最近一年多，公司在大力提高服务的安全性，我也参与了公司密钥管理系统的建设，做了较多密钥创建/删除/轮换/销毁/安全存储/安全传输/审计方面的工作，不过这篇文章不谈密钥管理，而是总结不同场景下如何选择足够安全的加密算法和密钥。

按业务场景划分主要有两种：落盘加密(encryption of data at rest)和传输加密(encryption of data in transit)。

落盘加密主要采用AES-GCM-256：

• key长度如果不能达到256，至少也要采用128bit
• mode推荐采用GCM，如果不支持GCM可以采用GCM-SIV/CCM/EAX/CBC，ECB模式不够安全不建议使用；
• IV必须是96bits长度, 对于落盘加密场景使用random IV，key使用过232次之后要换个新值；
• AAD(Additional AUthenticated Data)可加可不加，AAD的值要是不敏感的。

不建议使用DES，3DES，RC4(Rivest Cipher 4)和Camellia ciphers等加密算法。

传输加密可以分为几个部分：

1. 传输层加密：主要采用TLS1.2以上，TLS的加密算法是要AES-GCM-256，并且IV要是随机的。

2. 加密hash算法(Cryptographic Hashing): 主要用于数字签名，公钥加密，完整性验证，消息身份验证，密钥协商协议等场景。一般采用SHA-256，也推荐SHA-384/SHA-512。不能使用SHA-1，不安全。不推荐产线使用SHA3-256/SHA3-384/SHA3-512，性能比较差，可以在research项目中尝试。