AES-256-GCM 和使用两个不同密钥进行两次 AES-128-GCM 加密，哪个更安全？

RT

放假闲的

256 就像请一个专业保镖，简单可靠，而两次 128 则像是请两个保镖，但他们彼此可能还不合拍。最终，安全不一定翻倍，麻烦倒可能加倍

AES-256-GCM

我记得开发过程中有一个 ”铁律“：不要自己 ”发明“ 加密算法，包括但不限于 两次 md5 这种 将已知的加密算法连续使用多次，它们并不会提升安全性，如果需要更高的安全性，请直接使用加密等级更高的算法

AES-256-GCM.

GCM 是 AEAD ，在密钥不对的情况下，它会告诉你密钥不对，而不是强行用错的密钥解出一堆错误的数据。

即暴力试 2^128 次就能解开第一个密钥，再试 2^128 次解开第二个密钥。而 AES-256-GCM 需要 2^256 次。

所以两次 AES-128-GCM 并不能提供 256 bits (2^128 * 2^128) 的安全，只能提供 129 bits (2^128 + 2^128)。

@Kauruus #5 结论是对的，但论证有些问题。密钥错误的时候以压倒性的（ overwhelming ）概率报错，但不能排除解出乱七八糟结果而没有报错的情况，遍历所有密钥的时候遇到不报错的错误密钥的概率可能很高。解决方法就是多试几次。

另外楼主的问题里面，“加密两次”的含义不明确，因为基于 AES 的加密通常不需要隐藏 IV ，外层加密的时候内层 IV 设置为明文还是关联数据，会导致不同的攻击方法。攻击多层加密的一般方法是所谓的 meet in the middle ，尤其对于加密随机数公开的对称加密（常见的基于 AES 的加密，加密随机数就是 IV ，是公开的）。

两次 AES-128-GCM 并不能显著增强安全效果啊，而且你成本上比 AES-256-GCM 也高很多

多次重复加密不能提升安全性

重走 3DES 路