Jeu d'instructions AES

Le jeu d'instruction AES (aussi appelé Intel Advanced Encryption Standard New Instructions ; AES-NI) est une extension du jeu d'instructions de l'architecture x86 pour les microprocesseurs Intel et AMD, proposée par Intel en mars 2008^[1]. Le but de ce jeu d'instructions est d'accélérer les applications effectuant des opérations de chiffrement et de déchiffrement utilisant l'Advanced Encryption Standard (AES).

Nouvelles instructions[modifier | modifier le code]

Instruction	Description^[2]
`AESENC`	Effectue un tour de chiffrement AES
`AESENCLAST`	Effectue le dernier tour de chiffrement AES
`AESDEC`	Effectue un tour de déchiffrement AES
`AESDECLAST`	Effectue le dernier tour de déchiffrement AES
`AESKEYGENASSIST`	Aide à la génération des clés de tour AES
`AESIMC`	Aide à l'opération Inverse Mix Columns
`PCLMULQDQ`	Multiplication « Carry-Less » (CLMUL)^[3].

Architectures Intel et AMD x86[modifier | modifier le code]

Intel^[4]
- Processeurs Intel Westmere :
  - Processeurs Intel Westmere-EP (Xeon 56xx) (aussi appelés Xeon Gulftown séries 5600 DP server).
  - Processeurs Intel Clarkdale (sauf les Core i3, Pentium et Celeron).
  - Processeurs Intel Arrandale (sauf les Celeron, Pentium, Core i3 et Core i5-4XXM).
- Processeurs Intel Sandy Bridge :
  - Processeurs pour PC de bureau : tous sauf les Pentium, Celeron et Core i3^[5]^,^[6].
  - Processeurs pour PC portables : tous les Core i7 et Core i5. Plusieurs fabricants ont fourni des configurations de BIOS désactivant l'extension^[7]. UNe mise à jour du BIOS est nécessaire pour la réactiver^[8].
- Processeurs Intel Ivy Bridge
  - Tous les processeurs i5, i7 et Xeon, et le processeur i3-2115C^[9].
- Processeurs Intel Haswell (tous sauf l'i3-4000m^[10], les Pentium et les Celeron).
- Le site d'Intel liste tous ses processeurs supportant le jeu d'instructions AES-NI^[11]
AMD
- Microarchitecture AMD Bulldozer^[12].
- Microarchitecture AMD Piledriver.
- Microarchitecture AMD Steamroller.
- Microarchitecture AMD Jaguar.
- Microarchitecture AMD Puma.
- Microarchitecture AMD Zen.

Accélération matérielle sur d'autres architectures[modifier | modifier le code]

L'accélération AES est disponible au travers d'instructions non privilégiées sur les processeurs SPARC (T4, T5, M6 et suivants) et ARM récents. Le processeur SPARC T4, disponible depuis 2011, possède des instructions utilisateur effectuant des tours de l'AES^[13]. Ces instructions s'ajoutent à d'autres commandes de chiffrement de plus haut niveau. L'architecture ARMv8-A, annoncée en 2011, qui inclut les processeurs ARM Cortex-A53 et A57 (mais pas les anciens processeurs v7 tels que les Cortex A5,7,8,9,11,15) ont également un jeu d'instructions utilisateur réalisant des tours d'AES^[14]. En août 2012, IBM a annoncé^[15] que sa future architecture Power7+ aura un support matériel d'AES. Les instructions pour toutes ces architectures ne sont pas directement compatibles avec les instructions AES-NI, mais fournissent des fonctionnalités similaires.

Les mainframes IBM z9 et ultérieurs effectuent un chiffrement AES ECB ou CBC en une seule instruction (KM, KMC), grâce au coprocesseur IBM Crypto Express ^[16]. Ces instructions sont de fait plus faciles à utiliser que les instructions AES-NI, mais elles ne peuvent pas être utilisées pour accélérer d'autres algorithmes reposant sur les fonctions de tour d'AES (comme notamment la fonction de hachage Whirlpool).

Processeurs x86 supportés[modifier | modifier le code]

L'accélération AES sur les processeurs VIA x86, AMD Geode et Marvell Kirkwood (ARM, mv_cesa sous Linux) nécessite l'utilisation d'un driver dédié. Les puces suivantes fournissent une accélération matérielle pour AES mais ne gèrent pas le jeu d'instructions AES-NI :

Processeurs AMD Geode LX^[17].
Processeurs VIA
- VIA PadLock^[18]^,^[19].
  - Processeurs VIA C3 Nehemiah C5P (Eden-N)^[20].
  - Processeurs VIA C7 Esther C5J^[21].

Architecture ARM[modifier | modifier le code]

Allwinner
- A10, A20, A30, A31, A80, A83T, H3 et A64 utilisant le Security System^[22].
Broadcom
- BCM5801/BCM5805/BCM5820 utilisant le Security Processor^[19].

L'architecture 64 bits ARMv8 comprend une extension cryptographique optionnelle à son jeu d'instruction basée sur un SIMD avancé, supportant le chiffrement et déchiffrement AES, ainsi que SHA-1, SHA-224 et SHA-256^[23]. Elle est notamment présente dans le Rockchip RK3399^[24].

Le Cortex-A53 ajoute A64, A32, et T32 au module de chiffrement ARMv8 de base^[23].

RISC-V[modifier | modifier le code]

Au niveau de l'architecture RISC-V :

Le module Sipeed M1, comprend un accélérateur pour AES et SHA256^[25].
Les ESP32-C3 et C6, qui utilisent l'architecture RISC-V plutôt qu'Xtensa du premier ESP32, comportent un processeur cryptographique accélérant AES, SHA, RSA, RNG, HMAC, signature digitale et XTS 128 pour flash^[26].

En décembre 2021, RISC-V ratifie 15 nouvelles extension, dont l'extension de chiffrement standard^[27].a

Autres architectures[modifier | modifier le code]

Atmel xmega ^[28] (accélérateur qui s'exécute en parallèle, sans ajout d'instructions spécifiques)

Performance[modifier | modifier le code]

Dans AES-NI Performance Analyzed, Patrick Schmid et Achim Roos ont noté "des résultats impressionnants dans des applications déjà optimisées pour tirer parti des possibilités offertes par AES-NI"^[29]. Une analyse des performances de la bibliothèque Crypto++ a mesuré que la vitesse de chiffrement pour AES en mode GCM passait de 28,0 cycles par octet sur un Pentium 4 sans accélération à 3,5 cycles par octet^[30]^,^[31].

Support logiciel[modifier | modifier le code]

La plupart des compilateurs modernes peuvent générer des instructions AES.

De nombreux logiciels de sécurité et de cryptographie utilisent le jeu d'instructions AES. Cela inclut notamment les composants logiciels suivants :

Cryptography API: Next Generation (CNG) (nécessite Windows)^[32]
L'API de cryptographie du noyau Linux
Java 7 HotSpot
Network Security Services (NSS) versions 3.13 et ultérieures^[33] (utilisés par Firefox et Google Chrome)
Solaris Cryptographic Framework^[34] à partir de Solaris 10
FreeBSD's OpenCrypto API (aesni(4) driver)^[35]
OpenSSL 1.0.1 et ultérieures^[36]
FLAM/FLUC 5.1.08 (publiée le 24 août 2015) et suivantes
Bloombase Cryptographic Module^[37]

Notes et références[modifier | modifier le code]

↑ « Intel Software Network », Intel (version du 7 avril 2008 sur Internet Archive)
↑ Shay Gueron, « Intel Advanced Encryption Standard (AES) Instruction Set White Paper », Intel, 2010 (consulté le 20 septembre 2012)
↑ « Carry-Less Multiplication », Intel
↑ ARK: Advanced Search
↑ AnandTech - The Sandy Bridge Review: Intel Core i7-2600K, i5-2500K and Core i3-2100 Tested
↑ Compare Intel® Products
↑ AES-NI support in TrueCrypt (Sandy Bridge problem)
↑ « Some products can support AES New Instructions with a Processor Configuration update, in particular, i7-2630QM/i7-2635QM, i7-2670QM/i7-2675QM, i5-2430M/i5-2435M, i5-2410M/i5-2415M. Please contact OEM for the BIOS that includes the latest Processor configuration update. », sur ark.intel.com
↑ [1]
↑ (en) « Intel® Core™ i3-4000M Processor (3M Cache, 2.40 GHz) Product Specifications », sur intel.com (consulté le 23 septembre 2020).
↑ Recherche avancée sur les caractéristiques des produits
↑ « Following Instructions », AMD, 22 novembre 2010 (version du 26 novembre 2010 sur Internet Archive)
↑ Dan Anderson, « SPARC T4 OpenSSL Engine », Oracle, 2011 (consulté le 20 septembre 2012)
↑ Richard Grisenthwaite, « ARMv8-A Technology Preview », ARM, 2011 (consulté le 20 septembre 2012)
↑ Timothy Prickett Morgan, « All the sauce on Big Blue's hot chip: More on Power7+ », The Register, 2012 (consulté le 20 septembre 2012)
↑ « IBM System z10 cryptography », IBM (consulté le 27 janvier 2014)
↑ « AMD Geode™ LX Processor Family Technical Specifications », AMD
↑ « VIA Padlock Security Engine », VIA (consulté le 14 novembre 2011)
↑ ^{a et b} Cryptographic Hardware Accelerators on OpenWRT.org
↑ « VIA Eden-N Processors », VIA (consulté le 14 novembre 2011)
↑ « VIA C7 Processors », VIA (consulté le 14 novembre 2011)
↑ Security System driver status
↑ ^{a et b} « ARM® Cortex®-A53 MPCore ProcessorCryptography Extension », sur ARM.com, p. 1.2
↑ « RK3399 datasheet V1.8 », sur Rockchip.fr
↑ (en) « Sipeed M1 – an AI Embedded Platform for Edge Computing », sur electronics-lab.com, 27 novembre 2018
↑ (en) Jean-Luc Aufranc, « ESP32-C3 WiFi & BLE RISC-V processor is pin-to-pin compatible with ESP8266 », sur CNX-Software, 22 novembre 2020
↑ (en) « New Vector, Scalar Cryptography and Hypervisor specifications will help accelerate the adoption of RISC-V across a variety of market segments. », sur RISC-V.org, 2 décembre 2021
↑ « Using the XMEGA built-in AES accelerator », sur atmel.com (consulté le 3 décembre 2014)
↑ P. Schmid et A. Roos, « AES-NI Performance Analyzed », Tom's Hardware, 2010 (consulté le 10 août 2010)
↑ T. Krovetz et W. Dai, « How to get fast AES calls? », Crypto++ user group, 2010 (consulté le 11 août 2010)
↑ « Crypto++ 5.6.0 Pentium 4 Benchmarks », Crypto++ Website, 2009 (version du 19 septembre 2010 sur Internet Archive)
↑ « Intel Advanced Encryption Standard Instructions (AES-NI) », Intel, 2 mars 2010 (version du 7 juillet 2010 sur Internet Archive)
↑ « AES-NI enhancements to NSS on Sandy Bridge systems », sur bugzilla.mozilla.org, 2 mai 2012 (consulté le 25 novembre 2012)
↑ « System Administration Guide: Security Services, Chapter 13 Solaris Cryptographic Framework (Overview) », Oracle, septembre 2010 (consulté le 27 novembre 2012)
↑ « FreeBSD 8.2 Release Notes », FreeBSD.org, 24 février 2011 (consulté le 18 décembre 2011)
↑ OpenSSL: CVS Web Interface
↑ « Bloombase StoreSafe Intelligent Storage Firewall »

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Advanced Vector Extensions (AVX)
RdRand

Liens externes[modifier | modifier le code]

Portail de l’informatique

[1] « Intel Software Network », Intel (version du 7 avril 2008 sur Internet Archive)

[2] Shay Gueron, « Intel Advanced Encryption Standard (AES) Instruction Set White Paper », Intel, 2010 (consulté le 20 septembre 2012)

[3] « Carry-Less Multiplication », Intel

[4] ARK: Advanced Search

[5] AnandTech - The Sandy Bridge Review: Intel Core i7-2600K, i5-2500K and Core i3-2100 Tested

[6] Compare Intel® Products

[7] AES-NI support in TrueCrypt (Sandy Bridge problem)

[8] « Some products can support AES New Instructions with a Processor Configuration update, in particular, i7-2630QM/i7-2635QM, i7-2670QM/i7-2675QM, i5-2430M/i5-2435M, i5-2410M/i5-2415M. Please contact OEM for the BIOS that includes the latest Processor configuration update. », sur ark.intel.com

[9] [1]

[10] (en) « Intel® Core™ i3-4000M Processor (3M Cache, 2.40 GHz) Product Specifications », sur intel.com (consulté le 23 septembre 2020).

[11] Recherche avancée sur les caractéristiques des produits

[12] « Following Instructions », AMD, 22 novembre 2010 (version du 26 novembre 2010 sur Internet Archive)

[13] Dan Anderson, « SPARC T4 OpenSSL Engine », Oracle, 2011 (consulté le 20 septembre 2012)

[14] Richard Grisenthwaite, « ARMv8-A Technology Preview », ARM, 2011 (consulté le 20 septembre 2012)

[15] Timothy Prickett Morgan, « All the sauce on Big Blue's hot chip: More on Power7+ », The Register, 2012 (consulté le 20 septembre 2012)

[16] « IBM System z10 cryptography », IBM (consulté le 27 janvier 2014)

[17] « AMD Geode™ LX Processor Family Technical Specifications », AMD

[18] « VIA Padlock Security Engine », VIA (consulté le 14 novembre 2011)

[openwrt-19] {a et b} Cryptographic Hardware Accelerators on OpenWRT.org

[20] « VIA Eden-N Processors », VIA (consulté le 14 novembre 2011)

[21] « VIA C7 Processors », VIA (consulté le 14 novembre 2011)

[22] Security System driver status

[A53-23] {a et b} « ARM® Cortex®-A53 MPCore ProcessorCryptography Extension », sur ARM.com, p. 1.2

[24] « RK3399 datasheet V1.8 », sur Rockchip.fr

[25] (en) « Sipeed M1 – an AI Embedded Platform for Edge Computing », sur electronics-lab.com, 27 novembre 2018

[26] (en) Jean-Luc Aufranc, « ESP32-C3 WiFi & BLE RISC-V processor is pin-to-pin compatible with ESP8266 », sur CNX-Software, 22 novembre 2020

[27] (en) « New Vector, Scalar Cryptography and Hypervisor specifications will help accelerate the adoption of RISC-V across a variety of market segments. », sur RISC-V.org, 2 décembre 2021

[28] « Using the XMEGA built-in AES accelerator », sur atmel.com (consulté le 3 décembre 2014)

[29] P. Schmid et A. Roos, « AES-NI Performance Analyzed », Tom's Hardware, 2010 (consulté le 10 août 2010)

[30] T. Krovetz et W. Dai, « How to get fast AES calls? », Crypto++ user group, 2010 (consulté le 11 août 2010)

[31] « Crypto++ 5.6.0 Pentium 4 Benchmarks », Crypto++ Website, 2009 (version du 19 septembre 2010 sur Internet Archive)

[32] « Intel Advanced Encryption Standard Instructions (AES-NI) », Intel, 2 mars 2010 (version du 7 juillet 2010 sur Internet Archive)

[33] « AES-NI enhancements to NSS on Sandy Bridge systems », sur bugzilla.mozilla.org, 2 mai 2012 (consulté le 25 novembre 2012)

[34] « System Administration Guide: Security Services, Chapter 13 Solaris Cryptographic Framework (Overview) », Oracle, septembre 2010 (consulté le 27 novembre 2012)

[35] « FreeBSD 8.2 Release Notes », FreeBSD.org, 24 février 2011 (consulté le 18 décembre 2011)

[36] OpenSSL: CVS Web Interface

[37] « Bloombase StoreSafe Intelligent Storage Firewall »

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]