醉里挑灯看剑

0%

AES 对称加密介绍以及 Golang AES CBC示例

发表于 分类于

AES(Advanced Encryption Standard)是一种对称加密算法,也称为高级加密标准。它是目前应用最广泛的加密算法之一,可以在保证安全性的同时提供很高的加密和解密速度。

在 AES 加密中,加密和解密使用相同的密钥,因此称为对称加密。这意味着如果密钥泄露,那么加密数据就会面临被破解的风险,因此密钥的安全性非常重要。

AES 加密算法采用分组加密的方式,将明文数据分成固定长度的块(128 位),对每个块进行加密。其中,AES 加密算法共有三种密钥长度:128 位、192 位和 256 位,密钥长度越长,加密安全性越高,但加密和解密的速度也越慢。

AES 加密算法基于替代置换和逆替代置换技术,通过多轮加密和混淆运算来实现加密。由于 AES 加密算法是基于数学原理的安全算法,因此它可以在很大程度上抵御暴力破解和字典攻击等攻击方式。

AES 加密模式

  • ECB(Electronic Codebook)模式:ECB 是最简单的加密模式,将明文数据分成若干个固定大小的块,并对每个块进行单独的加密。它的优点是简单、高效,适用于对称加密和硬件实现。但是,ECB 模式存在重复块和密码本漏洞,易受到攻击,因此不建议使用

  • CBC(Cipher Block Chaining)模式:CBC 模式是最比较经典的加密模式。通过将前一个加密块和当前明文数据进行异或操作,增加了加密的随机性和不可预测性。它的优点是安全性高,具有抵御攻击的能力。

除此之外还有 CFB(Cipher Feedback)模式、OFB(Output Feedback)模式、CTR(Counter)模式等。

由于 ECB(Electronic Codebook)模式的加密方式过于简单,无法保证加密的安全性,因此在实际应用中很少使用。而CFB(Cipher Feedback)和OFB(Output Feedback)模式则与CBC模式类似,都是以前一个密文块为输入来计算下一个密文块,但是它们的性能较差,因此也不常用。

最常用的加密模式是CBC模式。在CBC模式中,每个数据块的加密都依赖于前一个数据块的加密结果,这种依赖关系可以增加加密算法的安全性。此外,CBC模式还需要一个初始向量(IV)来提高加密算法的安全性,该初始向量在加密过程中是随机生成的。

填充方法

最常用的填充方式是PKCS7(Public Key Cryptography Standards #7)填充。PKCS7填充是一种用于对数据块进行填充的标准,它可以在任何数据块长度下都能够正常工作。

Golang 代码示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
import (
	"bytes"
	"crypto/aes"
	"crypto/cipher"
	"encoding/hex"
	"errors"
)

// AesCBCEncrypt Aes CBC 对称加密, key 的长度决定 AES-128, AES-192, or AES-256
func AesCBCEncrypt(text string, key string, iv string) (string, error) {
	textBytes := Bytes(text)
	keyBytes := Bytes(key)
	ivBytes := Bytes(iv)

	block, err := aes.NewCipher(keyBytes)
	if err != nil {
		return "", errors.New(err.Error())
	}

	// 对数据进行填充,使其满足加密块大小,加密块大小为 16 字节
	blockSize := block.BlockSize()
	paddingText := pKCS7Padding(textBytes, blockSize)

	// 创建加密块链,使用 CBC 加密模式,iv 的长度需要和 block.BlockSize() 一致
	mode := cipher.NewCBCEncrypter(block, ivBytes)

	// 加密数据
	cipherText := make([]byte, len(paddingText))
	mode.CryptBlocks(cipherText, paddingText)
	cipherHex := hex.EncodeToString(cipherText)

	return cipherHex, nil
}

// AesCBCDecrypt Aes CBC 对称加密
func AesCBCDecrypt(cipherStr string, key string, iv string) (string, error) {
	cipherBytes, err := hex.DecodeString(cipherStr)
	if err != nil {
		return "", errors.New(err.Error())
	}

	keyBytes := Bytes(key)
	ivBytes := Bytes(iv)

	// 创建解密器
	block, err := aes.NewCipher(keyBytes)
	if err != nil {
		return "", errors.New(err.Error())
	}

	// 创建解密块链
	mode := cipher.NewCBCDecrypter(block, ivBytes)

	// 解密数据
	textBytes := make([]byte, len(cipherBytes))
	mode.CryptBlocks(textBytes, cipherBytes)

	textBytes = pKCS7UnPadding(textBytes)

	return String(textBytes), nil
}

// pKCS7Padding 对数据进行填充,满足加密块大小
func pKCS7Padding(data []byte, blockSize int) []byte {
	padding := blockSize - len(data)%blockSize
	padText := bytes.Repeat([]byte{byte(padding)}, padding)

	return append(data, padText...)
}

// pKCS7UnPadding 去除填充的数据
func pKCS7UnPadding(data []byte) []byte {
	length := len(data)
	unPadding := int(data[length-1])

	return data[:(length - unPadding)]
}