详解 AES 加密模式

AES 加密模式概述

AES（高级加密标准）支持多种加密模式，每种模式在安全性、性能和适用场景上有所不同。以下是常见模式的详细说明：

---

ECB（电子密码本模式）

• 原理：将明文分成固定大小的块，每块独立加密，密钥相同。
• 特点：
  • 简单高效，支持并行加密。
  • 相同明文块生成相同密文块，易受重放攻击。
  • 不推荐用于加密大量数据或需要高安全性的场景。
• 公式： $$ C_i = E_k(P_i) $$ 其中 (C_i) 为密文块，(P_i) 为明文块，(E_k) 为加密函数。

---

CBC（密码块链接模式）

• 原理：每个明文块与前一个密文块异或后再加密，初始块使用IV（初始化向量）。
• 特点：
  • 安全性高，相同明文块生成不同密文块。
  • 不支持并行加密，解密时可并行。
  • 需确保IV唯一且不可预测。
• 公式： $$ C_i = E_k(P_i \oplus C_{i-1}), \quad C_0 = IV $$

---

CFB（密码反馈模式）

• 原理：将前一个密文块加密后与当前明文块异或，生成密文。
• 特点：
  • 支持流加密，可处理实时数据。
  • 需同步IV，错误传播影响后续块。
• 公式： $$ C_i = P_i \oplus E_k(C_{i-1}), \quad C_0 = IV $$

---

OFB（输出反馈模式）

• 原理：密钥流通过加密IV生成，与明文异或得到密文。
• 特点：
  • 密钥流可预计算，错误不传播。
  • IV需唯一，否则安全性降低。
• 公式： $$ K_i = E_k(K_{i-1}), \quad K_0 = IV \ C_i = P_i \oplus K_i $$

---

CTR（计数器模式）

• 原理：使用计数器值加密后与明文异或，计数器通常逐块递增。
• 特点：
  • 支持并行加解密，无错误传播。
  • 计数器需唯一，避免密钥重用。
• 公式： $$ C_i = P_i \oplus E_k(\text{Nonce} \parallel \text{Counter}_i) $$

---

GCM（伽罗瓦/计数器模式）

• 原理：结合CTR模式和伽罗瓦域乘法，提供加密和认证。
• 特点：
  • 高效且支持并行处理。
  • 提供完整性和机密性，适合网络传输。
• 公式：
  • 加密同CTR，认证标签通过密文和附加数据计算。

---

模式选择建议

• 安全性优先：GCM（认证加密）或 CBC（需配合HMAC）。
• 性能优先：CTR 或 OFB（流加密）。
• 遗留系统：ECB（仅限简单场景）。

注意：所有模式需确保密钥安全，IV/Nonce唯一，避免侧信道攻击。