AES(高级加密标准).

AES 是一种由 NIST 在 FIPS 197 中标准化的对称分组密码。Vincent Rijmen 与 Joan Daemen 的 Rijndael 设计在一场为期五年、旨在取代 DES 的公开竞赛中击败了十四个对手(包括 Twofish、Serpent、RC6 和 MARS)。NIST 于 2000 年 10 月 2 日宣布 Rijndael 获胜,并于 2001 年 11 月 26 日发布 FIPS 197。它以 128 位为分组进行加密,密钥长度可为 128、192 或 256 位,分别执行 10、12 或 14 轮运算——每一轮均由作用于 4×4 字节状态的 SubBytes(非线性 S-box)、ShiftRows、MixColumns 和 AddRoundKey 组成。

运行模式比密码本身更为关键:ECB 会泄露分组模式,绝不应使用;CBC 与 CTR 仅提供机密性;而认证模式——AES-GCM、AES-CCM、AES-GCM-SIV——还能检测篡改。GCM 对 nonce 重用十分脆弱:在同一密钥下重复使用同一个 IV,可能泄露 GHASH 认证子密钥并伪造消息。

迄今公开的最强攻击仍是 2011 年由 Bogdanov、Khovratovich 和 Rechberger 提出的 biclique 密码分析,它能以约 2¹²⁶·¹ 次运算恢复 AES-128 密钥——相较于暴力破解仅提速约四倍,因此 AES 在实践中仍未被攻破。真正的风险在于实现层面:针对软件 T-tables 的缓存计时侧信道攻击促使业界转向常量时间的硬件实现(自 2010 年起的 Intel AES-NI、ARMv8 加密扩展)。Grover 量子算法只会将密钥的有效强度减半,这正是 AES-256 成为后量子时代稳妥之选的原因。

flowchart LR
  PT[128-bit mingwen fenzu] --> AK0[AddRoundKey]
  K[Mizu 128 192 256] --> KE[Mizu kuozhan wei lunmizu]
  KE --> AK0
  AK0 --> R{Di 1 zhi n-1 lun}
  R --> SB[SubBytes S-box]
  SB --> SR[ShiftRows]
  SR --> MC[MixColumns]
  MC --> AKn[AddRoundKey]
  AKn --> R
  R --> FR[Zuihou yi lun wu MixColumns]
  FR --> CT[Miwen fenzu]