如果你在网上填过信用卡信息、转过账、或者登录过任何安全网站,你的数据很可能就是被AES加密的。这个名字你可能听过,但具体它是怎么工作的,为什么它是"黄金标准",128位和256位有什么区别——这些问题可能就没那么清楚了。今天咱们来把这个话题说透。
AES是怎么来的?
在说AES之前,得先提一下它的"前任"——DES(Data Encryption Standard)。DES在1977年成为美国政府加密标准,在接下来的二十多年里被广泛使用。但随着计算能力的发展,DES的56位密钥长度开始显得太短了。1998年,一台价值22万美元的专用机器能在56小时内破解DES。
1997年,NIST(美国国家标准与技术研究院)决定面向全球征集新的加密标准。这场竞赛很有意思:全世界的密码学家都可以提交方案,大家公开讨论、分析、攻击,最终选出最优者。这种"公开竞争"的方式后来成为了密码学标准化的典范。
2001年,经过激烈竞争,Rijndael算法胜出,正式成为AES(Advanced Encryption Standard)。它由两位比利时密码学家Joan Daemen和Vincent Rijmen设计,所以名字是两者的名字组合。
AES的工作原理
AES是一种分组加密算法——它把数据切分成固定大小的块(每块128位,即16字节),然后对每个块独立加密。AES的密钥长度可以是128位、192位或256位,对应的加密轮数分别是10轮、12轮和14轮。
每轮加密包含四个步骤:
- SubBytes(字节替换):把每个字节通过一个非线性S盒替换。S盒是一个精心设计的16×16的查找表,每个可能的字节值都有唯一的替代值。这个步骤提供非线性性。
- ShiftRows(行移位):把数据矩阵的每一行向左循环移动不同的位数。第0行不移动,第1行移动1字节,第2行移动2字节,第3行移动3字节。这个步骤提供扩散。
- MixColumns(列混合):把每列视为GF(2⁸)域上的多项式,与一个固定多项式相乘。这个步骤进一步混合数据,让雪崩效应传播到整个块。
- AddRoundKey(轮密钥加):把当前密钥与数据矩阵进行异或操作。密钥通过密钥调度算法从主密钥扩展而来。
最后一轮不执行MixColumns(因为加密后再混合没有意义,只会增加计算量)。解密过程就是把这些步骤反过来执行——逆字节替换、逆行移位、逆列混合、逆轮密钥加。
128位 vs 192位 vs 256位:选哪个?
这个问题经常被问到。最常见的建议是:如果不确定,选256位。
原因有几个方面。首先,256位的安全性确实更高——不是因为密钥更长更难暴力破解(实际上128位已经足够安全了),而是因为在某些理论上和侧信道攻击中,256位提供了更宽的安全裕度。
其次,很多安全标准和规范要求使用256位。比如美国政府处理机密信息(Top Secret级别)时,要求使用AES-256。这是硬性规定,没有讨价还价的余地。
当然,性能上128位和256位差距很小——在大多数硬件上,AES的每轮操作被设计成可以用硬件指令加速(比如Intel的AES-NI指令集),差距几乎可以忽略不计。除非你是在资源极其受限的嵌入式设备上做大量加密,否则选256位不会有明显性能损失。
加密模式:CBC、GCM、ECB……选哪个?
AES只定义了如何加密单个128位数据块。但实际数据往往比16字节长得多,而且有各种安全需求。所以人们又在AES之上设计了不同的"加密模式"来解决这些问题。
ECB模式(不推荐)
最简单的模式:把数据切成块,每块独立加密。问题在于:相同的明文块总是产生相同的密文块。这意味着从密文可以看得出原始数据的结构模式——这是个严重的安全漏洞,基本等于没加密。所以ECB模式不推荐使用。
CBC模式(最常用)
Cipher Block Chaining模式:每个明文块在加密前,先和前一个密文块进行异或,然后再用密钥加密。这样每个块的加密结果都依赖于前面的所有块,形成"链"。第一个块没有前驱,需要一个初始向量(IV)。
CBC是目前最广泛使用的模式之一,适合文件加密和一般数据传输。解密时需要知道IV(不需要保密,但必须是随机的且不能重复使用)。
GCM模式(推荐用于网络通信)
Galois/Counter Mode是更现代的模式,结合了加密和认证。它不仅加密数据,还生成一个认证标签(类似数字签名)。接收方可以用这个标签验证数据是否被篡改过——这叫"认证加密"(Authenticated Encryption)。
TLS 1.3(现在HTTPS用的协议)要求使用AEAD(Authenticated Encryption with Associated Data)模式的密码套件,GCM是最常用的选择之一。如果你做网络安全相关的开发,GCM基本上是必选的。
CTR和OFB模式
这两种模式把分组加密变成流加密。它们用一个递增的计数器生成密钥流,然后用密钥流与明文异或。适合处理数据流或需要随机访问的场景。
AES的侧信道攻击
即使算法本身在数学上无懈可击,实现也可能泄露信息。侧信道攻击(Side-Channel Attack)就是利用加密系统在物理实现中泄露的"副作用"——比如加密时CPU的功耗变化、电磁辐射、计算时间差异——来推断密钥。
最著名的例子是2017年发现的"Trumpet"攻击,可以让攻击者从Intel处理器中提取AES密钥,只需要通过测量供电电压的微小波动。这类攻击不是针对AES算法本身,而是针对特定的硬件实现。
防御侧信道攻击的方法包括:恒定时间实现(避免计算时间依赖数据)、电源隔离、随机化执行顺序等。软件层面上,用经过审计的密码学库(比如libsodium、OpenSSL的最新版本)比自己写AES实现要安全得多。
AES在实际中的应用
AES无处不在。下面是几个你每天都会接触到的例子:
- HTTPS/TLS:TLS握手时,AES-GCM或AES-CBC被用来加密传输中的数据。浏览器和服务器之间几秒钟内交换的数据,都是AES在保护。
- WiFi(WPA2/WPA3):你的无线路由器和手机之间的无线通信,用AES加密。即使有人在旁边用抓包工具,也只能看到一堆密文。
- 文件加密:BitLocker、FileVault、 VeraCrypt等全磁盘加密工具,都使用AES。密码管理器(如1Password、Bitwarden)的金库加密也用AES。
- 移动设备:iPhone的硬件加密、Android的全盘加密,都离不开AES。苹果的Secure Enclave处理器专门加速AES操作。
- VPN:大多数VPN协议(WireGuard、IPsec等)都用AES来加密隧道中的数据。
总结
AES是当代最重要的对称加密算法。它设计精巧、实现高效、安全性经过了二十多年的全球密码学家审查,仍然没有发现实质性弱点。无论是保护你的网银转账还是加密云端文件,AES都是最可靠的选择之一。
如果想亲手体验AES加密,可以试试我们的AES在线加密工具,支持多种密钥长度和加密模式。对称加密的核心原理也建议读一读我们的对称与非对称加密对比这篇文章。