AES-NI技术背景

AES-NI（Advanced Encryption Standard New Instructions）是Intel和AMD处理器提供的一组指令集扩展，专门用于加速AES加密算法。对于需要频繁进行加密/解密操作的应用场景（如VPN服务器、加密文件系统等），启用AES-NI可以显著提升性能。

检查CPU支持情况

首先确认你的处理器是否支持AES-NI：

grep aes /proc/cpuinfo
# 或使用更详细的命令
lscpu | grep -i aes

如果输出中包含"aes"字样，说明你的CPU支持该指令集。

Debian内核支持情况

现代Debian发行版（Stretch/Buster/Bullseye及以后）的内核默认已启用AES-NI支持。可以通过以下命令验证：

zgrep AESNI /proc/config.gz
# 或检查内核配置
cat /boot/config-$(uname -r) | grep CONFIG_CRYPTO_AES_NI_INTEL

如果输出显示CONFIG_CRYPTO_AES_NI_INTEL=y，则表示支持已启用。

实际性能测试

使用cryptsetup测试AES-NI的实际效果：

# 创建测试文件
dd if=/dev/zero of=test.img bs=1M count=1024

# 设置加密设备（使用AES-CBC算法）
cryptsetup benchmark --cipher aes-cbc-essiv:sha256

# 对比启用和禁用AES-NI的性能
echo 0 > /sys/module/aesni_intel/parameters/enabled
cryptsetup benchmark
echo 1 > /sys/module/aesni_intel/parameters/enabled
cryptsetup benchmark

应用场景优化

对于LUKS加密卷，可以显式指定使用AES-NI：

cryptsetup luksFormat --cipher aes-xts-plain64 --key-size 512 /dev/sdX

在OpenVPN配置中启用AES-NI加速：

cipher AES-256-CBC
auth SHA256

常见问题排查

如果发现AES-NI未生效，可以尝试：

# 加载内核模块
modprobe aesni_intel

# 检查模块是否加载
lsmod | grep aes

# 更新微码（某些CPU需要）
apt install intel-microcode

虚拟机环境注意事项

在KVM/QEMU虚拟机中，需要显式启用CPU特性：

<cpu mode='host-passthrough'>
  <feature policy='require' name='aes'/>
</cpu>