在互联网早期，一个 IP 地址只对应一个网站，服务器只需要返回唯一的证书即可，不需要 SNI。但随着虚拟主机技术的普及，一个 IP 地址会承载几十、上百个不同的域名，每个域名都有自己独立的 SSL 证书。这时问题就出现了：TLS 握手的第一步，客户端就需要服务器返回对应的 SSL 证书，来验证服务器的身份；但服务器不知道客户端要访问哪个域名，就不知道该返回哪个证书。这就形成了一个 “先有鸡还是先有

本文深入解析了SPAKE2+密码认证密钥交换协议的技术原理与实现。SPAKE2+基于椭圆曲线密码学，允许通信双方仅凭共享低熵密码即可在不安全信道完成安全认证和密钥协商。文章详细介绍了协议的数学基础（包括椭圆曲线点运算、大数模运算等）、核心流程（注册阶段和包含四个步骤的认证阶段），并基于openHiTLS开源库分析了关键数据结构、内存管理、转录计算和密钥派生等实现细节。SPAKE2+具有抵抗字典攻击

本文深入解析华为云密钥管理系统（KMS）的三类核心数据加解密方案：敏感信息对称加密适用于4KB以下小数据，采用CMK直接操作；信封对称加密通过"CMK+DEK"双密钥体系处理海量数据；RSA非对称加密解决跨主体传输安全问题。三类方案在密钥架构、性能表现和数据规模上各具特点，企业需根据实际场景进行技术选型。文章还总结了密钥管理、代码配置等安全最佳实践，强调华为云KMS通过标准化密

ARM CCA（机密计算架构）是专为云环境设计的安全革新方案，通过引入"领域世界"（Realm）形成三世界架构（REE/TEE/Realm），解决传统TEE在云场景下的局限性。其核心创新包括：动态创建的硬件隔离飞地（Realm）、可信代理RMM实现管理解耦、三世界安全切换机制。该架构支持多租户机密计算，允许运行完整OS，将Hypervisor从可信计算基中移除，为医疗金融等行业

AES-TBOX技术通过预计算查表优化AES算法性能，将SubBytes、ShiftRows和MixColumns操作合并为4个32位查找表（TE0-TE3），实现"空间换时间"的加密加速。openHiTLS开源项目采用该技术，通过8KB静态表和宏定义轮操作，将传统AES的逐字节计算转为批量查表处理，提升加解密速度2-3倍。该方案特别适合无硬件加速的高并发场景，但需权衡8KB内

摘要：量子计算的崛起对传统密码体系构成严峻威胁，尤其是Shor算法能破解RSA、ECC等主流加密算法。后量子密码学应运而生，其中FrodoKEM基于格的LWE问题构建，具有高安全性但效率较低。FrodoKEM已获多国政府推荐，适用于长期数据保护、军事通信等高安全场景。尽管在性能上不如Kyber等算法，但FrodoKEM凭借更保守的安全假设和抗量子攻击能力，成为后量子密码体系的重要选择。未来需通过硬

轻量级分组密码为物联网设备提供高效安全防护，通过精简轮函数、紧凑S盒和高效运算组合（如ADD-ROTATE-XOR）实现资源优化。PRESENT（硬件友好）、SPECK/SIMON（软件高效）是三大代表算法，分别适用于不同场景。PRESENT适合RFID等硬件受限设备，SPECK/SIMON在嵌入式系统中表现优异。这些算法展现了轻量级密码"按需设计"理念，为物联网安全奠定基础，

华为谢尔德实验室向openHiTLS社区贡献了FrodoKEM后量子密钥封装算法的高质量实现代码。FrodoKEM是基于无结构格路线的抗量子密码算法，已进入ISO/IEC国际标准草案，能有效应对量子计算威胁。此次开源贡献不仅展示了华为在后量子密码领域的技术实力，还进一步完善了openHiTLS社区的后量子密码算法矩阵，为构建安全开放的抗量子密码生态提供新动力。随着量子计算发展，传统RSA、ECC等

华为谢尔德实验室向openHiTLS社区贡献ClassicMcEliece后量子密钥封装算法代码。该算法基于编码理论，具有安全性高、运算效率优等特点，是NIST和ISO/IEC认可的抗量子方案。此次开源丰富了openHiTLS的后量子密码算法矩阵，为构建多元安全的抗量子密码生态注入新动能。面对量子计算的威胁，该技术为TLS、IPSec等关键场景提供"量子安全"的密钥交换能力。

openHiTLS不仅支持国际主流密码算法和国家商用密码算法，更前瞻性地集成了的ML-KEM、ML-DSA、SLH-DSA后量子密码算法及国产创新性后量子密码算法，如Scloud+等，为应对量子计算时代的安全挑战提供技术储备。为通过开源协作机制加速国产PQC算法的研发与工程化落地，openHiTLS推出“PQCP密码创新仓”平台，该平台汇聚高校、企业及科研机构的创新力量，构建了从算法设计、验证到实