1 简介一次一密

流加密（Stream Cipher）中，“一次一密”（One-Time Pad / One-Time Key Stream）是一个工程与安全的理想目标。它的重要性和难以实现性，正好体现了理论安全与工程现实之间的差距。

2 一次一密 为何重要？

• 1 安全性的上限：达到信息论安全

“一次一密”指的是：

密钥流只使用一次，且不被重复

在这种情况下，流加密可以达到与**一次性密码本（One-Time Pad, OTP）**等价的安全性：

密文不泄露任何明文信息

即使攻击者拥有无限计算能力，也无法恢复明文

这是香农意义下的信息论安全

换句话说：

一次一密 = 理论上最强的加密安全性

• 2 防止密钥流复用攻击（核心工程动机）

流加密的基本形式是：

			C=P⊕K

如果 同一密钥流 K 被复用

攻击者就能：消去密钥流

利用明文结构、已知明文、统计特性恢复明文

典型例子：“两次一密（Two-Time Pad）灾难”

** 历史教训：

二战时期的苏联 OTP 复用

WEP 中 IV 重复

多个早期流加密协议失败的根源

一次一密是避免这类灾难的根本手段

• 3 工程设计中的“安全红线”

在现代密码工程中：

密钥流绝不可重复

即使底层算法安全，密钥流复用也会“秒破”

因此：

“一次一密”是流加密工程设计的最高安全准则

3 为什么“一次一密”在工程上极难实现？

• 1 密钥管理成本极高（根本原因）

真正的一次一密要求：

密钥流长度 ≥ 明文长度

每条消息使用全新、完全随机的密钥流

密钥必须：

预先共享

安全存储

永不复用

** 工程现实：

  明文规模	所需密钥规模

  1 GB		1 GB 真随机密钥
  1 TB		1 TB 密钥

密钥分发、存储、同步几乎不可行

• 2 真随机性的获取困难

一次一密要求：

密钥流是真随机（非伪随机）

不可预测、无结构

现实中：

真随机源（硬件噪声、量子随机）：

速率有限

成本高

难以验证质量

软件 PRNG ≠ 真随机 → 失去 OTP 的信息论安全

大规模、高速通信无法依赖真随机密钥流

• 3 状态同步与丢包问题（通信工程难点）

流加密通常用于：

网络通信

实时音视频

无线环境

但一次一密要求：

发送方与接收方精确同步密钥流位置

不能丢失、不能重传、不能乱序

实际网络环境：

丢包

重放

延迟

多线程并发

维护严格的一次性同步几乎不可控

• 4 工程系统必须支持“重启、并发、恢复”

真实系统会发生：

系统重启

会话中断

多连接并发

虚拟机快照回滚

这些都极易导致：

密钥流状态回退

同一密钥流被再次使用

这正是 WEP、早期 TLS 流模式失败的重要原因

4 现实工程的折中方案

由于真正“一次一密”不可行，现代系统采用折中设计：

• 1. 伪随机密钥流 + 唯一初始值（IV / Nonce）

K=PRF(Key,Nonce)

只要：

Key 保密

Nonce 不重复

就能在计算安全性下逼近一次一密

• 2. 使用 AEAD 流模式

如：

		ChaCha20-Poly1305

	AES-CTR + MAC（已被 AEAD 替代）

工程原则：

Key 可长期使用，但密钥流绝不复用

• 3. 把“一次一密”作为设计约束而非实现目标

工程上的正确理解是：

我们无法真正实现一次一密，但必须像它一样避免密钥流复用

5 小结

一次一密是流加密安全性的理论上限和工程红线
它重要，因为任何偏离都会导致灾难性泄密
它难以实现，因为密钥分发、随机性、同步和系统复杂性在现实中不可承受