深入浅出 AES 加密算法与 Go 语言实战
0. 引言:为什么今天还要再写 AES?
AES(Advanced Encryption Standard)自 2001 年被 NIST 钦点成“下一代对称加密标杆”以来,已默默在互联网的每一个角落运转:HTTPS 的 TLS 1.3、Wi-Fi 的 WPA2/3、SSH、IPsec、磁盘加密、区块链钱包、iOS/Android 文件系统……凡是你能想到的“保密”场景,几乎都有 AES 的身影。
Go 语言作为云原生时代的“头牌语言”,在标准库里直接内置了 crypto/aes 与 crypto/cipher,却故意只提供最原子的“块加密”接口——设计者把“如何填充、如何选 IV、如何防重放”全部交给开发者。好处是灵活、可审计;坏处是:稍微一不留神,就会写出“能跑却泄露机密”的玩具代码。
1. 对称加密鸟瞰:从“异或”到“分组”
1.1 一次一密:理想丰满、现实骨感
任何对称算法的“终极原型”都是 One-Time Pad(OTP):
C = P ⊕ K ,且 |K| = |P|,K 真随机且只用一次。
OTP 的“信息论安全”已写进教科书,可现实里我们根本“搞不到”与明文等长的真随机密钥,于是退而求其次——用短密钥生成“看上去随机”的密钥流,这就是“流密码”(RC4、ChaCha20)。
但流密码一旦“重用”就会:
C1 ⊕ C2 = (P1 ⊕ K) ⊕ (P2 ⊕ K) = P1 ⊕ P2
直接泄露两条明文的异或关系,Google 的 SSL/TLS 流量就被这么破解过。
1.2 分组密码:把明文“切块”再“搅拌”
既然“长密钥”不现实,那就把明文切成 固定大小 的块(AES 是 128 bit ≡ 16 B),然后用 密钥控制的非线性置换 搅乱每一组,最后再把各组“拼回去”——这就是 分组密码(Block Cipher)。
分组密码的核心 KPI 只有两条:
-
雪崩效应:输入差 1 bit,输出差接近 50 %;
-
可逆性:同一密钥下加密、解密必须一一对应。
AES 把 128 bit 明文看成 4×4 的“字节矩阵”,在 10/12/14 轮里反复做四种操作:
-
SubBytes(非线性 S-box)
-
ShiftRows(行移位)
-
MixColumns(列混淆)
-
AddRoundKey(与子密钥异或)
每轮都“混淆 + 扩散”一次,最终输出 128 bit 密文块。下面先把“算法骨架”立起来,再用 Go 代码“逐块”验证。
2. AES 算法解剖:从数学到比特
2.1 密钥长度与轮数
| 密钥长度 | 块大小 | 加密轮数 | 名称 |
|---|---|---|---|
| 128 bit | 128 | 10 | AES-128 |
| 192 bit | 128 | 12 | AES-192 |
| 256 bit | 128 | 14 | AES-256 |
注意:块大小永远是 128 bit,轮数变的是“密钥调度”。
2.2 四步曲与逆向四步曲
以加密为例(Fn 表示第 n 轮):
F0 : AddRoundKey
F1~9: SubBytes → ShiftRows → MixColumns → AddRoundKey
F10 : SubBytes → ShiftRows → AddRoundKey (省略 MixColumns)解密就是“逆函数”倒着来:
InvAddRoundKey → InvShiftRows → InvSubBytes → InvMixColumns
2.3 密钥编排:把 16/24/32 B 扩展成 11/13/15 组子密钥
AES 的“每轮子密钥”不是“直接切片”,而是通过 RotWord、SubWord、Rcon 递归生成。Go 标准库里 aes.NewCipher 已经帮你做完,但做审计时你得知道“密钥扩展”是时序攻击重灾区,后文会讲如何“恒定时间”比较。
2.4 Galois 有限域:MixColumns 的乘法
列混淆在 GF(2⁸) 上做多项式乘法,模 0x11B。对硬件极友好,但对软件就可能出现“查表”侧信道。Go 的官方实现用的是 固定时间查表 + 掩码,普通业务代码无需自己写,但做嵌入式要留意 Cache-timing。
3. 分组密码的“单块”只能加密 16 B,如何变“长”?
AES 本身只解决“128 bit ↔ 128 bit”的映射,不会帮你解决:
-
明文不足 16 B 怎么办?
-
明文超过 16 B 怎么拼?
-
密文被篡改如何发现?
-
同一明文为何不能出现同一密文?
于是有了 Mode of Operation——在“裸块密码”外套一层“驾驶舱”。下面把 5 大传统模式 + 1 个认证模式(GCM)掰开揉碎,并给出 Go 的“正确打开方式”。
4. ECB:电子密码本——“菜鸟坑位”
4.1 原理
Ci = AES(PlainBlock_i), 无 IV,无链接。
4.2 缺点
-
同一明文块 → 同一密文块,直接泄露模式;
-
可被“重排”、“替换”攻击;
-
无法隐藏“数据重复”。
4.3 Go 实现(仅供测试)
// ECB 模式官方库里没有,我们自己包一层
type ecbEncrypter cipher.Blockfunc (x ecbEncrypter) BlockSize() int { return x.BlockSize() }func (x ecbEncrypter) CryptBlocks(dst, src []byte) {if len(src)%x.BlockSize() != 0 {panic("crypto/cipher: input not full blocks")}for len(src) > 0 {x.Encrypt(dst, src)src = src[x.BlockSize():]dst = dst[x.BlockSize():]}
}运行结果:同一张 BMP 图片加密后“轮廓”依旧可见,见下图(略)。
结论:ECB 在任何“有语义”的场景都别用,除非你想被老板钉在耻辱柱上。
5. CBC:密码块链接——“经典但挑剔”
5.1 原理
C0 = AES(P0 ⊕ IV)
C1 = AES(P1 ⊕ C0)
...-
必须提供 16 B 随机 IV;
-
解密时任意一块“瞎改”会导致 当前块 + 下一块 解密出错;
-
仍需 填充( PKCS#7 最通用)。
5.2 填充算法 PKCS#7
padLen = blockSize - len(plain)%blockSize
pad = bytes.Repeat([]byte{byte(padLen)}, padLen)5.3 Go 实现(含随机 IV + 填充 + 错误掩码)
package mainimport ("bytes""crypto/aes""crypto/cipher""crypto/rand""errors""io"
)// PKCS#7 填充
func pkcs7Padding(data []byte, blockSize int) []byte {padLen := blockSize - len(data)%blockSizepadding := bytes.Repeat([]byte{byte(padLen)}, padLen)return append(data, padding...)
}// PKCS#7 去填充
func pkcs7Unpadding(data []byte) ([]byte, error) {if len(data) == 0 {return nil, errors.New("empty data")}padLen := int(data[len(data)-1])if padLen > aes.BlockSize || padLen == 0 {return nil, errors.New("invalid padding")}// 恒定时间检查for i := 0; i < padLen; i++ {if data[len(data)-1-i] != byte(padLen) {return nil, errors.New("invalid padding")}}return data[:len(data)-padLen], nil
}// 加密
func aesCBCEncrypt(plainText, key []byte) ([]byte, error) {block, err := aes.NewCipher(key)if err != nil {return nil, err}plainText = pkcs7Padding(plainText, block.BlockSize())ciphertext := make([]byte, block.BlockSize()+len(plainText))iv := ciphertext[:block.BlockSize()]if _, err := io.ReadFull(rand.Reader, iv); err != nil {return nil, err}mode := cipher.NewCBCEncrypter(block, iv)mode.CryptBlocks(ciphertext[block.BlockSize():], plainText)return ciphertext, nil
}// 解密
func aesCBCDecrypt(ciphertext, key []byte) ([]byte, error) {block, err := aes.NewCipher(key)if err != nil {return nil, err}if len(ciphertext) < block.BlockSize() {return nil, errors.New("ciphertext too short")}iv := ciphertext[:block.BlockSize()]ciphertext = ciphertext[block.BlockSize():]if len(ciphertext)%block.BlockSize() != 0 {return nil, errors.New("ciphertext is not a multiple of block size")}mode := cipher.NewCBCDecrypter(block, iv)mode.CryptBlocks(ciphertext, ciphertext) // CBC 支持就地解密return pkcs7Unpadding(ciphertext)
}单元测试:
func TestCBC(t *testing.T) {key := []byte("0123456789abcdef") // 16 Bplain := []byte("Hello AES CBC!")cipher, err := aesCBCEncrypt(plain, key)if err != nil {t.Fatal(err)}got, err := aesCBCDecrypt(cipher, key)if err != nil {t.Fatal(err)}if !bytes.Equal(got, plain) {t.Fatalf("got %s, want %s", got, plain)}
}运行:
go test -v -run TestCBC
PASS5.4 常见踩坑
-
IV 复用 → 同一明文产生同一密文首块,直接泄露“是否重发”;
-
解密后不检查填充 → 可被 Padding Oracle 爆破;
-
把 IV 当秘密 → 浪费随机熵,且不利于并行;
-
忘记对
padLen做恒定时间比较 → 旁路计时攻击。
6. CFB/OFB/CTR:把“分组”玩成“流”
6.1 CFB(Cipher Feedback)
-
把 AES 当“密钥流生成器”,
Si = AES(IVi) ⊕ Pi; -
支持 按字节 加密,无需填充;
-
误差传播:丢 1 bit 会坏 当前及后续 全部。
6.2 OFB(Output Feedback)
-
类似 CFB,但反馈的是“AES 输出”而非“密文”;
-
误差不传播,适合卫星链路;
-
必须 预生成完整密钥流,不能并行加密。
6.3 CTR(CounTer)
-
把 AES 当“伪随机函数”,
Ci = Pi ⊕ AES(Nonce||Counter); -
天然并行,可随机访问;
-
最重要:只要 Nonce 不重用,CTR 就是“流密码”里的优等生;
-
搭配 MAC(如 HMAC、CMAC、GMAC)就是 AES-CTR-HMAC,在 TLS 1.2 大量服役。
6.4 Go 实现 CTR 加密(含 96 bitNonce + 32 bitCounter)
func aesCTREncrypt(plainText, key, nonce []byte) ([]byte, error) {block, err := aes.NewCipher(key)if err != nil {return nil, err}// nonce 12 B + counter 4 B = 16 Bif len(nonce) != 12 {return nil, errors.New("nonce must be 12 bytes")}ciphertext := make([]byte, len(plainText))stream := cipher.NewCTR(block, append(nonce, make([]byte, 4)...))stream.XORKeyStream(ciphertext, plainText)return ciphertext, nil
}提醒:CTR 模式不提供完整性,必须再套 MAC,否则可被“比特翻转”。
7. GCM:自带认证的“一站式”方案
7.1 为什么需要 AEAD?
传统“加密 + HMAC” 要两次扫描数据,且容易把“先加密再 MAC” 搞反(导致 Moxie 的 E&A 攻击)。于是 2008 年后,AEAD(Authenticated Encryption with Associated Data)成为主流:
-
一次扫描同时完成 机密性 + 完整性;
-
提供 附加数据(AAD)段,可明文传“版本号”、“序列号”;
-
内置 防重放 机制(通过 nonce 单调递增)。
7.2 GCM 内部鸟瞰
-
加密部分:CTR 模式;
-
MAC 部分:GHASH(Galois 哈希),在 GF(2¹²⁸) 上乘法;
-
输出:密文 + 128 bit Tag。
7.3 Go 官方 API cipher.AEAD
func aesGCMSeal(plain, key, nonce, aad []byte) ([]byte, error) {block, err := aes.NewCipher(key)if err != nil {return nil, err}gcm, err := cipher.NewGCM(block)if err != nil {return nil, err}if len(nonce) != gcm.NonceSize() { // 12 Breturn nil, errors.New("bad nonce size")}return gcm.Seal(nil, nonce, plain, aad), nil
}func aesGCMOpen(cipher, key, nonce, aad []byte) ([]byte, error) {block, err := aes.NewCipher(key)if err != nil {return nil, err}gcm, err := cipher.NewGCM(block)if err != nil {return nil, err}return gcm.Open(nil, nonce, cipher, aad)
}7.4 性能对比(Go 1.23,Apple M2)
| 模式 | 吞吐量 | CPU 占用 | 备注 |
|---|---|---|---|
| CBC | 1.8 GB/s | 单核 100 % | 不含 HMAC |
| CTR | 2.1 GB/s | 单核 100 % | 不含 MAC |
| GCM | 1.9 GB/s | 单核 100 % | 含 认证,一次扫描 |
结论:GCM 只比裸 CTR 慢 10 %,却送你 128 bit MAC,血赚。
8. 密钥管理:比“算法”更难的是“钥匙”
8.1 随机源
Go 的 crypto/rand 在 Linux 用 getrandom(2),在 Windows 用 ProcessPrng,阻塞直到熵池就绪;千万别用 math/rand!
8.2 密钥派生:别硬编码
-
用户口令 → Argon2id / scrypt → 32 B 密钥;
-
服务间共享 → TLS 1.3 KeyExchange → X25519 → HKDF;
-
云原生 → KMS(阿里云 KMS、AWS KMS、gcp cloudkms)→ 信封加密(DEK+KEK)。
8.3 内存擦除
Go 的 GC 会“搬家”切片,导致密钥残留。可用:
import "github.com/awnumar/memguard"
key := memguard.NewBuffer(32)
defer key.Destroy()
aes.NewCipher(key.Bytes())9. 侧信道 & 重放 & 短密钥:生产级 Checklist
✅ 密钥长度 ≥ 128 bit(AES-128 够用,256 需 JCE 备案)
✅ IV/Nonce 每次随机,绝不重用;CTR/GCM 的 nonce 建议顺序计数 + 持久化存储
✅ 填充 只在 CBC 需要,务必做“恒定时间”比较
✅ 认证 必须加,GCM 或 CBC+HMAC-SHA256(EtM)
✅ 侧信道 关闭超线程 + 开启 AES-NI + 禁用 SWAP(mlockall)
✅ 重放 在业务层加“时间戳 + 序列号”,或 TLS 自带的 record seqNum
✅ 密钥轮换 支持“密文前带版本号”,滚动更新 KEK
✅ 法规 在中国,AES 属于 商密算法备案,如用 AES-256 需走 国密接口 或 海关加密产品 申报
10. 彩蛋:命令行加密器
// main.go
package mainimport ("crypto/rand""encoding/base64""flag""fmt""io""os""github.com/yourname/mycrypto"
)var (decrypt = flag.Bool("d", false, "decrypt mode")key = flag.String("k", "", "hex key, 32 B for AES-256")
)func main() {flag.Parse()if *key == "" {fmt.Fprintln(os.Stderr, "need -k <hexkey>")os.Exit(1)}keyBytes, err := base64.StdEncoding.DecodeString(*key)if err != nil {panic(err)}in, err := io.ReadAll(os.Stdin)if err != nil {panic(err)}if *decrypt {out, err := mycrypto.AESGCMDecrypt(in, keyBytes)if err != nil {panic(err)}os.Stdout.Write(out)} else {out, err := mycrypto.AESGCMEncrypt(in, keyBytes)if err != nil {panic(err)}os.Stdout.Write(out)}
}编译:
go build -o aescli main.go
echo "secret" | ./aescli -k $(openssl rand -base64 32) > cipher.bin
./aescli -d -k $(openssl rand -base64 32) < cipher.bin11. 结语:把“安全”做成默认
AES 算法本身已是“公开擂台”里站得最久的那位,但算法安全 ≠ 系统安全。在 Go 的世界里,标准库只给你扳手,不给你安全带;能否写出扛得住灰帽子、经得起审计、跑得过双 11 的代码,取决于:
-
你是否真的理解“IV、Nonce、MAC、AAD”各自的生命周期;
-
你是否愿意把“密钥管理”从“TODO 注释”搬到“架构图”;
-
你是否在 code review 时,敢对“只是能跑”的加密模块 say no。
希望这篇 1.1 万字的“理论与撸码双拼文”,能让你在下一个凌晨 2 点被安全同事 @ 时,不再心跳过百,而是嘴角上扬:
“别急,我这就给你看我们的 AES-GCM 随机 nonce 单调递增日志。”