先说一说普通百姓对数据加密的误解。

误解：很多人觉得，安全的数据加密就是用一种外人不知道的方法给数据加上密，加密算法最好是独家研发的，别人都不知道。

真相：全世界用的加密方法都是统一的且算法公开的（没想到吧）。国际上用美国的加密标准，中国是特例，用国产的标准。

如果有人说“我们的加密算法是独家研发的，绝~对~安~全~!”，这绝对是在撒谎。秃子头上的虱子，明摆着的事儿。再安全，还能比国家层面推行的加密标准安全？！

很多人会问：算法都公开了，还安全吗？

安全。算法都公开了，也没人能破解，这才是真正安全的算法。没错，就是这么牛！

好的加密就像武林高手：公开接收任何人的挑战，还没有人能赢他，这才是真正的高手。如果整天说自己是高手，又不敢跟别人过招，这都是假高手，吹牛的高手。

所以，只要是没有公开算法的加密方法，都是不安全的。

这么说有点绝对，国产的SM1就没有完全公开，总让人觉得掖着藏着不够自信。

今天重点说美国的分组加密算法AES（Advanced Encryption Standard，高级加密标准），这也是美国军方的加密算法。

咱们再来看一个常见的误解。

误解：美国的加密标准AES算法是美国人发明的。

真相：AES算法是两个比利时人发明的。而且美国最新的SHA-3算法也是欧洲人设计的（欧洲意法半导体和恩智浦的密码学家联合设计），且算法公开。

正因为AES不是美国人和美国政府发明的，所以它全球流行，不用担心美国留后门（流行的原因之一）。

2003年6月，美国政府宣布AES算法可以用于加密机密文件和绝密文件。

在之前的文章“戏说密码学(2):密码破译方法”中我们提到过，20世纪70年代时，商业上（尤其是银行业）对数据加密的强烈要求促使美国推出了全球首个数据加密标准DES。

有人问，别的国家用美国的加密算法，还能安全吗？

这是个好问题！

尽管DES算法最初是IBM公司提供的，但美国国家安全局（NSA）“深度”参与了算法的修改。要知道，NSA是美国的特务机构，不是善男信女，要说它没动手脚没留后门，连美国人都不相信。所以人们担心是有道理的。

DES算法从发布到退役，一直都处在舆论的风口浪尖上。它的发布者，美国的标准局，也备受指责，脊梁骨没少被戳。

这也使得美国标准局痛定思痛，决心摆脱NSA这个声名狼藉的猪队友，创造新的发明了AES算法的选择方式——选秀。

你没看错，我也没写错，AES的确是选秀出身，而且是全球选秀。如今国内的娱乐节目中选秀比比皆是，这么看来，美国的标准局还是很有商业头脑的。

和选秀节目不同的是，AES的选秀过程相当漫长。从1997年1月一直选到2000年10月，来来回回选了近4年的时间。

为什么这么长时间？作为DES算法的继任者，AES算法涉及到美国甚至全球金融、军事、商业等领域的安全，不是长得帅、脸蛋儿白、家里有钱就能蒙混过关的。

最初从全球征集了15个候选算法（不用记，大部分算法都是过眼云烟）：CAST-256, CRYPTON, DEAL, DFC, E2, FROG, HPC, LOKI97, MAGENTA, MARS,

RC6, Rijndael, SAFER+, Serpent, 和 Twofish。

密码学家们讨论了每个算法的优缺点，不光要安全，还要在软件、硬件（包括各种处理器架构、智能卡等）上易于实现，速度快。有些算法因安全上的缺陷被否定，有些则因为性能不佳被排除。为此美国标准局在1998年和1999年开了两次研讨会，最终选出了5个算法进入决赛：MARS，RC6，Rijndael，Serpent和Twofish（说来也巧，这几个算法的首字母都靠后）。咱们来看看他们进入决赛时的成绩：

第一名：Rijndael，86票赞成，10票反对；

第二名：59票赞成，7票反对。

第三名：31票赞成，21票反对。

第四名：23票赞成，37票反对。（来自RSA公司的RC6）

第五名：13票赞成，84票反对。（来自IBM的Mars）

最终Rijndael算法胜出，成为AES算法，2001年正式成为美国联邦标准。

Rijndael算法并不是美国人发明的，而是两个比利时人发明的。AES算法的安全性以及选举过程，都得到了好评。发明人之一的Joan Daemen后来又参与设计了SHA-3算法（2012），不愧是加密界的高手高手高高手！

AES是全球最流行的对称加密算法，我们计算机的CPU（包括Intel和AMD）里内置了AES指令。

AES算法是公开的，至今为止，尚未找到有效的破解方式，安全性值得信赖。

AES算法有三种：AES-128, AES-192和AES-256，后面的数字表示密钥的位数。很明显，AES-256是最强壮的，密钥空间是2^256. 它们单次能够加密128比特数据，也就是16字节。

嗯？单次只能加密16字节数据？现在手机随便拍张照片也有好几MB，怎么加密？

这又是个好问题。

有人说，这还不简单，无论多大的文件，按16字节一块，划分成多个块，逐块加密，直到把所有数据都加密完为止。

上面的方法看似可行，其实有很大的安全隐患：因为相同的明文加密后会得到相同的密文。

有人会说：当然！相同的明文加密后肯定得到相同的密文，这很正常啊，有问题吗？

有！而且很严重！

举个例子吧。图1中，左边是原始图片（不是QQ，是Linux），中间是用AES逐块加密后的图片（逐块加密模式被称为ECB模式）；右边是用改进的AES-CBC模式加密后的图片。看出逐块加密的问题了吧，尽管加了密，仍能看出其中的企鹅。

图1. （左边）原图片；（中间）AES-ECB逐块加密后的图片；（右边）AES-CBC模式加密后的图片

这是因为白色的背景由相同的数据组成，加密后生成相同的密文。尽管从局部看密文是随机的，但整体上人眼还是能分辨出其中的图案。

用专业的属于讲，问题在于：明文的统计属性在密文中得到了保留。这是加密算法的大忌。

怎么办才能让相同的明文加密成不同的密文呢？

还记得我们在“(3)哈希函数与密码破译”中说到hash算法时提到的“加盐”操作吗？简单的说，同样的两杯水，随机往里加点盐，味道就会不一样。这个方法也可以用到AES加密里（瞧，很多看似高深的理论，通常都来源于日常的生活）。最右边的图就是加盐后的加密图片，完全看不出企鹅图形。

往AES算法里加盐的方法有很多，由此产生了若干个AES加密模式，常用的是CBC模式和XTS模式。

CBC模式在软件加密领域非常流行。CBC模式加密前，先要生成一个随机的盐值（学名叫IV，Initial Value，初始值）。加解密过程如下（用文字不好解释，直接看公式）：

加密每个文件时，都产生一个随机的IV，这样即使是相同的文件，由于IV不同，加密后的数据也不同。

CBC模式非常流行，但有个问题：密文数据量比明文要大，为什么呢？

首先，密文里要保存盐值（IV）；其次，明文不是16字节的整数倍时，要填充到整数倍，导致密文变大。

这对软件来说不算事儿，但对底层的硬磁盘来说，会带来设计上的麻烦。

如果仔细看公式的话，我们会发现CBC模式无法并行加密，但可以并行解密。

XTS模式是为硬磁盘加密量身定制的：在加密数据时，会把数据的扇区地址和块地址作为盐（因此无需额外的IV），且有更好的数据填充机制，使得明文和密文的大小完全相同，不会造成存储空间的浪费。在硬磁盘中，相同数据的扇区地址和块地址不会完全一样，因此不会得到相同的密文。

Windows 10中的BitLocker，macOS(10.7)中的FileVault2用的都是AES-XTS模式。开源软件TrueCrypt和VeraCrypt也用这种模式，国内有些加密软件是基于VeraCrypt的（这个咱们以后再讲）。

现在市面上的加密移动硬盘和加密U盘大多数使用AES-XTS模式，早期的产品也有使用CBC模式的。Win7和Win8/8.1的BitLocker使用的也是AES-CBC模式。

有人会问：既然XTS模式这么好，为何软件上不用呢？

这是个好问题。

原因是，在软件读写数据时，不会涉及到数据在硬磁盘中的扇区地址和块地址的信息。简言之，XTS模式是为硬件存储设备设计的，不是给软件设计的。

那么，怎样才能破解AES算法呢？

答案就藏在中国功夫的精髓里：天下武功，无坚不破，唯快不破。

重点：火云邪神手里夹的不是烟头，是子弹！

图2. 《功夫》01:08:08

要破解AES-256，需要多长时间呢？

截止到2018年8月11日，全球最快的超级计算机是美国的“顶点”（Summit），峰值速度是20亿亿次/秒（200PLOPS，即2×10^17）。排名第二的中国神威太湖之光的峰值速度是12.5亿亿次/秒。

假设“顶点”每次运算都能破译一个AES秘钥（实际没有这么快），要破解AES-256，需要1.8×10^52年，大约是（18000亿亿亿亿亿亿年）。

全球现在大概有70亿人口，假设每人都有一台“顶点”，一起破解，仍需要257亿亿亿亿亿年。

所有，不要幻想着去暴力破解AES算法。

举个例子吧，还记得2017年爆发的WannaCry勒索病毒吗？攻击了超过150个国家的电脑。它用的就是AES算法。

再说个破解的误区吧。

想破解别人加密的数据，不一定要破解加密算法。

就好比要想入室盗窃，不要想着刨开几十厘米厚的水泥墙。有很多简单的方法，比如偷钥匙、从窗户进入等等。

无数的事实证明，“坑蒙拐骗偷”通常是最有效的方式。只要想办法拿到密码，就大功告成。

当然，政府是不鼓励“坑蒙拐骗偷”的，尽管各国的间谍乐此不疲。

徐红伟@百香果科技