AES-GCM加密全流程解析
核心架构:GCM =CTR流加密+GHASH认证
安全目标:机密性 + 完整性 + 抗重放(AEAD模式)
🔄完整加密流程(以AES-128为例)
✅步骤1:初始化参数准备
| 参数 | 要求 | 示例值 |
|---|---|---|
| 密钥(K) | 128/192/256位 | 0x2b7e151628aed2a6abf71588... |
| Nonce(IV) | 唯一值(推荐12字节随机) | 0xcafebabefacedbad(12字节) |
| 附加数据(AAD) | 需认证的明文头(可空) | HTTP协议头 |
| 明文(P) | 待加密数据 | "SecretMessage" (14字节) |
⚠️致命规范:同一密钥下Nonce绝对不可重复!
✅步骤2:生成认证子密钥H
- 操作:用密钥K加密16字节的全零块
- 作用:作为GHASH乘法的固定密钥(Galois域乘数)
✅步骤3:构造初始计数器(J₀)
Case 1:Nonce为12字节(推荐)
示例:
0xcafebabefacedbad00000001Case 2:Nonce非12字节
- 若IV = 96位(12字节):直接作为前128位计数器块的高96位,低32位置0:
J₀ = IV || 0³¹1(即IV后补4字节00 00 00 01)。 - 若IV ≠ 96位:通过GHASH函数计算
J₀ = GHASH_H(IV || 0^{s} || len(IV)_64),其中s = 128 - (len(IV) mod 128) - 128,len(IV)_64是IV长度的64位表示。
✅步骤4:CTR模式加密明文
# 伪代码实现 def CTR_Encrypt(K, J0, plaintext): ctr = J0 # 初始计数器 ciphertext = b'' for i in range(0, len(plaintext), 16): ctr = increment(ctr) # 末32位+1 (Big-Endian) keystream = AES_Encrypt(K, ctr) block = plaintext[i:i+16] # 当前明文块 ciphertext += xor(block, keystream[:len(block)]) return ciphertext- 特性:
- 无填充要求(任意长度数据)
- 支持并行计算(硬件加速关键)
✅ **步骤5:GHASH认证计算
输入数据序列:
数据块拆分:
迭代GHASH计算:
\begin{align*} Y_0 &= 0^{128} \\ Y_i &= (Y_{i-1} \oplus X_i) \cdot H \quad \text{(GF(2^{128})乘法)} \\ \text{结果} &= Y_m \end{align*}- 解析:输入拼接:
X = AAD || 0^v || C || 0^u || len(AAD)_64 || len(C)_64len()_64:AAD和C长度的64位大端表示。u:填充至密文长度为128的倍数(u = 128 - (len(C) mod 128))。v:填充至AAD长度为128的倍数(v = 128 - (len(AAD) mod 128))。- 分块处理:将
X分成128位块X_1, X_2, ..., X_n。 - 迭代计算:
Y_0 = 0¹²⁸ Y_i = (Y_{i-1} \oplus X_i) \cdot H \quad \text{(在GF(2¹²⁸)域)}- 最终输出
S = Y_n(GHASH结果)。
- 最终输出
加密初始计数器块:
T' = CIPH_K(J₀)。生成标签:
T = MSB_t(S \oplus T')(取结果的前t位,通常t=128)。
🔬GF(2¹²⁸)乘法优化:
硬件通过CLMUL指令单周期完成(Intel/AMD CPU)
✅步骤6:生成认证标签(Tag)
- 截断输出(可选但需≥96位):
📦最终输出
| 组件 | 长度要求 | 示例 |
|---|---|---|
| 密文(C) | 同明文长度 | 0x3AD77BB40D7A3660... |
| 认证标签(T) | 128位(不可截断) | 0x5BC94FBC3221A5DB94FAE95... |
🔧解密验证流程
- 用相同
(K, Nonce)重新计算CTR密钥流 - 解密获得明文:
P' = C ⊕ keystream - 认证验证:
- 用相同参数重算GHASH → 得预期标签
T_expected - 比对接收标签
T_received == T_expected - 不等则立即丢弃数据(防篡改)
- 用相同参数重算GHASH → 得预期标签
️安全关键点
- Nonce重用灾难:
- 若两次加密使用相同
(K, Nonce)→H密钥泄露→ 完全破解# 攻击示例(理论) T1 ⊕ T2 = (AES(K,J0)⊕GHASH1) ⊕ (AES(K,J0)⊕GHASH2) = GHASH1 ⊕ GHASH2
- 若两次加密使用相同
- Tag长度安全:
- 96位Tag → 暴力破解概率≈1/2⁹⁶(安全)
- 64位Tag → 暴力破解仅需分钟级(危险!)
📊 GCM性能优化(硬件加速)
| 平台 | 密钥长度 | 吞吐量 | 加速技术 |
|---|---|---|---|
| Intel AES-NI | AES-256 | 12 GB/s | 单指令完成AES轮函数 |
| ARMv8 Crypto扩展 | AES-128 | 5.2 GB/s | 并行CTR + PMULL指令 |
| NVIDIA A100 GPU | AES-256 | 240 GB/s | 万级并发CTR计数器流 |
💡设计建议:TLS 1.3等协议强制使用GCM,因其在10Gbps网络下CPU占用率<3%。
💎总结:GCM操作清单
- 生成随机Nonce(12字节)
- 计算认证子密钥 H = AESₖ(0¹²⁸)
- 构造计数器初值 J₀ = Nonce || 0x00000001
- CTR模式加密:C = AESₖ(J₀+1) ⊕ P
- GHASH认证:T' = GHASHₕ(AAD || C || len(AAD) || len(C))
- 生成标签:T = AESₖ(J₀) ⊕ T'
- 输出 (C, T)
最后警示:
始终通过恒定时间比较验证标签(防时序攻击),并遵循NIST SP 800-38D标准实现。