铁线蕨算法（Adiantum）是一种针对低端智能手机、智能手表和其他Android Pie设备的新加密算法，这些设备速度太慢，无法使用先进的加密标准(AES)进行存储加密。

根据谷歌的说法，在不影响用户体验的情况下，在旧的基于ARMv7的设备上使用AES不能提供加密存储所需的性能。由于这个原因，这些设备被完全排除在实现存储加密之外，而存储加密是所有Android设备的要求。Adiantum的目标是通过提供一个密码来改变这种情况，这个密码是只使用所有CPU原生支持的操作(如加法、旋转和异或)。

Adiantum是一种新的加密形式，我们专门为手机和智能设备开发，这些设备没有办法有效加密本地存储的数据，因为没有专门的硬件。[…]从智能手表到联网医疗设备的一切设备，Adiantum允许这些设备对敏感数据进行加密，这将有助于保护我们的互联世界。

值得强调的是，为了克服AES的限制，谷歌一直在低端设备上使用ChaCha20流密码，这个密码是用在HTTPS上的。现在，ChaCha比AES快得多，但不能直接用于磁盘加密。这是由于数据存储的特性，特别是保存数据长度的要求，因为我们希望在磁盘扇区中对每个磁盘扇区进行精确加密。因此，谷歌将Adiantum设计为支持长度保持模式的ChaCha密码的演化。特别是，Adiantum依赖于ChaCha的12轮变体，轮轮加密，而不是更常用的20轮变体。有趣的是，ChaCha的7轮变体ChaCha7在2008年被破解，但是到今天为止还没有对ChaCha8的攻击。正如谷歌所言，ChaCha12和AES-256相比，轮数与被破坏的轮数之比更好，再加上形式证明AES-256具有良好的安全性，使得Adiantum的开发者对ChaCha12的安全性有了很高的信心。

说到性能，在不提供AES硬件支持的CPU上，Adiantum比AES-256-XTS快5倍左右。但是，在支持AES的新CPU上运行时，AES比Adiantum要快。所以，谷歌的经验法则是在AES性能<= 50MiB /sec的设备上使用Adiantum。

查看英文原文：Adiantum Brings Disk Encryption to Lew-end Smartphones

创作场景

铁线蕨算法（Adiantum）为低端智能手机提供磁盘加密服务