问题描述
最近在工作中,我们有一个新员工参与我们的一个项目,该项目通过 PHP 的钠扩展利用 AES-256-GCM 加密和解密。由于我们都使用 Macbook,新员工收到了一台 2020 款配备 M1 芯片的 Macbook Pro。
启动和运行上述项目的第一次尝试是使用 HomeBrew 设置,它运行以下组件:
我们很快注意到 <!DOCTYPE html>
{% load static %}
<html lang="en">
<head>
<Meta charset="UTF-8">
<Meta http-equiv="X-UA-Compatible" content="IE=edge">
<Meta name="viewport" content="width=device-width,initial-scale=1.0">
<title>Blood Donation</title>
<!-- Latest compiled and minified CSS -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0/css/bootstrap.min.css"
integrity="sha384-Gn5384xqQ1aoWXA+058RXPxPg6fy4IWvTNh0E263XmFcJlSAwiGgFAW/dAiS6JXm" crossorigin="anonymous">
<link rel="stylesheet" href="{% static 'css/master.css'%}">
</head>
<body>
<nav class="navbar navbar-expand-lg navbar-light bg-light navbar-static-top">
<div class="container">
<a class="navbar-brand" href="{% url 'index' %}">Blood<span>Donation</span></a>
<button class="navbar-toggler" type="button" data-toggle="collapse" data-target="#navbarSupportedContent"
aria-controls="navbarSupportedContent" aria-expanded="false" aria-label="Toggle navigation">
<span class="navbar-toggler-icon"></span>
</button>
<div class="collapse navbar-collapse" id="navbarSupportedContent">
<ul class="navbar-nav mr-auto">
<li class="nav-item item-one active">
<a class="nav-link" href="{% url 'index' %}">Home <span class="sr-only">(current)</span></a>
</li>
<li class="nav-item">
<a class="nav-link" href="#">Search</a>
</li>
<li class="nav-item">
<a class="nav-link" href="#">Contact Us</a>
</li>
</ul>
<div class="">
<ul class="navbar-nav ml-auto">
<!-- <li class="nav-item"><a class="nav-link" href="{% url 'basic_app:register' %}">Register</a></li> -->
{% if user.is_authenticated %}
<li class="nav-item"><a class="nav-link"
href="{% url 'basic_app:profile' pk=user.id %}">Profile</a></li>
<li class="nav-item"><a class="nav-link" href="{% url 'logout' %}">logout</a></li>
{% else %}
<li class="nav-item"><a class="nav-link" href="{% url 'basic_app:register' %}">Register</a></li>
<li class="nav-item"><a class="nav-link" href="{% url 'basic_app:user_login' %}">Login</a></li>
{% endif %}
</ul>
</div>
</div>
</div>
</nav>
<div class="container">
{% block body_block %}
{% endblock %}
</div>
</body>
</html>
在我们的代码中返回 false,表明 Macbook 的硬件不支持 AES-256-GCM。另一方面,运行 sodium_crypto_aead_aes256gcm_is_available() 给了我们这个列表:
openssl list-cipher-algorithms | grep "GCM"运行 id-aes128-GCM
id-aes192-GCM
id-aes256-GCM
id-aes128-GCM
id-aes192-GCM
id-aes256-GCM
也返回了预期的输出,所以 openssl 似乎可以访问/能够使用它。
openssl speed -elapsed -evp aes-256-gcm使用该项目的 dockerized 版本的第二次尝试产生了相同的结果,并且还声称带有 AEAD 的 AES-256-GCM 不受硬件支持,这是意料之中的,因为它在相同的主机硬件上运行。这是使用来自 dockerhub 的官方 PHP 7.4 映像完成的。
关于 M1 芯片、AES-256-GCM 使用 (lib)sodium 和 PHP 的组合是否存在任何已知问题?我们花了几天时间在这里和支持板上搜索,但这种组合似乎非常小众。目前,我建议每个开发人员都继续使用基于 Intel 的 Macbook,因为该平台上的一切都是开箱即用的。
到目前为止,我们已经检查了以下内容:
- 在 PHP 中启用了 ext-sodium?是的
- 它可以在使用 HomeBrew 的基于 Intel 的 Macbook Pro 上运行吗?是的
- 它是否适用于使用 Docker (compose) 的基于 Intel 的 Macbook Pro?是的
- OpenSSL 是否支持 AES-256-GCM?是的
解决方法
在 Apple 支持论坛上的 further inquiry 之后,他们向我指出了 libsodium 中没有完全提供 ARM 硬件加速支持的方向。一个名为 Support for AES and GCM instructions on ARM processors #363 的 GitHub 问题进一步表明,鉴于该问题于 2016 年开放并于 2018 年突然关闭,似乎短期内没有立即执行此操作的计划。
如果您的项目将在任何地方开发或将在 ARM 架构上运行,我目前建议将 OpenSSL 用于 AES-256-GCM。他们似乎已经为 ARM 环境实现了硬件加速。