第二部分：使用LLVM的optnone改进Rust加密代码实现

欢迎阅读我们关于实现恒定时间Rust代码挑战系列的第二部分。第一部分讨论了Rust和WebAssembly中恒定时间实现的挑战，以及如何通过优化屏障降低风险。Rust加密社区已提出多种解决方案，本文将重点探索其中一种：在Rust编译器中实现让用户更好控制生成代码的功能特性。

重温恒定时间

恒定时间加密算法的执行时间不随输入变化而变化。虽然并非所有操作都需要相同执行时间，但时序变化绝不能依赖秘密数据。否则攻击者可能推断出秘密信息。然而在编译恒定时间加密代码时，编译器只需保留程序的"可观察行为"，由于缺乏时间概念（除专用编译器外），它可能改变代码的恒定时间特性。

实践中，我们需要通过特殊手段阻止编译器优化精心实现的恒定时间代码。以下是不考虑恒定时间的初始实现：

1
2
3
4

#[inline(never)]
fn conditional_select(a: u32, b: u32, choice: bool) -> u32 {
    if choice { a } else { b }
}

通过#[inline(never)]属性可以更清晰观察优化效果。首先生成LLVM中间代码：

1

rustc --emit llvm-ir,link -C opt-level=0 test.rs

生成的IR包含基于choice变量的条件分支，这会导致信息泄露。

恒定时间实现方案

我们重构为无分支版本：

1
2
3
4
5

#[inline(never)]
fn conditional_select(a: u32, b: u32, choice: bool) -> u32 {
    let mask = -(choice as i32) as u32;
    b ^ (mask & (a ^ b))
}

该实现利用布尔值转换为整数的特性（true=1，false=0），通过位运算避免分支。但在调试构建中，Rust会添加整数溢出检查分支，生产环境会移除该分支。

对抗编译器优化

我们发现优化构建(opt-level=3)会破坏恒定时间特性，将选择操作简化为条件移动指令。解决方案是实现#[optimize(never)]属性，通过LLVM的optnone功能禁用函数级优化。

关键实现步骤包括：

1. 扩展OptimizeAttr枚举增加Never成员
2. 修改属性解析逻辑识别never选项
3. 在代码生成阶段添加LLVM属性：

1
2
3
4
5
6

OptimizeAttr::Never => {
    llvm::Attribute::MinSize.unapply_llfn(Function, llfn);
    llvm::Attribute::OptimizeForSize.unapply_llfn(Function, llfn);
    llvm::Attribute::OptimizeNone.apply_llfn(Function, llfn);
    llvm::Attribute::NoInline.apply_llfn(Function, llfn);
}

实现效果与局限

添加#[optimize(never)]属性后，优化构建也能保持理想的IR指令结构。但需注意：

• 指令选择阶段仍可能影响最终机器码
• X86的X86CmovConverterPass可能将cmov转换为条件分支
• 特定硬件指令（如AMD的除法）可能存在数据依赖时序

总结

用高级语言实现严格恒定时间加密充满挑战。虽然手工汇编能提供更强保证，但会牺牲内存安全性。根本解决方案需要编译器全面支持恒定时间概念。现阶段，optimize(never)属性可作为过渡方案。

完整实现包含测试用例等更多细节，本文展示了加密算法实现与编译器交互的复杂性，为开发安全加密库提供了重要见解。