请认真考虑，如果无法实现自己的加密，请三思而后行

事实上，丑陋的真相是，如果您正在问这个问题，那么您可能无法设计和实现一个安全的系统。

如果需要加密数据应该怎么办

模式比较

仅加密：

• 需要填充的加密模式： 像示例中一样，填充通常是危险的，因为它打开了填充预言攻击的可能性。最简单的防御方法是在解密之前对每条消息进行身份验证。请参见下文。
  • ECB 独立加密每个数据块，相同的明文块将导致相同的密文块。查看 ECB Wikipedia page 上的 ECB 加密 Tux 图像，以了解这是一个严重的问题的原因。我不知道任何可以接受 ECB 的用例。
  • CBC 具有 IV，因此每次加密消息时都需要随机数，更改消息的一部分需要重新加密更改后的所有内容，一个密文块中的传输错误完全破坏了明文并更改了下一个块的解密，解密可以并行化/加密不能，明文在某种程度上是可塑的 - this can be a problem。
• 流密码模式：这些模式生成伪随机数据流，可能与明文依赖或不依赖。与流密码一般情况下一样，生成的伪随机流与明文异或以生成密文。由于您可以使用任意多位随机流，因此根本不需要填充。这种简单性的缺点是加密是完全 malleable 的，这意味着攻击者可以按任意方式更改解密，例如对于明文 p1、密文 c1 和伪随机流 r，攻击者可以选择差异 d，使得密文 c2=c1⊕d 的解密为 p2 = p1⊕d，因为 p2 = c2⊕r = (c1 ⊕ d) ⊕ r = d ⊕ (c1 ⊕ r)。同样的伪随机流永远不能重复使用，因为对于两个密文 c1=p1⊕r 和 c2=p2⊕r，攻击者可以计算两个明文的异或值 c1⊕c2=p1⊕r⊕p2⊕r=p1⊕p2。这也意味着如果原始消息可能已被攻击者获取，则更改消息需要完全重新加密。以下所有流密码模式仅需要块密码的加密操作，因此取决于密码，这可能会在极度受限制的环境中节省一些（硅或机器码）空间。
  • CTR 很简单，它创建一个与明文无关的伪随机流，通过从不同的 nonce/IV 计数并乘以最大消息长度来避免重叠，从而获得不同的伪随机流，使用 nonce 可以进行消息加密而无需每条消息都有随机数，解密和加密可以并行完成，传输错误仅影响错误位而不会影响更多内容
  • OFB 也创建了与明文无关的伪随机流，通过为每条消息启动不同的 nonce 或随机 IV 来获得不同的伪随机流，加密和解密都不能并行化，与 CTR 一样，使用 nonce 可以进行消息加密而无需每条消息都有随机数，与 CTR 一样，传输错误只影响错误位而不会影响更多内容
  • CFB 的伪随机流取决于明文，每条消息需要不同的 nonce 或随

    认证加密：

    为了防止填充预言攻击和密文更改，可以在密文上计算消息认证码（MAC），只有在未被篡改的情况下才解密它。这称为“加密然后认证”，应优先考虑使用此方法。除非极少数情况下，真实性与保密性同样重要（后者是加密的目的）。带关联数据的认证加密方案（AEAD）将加密和身份验证两个过程合并为一个块密码模式，并在过程中生成身份验证标签。在大多数情况下，这会导致速度提高。

    • CCM是CTR模式和CBC-MAC的简单组合。每个块使用两次分组密码加密，速度非常慢。
    • OCB更快，但受专利限制。对于自由软件或非军事软件，专利持有人已经授予了免费许可证。
    • GCM是CTR模式和GHASH的复杂组合，GHASH是一个具有2^128个元素的伽罗瓦域上的MAC。它在重要的网络标准（如TLS 1.2）中的广泛使用反映在Intel引入了一项特殊指令来加速GHASH的计算。

    推荐：

    考虑到身份验证的重要性，我建议对于大多数用例（除了磁盘加密目的），使用以下两种分组密码模式：如果数据通过非对称签名进行身份验证，则使用CBC，否则使用GCM。

• 如果使用相同密钥加密多个数据块，则不应使用ECB。

• CBC、OFB和CFB类似，但OFB/CFB更好，因为只需要加密而不需要解密，这可以节省代码空间。

• 如果想要良好的并行性（即速度），则应使用CTR，而不是CBC/OFB/CFB。

• 如果要编码随机可访问的数据（如硬盘或RAM），则XTS模式是最常见的。

• OCB是迄今为止最好的模式，因为它允许在单次传递中进行加密和身份验证。但是，在美国有专利。

你真正需要知道的是，除非只加密1个数据块，否则不要使用ECB。如果要加密随机访问的数据而不是流，则应使用XTS。

• 每次加密时，您应该始终使用唯一的IV，并且它们应该是随机的。如果您无法保证它们是随机的，请使用OCB，因为它只需要一个nonce而不是IV，而且有明显的区别。如果人们可以猜测下一个nonce，则不会降低安全性，但IV可能会导致这个问题。

ECB: 一种块密码模式，逐个加密长度为n比特的消息块。但安全性较弱，该方法会泄露块之间的等性特征，从而影响整体安全性。它具有重要的遗产价值，并且可以用作其他方案的基础构件，但是必须小心使用；不应将ECB视为“通用”的保密模式。

CBC: 一种IV（初始化向量）加密方案，该模式作为概率加密方案是安全的，可以实现与随机位无法区分的安全性，前提是使用随机IV。如果IV仅作为nonce，则不能实现保密性，如果将其作为方案使用的相同密钥下的nonce进行加密，则也不能满足保密性，因为标准错误地建议这样做。密文易受篡改。没有选择密文攻击（CCA）安全性。许多填充方法存在正确填充Oracle的情况下，保密性将被放弃。加密效率低下，因为其本质上是串行的。广泛使用的此模式的仅限于隐私保护的安全属性导致经常被滥用。可用作CBC-MAC算法的构建块。我无法识别出与CTR模式相比的重要优势。

CFB: 一种IV加密方案，该模式作为概率加密方案是安全的，可以实现与随机位无法区分的安全性，前提是使用随机IV。如果IV是可预测的，则不能实现保密性，同样地，如果它由方案使用的相同密钥下的nonce进行加密，则也不能满足保密性，因为标准错误地建议这样做。密文易受篡改。没有CCA安全性。加密效率低下，因为其本质上是串行的。该方案取决于参数s，1≤s≤n，通常情况下，s=1或s=8。需要一个块密码调用才能处理只有s位的数据，因此效率低下。该模式具有有趣的“自同步”属性；任何数量的s位字符的插入或删除仅会暂时破坏正确解密。

OFB: 一种IV加密方案，该模式作为概率加密方案是安全的，可以实现与随机位无法区分的安全性，前提是使用随机IV。如果IV是nonce，则不能实现保密性，尽管固定的IV序列（例如计数器）可以正常工作。密文易受篡改。没有CCA安全性。加密和解密效率低，因为其本质上是串行的。原生加密任何位长的字符串（不需要填充）。我无法识别出与CTR模式相比的重要优势。

CTR: 一个基于IV的加密方案，假设nonce IV即可实现与随机位无法区分的安全性。作为安全的nonce-based方案，该模式也可以作为概率加密方案，使用随机IV。如果在加密或解密中重复使用nonce则会完全破坏隐私。该模式的可并行性通常使其比其他保密模式更快，在某些情况下快得多。是验证加密方案的重要构建块。总体而言，通常是实现仅隐私加密的最佳和最现代的方法。

XTS: 一种基于IV的加密方案，该模式通过对每个n位块应用一个可调谐的块密码（作为强PRP安全）来运作。对于长度不可被n整除的消息，最后两个块会被特殊处理。该模式唯一允许的用途是加密块结构存储设备上的数据。底层PRP的窄宽度和对分数终端块的差处理是问题所在。虽然比（宽块）PRP-secure块密码更有效，但不如后者理想。

MACs（消息完整性但不加密）

ALG1–6: 一组MACs，全部基于CBC-MAC。方案太多了。有些方案被证明是VIL PRFs安全的，有些则是FIL PRFs安全的，还有一些没有可证安全性。其中一些方案存在破坏性攻击。某些模式已经过时。对于具有密钥分离的模式来说，其处理不足。不应大规模采用，但可以选择“最佳”方案。也可以选择不使用这些模式，而选择CMAC。ISO 9797-1 MAC中的一些模式被广泛标准化和使用，特别是在银行业。该标准的修订版本（ISO/IEC FDIS 9797-1:2010）即将发布[93]。

CMAC: 基于CBC-MAC的MAC，该模式被证明是（VIL）PRF（假设底层块密码是良好的PRP）安全的（直到生日界限）。与基于CBCMAC的方案相比，实际上不存在额外开销。固有的串行性质在某些应用领域是问题所在，并且在使用64位块密码时必须偶尔重新进行密钥更新。比ISO 9797-1 MAC集合更简洁。

HMAC: 基于加密哈希函数而不是块密码的MAC（尽管大多数加密哈希函数本身都基于块密码）。该机制享有强可证明安全界限，尽管并非首选假设。文献中存在多个密切相关的变体，这使得理解已知内容变得复杂。从未提出过破坏性攻击。被广泛标准化和使用。

GMAC: 一种基于nonce的MAC，是GCM的特殊情况。继承了GCM的许多优点和缺点。然而，MAC并不需要nonce，这里获得的好处很少。如果标签被截断为≤64位并且解密程度没有受到监控和限制，则存在实际攻击风险。在nonce重用时会完全失败。如果采用GCM，则使用是隐式的。不建议进行单独的标准化。

身份验证加密（加密和消息完整性）

CCM: 一种基于nonce的AEAD方案，将CTR模式加密和原始CBC-MAC结合使用。内在上是串行的，在某些情况下限制了速度。假定底层块密码是良好的PRP，具有良好的可证明安全性和较好的界限。设计虽繁琐但可行。比GCM更简单易实现。可以用作基于nonce的MAC。已广泛标准化和使用。

GCM: 一种基于nonce的AEAD方案，将CTR模式加密和基于GF(2128)的通用哈希函数组合使用。在某些实现环境中具有良好的效率特性。在最小标签截断的情况下具有良好的可证明安全性结果。在存在大量标签截断时存在攻击和差的可证明安全性界限。可以用作基于nonce的MAC，此时称为GMAC。允许使用96位以外的nonce是有问题的选择。建议将nonce限制为96位，并将标签至少限制为96位。已广泛标准化和使用。

1. 避免使用ECB模式。
2. 如果使用CTR模式，则每个消息都必须使用不同的IV，否则攻击者可以获取两个密文并推导出组合后的未加密明文。原因是CTR模式本质上将块密码转换为流密码，流密码的第一条规则就是永远不要重复使用相同的Key+IV。
3. 在实现难度方面，各种模式之间没有太大差别。有些模式只需要块密码在加密方向上操作即可。然而，大多数块密码（包括AES）在实现解密时也不需要太多代码。
4. 对于所有的密码模式，如果您的消息可能在前几个字节中完全相同，并且您不希望攻击者知道这一点，则重要的是为每个消息使用不同的IV。

你是否已经阅读了维基百科上有关 分组密码运作模式 的信息？然后跟随维基百科上的参考链接前往NIST：分组密码运作模式推荐。

你可能希望根据普遍可用的内容进行选择。我曾经有同样的问题，以下是我有限的研究结果。

硬件限制

STM32L (low energy ARM cores) from ST Micro support ECB, CBC,CTR GCM
CC2541 (Bluetooth Low Energy) from TI supports ECB, CBC, CFB, OFB, CTR, and CBC-MAC

开源软件的限制

Original rijndael-api source  - ECB, CBC, CFB1
OpenSSL - command line CBC, CFB, CFB1, CFB8, ECB, OFB
OpenSSL - C/C++ API    CBC, CFB, CFB1, CFB8, ECB, OFB and CTR
EFAES lib [1] - ECB, CBC, PCBC, OFB, CFB, CRT ([sic] CTR mispelled)  
OpenAES [2] - ECB, CBC 

[1] 这里提供了一个快速且易于使用的AES库。

[2] 这里可以下载OpenAES-0.8.0压缩包。

在CBC操作模式中存在新的时间漏洞。

https://learn.microsoft.com/en-us/dotnet/standard/security/vulnerabilities-cbc-mode

虽然如此，他们仍声称CFB和OFB是安全的，但相对不够安全，并且它们一开始就没有真正的优势。CFB与CBC共享相同的弱点，而且除此之外还不能防止重放攻击。OFB与CTR共享相同的弱点，但根本不能并行化。因此，CFB就像没有填充的CBC，但不够安全，而OFB就像CTR，但没有其速度优势并具有更广泛的攻击面。

只有一种特殊情况，你可能需要使用OFB，那就是如果你需要在实时解密数据（例如，一串流入数据）的硬件上进行解密，但是该硬件实际上过于薄弱无法满足要求，但你会提前知道解密密钥。在这种情况下，您可以预先计算所有XOR块并将其存储在某个地方，当真实数据到达时，整个解密过程只需将传入数据与存储的XOR块进行XOR操作，这需要非常少的计算能力。这是OFB可做到的唯一一件事，而其他链接方式均无法实现。

如需性能分析，请参见本文。
如需详细评估，包括安全性，请参见本文。