从原理到代码：深入实现AES/ECB/PKCS5Padding加解密

1. 项目概述为什么需要自己动手实现AES加解密在数据处理和传输日益频繁的今天加密技术早已不是安全专家的专属。无论是保护用户密码、加密配置文件还是确保API通信的安全加解密都是开发者绕不开的课题。AES高级加密标准作为目前全球公认最安全、最主流的对称加密算法几乎无处不在。你可能在无数库的文档里见过AES-256-CBC这样的字眼但很多时候我们只是调用了某个库的encrypt和decrypt方法对黑盒里的运作机制一知半解。这种“拿来即用”在快速开发时没问题但一旦遇到异常——比如解密时抛出一个Invalid padding错误或者需要与使用特定模式如ECB和填充方式如PKCS5Padding的遗留系统对接时——缺乏底层理解就会让你寸步难行。最近在排查一个与第三方服务数据对接的问题时对方使用了AES/ECB/PKCS5Padding而Python常用库cryptography默认并不直接支持这种组合这迫使我不得不深入原理从头实现一遍。这个过程虽然繁琐但收获巨大。今天我就把这次从原理到代码的完整探索记录下来不仅是为了解决一个具体问题更是为了掌握一种“透视”加密黑盒的能力。无论你是需要处理特定加密需求还是想夯实自己的安全基础这篇详解都能提供一条清晰的路径。2. 核心概念拆解AES、ECB与PKCS5Padding在动手写代码之前我们必须把几个核心概念掰开揉碎讲清楚。很多教程直接上代码但如果不明白背后的“为什么”复制粘贴的代码就像空中楼阁稍有不慎就会崩塌。2.1 AES对称加密的基石AES全称Advanced Encryption Standard中文叫高级加密标准。它是一种对称加密算法意思是加密和解密使用同一把密钥。你可以把它想象成一个非常复杂的、带有密码锁的盒子加密算法只有用同一把钥匙密钥才能锁上加密和打开解密。AES处理数据的基本单位是“块”Block固定大小为128位16字节。无论你的原始数据是1个字节还是1000个字节AES都会将它们分成一个个16字节的块来处理。密钥长度则有三种选择128位、192位和256位。密钥越长安全性越高但计算开销也略大。目前256位是公认的安全强度标杆。在Python中实现时我们需要确保传入的密钥长度符合要求这是第一个容易踩坑的地方。2.2 ECB模式最简单的块加密模式ECB全称Electronic Codebook电子密码本模式。这是理解起来最简单的一种模式。它的工作方式非常直白将明文分割成独立的16字节块然后用相同的密钥对每个块单独进行加密。打个比方想象你要加密一幅像素画明文。ECB模式就像把画切成一个个16x16像素的小方块块然后用同一个模板密钥给每个小方块打上马赛克加密。最后把所有打了马赛克的小方块拼回去就是密文。ECB的致命缺陷正因为每个块独立加密完全相同的明文块会被加密成完全相同的密文块。这就导致了一个严重问题模式泄露。如果加密的是一张图片你甚至能在密文中隐约看出原图的轮廓因此ECB模式在需要高安全性的场合如加密图片、结构化数据中是不推荐的。那为什么还要学它原因有三1它是理解其他更复杂模式如CBC的基础2某些老旧系统或特定协议如一些硬件加密设备仍在使用3在加密完全随机的、非结构化的数据如已加密的密钥时它依然可用且简单高效。2.3 PKCS5Padding补齐最后一块的拼图前面提到AES一次处理16个字节。但如果明文总长度不是16的整数倍怎么办比如一段30字节的数据会被分成一个16字节块和一个14字节块。第二个块不够16字节AES无法直接处理。这时就需要“填充”Padding。PKCS5Padding在AES的16字节块场景下常等同于PKCS7Padding是一种最常用的填充方案。它的规则很简单计算需要填充的字节数pad_len。例如最后一个块有14字节则pad_len 16 - 14 2。用这个pad_len值一个整数作为填充内容重复填充pad_len次。如果明文长度恰好是16的倍数则额外添加一个完整的16字节填充块每个字节值都是16。举例明文最后一块为[0x61, 0x62, 0x63]3字节需要填充13字节。填充后为[0x61, 0x62, 0x63, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D, 0x0D]。注意0x0D是十进制的13。明文长度正好48字节3个块则需要添加第4个填充块内容为16个0x10十进制16。解密后我们需要移除填充。方法就是读取密文解密后最后一个字节的值它就是填充的长度pad_len然后从末尾删除pad_len个字节即可。这里有个关键验证要检查删除的这些字节是否都等于pad_len以防止被恶意构造的密文攻击。3. 工具选型与依赖库解析在Python中实现加密我们通常不会从零开始写AES的S盒和列混淆变换那是一个庞大的工程而是借助现有的、经过严格安全审计的底层库。这里主要有两个选择pycryptodome和cryptography。cryptography这是目前Python生态中维护最积极、文档最全、被许多大型项目如pip、requests使用的加密库。它提供了高级的、符合“安全最佳实践”的API。但正因如此它默认不直接暴露ECB模式和不安全的填充模式鼓励开发者使用更安全的CBC等模式。pycryptodome这是经典库PyCrypto的一个活跃分支。它提供了更为底层和灵活的控制几乎支持所有你能想到的加密模式、填充方式。对于学习、测试或与特定系统对接来说它更直接。我们的选择由于我们的目标是深入理解并实现AES/ECB/PKCS5Padding这一特定组合pycryptodome能给我们更细致的控制权也更方便我们从底层观察过程。因此本项目将基于pycryptodome进行。当然在理解了原理后你也可以用cryptography的底层接口实现但那会绕更多弯子。注意在生产环境中如果无特殊兼容性要求强烈建议使用cryptography库并采用其推荐的更安全模式如CBC with HMAC或GCM模式。本项目的实现主要用于教育、测试和特定兼容场景。安装依赖pip install pycryptodome安装完成后我们就可以从Crypto.Cipher导入AES模块了。4. 核心实现AES/ECB/PKCS5Padding 加解密类理论铺垫完毕现在进入实战环节。我们将创建一个AESECBPKCS5类它封装完整的加密和解密流程。我会逐行解释关键代码并穿插我在实现过程中踩过的坑和总结的技巧。4.1 类的初始化与密钥处理首先我们需要处理密钥。AES标准只接受特定长度的密钥16字节AES-128、24字节AES-192或32字节AES-256。但用户可能传入一个字符串如密码我们需要将其转换为符合长度的字节序列。from Crypto.Cipher import AES import base64 class AESECBPKCS5: 使用AES/ECB/PKCS5Padding模式进行加解密的工具类。 **注意ECB模式不安全仅用于学习或兼容旧系统。** def __init__(self, key: str, key_size: int 128): 初始化加密器。 Args: key: 加密密钥字符串。将根据key_size进行补足或截断。 key_size: 密钥长度支持128、192、256位。 Raises: ValueError: 如果key_size不是有效值。 # 验证密钥长度 if key_size not in [128, 192, 256]: raise ValueError(key_size must be 128, 192, or 256) # 将密钥字符串编码为字节 key_bytes key.encode(utf-8) # 计算所需密钥字节长度 required_len key_size // 8 # 密钥处理过长则截断过短则用0x00填充这是一种简单方式实践中可能需要更复杂的密钥派生函数如PBKDF2 if len(key_bytes) required_len: self._key key_bytes[:required_len] # 截断 print(f警告密钥过长已自动截断为前{required_len}字节。) elif len(key_bytes) required_len: # 填充0x00至指定长度 self._key key_bytes b\x00 * (required_len - len(key_bytes)) print(f警告密钥过短已用0x00填充至{required_len}字节。) else: self._key key_bytes self._key_size key_size self._block_size AES.block_size # AES块大小固定为16字节关键点与踩坑记录密钥长度验证这是第一道防线。传入非标准长度会导致底层库抛出难以理解的异常。密钥处理策略这里采用了简单的截断和补零策略。这在生产环境中是极其危险的因为简单的密码如“123456”经过补零后密钥的熵随机性很低容易被暴力破解。正确的做法是使用密钥派生函数KDF如PBKDF2HMAC将用户密码和盐salt混合进行多次哈希迭代生成符合长度的、强度高的密钥。本例为简化演示采用了简单方式你务必了解其中的安全风险。block_sizeAES.block_size常量就是16代表AES的块大小。我们后续的填充逻辑都基于这个值。4.2 PKCS5Padding 填充与反填充实现接下来我们实现填充和移除填充的辅助方法。这是确保加解密能正确处理任意长度文本的关键。staticmethod def _pad(data: bytes) - bytes: 使用PKCS5/PKCS7模式对数据进行填充。 Args: data: 需要填充的原始字节数据。 Returns: 填充后的字节数据长度是16的整数倍。 pad_len AES.block_size - (len(data) % AES.block_size) # 使用chr(pad_len)生成单个填充字符然后重复pad_len次 padding chr(pad_len).encode(latin-1) * pad_len return data padding staticmethod def _unpad(padded_data: bytes) - bytes: 移除PKCS5/PKCS7填充。 Args: padded_data: 解密后带填充的字节数据。 Returns: 移除填充后的原始字节数据。 Raises: ValueError: 如果填充格式不正确。 if not padded_data: raise ValueError(输入数据为空无法移除填充。) # 获取最后一个字节的值即填充长度 pad_len padded_data[-1] # 安全性检查1填充长度必须在有效范围1到块大小内 if pad_len 1 or pad_len AES.block_size: raise ValueError(f无效的填充长度: {pad_len}) # 安全性检查2确认末尾的pad_len个字节确实都等于pad_len expected_padding chr(pad_len).encode(latin-1) * pad_len if padded_data[-pad_len:] ! expected_padding: raise ValueError(填充字节与标准不符数据可能已被篡改或密钥错误。) # 移除填充 return padded_data[:-pad_len]关键点与踩坑记录encode(latin-1)为什么用latin-1因为latin-1编码即ISO-8859-1能够无损地将0-255范围内的整数映射为单个字节。chr(pad_len)生成一个Unicode字符但我们需要的是单个字节值。utf-8编码对于大于127的值会生成多字节序列这会导致填充错误。latin-1是解决这个问题的标准方法。反填充时的安全验证_unpad方法中的两次检查至关重要。第一次检查pad_len的范围防止索引错误或恶意数据。第二次检查填充内容的一致性这是防止Padding Oracle攻击的一种基本措施。如果解密后填充格式不对说明要么密文被篡改要么密钥错误应该立即抛出异常而不是静默地返回错误数据。空数据处理在_unpad开始检查空数据避免后续操作出错。4.3 加密过程详解有了密钥和填充方法加密过程就清晰了填充 - 分块 - ECB加密 - 输出。def encrypt(self, plaintext: str, output_format: str base64) - str: 加密明文。 Args: plaintext: 待加密的字符串。 output_format: 输出格式支持 base64 或 hex。 Returns: 指定格式编码后的密文字符串。 # 1. 将明文转换为字节 plaintext_bytes plaintext.encode(utf-8) # 2. 对明文进行PKCS5填充 padded_bytes self._pad(plaintext_bytes) # 3. 创建AES/ECB密码器对象。ECB模式不需要初始化向量(IV)。 # 使用 MODE_ECB 模式 cipher AES.new(self._key, AES.MODE_ECB) # 4. 加密。由于ECB模式这里直接加密整个填充后的数据。 # 底层库会自动处理分块。 ciphertext_bytes cipher.encrypt(padded_bytes) # 5. 将密文字节转换为可读字符串格式 if output_format.lower() hex: return ciphertext_bytes.hex() elif output_format.lower() base64: # 使用url安全的base64编码避免和/在URL中出问题 return base64.urlsafe_b64encode(ciphertext_bytes).decode(ascii) else: raise ValueError(output_format 必须是 base64 或 hex)关键点与踩坑记录AES.new()参数创建密码器时我们传入了密钥self._key和模式AES.MODE_ECB。注意ECB模式不需要初始化向量IV这是它与CBC等模式的一个重要区别。加密对象我们是对padded_bytes填充后的整个字节串调用encrypt方法而不是循环处理每个块。pycryptodome的AES对象在ECB模式下内部会处理分块加密这简化了我们的代码。输出格式提供了Base64和Hex两种常见输出。Base64更紧凑适合作为文本传输如放在URL或JSON里。这里使用了urlsafe_b64encode它会将和/替换为-和_避免在URL中产生歧义。这是一个实用的细节。4.4 解密过程详解解密是加密的逆过程解码 - ECB解密 - 移除填充。def decrypt(self, ciphertext: str, input_format: str base64) - str: 解密密文。 Args: ciphertext: 待解密的字符串base64或hex格式。 input_format: 输入密文的格式base64 或 hex。 Returns: 解密后的原始明文字符串。 Raises: ValueError: 如果密文格式错误、解密失败或填充验证失败。 # 1. 将输入字符串解码为密文字节 try: if input_format.lower() hex: ciphertext_bytes bytes.fromhex(ciphertext) elif input_format.lower() base64: # 兼容标准base64和url安全的base64 ciphertext_bytes base64.urlsafe_b64decode(ciphertext) else: raise ValueError(input_format 必须是 base64 或 hex) except (binascii.Error, ValueError) as e: raise ValueError(f密文格式错误无法解码: {e}) # 2. 检查密文长度是否为块大小的整数倍AES-ECB的要求 if len(ciphertext_bytes) % AES.block_size ! 0: raise ValueError(f密文长度({len(ciphertext_bytes)})不是块大小({AES.block_size})的整数倍。) # 3. 创建AES/ECB解密器对象 cipher AES.new(self._key, AES.MODE_ECB) # 4. 解密 try: padded_bytes cipher.decrypt(ciphertext_bytes) except Exception as e: # 底层库解密失败虽然ECB模式下较少见但密钥完全错误时可能发生 raise ValueError(f解密过程失败: {e}) # 5. 移除PKCS5填充 try: plaintext_bytes self._unpad(padded_bytes) except ValueError as e: # 填充验证失败是解密失败的常见原因 raise ValueError(f填充验证失败可能是密钥错误或密文被篡改: {e}) # 6. 将字节解码为字符串并返回 return plaintext_bytes.decode(utf-8)关键点与踩坑记录密文长度验证在解密前检查密文长度是否为16的倍数。这不是填充的要求而是AES-ECB算法本身的要求。如果长度不对说明密文在传输或存储中可能已损坏直接抛出异常比让底层库报错更清晰。异常处理的粒度解密过程可能在三处失败格式解码失败binascii.Error输入不是合法的Hex或Base64。底层解密失败密钥错误可能导致解密出的数据乱码但ECB模式本身不会报错错误会延迟到下一步。填充移除失败ValueError这是最常见的解密失败原因。如果密钥错误解密出的数据几乎是随机的其最后一个字节的值有很大概率不在1-16之间或者末尾字节不统一从而触发_unpad中的验证异常。清晰的错误信息能快速定位问题。解码顺序务必先解密再移除填充最后才将字节解码为字符串。顺序错了会导致乱码或解码错误。5. 完整代码示例与单元测试将以上所有部分组合起来我们就得到了一个完整的、可用的AESECBPKCS5类。为了确保其可靠性编写单元测试是必不可少的。这里使用Python内置的unittest模块。# 文件aes_ecb_pkcs5.py from Crypto.Cipher import AES import base64 import binascii class AESECBPKCS5: # ... 将上述 __init__, _pad, _unpad, encrypt, decrypt 方法全部放入此处 ... # 为节省篇幅此处省略具体方法实现请参照前文。 # 单元测试 import unittest class TestAESECBPKCS5(unittest.TestCase): def setUp(self): 每个测试用例前运行初始化加密器。 # 使用一个标准的16字节密钥AES-128 self.key_128 ThisIsASecretKey self.cipher_128 AESECBPKCS5(self.key_128, 128) # 测试AES-256 self.key_256 ThisIsA32ByteLongSecretKeyForAES256!! self.cipher_256 AESECBPKCS5(self.key_256, 256) def test_encrypt_decrypt_short_text(self): 测试短文本加密解密一致性。 plaintext Hello, AES! ciphertext self.cipher_128.encrypt(plaintext, base64) decrypted self.cipher_128.decrypt(ciphertext, base64) self.assertEqual(plaintext, decrypted) print(f短文本测试通过。明文: {plaintext}, 解密后: {decrypted}) def test_encrypt_decrypt_long_text(self): 测试长文本超过一个块加密解密一致性。 plaintext 这是一段比较长的中文文本用于测试AES ECB模式对多块数据的处理能力。 ciphertext self.cipher_128.encrypt(plaintext, hex) decrypted self.cipher_128.decrypt(ciphertext, hex) self.assertEqual(plaintext, decrypted) print(f长文本测试通过。明文长度: {len(plaintext)}) def test_encrypt_decrypt_exact_block(self): 测试明文长度恰好为块大小整数倍时的边界情况。 # 16字节的倍数A * 32 plaintext A * 32 ciphertext self.cipher_128.encrypt(plaintext) decrypted self.cipher_128.decrypt(ciphertext) self.assertEqual(plaintext, decrypted) print(f整块文本测试通过。) def test_encrypt_decrypt_empty_string(self): 测试空字符串。 plaintext ciphertext self.cipher_128.encrypt(plaintext) decrypted self.cipher_128.decrypt(ciphertext) self.assertEqual(plaintext, decrypted) print(f空字符串测试通过。) def test_aes_256(self): 测试AES-256加解密。 plaintext Test AES-256 encryption. ciphertext self.cipher_256.encrypt(plaintext, base64) decrypted self.cipher_256.decrypt(ciphertext, base64) self.assertEqual(plaintext, decrypted) print(fAES-256测试通过。) def test_wrong_key_decryption_fails(self): 测试使用错误密钥解密应失败。 plaintext Secret Message ciphertext self.cipher_128.encrypt(plaintext) # 使用一个错误的密钥创建新的加密器 wrong_cipher AESECBPKCS5(WrongKey123456789, 128) with self.assertRaises(ValueError) as context: wrong_cipher.decrypt(ciphertext) # 期望的错误是填充验证失败 self.assertIn(填充验证失败, str(context.exception)) print(f错误密钥测试通过如期抛出异常: {context.exception}) def test_tampered_ciphertext_fails(self): 测试篡改密文后解密应失败。 plaintext Important Data ciphertext_b64 self.cipher_128.encrypt(plaintext) # 篡改Base64密文的一个字符模拟传输错误或篡改 tampered_ciphertext ciphertext_b64[:-1] (A if ciphertext_b64[-1] ! A else B) with self.assertRaises(ValueError) as context: self.cipher_128.decrypt(tampered_ciphertext) # 可能触发解码错误或填充验证错误 print(f密文篡改测试通过如期抛出异常: {context.exception}) def test_output_input_formats(self): 测试Hex和Base64格式的输入输出。 plaintext Format Test # 加密为hex用hex解密 ciphertext_hex self.cipher_128.encrypt(plaintext, hex) decrypted_from_hex self.cipher_128.decrypt(ciphertext_hex, hex) self.assertEqual(plaintext, decrypted_from_hex) # 加密为base64用base64解密 ciphertext_b64 self.cipher_128.encrypt(plaintext, base64) decrypted_from_b64 self.cipher_128.decrypt(ciphertext_b64, base64) self.assertEqual(plaintext, decrypted_from_b64) print(f格式兼容性测试通过。) if __name__ __main__: # 运行测试 unittest.main(verbosity2)运行测试在命令行中执行python -m unittest aes_ecb_pkcs5.py假设文件名为aes_ecb_pkcs5.py。如果所有测试用例都通过说明我们的实现基本正确可靠。6. 常见问题与实战排错指南即使代码通过了测试在实际集成和使用中你依然会遇到各种各样的问题。下面是我在多次对接和调试中总结的常见错误场景和排查思路。6.1 错误类型与原因分析错误现象可能原因排查步骤ValueError: 密文长度不是块大小的整数倍1. 密文在传输/存储中被截断或损坏。2. 编码/解码格式错误如误将Base64当作Hex处理。3. 加密端未正确填充但AES ECB要求输入已是块大小的倍数通常加密库会处理。1. 打印密文长度确认是16的倍数。2. 确认加解密双方使用的input_format/output_format一致。3. 检查网络传输或数据库存储是否有长度限制。ValueError: 填充验证失败可能是密钥错误或密文被篡改这是最常见的错误1.密钥错误加解密使用的密钥不一致。2.密文被篡改密文在传输中发生错误。3.填充模式不一致加密端使用PKCS5解密端使用其他填充如ZeroPadding或无填充。1.首先核对密钥确保双方密钥字符串完全一致包括大小写、空格、不可见字符。建议将密钥以十六进制形式打印出来比对。2. 使用在线工具或已知正确的另一套代码用同一密钥加密一个简单字符串如test比对密文是否一致以隔离问题。3. 确认双方使用的算法字符串完全一致即AES/ECB/PKCS5Padding。binascii.Error: Non-hexadecimal digit found或ValueError: 密文格式错误1. 密文字符串包含非法字符Hex格式包含非0-9a-f字符Base64格式包含非法字符或长度错误。2. 将Base64密文误用Hex解码反之亦然。1. 检查密文字符串是否完整是否有换行符、空格等混入。2. 确认调用decrypt时传入的input_format参数与密文实际格式匹配。KeyError或Invalid key length相关错误1. 初始化AESECBPKCS5时传入的key_size与密钥实际长度不匹配。2. 密钥字符串编码问题。1. 检查key_size参数是128、192还是256。2. 计算len(key.encode(utf-8))看密钥字节长度是否匹配key_size/8。解密成功但得到乱码1. 密钥正确但加密端和解密端的字符编码不一致如加密用gbk解密的utf-8。2. 加密的原始数据不是文本如图片、二进制数据解密后尝试用文本解码导致乱码。1. 确保加解密双方在将字符串转为字节encode和将字节转为字符串decode时使用相同的编码强烈建议统一使用utf-8。2. 如果加密的是二进制数据解密后应直接得到bytes对象不要调用.decode()。6.2 与其他系统对接的实战技巧当你需要与Java、C#、JavaScript等其他语言编写的系统进行加解密对接时以下细节至关重要密钥处理的一致性这是对接失败的罪魁祸首。确保双方对密钥字符串的处理完全一致。例如Java中SecretKeySpec接受字节数组如果Java端用myKey.getBytes(UTF-8)Python端就必须用myKey.encode(utf-8)。强烈建议在调试阶段将双方用于实际加密的密钥字节数组以十六进制形式打印出来进行逐字节比对。Base64编码的变体Base64有标准/和URL安全-_等变体。如果对方使用的是标准Base64库而Python端用了urlsafe_b64encode会导致解码失败。我们的代码使用了URL安全版本如果对接方是标准Base64需要将urlsafe_b64encode/decode替换为标准的b64encode/decode并注意处理可能出现的换行符。IV的误区ECB模式没有初始化向量IV。如果你在Java代码中看到类似IvParameterSpec的设置那它一定不是ECB模式很可能是CBC模式。算法字符串必须完全匹配。在线工具辅助调试遇到棘手问题时可以借助可靠的在线AES加密工具注意选择可信的、开源的平台作为“第三方裁判”。用相同的密钥、明文、模式ECB和填充PKCS5/PKCS7在在线工具和你的代码中分别加密比对密文是否一致。这能快速定位问题是出在你的加密端还是解密端。6.3 性能与安全注意事项性能ECB模式由于可以并行计算在速度上是有优势的。但对于大文件一次性加密大量数据内存压力大。可以结合文件流分块读取加密的方式处理但要注意ECB模式本身的安全缺陷。安全警告再强调不要使用ECB模式加密有意义的数据结构或图像。它不能隐藏数据模式。对于任何新的、对安全有要求的项目请使用CBC模式需随机IV、CTR模式或更佳的GCM模式提供认证加密。cryptography库默认推荐使用GCM。密钥管理本文示例中简单的密钥处理补零仅用于演示。真实场景中必须使用安全的密钥派生函数如PBKDF2HMAC、scrypt或Argon2从密码生成密钥并妥善管理盐Salt和密钥本身。7. 从ECB到更安全的模式概念延伸理解ECB是理解其他模式的基础。为了不让你的学习止步于此我简要对比一下其他常见模式为你未来的安全实践指路。CBCCipher Block Chaining最常用的模式之一。每个明文块在加密前会与前一个密文块进行异或操作。第一个块需要一个随机生成的初始化向量IV。这破坏了ECB的确定性相同的明文块加密后结果不同安全性大大提升。解密时需要相同的IV。CTRCounter它将块密码转换为流密码。通过一个计数器Counter生成密钥流然后与明文进行异或加密。支持并行计算和随机访问不需要填充因为流加密模式。GCMGalois/Counter Mode目前最推荐的模式。它在CTR模式的基础上增加了消息认证码GMAC能同时提供加密和认证确保密文不被篡改。这是TLS 1.2/1.3等现代协议广泛使用的模式。如果你想用pycryptodome实现一个简单的CBC模式代码结构类似关键变化在于创建密码器时需要提供IV且加解密需要关联这个IV。from Crypto.Cipher import AES from Crypto.Random import get_random_bytes def encrypt_cbc(key, plaintext): iv get_random_bytes(AES.block_size) # 生成随机IV cipher AES.new(key, AES.MODE_CBC, iv) padded_text pad(plaintext.encode()) # 假设有pad函数 ciphertext cipher.encrypt(padded_text) # 通常将IV和密文一起存储或传输 return iv ciphertext def decrypt_cbc(key, data): iv data[:AES.block_size] ciphertext data[AES.block_size:] cipher AES.new(key, AES.MODE_CBC, iv) padded_plaintext cipher.decrypt(ciphertext) return unpad(padded_plaintext).decode() # 假设有unpad函数记住IV不需要保密但必须不可预测随机且同一个密钥下不能重复使用。通常将IV和密文拼接在一起传输。实现完这个基础的AES/ECB/PKCS5Padding工具并经历了整个从原理、实现、测试到排错的过程后你再去看那些高级加密库的文档或者遇到复杂的加密需求时心里会踏实很多。你不再是在调用一个黑盒魔法而是在理解和运用一套清晰的规则。这种通过拆解底层来构建认知的方式是我认为学习任何技术最有效的路径。