天內便可完成申購簽發,而且一鍵完成SSL證書部署即時開啓全站HTTPS服務開啓。
目前HTTPS證書低至75折,當即開啓全站HTTPS加密服務
推薦閱讀:
- 1. 理解SSL(https)中的對稱加密與非對稱加密
- 2. https對稱非對稱加密
- 3. https 非對稱加密
- 4. 對稱加密和非對稱加密詳解
- 5. http和https以及對稱加密及非對稱加密
- 6. https究竟是對稱加密仍是非對稱加密?
- 7. HTTPS 原理 對稱加密 非對稱加密 CA證書
- 8. HTTPS之對稱加密與非對稱加密(一)
- 9. HTTPS,TLS,SSL,TCP,UDP,對稱加密,非對稱加密
- 10. HTTPS用的是對稱加密仍是非對稱加密
- 更多相關文章...
- • *.hbm.xml映射文件詳解 - Hibernate教程
- • MyBatis配置文件詳解 - MyBatis教程
- • Flink 數據傳輸及反壓詳解
- • SpringBoot中properties文件不能自動提示解決方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。