AES（高级加密标准）

AES（Advanced Encryption Standard，高级加密标准）是由比利时密码学家 Joan Daemen 和 Vincent Rijmen 设计的 Rijndael 算法，于 2001 年被 NIST 选为美国联邦加密标准（FIPS 197），替代已不安全的 DES。AES 是当今全球使用最广泛的对称加密算法，保护着从 HTTPS 到 Wi-Fi、从磁盘加密到 VPN 的几乎所有数字通信。

AES 使用 SPN（Substitution-Permutation Network）结构，而非 DES 使用的 Feistel 结构。数据以 4×4 字节矩阵（状态矩阵）的形式处理，每轮包含四个操作：

1. SubBytes：通过 S-box 进行字节代换（非线性变换，提供混淆性）
2. ShiftRows：行循环移位（提供扩散性）
3. MixColumns：列混合变换（在有限域 GF(2⁸) 上的矩阵乘法，提供扩散性）
4. AddRoundKey：与轮密钥异或（引入密钥材料）

最后一轮省略 MixColumns 操作。

现代 x86 和 ARM 处理器提供了 AES-NI 指令集，将 AES 的核心操作（SubBytes、MixColumns 等）直接实现在硬件中。使用 AES-NI 时，AES-128-GCM 的吞吐量可达 6 GB/s 以上，几乎消除了加密的性能开销。

• Intel AES-NI：2010 年 Westmere 架构引入
• ARM AESE/AESMC：ARMv8-A 架构引入
• POWER：PowerISA v2.07 引入

截至 2026 年，AES 没有已知的实用攻击。最好的已知攻击是：

• Biclique 攻击（2011）：AES-128 复杂度 2^126.1（优于暴力但仍不可行）
• 相关密钥攻击：对 AES-256 的密钥扩展有理论弱点，但不影响实际安全性

AES-128 目前仍然安全，但 NSA 和部分标准组织推荐 AES-256 用于长期保护和最高机密级别。

• TLS/SSL：HTTPS 的核心加密算法（AES-128-GCM / AES-256-GCM）
• Wi-Fi：WPA2 (AES-CCM)、WPA3 (AES-GCM)
• 磁盘加密：BitLocker (AES-CBC/XTS), FileVault, LUKS
• VPN：IPSec, OpenVPN, WireGuard（使用 ChaCha20-Poly1305 作为替代）
• 数据库：透明数据加密 (TDE)
• 移动支付：EMV 芯片卡

1. NIST (2001). "Advanced Encryption Standard (AES)". FIPS PUB 197.
2. Daemen, J., Rijmen, V. (2002). "The Design of Rijndael: AES — The Advanced Encryption Standard". Springer.
3. Bogdanov, A., Knudsen, L.R., Leander, G. (2011). "Biclique Cryptanalysis of the Full AES". ASIACRYPT 2011.