凯撒密码 ROT13 ROT47 完整解读：从历史到现代用法

凯撒密码（Caesar Cipher）得名于古罗马统帅尤利乌斯·凯撒。根据罗马历史学家苏维托尼乌斯的记载，凯撒在军事通信中使用字母位移 3 的加密法：A→D，B→E，C→F，依此类推。这个方法看似简单，却在 1 世纪的军事环境中提供了基本的隐私保护。敌方截获信件后，若不知道位移规则，会看到一串无意义的字母。然而，凯撒密码的本质是单表替换（monoalphabetic substitution），即每个明文字母始终映射到同一个密文字母，这为现代密码分析留下了致命缺陷。历史学家推测位移 3 可能是凯撒军队的"默认标准"。实际上，任何 1-25 的位移都是可行的，位移本身可以看作密钥。

1970 年代，Usenet（互联网新闻组）的用户面临一个问题：如何在讨论电影、书籍或游戏时隐藏剧透，又不用发送私密信息？ROT13（rotate by 13）应运而生。ROT13 是凯撒密码的特殊实例，位移恰好为 13。这个选择很巧妙：英文字母表有 26 个，位移 13 意味着加密和解密是同一操作（ROT13(ROT13(x)) = x）。用户可以轻松逆转，而不必记住密钥。1991 年，程序员扩展了这一概念，创造了 ROT47。ROT47 在可见 ASCII 字符集范围（ASCII 33-126，共 94 个字符）内循环移位。相比 ROT13 只针对文本，ROT47 在处理代码片段、URL 和混合字符内容时更灵活，但加密强度仍然毫无改进。现代应用场景包括论坛剧透屏蔽、邮件评论防护、CTF 竞赛热身题。

为什么凯撒密码被公认为"弱加密"？答案在于 频率分析（Frequency Analysis）。自然语言中，不同字母的出现频率是固定的。英文中 E 最频繁（约 11%），其次是 T、A、O 等。密文中出现次数最多的字母，很可能就是 E 的加密结果。通过统计密文中各字符频率，与已知的语言字母频率对比，即使不知道位移值，也能在几秒至几分钟内试遍所有 26 种可能性。破解步骤包括：收集足够长的密文（至少 100 字以上）、统计每个字符出现次数、将频率图与标准英文频率曲线对比、尝试对齐最可能的 E-对应字符、验证解密后的文本是否有意义。这正是为什么凯撒密码在 15 世纪就被更复杂的方法所取代，多表替换（维吉尼亚密码）由此诞生。

ROT13 和 ROT47 在密码学角度毫无安全性，为什么还存在于现代网络文化和工具中？原因概览包括教学工具（密码学初学者的最佳入门案例）、剧透屏蔽（社区约定俗成的标记）、代码混淆（防止肉眼快速识别）、CTF 竞赛（低难度暖场题）、互联网文化遗产（Usenet 时代的遗产）。现代密码学（AES-256、RSA）基于数学难题，即使用计算机暴力破解也需要天文数字的时间。而凯撒密码家族的存活，证明了密码学工具的多样化——不是所有加密都为了绝对安全，有时仅仅是降低偶然发现的概率。在教育和文化保护中，这些简单的密码仍有价值。

16 世纪，密码学家维吉尼亚（Blaise de Vigenère）提出了一个关键改进：使用多个替换表而非单一表。维吉尼亚密码使用一个密钥短语，比如"SECRET"。对明文逐字加密时，循环使用这个短语中各字母对应的凯撒位移。这个方法在 300 年间被认为是"不可破解的"，直到 19 世纪密码分析家卡西斯基（Kasiski）和巴贝奇（Babbage）各自独立开发了破解技术。维吉尼亚密码展示了单表替换的局限，是走向现代分组加密（如 DES、AES）的关键一步。它证明了密码学的进化方向：从简单替换到复杂变换。维吉尼亚密码的破解标志着对称密码学向更高复杂度的迈进。

如果把 2000 年的密码学发展看作一条线，凯撒密码是起点，现代密码则是终点。时间线速览包括古罗马（~1 世纪）凯撒密码、中世纪（9-16 世纪）多表替换、20 世纪初机械密码机（恩尼格玛）、1970s DES 标准确立、2001 年至今 AES-256 成为全球标准。AES 的安全性基于 Rijndael 算法的数学复杂性和大密钥空间（256 比特密钥提供 2^256 种可能），即使未来的量子计算机也需要全新的破解方法。而凯撒密码，仅需纸笔和耐心就能在几分钟内破解。这种对比清晰地说明了密码学的演进方向：从易用性和历史意义，逐步升级到实际安全性。现代密码学已成为保护国家安全、金融系统和个人隐私的基础。