尚米软件栈SIG:基于AnolisOS,在整个系统软件层面(包括硬件、固件、bootloader、内核和OS)实现基于国密算法的全栈国密操作系统,结束在长期处于国家机密的算法生态碎片化状态下,我们将在技术上构建社区和生态,在资质合规上,致力于为行业提供基于国家机密的信息安全标准.作者:张天佳,商米软件栈SIG维护者。欢迎更多开发者加入商米软件栈SIG:URL:https://openanolis.cn/sig/crypto邮件列表:crypto@lists.openanolis.cnSIG近况汇总1、商米SM3/4算法在arm64上的使用说明平台集加速取得突破。Arm中国、蚂蚁巴巴SSL、龙力商密软件堆栈SIG已经相互合作。SM4的性能高达4364Mb/s2。同心软件与商密软件堆栈SIG深度合作,助力同心UOS在商密快速应用开发3、SM4aarch64平台的NEON和CE指令集优化,正式融入libgcrypt社区,性能提升分别增加了260%和4050%。cryptodev子树将在下一个合并窗口进入社区上游主线,性能提升高达37%5.BabaSSL8.3.0正式版发布SIG动态1.Arm公司贡献商业机密软件栈SIG,助力SM4性能提升40倍来自Arm开发者向商米软件栈贡献了aarch64平台CryptoExtensions指令集优化补丁,在Armv8架构上深度优化了商米SM3和SM4算法。在平头阁逸天710机型上进行测试后,数据非常可观。SM3实现了高达74%的性能提升,而SM4则实现了高达40倍的性能提升。从绝对性能数据来看,速率高达4364Mb/s。从此,性能不再是商业秘密算法的瓶颈,也将得到极大的提升。降低商业秘密的产业化成本,使大规模商业化成为可能。2、同心软件与商密软件堆栈SIG深度合作,助力同心UOS在商业机密应用领域快速发展、优化、安全的系统生态建设。同心UOS基于龙力社区商密软件栈,利用BabaSSL商密算法和社区内核国密支持能力,完成UOS系统IMA和内核模块签名两种场景的商密实践.一层内核级安全。在后续商密软件栈SIG的共建和发展中,同心软件将以龙百合操作系统作为UOS系统的上游,在商密软件栈的基础上,继续完善商密软件操作系统的生态。未来,同心软件与商业机密软件栈SIG将在以下方面开展深度合作:同心UOS将积极参与对龙里社区商业秘密软件栈SIG的贡献,并利用社区SIG养活回和完善自身的商业秘密特征和功能。共建BabaSSL项目:龙蜥社区开源项目BabaSSL,很好的补充了OpenSSL国密能力的不足(如SM2的签名验证支持,国密X509证书的签发验证)),全面支持商业秘密算法和基于商业秘密的安全协议。系统生态建设:通过在更多基础软件中支持和开发商用密码算法,并提供主要算法的优化和加速,真正完成商用密码生态从无到有,从平凡到卓越。3、libgcrypt融入SM4arm64架构NEON和CE优化,性能分别提升260%和4050%。由于普通的ARMv8架构CPU只有通用的SIMDNEON指令集,龙力尚米软件栈也针对NEON指令集实现了SM48。-way并行优化,支持CBC/CFB/CTR/GCM/OCB模式,相比纯软件纯软件实现,性能提升260%,也一定程度上缓解了没有SM4CE指令集的平台的CPU应用秘诀extent同时将联合CE的优化贡献给了libgcrypt上游社区(见文末链接)。SIG的其他进展此外,商米软件栈SIG还有以下发展和贡献:Linux内核x86平台上的SM3AVX指令集优化经过四次版本迭代后进入cryptodev子树,将在下次合并时进入社区上游window主线,性能提升最高可达37%(见文末codereview链接)。SIG开发人员已将SM4算法的实现提交给nettle社区。目前社区已经参与了一轮审核,总体意见是正面的。上游社区曾反映内核SM2证书校验存在潜在缺陷,签名中的信息被引用为输入,签名可被恶意攻击者控制。另外,社区也吐槽了SM2不兼容的Za设计,并给出了一个可能的选择配置Za的建议,这是未来需要改进的方向目前商业机密软件栈的整体支持目前相关主要开源软件栈支持国家机密及社区反馈统计:链接地址:1.商业机密软件栈SIG地址:https://openanolis.cn/sig2,libgcrypt上游社区链接地址:https://git.gnupg.org/cgi-bin...3、Linuxkernelx86平台上的SM3代码链接地址:https://git.kernel.org/pub/sc...致谢感谢所有贡献的成员社区及相关各方:Arm公司:方铭、胡彦斌、袁志昌同心UOS:曹培清、唐奕群蚂蚁集团:杨洋、可一、金久——完——加入龙百合社区加入微信群:添加社区小助手-龙百合社区小龙(微信:openanolis_assis),注意【龙百合】与你同在;加入钉钉群:扫描下面是钉钉群二维码。欢迎开发者/用户加入OpenAnolis社区(OpenAnolis)进行交流,共同推动OpenAnolis社区的发展,共同打造活跃健康的开源操作系统生态!关于龙蜥社区龙蜥社区(OpenAnolis)是由企事业单位、高等院校、科研单位、非营利组织、个人在自愿、平等的基础上组成的非营利性开源社区。开源和协作。DragonLizard社区成立于2020年9月,旨在打造一个开源、中立、开放的Linux上游发行社区和创新平台。Anolis社区成立的短期目标是开发Anolis操作系统(AnolisOS)作为CentOS停摆的解决方案,并构建与国际主流Linux厂商兼容的社区发行版。中长期目标是探索打造面向未来的操作系统,建立统一的开源操作系统生态,孵化创新开源项目,繁荣开源生态。目前DragonLizardOS8.4已经发布,支持X86_64、Arm64、LoongArch架构,完美适配飞腾、海光、兆芯、鲲鹏、龙芯等芯片,提供全栈国密支持。欢迎下载:https://openanolis.cn/download加入我们,共同打造面向未来的开源操作系统!https://openanolis.cn
