鲲鹏KAE加速未生效！“保护费”交了吗？

众所周知，随着2020年新版《密码法》的出台，以及2023年新版《商用密码管理条例》的颁布履行，使得密码行业产品、系统的国密改造逐渐成为合规性的刚需，这在很大程度上促进了密码行业的快速发展。

与此同时，用户端也迎来两个问题：

一是新增的海量的国密算力需求，单靠传统密码卡能否办理？

二是堆叠密码卡带来的巨大本钱增量，终端用户能否承受，是否乐意买单？（毕竟一张中端密码卡大几千，高端密码卡动辄上万，这可不是小打小闹）

朋友老金所在的金融科技公司该当颇有实力，为相应国家号召，决定不才一代银行核心系统中实现国密算法（商密）的运用进行考试测验。
但核心系统若采取传统密码机方案进行加解密势必要直面上述两大难题。
老金刚好卖力这一块，经由一个多月的全面调研，扒出不少底细，吃瓜不少，吃惊也不小。

刚开始，老金公司内部商榷认为，最有希望办理上面所说的两个问题的路子是，在通用CPU内部集成高性能国密协处理器：一来可以凭借内部高速总线连接、专用硬件加速单元以及高主频上风，极大地提升国密运算性能；二来与大量堆叠密码卡比较，可以很大程度降落用户本钱。

此外，跟传统密码机加密办法比较，这种内置形式还有一些别的优点，比如，采取分布式加解密就近打算的办法，免去了关键数据在做事器和密码机之间的来回传输，既办理了集中式加解密的网络瓶颈问题，又提升了数据安全性。
从主流国产CPU的反应来看，的确也大都选择了这条路线。

那就进入下一步筛查事情吧。
首先，兆芯采取的指令集办法加速sm3和sm4，只具备国密算力加速能力，不具备密钥管理功能，显然无法知足国密二级（各大行业普遍需求的等级）哀求，直接pass。

正要研究一下其它几家的情形，这时候，领导暗示老金可以优先选择鲲鹏试试水。
这倒好，连筛选环节都给省略了。
在领导的强烈“建议”下，老金末了只能选择了鲲鹏。

按照鲲鹏官网先容支配KAE加速模块，前半程还算顺利，但利用openssl speed跑出来的性能数据很差，彷佛并没有被加速。
老金把支配步骤细心心细检讨了很多遍，也没创造什么做的不对的地方，总之KAE便是没生效。

几天后一个有时的机会，在KAE的利用案例中，一行小字终于让老金豁然开朗：原来是没缴“保护费”，难怪KAE不生效。
上证据大家自己看吧：

由于是技能预研，因此老金也没有直接向HW询价，心想也没几个钱，使能一下CPU内部的一个功能模块能花多少钱呢。
结果私下问了密码行业的朋友，差点没给他惊掉下巴，一个license居然要大几千块！
！
！
省下的买密码卡的钱全交给HW了，还要搭上切换方案的移植开拓优化本钱，这是图啥呢？

为了防止信息有误，他还特意又找了其他几个从事密码行业的朋友求证，一个license确实是大几千块。
其余鲲鹏KAE只支持sm3和sm4，不支持sm2，对付核心业务系统中大量利用的署名、验签，以及非对称加解密需求，只能以纯软件的办法运算，或者再增加FPGA加速sm2，这本钱又得呼呼往上窜……

这还没完，鲲鹏KAE供应的也是纯挚的国密算力加速功能，并不具备密钥管理能力。
按照老金的理解，他不可能知足国密二级哀求啊，但是市情上大家都说鲲鹏有国密二级资质！
这是怎么回事，赶紧打开密码局官网查询，这才恍然大悟。

看清楚了，原来是北京数字认证基于鲲鹏的TrustZone机制补充了密钥管理功能，二级资质的委托认证方是数字认证，生产制造方也是数字认证，只不过给产品取名字的时候给鲲鹏挂了个名而已。

不得不说HW这个真真假假的宣扬策略是真的好用，弄得大家都以为鲲鹏芯片本身就有国密二级资质。
这个不是纯挚的资质归谁的问题，而是涉及到用户的切身利益，由于如果要利用他的密钥管理功能，还要向数字认证再交一次“保护费”；如果要连续深度开拓，也须要绑天命字认证一起谈互助。
这个本钱可就远超传统密码机了！

末了，为了防止其他几家CPU的内置密码模块也存在这种“挂名”情形，老金都挨着详细查询了一遍，还好其他几家目前还没创造这种征象。
心有余悸的老金强烈建议，有疑问一定多查多看多问，严防入坑！