本文共 816 字，大约阅读时间需要 2 分钟。

是一种针对低端智能手机、智能手表和其他设备的新加密算法，这些设备速度太慢，无法使用进行存储加密。

根据谷歌的说法，在不影响用户体验的情况下，在旧的基于ARMv7的设备上使用AES不能提供加密存储所需的性能。由于这个原因，这些设备被完全，而存储加密是所有Android设备的要求。Adiantum的目标是通过提供一个密码来改变这种情况，这个密码是只使用所有CPU原生支持的操作(如加法、旋转和异或)。

Adiantum是一种新的加密形式，我们专门为手机和智能设备开发，这些设备没有办法有效加密本地存储的数据，因为没有专门的硬件。[…]从智能手表到联网医疗设备的一切设备，Adiantum允许这些设备对敏感数据进行加密，这将有助于保护我们的互联世界。

值得强调的是，为了克服AES的限制，谷歌一直在低端设备上使用，这个密码是用在HTTPS上的。现在，ChaCha比AES快得多，但不能直接用于磁盘加密。这是由于数据存储的特性，特别是保存数据长度的要求，因为我们希望在磁盘扇区中对每个磁盘扇区进行精确加密。因此，谷歌将Adiantum设计为支持长度保持模式的ChaCha密码的演化。特别是，Adiantum依赖于ChaCha的12轮变体，轮轮加密，而不是更常用的20轮变体。有趣的是，ChaCha的7轮变体ChaCha7在2008年被破解，但是到今天为止还没有对ChaCha8的攻击。正如谷歌所言，ChaCha12和AES-256相比，轮数与被破坏的轮数之比更好，再加上形式证明，使得Adiantum的开发者对ChaCha12的安全性有了很高的信心。

说到性能，在不提供AES硬件支持的CPU上，Adiantum比AES-256-XTS快5倍左右。但是，在支持AES的新CPU上运行时，AES比Adiantum要快。所以，谷歌的经验法则是在AES性能\u0026lt;= 50MiB /sec的设备上使用Adiantum。

查看英文原文：

转载地址：http://ldboa.baihongyu.com/