鐵線蕨算法(Adiantum)是一種針對低端智能手機、智能手錶和其他Android Pie設備的新加密算法,這些設備速度太慢,無法使用先進的加密標準(AES)進行存儲加密。
根據谷歌的說法,在不影響用戶體驗的情況下,在舊的基於ARMv7的設備上使用AES不能提供加密存儲所需的性能。由於這個原因,這些設備被完全排除在實現存儲加密之外,而存儲加密是所有Android設備的要求。Adiantum的目標是通過提供一個密碼來改變這種情況,這個密碼是隻使用所有CPU原生支持的操作(如加法、旋轉和異或)。
Adiantum是一種新的加密形式,我們專門爲手機和智能設備開發,這些設備沒有辦法有效加密本地存儲的數據,因爲沒有專門的硬件。[…]從智能手錶到聯網醫療設備的一切設備,Adiantum允許這些設備對敏感數據進行加密,這將有助於保護我們的互聯世界。
值得強調的是,爲了克服AES的限制,谷歌一直在低端設備上使用ChaCha20流密碼,這個密碼是用在HTTPS上的。現在,ChaCha比AES快得多,但不能直接用於磁盤加密。這是由於數據存儲的特性,特別是保存數據長度的要求,因爲我們希望在磁盤扇區中對每個磁盤扇區進行精確加密。因此,谷歌將Adiantum設計爲支持長度保持模式的ChaCha密碼的演化。特別是,Adiantum依賴於ChaCha的12輪變體,輪輪加密,而不是更常用的20輪變體。有趣的是,ChaCha的7輪變體ChaCha7在2008年被破解,但是到今天爲止還沒有對ChaCha8的攻擊。正如谷歌所言,ChaCha12和AES-256相比,輪數與被破壞的輪數之比更好,再加上形式證明AES-256具有良好的安全性,使得Adiantum的開發者對ChaCha12的安全性有了很高的信心。
說到性能,在不提供AES硬件支持的CPU上,Adiantum比AES-256-XTS快5倍左右。但是,在支持AES的新CPU上運行時,AES比Adiantum要快。所以,谷歌的經驗法則是在AES性能<= 50MiB /sec的設備上使用Adiantum。
查看英文原文:Adiantum Brings Disk Encryption to Lew-end Smartphones