OpenSSL AES 加密专题

什么是 AES？

AES（Advanced Encryption Standard，高级加密标准）是一种对称加密算法，被广泛用于保护敏感数据。 它由美国国家标准与技术研究院（NIST）于2001年正式采纳，取代了旧的 DES 算法。 AES 支持 128、192 和 256 位密钥长度，具有高安全性与高性能。

OpenSSL 中的 AES 支持

OpenSSL 是一个开源的加密工具包，提供了完整的 AES 实现，包括多种加密模式（如 CBC、ECB、GCM 等）。 开发者可通过命令行或 C API 使用 AES 加解密功能。

命令行使用示例

使用 OpenSSL 命令行工具进行文件加密：

openssl enc -aes-256-cbc -salt -in secret.txt -out secret.txt.enc

解密文件：

openssl enc -aes-256-cbc -d -in secret.txt.enc -out secret_decrypted.txt

常见 AES 模式对比

• CBC（Cipher Block Chaining）：最常用，需初始化向量（IV），适合大文件。
• ECB（Electronic Codebook）：简单但不安全，相同明文块产生相同密文，不推荐使用。
• GCM（Galois/Counter Mode）：提供加密与认证（AEAD），适用于 TLS 等现代协议。

安全最佳实践

1. 优先使用 aes-256-gcm 或 aes-256-cbc（带随机 IV）。
2. 永远不要硬编码密钥；使用安全的密钥管理机制。
3. 避免使用 ECB 模式。
4. 确保 IV（初始化向量）每次加密都唯一且不可预测。
5. 定期更新 OpenSSL 版本，防范已知漏洞（如 Heartbleed）。

参考资料

• OpenSSL 官方文档
• NIST FIPS PUB 197 – Advanced Encryption Standard (AES)
• RFC 3602 – The AES-CBC Cipher Algorithm and Its Use with IPsec