AES Encryption：文本加密与解密工具

什么是AES Encryption？

AES Encryption是一款基于浏览器的工具，使用高级加密标准（AES）算法对文本进行加密和解密。它解决了日常保护敏感文本的需求——API密钥、个人笔记、凭据——无需依赖第三方服务器。当您需要通过不安全的渠道共享敏感数据、安全存储机密内容，或验证能否解密自己的密文时，都可以使用它。与大多数在线加密工具不同，此工具使用浏览器原生的Web Crypto API，在本地执行所有操作，因此您的明文和密码永远不会离开您的设备。

主要功能

• AES-128和AES-256密钥大小 — 密钥大小下拉菜单提供两个选项：128位（10轮）和256位（14轮）。AES-256是默认值，也是高安全性场景最广泛推荐的选择。
• 三种加密模式：GCM（推荐）、CBC、CTR — GCM提供认证加密，自动检测篡改。CBC获得广泛支持，但需要谨慎管理IV。CTR将分组密码转换为流密码，适用于特定协议。
• 通过PBKDF2进行基于密码的密钥派生 — 您的密码永远不会直接用作密钥。工具使用SHA-256和随机生成的16字节盐值运行100,000次PBKDF2迭代，生成一个强化的密钥。
• Base64和Hex输出格式 — 选择Base64用于紧凑的文本传输，或选择Hex用于人类可读的字节检查。
• 批处理模式 — 一次加密或解密多个字符串，结果显示在带索引的表格中，并附有单个"复制所有结果"按钮。
• 每次操作使用随机盐值和IV — 每次加密生成新的盐值（16字节）和IV（GCM为12字节，CBC/CTR为16字节），嵌入输出中使解密自给自足。
• 使用Web Crypto API实现100%客户端处理 — 无服务器，无账户，页面加载后无网络请求。

如何使用AES Encryption

第一步：选择加密设置

打开AES Encryption工具。在控制卡顶部您将看到四个下拉菜单：

• 模式 — 选择"加密"或"解密"
• 密钥大小 — 选择AES-128或AES-256
• 加密模式 — 选择GCM、CBC或CTR（GCM标记为"推荐"）
• 输出格式 — 选择Base64或Hex

对于大多数使用场景，保持默认值：加密、AES-256、GCM、Base64。

第二步：输入您的密码

在密码字段中输入密码。点击右侧的眼睛图标切换可见性。字段下方的密码提示提醒您PBKDF2密钥派生已应用，因此任何合理长度的密码在使用前都会被强化。在密码和输入字段均包含文本之前，加密/解密按钮保持禁用状态。

第三步：输入明文并加密

在左侧"明文"文本区域输入或粘贴您的文本。点击加密按钮。工具生成随机盐值和IV，通过PBKDF2（100,000次迭代，SHA-256）派生密钥，使用Web Crypto API加密，并将盐值 + IV + 密文组合成单个编码的二进制块。

输入示例：

{"api_key": "sk-prod-abc123xyz", "expires": "2026-12-31"}

Base64输出示例（GCM模式，AES-256）：

3q2+7wABAgMEBQYHCAkKCwwNDg/aBcDeFgHiJkLmNoPqRsTuVwXyZabc...

成功提示确认操作完成。输出显示在右侧"密文"文本区域，附带复制按钮。

第四步：解密密文

将模式下拉菜单切换到"解密"。将Base64或Hex密文粘贴到输入字段。输入加密时使用的相同密码，点击解密。工具从二进制块中提取嵌入的盐值和IV，重新派生密钥并解密。恢复的明文显示在输出区域。

第五步（可选）：使用批处理模式

在控制卡中切换"批处理模式"。在批量输入中每行输入一个明文字符串。点击"全部加密"或"全部解密"。进度指示器跟踪每个项目。结果以索引、输入和输出列的表格显示。点击"复制所有结果"将整个输出批次复制到剪贴板。

实际示例

存储前保护API凭据

开发人员需要将第三方API密钥存储在将被纳入版本控制的配置文件中。

输入：

STRIPE_SECRET_KEY=sk_live_4eC39HqLyjWDarjtT1zdp7dc

使用AES-256-GCM加密并输出为Base64后，存储的值是一个不透明的二进制块。只有拥有密码的人才能恢复原始密钥。这种方法不能替代适当的密钥管理，但为低风险环境增加了有意义的保护层。

通过不安全渠道共享密码

您需要通过未加密的消息应用向家庭成员发送Wi-Fi密码。使用口头商定的共享密码短语加密密码，发送密文，让接收方在其设备上解密。

GCM模式确保如果密文中的任何字符在传输过程中被更改，解密将以身份验证错误失败，而不是静默产生损坏的输出。

批量加密PII记录列表

数据分析师需要在将50个电子邮件地址插入共享电子表格之前对其进行假名化处理。启用批处理模式，每行粘贴一个地址，共50个，设置强密码，点击"全部加密"，一次性复制整个结果集。

提示和最佳实践

除非有特定原因，否则使用GCM。 GCM提供认证加密：嵌入输出中的身份验证标签同时验证机密性和完整性。CBC和CTR不对密文进行身份验证，这意味着位翻转攻击在理论上是可能的。

密码强度比密钥大小更重要。 使用100,000次SHA-256迭代的PBKDF2可强化弱密码，但6个字符的密码仍然弱于20个字符的密码短语。在加密敏感数据之前，使用即将推出: Password Suite生成强密码。

输出二进制块是自给自足的。 工具在编码前将盐值（16字节）和IV（GCM为12字节）添加到密文前面。您不需要单独存储盐值或IV——它们嵌入在每个输出字符串中。

不要在不理解填充的情况下使用CBC模式。 CBC模式通过Web Crypto API自动使用PKCS7填充。如果您复制缺少填充字符的密文（文本被截断时常见），解密将失败。

批处理模式对每个项目使用相同的密码。 批处理模式中没有按项目的密码。如果每条记录需要不同的密钥，请单独处理项目。

常见问题和故障排除

密码正确时出现"解密错误" — 这几乎总是意味着加密模式或输出格式与加密时使用的不匹配。如果您使用GCM和Base64加密，则必须使用GCM和Base64解密。盐值和IV的长度因模式而异（GCM使用12字节IV；CBC和CTR使用16字节），因此模式不匹配会导致切片偏移量错位，解密失败。

解密时出现"无效格式"错误 — 解密操作的输入必须是有效的Base64或Hex（与所选输出格式匹配）。如果您在加密期间选择了Hex输出，但粘贴Base64字符串进行解密，hex解析器会抛出无效格式错误。同时检查截断或换行的密文。

加密按钮保持禁用状态 — 密码字段和输入文本区域都必须包含文本。如果任一为空，按钮将被禁用。

相同输入每次输出看起来不同 — 这是正确且预期的行为。每次加密操作都会生成新的随机盐值和IV。相同的明文总会产生不同的密文，这是安全属性，而不是错误。

批处理模式显示某些项目出错 — 每个项目独立处理。项目级错误（例如，解密期间某行的Base64格式错误）在结果表格中内联显示，不会停止其他项目的处理。

隐私与安全

所有加密和解密完全在您的浏览器中使用原生Web Crypto API进行。没有任何数据——明文、密文或密码——被发送到任何服务器。工具在页面加载后可离线工作。没有与您的输入关联的分析数据，没有密钥的会话存储，没有操作日志记录。可以安全地用于敏感的生产凭据、个人数据或私人通信。

常见问题解答

AES Encryption是免费使用的吗？

是的，AES Encryption工具完全免费。不需要账户，没有使用限制，加密功能本身也没有高级套餐。工具完全在您的浏览器中运行，因此没有持续的服务器成本来证明收费的合理性。

AES Encryption可以离线使用吗？

可以。一旦页面在您的浏览器中加载，所有操作——密钥派生、加密、解密——都使用Web Crypto API在本地执行。您可以断开互联网连接并继续使用工具而不中断。这也意味着即使工具想要，也无法与服务器通信。

我的数据在AES Encryption中安全吗？

您的数据永远不会离开您的浏览器。Web Crypto API是浏览器原生的加密接口，已作为浏览器本身的一部分进行了审计。具体实现使用PBKDF2和100,000次SHA-256迭代进行密钥派生，每次操作使用新鲜的随机盐值和IV。您可以直接在浏览器的开发者工具中检查源代码来验证这些声明。

AES-128和AES-256有什么区别？

数字表示密钥长度（以位为单位）。AES-128使用10个密码轮，AES-256使用14个。两者对于当前和近期硬件的暴力破解攻击都被认为是安全的。对大多数使用场景来说，实际差异可以忽略不计。AES-256是默认值，因为它提供最大的安全余量，并且某些合规框架（例如某些NIST和FIPS上下文）需要它。AES标准还定义了AES-192（12轮），但大多数浏览器中的Web Crypto API只支持AES-128和AES-256，这也是最常用的密钥大小。

GCM、CBC和CTR模式有什么区别？

GCM（Galois/Counter Mode）是认证加密模式：它生成一个身份验证标签，允许解密方验证密文未被篡改。CBC（Cipher Block Chaining）和CTR（Counter）模式加密数据但不进行身份验证；修改的密文会解密成乱码而不是产生错误。GCM几乎适用于所有场景。CBC在传统系统中获得广泛支持。CTR在流式传输场景中很有用。

我可以解密其他AES工具加密的密文吗？

不能直接解密。此处使用的输出格式在Base64或Hex编码前连接盐值（16字节）+ IV（GCM为12字节，CBC/CTR为16字节）+ 密文。其他工具可能使用不同的格式、不同的IV长度或不同的密钥派生方案。如果您知道其他工具使用的确切参数，可以手动提供原始十六进制值作为密钥——但当前实现使用基于密码的派生（PBKDF2）而不接受原始密钥。

应该使用哪种输出格式，Base64还是Hex？

Base64更紧凑（对于相同数据比Hex短约33%），在需要将密文嵌入JSON、URL或文本文件时是更好的选择。Hex逐字节更易读，在需要检查或操作单个字节时首选。两种格式携带相同的信息；选择纯粹取决于字节的表示方式。

如果我丢失了密码会怎样？

没有密码恢复功能。密钥派生是单向过程：100,000次迭代的PBKDF2将您的密码和嵌入的盐值转换为密钥。没有原始密码，密钥无法重现，密文无法解密。请安全存储您的密码——例如，存储在密码管理器中。

批处理模式是否保留输入顺序？

是的。批处理表格中的结果按索引排列以匹配输入行顺序。索引列显示每个项目从1开始的位置，无论单个项目完成的速度如何，表格都保留原始顺序。

我可以使用此工具加密文件吗？

当前工具仅为文本输入而设计。它通过文本区域接受文本，而不是文件上传。要加密二进制文件，您需要专用的文件加密工具。

相关工具

• 即将推出: Password Suite — 在运行AES操作之前生成用作加密密钥的强密码。
• 即将推出: RSA Key Generator — 为补充AES对称加密的非对称加密工作流生成RSA密钥对。
• 即将推出: SSH Key Generator — 创建Ed25519或RSA SSH密钥，用于安全地向远程服务器进行身份验证。

立即试用AES Encryption：Glyph Widgets AES Encryption工具