密码工程专题索引
汇总本站密码工程热点文章,覆盖 PQC、FHE、OPRF、OPAQUE、国密与工程化安全实践。
cryptography 分类归档
共 83 篇文章 · 返回首页
国密算法与国密 TLS 系列索引
从 SM3/SM4/SM2 的设计对比到国密 TLS 握手、生态落地、PQC 迁移——国密技术的完整知识图谱。
【密码学百科】密码学简史:从凯撒密码到量子时代
从古典密码的替换与置换,到现代密码学的数学革命,再到后量子时代的全新挑战——一篇文章带你走完密码学三千年的演进之路
【密码学百科】威胁模型与安全目标:CIA 三要素之外
密码学的安全性不是一个模糊的概念——它需要精确的定义、明确的攻击者模型和可验证的安全目标。本文从 CIA 三要素出发,深入 Dolev-Yao 模型、前向保密等现代安全概念
【密码学百科】Kerckhoffs 原则与现代密码设计哲学
密码系统的安全性不应依赖于算法的保密,而应仅依赖于密钥的保密——这条 1883 年提出的原则如何塑造了整个现代密码学的设计哲学
【密码学百科】随机性:密码学的基石
几乎所有密码学方案都依赖于高质量的随机数——本文深入探讨真随机与伪随机的区别、CSPRNG 的设计原理、操作系统熵源机制,以及随机数失败导致的灾难性后果
【密码学百科】信息论入门:熵、完美保密与 Shannon 定理
信息论是密码学的数学根基——本文从 Shannon 熵的定义出发,推导完美保密的条件,理解计算安全与信息论安全的根本区别,并介绍 Leftover Hash Lemma 等现代工具
【密码学百科】分组密码原理:Feistel 网络与 SPN 结构
分组密码是对称密码学的基石——本文深入剖析 Feistel 网络与 SPN 两大设计范式,S 盒设计的数学准则,差分与线性密码分析,以及 ARX 与 SPN 的结构比较
【密码学百科】AES 逐步拆解:SubBytes 到 MixColumns 的数学
完全理解 AES 每一步操作背后的数学原理——从 GF(2^8) 有限域算术到 S-Box 的代数构造,从 ShiftRows 的扩散设计到 MixColumns 的 MDS 矩阵
【密码学百科】分组密码工作模式全览:ECB/CBC/CTR/OFB/CFB
分组密码只能加密固定长度的数据块——工作模式决定了如何将其扩展为实用的加密方案。本文全面解析五种经典模式的原理、安全性证明思路与实际攻击案例
【密码学百科】流密码:RC4 的兴衰与 ChaCha20 的崛起
流密码将分组密码的固定块操作解放为逐字节的流式加密——本文从 LFSR 基础出发,剖析 RC4 的设计缺陷与实际攻击,再到 ChaCha20 的 ARX 结构与现代最佳实践
【密码学百科】密码学哈希函数:MD5→SHA-2→SHA-3 的进化之路
密码学哈希函数是现代密码学的瑞士军刀——本文从安全属性的形式化定义出发,追溯从 MD5 到 SHA-3 的演进历程,剖析碰撞攻击的原理与海绵构造的革命
【密码学百科】MAC 与 HMAC:消息认证的正确姿势
加密保证机密性,但不保证完整性——消息认证码(MAC)是防止篡改的关键工具。本文深入 HMAC 的构造与安全性证明,对比 CBC-MAC、GMAC、Poly1305 等方案
【密码学百科】认证加密(AEAD):GCM、ChaCha20-Poly1305 与 OCB
加密和认证必须同时进行——本文深入 AEAD 的形式化安全定义,逐步拆解 AES-GCM 的 GHASH 有限域乘法、ChaCha20-Poly1305 的组合构造,以及 nonce-misuse resistant 设计
【密码学百科】密钥派生函数:HKDF、PBKDF2、Argon2 与密码存储
从共享秘密到可用密钥,从用户密码到安全存储——本文系统解析密钥派生与密码哈希的设计原理,深入 HKDF 的 Extract-Expand 范式与 Argon2 的内存困难设计
【密码学百科】公钥密码的数论基础:模运算、群、原根
公钥密码学建立在数论之上——本文从模运算出发,建立群论直觉,理解原根与离散对数,掌握 CRT、素性测试与大整数运算等核心工具
【密码学百科】RSA 从原理到攻击:教科书 RSA 为什么不安全
RSA 是公钥密码学的奠基石——但教科书版本的 RSA 充满漏洞。本文从密钥生成到填充方案,从 Håstad 攻击到 Bleichenbacher 攻击,完整揭示 RSA 的安全全景
【密码学百科】Diffie-Hellman 密钥交换与离散对数问题
1976 年的 Diffie-Hellman 论文开启了公钥密码学革命——本文深入 DH 协议的数学基础,分析 CDH/DDH 假设的层次关系,剖析小子群攻击和 Logjam 等实际威胁
【密码学百科】椭圆曲线密码学(ECC):从几何直觉到点群运算
椭圆曲线密码学用更短的密钥实现了与 RSA 等价的安全性——本文从实数域上的几何直觉出发,逐步过渡到有限域上的离散点群,深入曲线选择、标量乘法优化与安全曲线标准
【密码学百科】数字签名:ECDSA、EdDSA 与 Schnorr 签名
数字签名是公钥密码学中最重要的应用之一——本文全面对比 ECDSA、EdDSA 和 Schnorr 三大签名方案,从随机数 k 的致命重要性到确定性签名的现代最佳实践
【密码学百科】现代密钥交换:X25519、ECDHE 与前向保密
现代安全通信的基石是密钥交换——本文深入 X25519 的 Montgomery ladder 实现、ECDHE 临时密钥的前向保密机制,以及 Signal X3DH 和 MLS TreeKEM 等先进协议
【密码学百科】混合加密与 KEM/DEM 范式:ECIES 与 HPKE
公钥加密不能直接加密大消息——混合加密通过 KEM 封装会话密钥、DEM 加密数据的两步范式优雅地解决了这个问题。本文从传统混合加密到现代 HPKE 标准的完整演进
【密码学百科】填充方案:PKCS#1 v1.5、OAEP 与 PSS
填充看似简单,却是密码学安全的关键环节——从 PKCS#1 v1.5 的 Bleichenbacher 攻击到 OAEP 的双重哈希防御,本文深入解析填充方案为何如此重要
【密码学百科】TLS 协议全解析:从握手到 0-RTT
TLS 是互联网安全通信的基石——本文完整解析 TLS 1.3 的握手流程、HKDF 驱动的密钥调度、0-RTT 的设计权衡,以及从 SSL 2.0 到 TLS 1.3 的演进教训
【密码学百科】PKI 与数字证书:信任链的构建与崩塌
PKI 是互联网信任的基础设施——本文从 X.509 证书结构深入到信任链验证,剖析 CA 失败案例、证书透明度机制,以及 Let's Encrypt 如何改变了证书生态
【密码学百科】密码认证协议:从 SRP 到 OPAQUE
密码是最普遍的认证方式,但如何在不泄露密码的前提下完成认证?本文从密码哈希存储的演进出发,深入 PAKE 协议家族,详解 OPAQUE 的 OPRF+AKE 架构
【密码学百科】零知识证明入门:如何证明你知道而不泄露
零知识证明是密码学中最反直觉的概念之一——本文从阿里巴巴洞穴的直觉出发,建立完备性、可靠性、零知识性的形式化理解,并实现 Schnorr 身份认证与 Fiat-Shamir 变换
【密码学百科】安全信道构造:Noise 协议框架与 Signal 协议
现代安全通信协议如何实现认证性、机密性与前向保密——本文深入 Noise 协议框架的握手模式记号,剖析 Signal 的 X3DH 与 Double Ratchet,以及 WireGuard 和 MLS 的设计
【密码学百科】密钥管理工程:HSM、KMS 与密钥生命周期
密码学的安全最终归结为密钥管理——本文从密钥生命周期的形式化模型出发,剖析 HKDF 在密钥派生中的理论基础,深入 HSM 硬件隔离原理与 FIPS 140-3 认证层级,量化分析密钥轮换的频率-风险-成本权衡模型,并揭示云 KMS 的典型工程陷阱
【密码学百科】侧信道攻击:从时序攻击到功耗分析
密码算法的数学可能无懈可击,但实现却会通过时间、功耗、电磁辐射等侧信道泄露秘密——本文系统剖析各类侧信道攻击的原理与防御技术
【密码学百科】密码学实现陷阱:三层漏洞分类、审计工具链与系统性预防
密码学漏洞并非随机出现——本文将实现陷阱划分为密码算法层、密码库层、系统集成层三个层次,结合 Heartbleed、goto fail 等经典案例,给出从静态分析到形式化验证的完整审计工具链和系统性预防方法论
密码敏捷性:如何设计可升级的密码系统
算法总会过时——密码敏捷性是系统在不中断服务的前提下平滑迁移密码算法的能力。本文从接口设计模式、降级攻击状态机到后量子混合部署案例,给出可落地的工程方案。
【密码学百科】OpenSSL/BoringSSL 架构剖析:ENGINE、Provider 与 FIPS 模块
OpenSSL 是全球最广泛使用的密码学库——本文从 SSLeay 的历史出发,剖析 OpenSSL 3.x 的 Provider 架构革新、FIPS 模块边界,以及 BoringSSL 的设计哲学差异
【密码学百科】抽象代数:群、环、域的密码学视角
密码学的数学基础始于代数结构——本文以密码学应用为导向,系统介绍群、环、域的核心概念,从整数模运算到有限域,从拉格朗日定理到中国剩余定理
【密码学百科】有限域算术:GF(2^n) 运算与在 AES/ECC 中的应用
有限域是现代密码学的数学基石——本文深入讲解素域 GF(p) 和扩展域 GF(2^n) 的算术运算,以及它们在 AES MixColumns、椭圆曲线和纠错码中的核心作用
【密码学百科】数论进阶:二次剩余、椭圆曲线上的 Weil 配对
从二次剩余到 Weil 配对——本文深入探讨支撑现代密码学高级构造的数论工具:Legendre/Jacobi 符号、二次互反律、椭圆曲线上的配对映射及其在 IBE 和 BLS 签名中的应用
【密码学百科】椭圆曲线代数:Weierstrass 方程、点群运算与曲线选择
椭圆曲线是现代公钥密码学的核心数学对象——本文从 Weierstrass 方程出发,深入讲解点加法的几何与代数、群结构、标量乘法算法,以及 NIST/Brainpool/Curve25519 等曲线的选择逻辑
【密码学百科】离散对数与配对密码学:从 DLP 到 BLS 签名
离散对数问题是公钥密码学的基石假设之一——本文从 DLP 的计算复杂性出发,系统介绍 Baby-step Giant-step、Pollard rho、Index Calculus 等攻击算法,再延伸到配对密码学的 BLS 签名和 IBE 构造
【密码学百科】格密码数学基础:SVP、LWE 与格基约化
格(Lattice)是后量子密码学最重要的数学结构——本文系统讲解格的定义、最短向量问题(SVP)、最近向量问题(CVP)、LLL 算法、LWE/RLWE 假设,为理解后量子密码方案打下基础
【密码学百科】概率论与密码分析:生日攻击、差分分析与线性分析
概率论是密码分析的核心数学工具——本文从生日悖论出发,系统讲解碰撞攻击的概率基础、差分密码分析与线性密码分析的原理,以及它们对分组密码设计的深远影响
【密码学百科】计算复杂性与归约:密码安全性证明的基石
密码学的安全性建立在计算复杂性理论之上——本文系统讲解 P/NP/BPP 等复杂性类、单向函数的存在性假设、安全归约的方法论,以及从困难问题到密码方案安全性证明的完整推导链
【密码学百科】秘密共享:Shamir 方案、VSS 与安全多方计算入口
秘密共享是密码学中实现分布式信任的基础原语——本文从 Shamir 的多项式插值方案出发,讲解可验证秘密共享(VSS)、前摄秘密共享、密钥恢复门限,以及秘密共享在 MPC 和门限签名中的核心角色
【密码学百科】安全多方计算:从 Yao 的混淆电路到实用 MPC
安全多方计算(MPC)让多个参与方在不泄露各自输入的前提下联合计算任意函数——本文从 Yao 的混淆电路出发,讲解 GMW、BGW、SPDZ 等经典协议,以及 MPC 在隐私计算和数字资产托管中的实际应用
【密码学百科】同态加密:从 Paillier 到全同态加密(FHE)
同态加密允许在密文上直接计算——本文从部分同态(PHE)的 Paillier 方案出发,讲解 Gentry 的突破性 FHE 构造、BGV/BFV/CKKS 等实用方案,以及 FHE 在隐私机器学习和数据库查询中的前沿应用
【密码学百科】零知识证明系统:zk-SNARKs、zk-STARKs 与 Bulletproofs
零知识证明系统是区块链扩容与隐私保护的核心技术——本文深入比较 zk-SNARKs(Groth16、PLONK)、zk-STARKs 和 Bulletproofs 三大流派的构造原理、性能特征与应用场景
【密码学百科】承诺方案:Pedersen 承诺、向量承诺与多项式承诺
承诺方案是密码学协议的基础构件——本文从承诺的隐藏性与绑定性出发,系统讲解 Pedersen 承诺、哈希承诺、Merkle 树向量承诺、KZG 多项式承诺,以及它们在零知识证明和区块链中的核心角色
【密码学百科】不经意传输与隐私信息检索:OT、OT 扩展与 PIR
不经意传输(OT)是安全计算的基础原语,隐私信息检索(PIR)让用户在不暴露查询内容的前提下从数据库获取数据——本文深入讲解 OT 协议族、OT 扩展的效率突破,以及 PIR 从理论到实用的演进
【密码学百科】门限密码学:门限签名、门限解密与分布式密钥生成
门限密码学将密码操作分散到多个参与方——本文系统讲解门限签名(ECDSA/Schnorr/BLS)、门限解密、分布式密钥生成(DKG)协议,以及它们在数字资产托管和去中心化基础设施中的关键应用
【密码学百科】国密算法体系:SM2/SM3/SM4/SM9 全景解读
中国商用密码算法体系是国家网络安全的基石——本文全面解读 SM2 椭圆曲线公钥算法、SM3 杂凑算法、SM4 分组密码和 SM9 标识密码,分析其设计原理、安全性评估及在金融和政务领域的部署现状
【密码学百科】区块链中的密码学原语
聚焦区块链实际使用的密码学原语——哈希链、默克尔树与 MPT、ECDSA/Schnorr/BLS 签名、Taproot 与 MuSig2 多方签名、VRF 与 RANDAO 共识随机性,以及承诺方案在链上的典型模式
【密码学百科】密码学与隐私:差分隐私、匿名凭证与隐私增强技术
隐私保护是密码学最重要的应用方向之一——本文从差分隐私的数学定义出发,讲解匿名凭证、群签名、环签名、盲签名等隐私增强原语,以及它们在身份认证、电子投票和数字货币中的实际应用
【密码学百科】可证明安全:安全定义、博弈与模拟范式
可证明安全是现代密码学的方法论基石——本文系统讲解 IND-CPA/IND-CCA 等安全定义的形式化、基于博弈的安全证明方法、模拟范式,以及从安全定义到实际方案设计的完整推导思路
【密码学百科】对称密码的可证明安全:PRP/PRF 范式与工作模式证明
对称密码学同样有严格的安全性证明——本文讲解伪随机函数(PRF)和伪随机置换(PRP)的形式化定义、PRP/PRF 切换引理、分组密码工作模式(CBC、CTR、GCM)的安全性证明思路,以及 AEAD 的可证明安全框架
【密码学百科】公钥密码的可证明安全:从 RSA-OAEP 到 Cramer-Shoup
公钥密码方案的安全性需要严格的归约证明——本文讲解 RSA-OAEP 在随机预言机模型下的 IND-CCA2 证明、Cramer-Shoup 在标准模型下的 IND-CCA2 构造,以及签名方案的可证明安全范式
【密码学百科】协议安全性分析:形式化验证与符号模型
聚焦密码协议的形式化分析方法——从 Dolev-Yao 符号模型到 ProVerif/Tamarin/Spin 三大工具的深度对比,以 TLS 1.2 三重握手漏洞为完整案例,展示形式化工具如何发现真实协议中的致命设计缺陷
【密码学百科】密码学标准化:NIST、IETF 与 ISO 的标准制定流程
密码学算法从学术论文到工业标准的旅程漫长而关键——本文系统梳理 NIST、IETF、ISO/IEC 和中国密标委等机构的标准化流程,回顾 AES、SHA-3、TLS 1.3 等重要标准的诞生历程,探讨后量子标准化的最新进展
【密码学百科】量子计算基础:量子比特、量子门与密码学的量子威胁
量子计算机对现有密码体系构成根本性威胁——本文从量子比特和量子门的基本概念出发,讲解量子并行性、量子纠缠、Deutsch-Jozsa 算法,为理解 Shor 和 Grover 算法对密码学的影响打下基础
【密码学百科】Shor 算法与 Grover 算法:量子计算对密码学的冲击
Shor 算法能在多项式时间内分解大整数和求解离散对数,Grover 算法将对称密钥搜索空间开方——本文深入讲解这两个量子算法的原理、电路构造和对各类密码算法的具体影响
【密码学百科】后量子密码总览:NIST 标准化与五大技术路线
后量子密码学(PQC)旨在抵御量子计算机的攻击——本文全面介绍 NIST PQC 标准化竞赛的历程与结果、五大技术路线的核心参数对比、Rainbow/SIKE/SABER 的淘汰原因,以及 NIST 最终标准选择背后的现实权衡
【密码学百科】格基后量子方案:ML-KEM(Kyber)与 ML-DSA(Dilithium)深度解析
格基密码是后量子密码学的主力方案——本文深入解析 NIST 首选的 ML-KEM(原 CRYSTALS-Kyber)密钥封装和 ML-DSA(原 CRYSTALS-Dilithium)数字签名的算法细节、安全性分析和实现优化
【密码学百科】哈希基签名:从 Lamport 到 SPHINCS+ 的无状态后量子签名
哈希基签名是最保守的后量子签名方案,其安全性仅依赖哈希函数——本文从 Lamport 一次签名出发,讲解 Merkle 树签名、XMSS/LMS 有状态方案,以及 SPHINCS+(SLH-DSA)无状态方案的完整构造
【密码学百科】量子密钥分发:BB84 协议、设备无关 QKD 与量子网络
量子密钥分发(QKD)利用量子力学原理实现信息论安全的密钥协商——本文从 BB84 协议出发,讲解 E91、MDI-QKD、设备无关 QKD 等方案的安全性原理,以及量子卫星和量子网络的部署进展
【密码学百科】不可区分混淆:密码学的「终极原语」
不可区分混淆(iO)被称为密码学的终极原语——从 iO 出发可以构造几乎所有已知的密码学方案。本文讲解 iO 的定义、Jain-Lin-Sahai 的突破性构造、与多线性映射的关系,以及 iO 开启的广阔密码学新世界
【密码学百科】全同态加密前沿:TFHE 可编程自举与 FHE 硬件加速
全同态加密正从理论走向实用——本文聚焦 TFHE 可编程自举、多密钥 FHE、FHE 硬件加速器(ASIC/FPGA/GPU)等前沿方向,以及 FHE 与 MPC/ZKP 的混合计算架构
【密码学百科】可验证计算:从交互式证明到去中心化验证
可验证计算让计算的委托方无需重新执行即可确信结果正确——本文从交互式证明系统出发,讲解 GKR 协议、Sumcheck 协议、zkVM 架构,以及可验证计算在区块链 Layer 2 和云计算中的应用
【密码学百科】密码学与 AI:隐私机器学习、联邦学习与 AI 安全
AI 与密码学的交叉正在重塑两个领域——本文讲解隐私保护机器学习(PPML)的密码学工具箱、联邦学习中的安全聚合、差分隐私训练,以及 AI 辅助密码分析和 AI 系统自身的密码学安全保障
【密码学百科】密码学研究前沿:开放问题与未来十年展望
密码学仍在快速演进——本文总结当前最重要的开放问题和研究前沿,从单向函数存在性到量子密码学、从格的精确困难度到实用 iO,展望密码学未来十年的发展方向
【国密算法与国密 TLS 系列】国密生态全景:GmSSL、铜锁、硬件密码机与合规落地
从开源库到硬件加速,从等保密评到 DTLS 国密,全面剖析国密生态的技术选型与合规落地路径。
【国密算法与国密 TLS 系列】国密 TLS(RFC 8998)vs 标准 TLS 1.3:握手报文逐字节对比
TLS 1.3 标准握手用 X25519+AES-128-GCM+SHA-256,全换成 SM2+SM4-GCM+SM3 后,握手报文到底改了多少?本文从 ClientHello 到 Finished 逐字节对比,并结合 Wireshark 抓包和双证书体系深入分析。
【国密算法与国密 TLS 系列】PKI 证书体系:X.509 vs 国密双证书,从哲学到字节的完整对比
从信任模型的哲学分歧、证书格式的 ASN.1 编码、算法 OID 的注册差异、到双证书体系的 KMC 密钥托管——逐层拆解国际 PKI 与国密 PKI 在设计理念和工程实现上的本质区别。
【国密算法与国密 TLS 系列】PQC 迁移工程指南:不是把 RSA 换掉就完了——国密怎么办
从 Hybrid 模式到证书链迁移,从 NIST ML-KEM/ML-DSA 到国密 SM2 的量子威胁,一份面向工程落地的后量子密码迁移指南。
【国密算法与国密 TLS 系列】SM2 vs ECDSA/X25519:椭圆曲线的国产方案到底怎么样
从曲线参数、签名/加密/密钥交换算法、标量乘法实现到侧信道防护,全方位对比 SM2、P-256 和 Curve25519 三条主流椭圆曲线,拆解 simple_gmsm 源码中的点乘实现,分析国密方案在安全性与工程生态上的优劣。
【国密算法与国密 TLS 系列】SM3 vs SHA-256:两个哈希函数的设计哲学与性能实测
SM3 和 SHA-256 都基于 Merkle-Damgård 结构、256-bit 输出、64 轮压缩——但消息扩展、布尔函数、常量选取的设计哲学完全不同。本文用 simple_gmsm 代码逐步拆解 SM3 压缩函数,并在 x86-64 / ARM64 上实测性能。
【国密算法与国密 TLS 系列】SM4 vs AES:分组密码的两条路线
AES 和 SM4 都是 128-bit 分组密码,但设计哲学截然不同:AES 走代数优雅路线,SM4 走工程实用路线。本文从 S-Box 设计、轮函数结构、密钥扩展、硬件加速到 GCM 模式性能实测,全面对比两条路线的取舍。
密码学百科
从古典密码到量子时代的完整密码学知识体系:对称密码、公钥密码、协议工程、数学基础、高级原语、安全证明、后量子密码与前沿研究
全同态加密(FHE)技术详解
在数据为王的时代,数据隐私和安全变得至关重要。我们希望在利用数据带来价值的同时,保护其不被泄露。传统的数据加密技术(如 AES、RSA)可以有效地保护静态存储和传输中的数据,但一旦需要对数据进行计算或处理,就必须先解密。解密后的数据以明文形式暴露在内存中,极易受到攻击,这在云计算等第三方计算环境中构成了巨大的安全风险。
OPAQUE(RFC 9807)详解:从协议原理到工程落地
在传统的用户名 + 密码登录系统中,服务器通常要么直接保存口令派生值(如 salt + hash(password)),要么依赖 TLS+密码的组合来实现认证。一旦服务器数据库被攻破,攻击者就可以对这些口令派生值做离线暴力破解,且整个系统的安全性高度依赖 TLS 与密码派生方案的组合是否正确实现。OPAQUE(The…
OPRF (RFC 9497) 详解:遗忘伪随机函数
在现代隐私保护协议中,我们经常遇到这样一个需求:客户端拥有一个输入 $x$,服务器拥有一个密钥 $k$,双方希望计算 $y F(k, x)$,但有两个严格的隐私限制: 1. 服务器不能知道客户端的输入 $x$,也不能知道计算结果 $y$。 2. 客户端不能知道服务器的密钥 $k$。
后量子密码学与抗量子算法 (PQC)
对 CBC 模式的一些攻击
CBC 加密模式安全分析:常见攻击方式、漏洞原理及安全实践建议
密码学工程中最容易犯的 7 个错误
密码学最危险的不是算法被破解,而是正确的算法被错误地使用。本文梳理 7 个真实 CVE 中的密码学工程错误,附代码与修复方案。
不到 500 行 C 实现 TLS 1.3 握手
不依赖 OpenSSL,用纯 C 从零实现 TLS 1.3 一次往返握手——X25519 密钥交换、HKDF 密钥派生、AES-128-GCM 加密,一个文件搞定。
传说中最安全的加密算法:一次一密
一次一密加密算法详解:理论上最安全的加密方式,原理、应用及正确使用方法