在上一篇簡單複習了AES的歷史時間節點、產生背景、與DES的對比、演算法框圖(粗略)以及一些數學基礎,如果不記得的話點選這裡回顧。下面將介紹AES演算法的細節。

下面給出AES演算法的流程,圖片來源:密碼演算法詳解——AES

通過上圖可以知道,AES的加密演算法主要可以概括為:

① 一個初始輪金鑰加變換

② Nr-1輪的標準輪變換

③ 最後一輪的非標準輪變換

注意:

① 第一步和最後一步都用了輪金鑰加,因為沒有金鑰參與的變換都是容易被攻破的。

② DES的IP和IP-1沒有金鑰的參與。

8.1 輪變換 —— 加密輪函式

下面用虛擬碼的形式對其過程進行介紹。在AES中,除最後一輪外,其它輪次都是執行標準輪函式,最後一輪執行非標準輪函式。

① 標準輪變換

1 Round(State,RoundKey)
2 {
3 ByteSub(State); // S盒變換
4 ShiftRow(State); // 行移位變換
5 MixColumn(State); // 列混合變換
6 AddRoundKey(State,RoundKey); // 輪金鑰加變換
7 }

② 最後一輪,非標準輪函式

1 FinalRound(State,RoundKey)
2 {
3 ByteSub(State); // S盒變換
4 ShiftRow(State); // 行移位變換
5 AddRoundKey(State,RoundKey); // 輪金鑰加變換
6 }

通過程式碼可以發現:最後一輪是沒有列混合的

8.1.1 S盒變換 ByteSub(State)

① S盒變換是AES的唯一非線性變換,是AES安全的關鍵。

② AES使用16個相同的S盒,DES使用的是8個不同的S盒。

③ AES的S盒有8位輸入,8位輸出,是一種非線性置換;DES的S盒有6位輸入,4位輸出,是一種非線性壓縮

S盒變換可分為2步:(1)求逆;(2)代入公式計算

(1)第一步:

把輸入位元組用其GF(28)的逆來代替;

把輸入位元組看成GF(28)上的元素;

求出其在GF(28)上的逆元素;

用該逆元素代替原輸入位元組。

(2)第二步:

對上面的結果做如下仿射變換:

注意:

  • S盒變換的第一步是把位元組的值用它的乘法逆來代替,是一種非線性變換
  • 第二步是仿射運算,是線性變換
  • 由於係數矩陣中每列都有5個1,說明改變輸入任意一位,輸出中5位發生變化。
  • 由於係數矩陣中每行都有5個1,說明輸出的每一位都與輸入的5位相關。

8.1.2 行移位變換 ShiftRow(State)

① 行移位變換對狀態的行進行迴圈移位;

② 第0行不移位,第1行移C1位元組,第2行移C2位元組,第3行移C3位元組。

Nb C1 C2 C3
4 1 2 3
6 1 2 3

③ 行移位屬於置換,屬於線性變換。本質在於把資料打亂重排,其擴散作用

8.1.3 列混合變換 MixColumn(State)

① 列混合變換把狀態的列視為GF(28)上的多項式a(x)乘以一個固定的多項式c(x),並模x4+1.

b(x) = a(x)c(x)  mod x4+1

其中,c(x)= 03x3+01x2+01x+02.

② 列混合變換屬於線性變換,起擴散作用

③ c(x)與x4+1互素,從而保證c(x)存在逆多項式d(x),而c(x)d(x)=1 mod x4+1,只有逆多項式存在,才能進行解密。

寫成矩陣的形式:

8.1.4 輪金鑰加變換 AddRoundKey(State,RoundKey)

① 把輪金鑰與狀態進行模2相加

② 輪金鑰根據金鑰產生演算法產生

③ 輪金鑰長度等於資料塊長度

8.2 輪金鑰的產生

① 加密迭代中每一輪需要一個輪金鑰參與加密

② 輪金鑰根據金鑰產生演算法通過使用者金鑰得到

③ 金鑰產生分兩步進行:

(1)金鑰擴充套件

(2)輪金鑰選擇

④ 金鑰擴充套件將使用者金鑰擴充套件為一個擴充套件金鑰

⑤ 金鑰選擇從擴充套件金鑰中選出輪金鑰

金鑰擴充套件的原理圖如下圖所示,圖片來源:密碼演算法詳解——AES

8.2.1 金鑰擴充套件

① 金鑰擴充套件產生擴充套件金鑰。

② 用一個字元素的一維陣列W[Nb*(Nr+1)]表示擴充套件金鑰。

③ 使用者金鑰放在該陣列最開始的Nk個字中。

④ 其它的字由它前面的字經過處理後得到。

⑤ 分Nk≤6Nk>6兩種金鑰擴充套件演算法。

(1)Nk ≤ 6的金鑰擴充套件

① 最前面的Nk個字是由使用者金鑰填充的

② 之後的每一個字W[j]等於前面的字W[j-1]與Nk個位置之前的字W[j-Nk]的異或

③ 而且對於Nk的整數倍的位置處的字,在異或之前,對W[j-1]進行Rotl變換和ByteSub變換,之後再異或一個常數Rcon.

當j不是Nk的整數倍:Wj=Wj-Nk⊕Wj-1

當j是Nk的整數倍:Wj=Wj-Nk⊕ByteSub(Rotl(Wj-1)⊕Rcon[j/Nk]

說明:

  • Rotl是一個字裡的位元組迴圈左移函式:

設 W=(A,B,C,D) 則 Rotl(W)=(B,C,D,A)

  • 輪常數Rcon與Nk無關,且定義為:

Rcon[i] = (RC[i],'00','00','00')

RC[0] = '01'

RC[i] = xtime(RC[i-1])

(2)Nk > 6的金鑰擴充套件

說明:

Nk>6的金鑰擴充套件 與 Nk≤6的金鑰擴充套件 基本相同,不同之處在於:如果j被Nk除的餘數=4,則在異或之前,對W[j-1]進行ByteSub變換。

增加ByteSub變換是因為當Nk>6時金鑰很長,僅僅對Nk的整數倍的位置處的字進行ByteSub變換,就顯得ByteSub變換的密度比較稀,安全程度不夠強。

8.2.2 輪金鑰的選擇

根據分組大小,依次從擴充套件金鑰中取出輪金鑰。

前面的Nb個字作為輪金鑰0,接下來的Nb個字作為輪金鑰1...

8.3 AES的基本逆變換

AES的加密演算法不是對合運算,所以解密演算法和加密演算法不同。

AES的巧妙之處:雖然解密演算法和加密演算法不同,但解密演算法與加密演算法的結構相同

把加密演算法的基本變換換成逆變換,便得到解密演算法。

AES的基本變換都是可逆的

① 輪金鑰加的逆就是其本身:(AddRoundKey)-1 = AddRoundKey

② 行移位變換的逆就是狀態的後三行分別移位Nb-C1、Nb-C2、Nb-C3個位元組。

③ 列混合的逆

狀態的每列都乘以c(x)的逆多項式d(x):

d(x) = (c(x))-1  mod x4+1

c(x) = 03x3+01x2+01x+02

d(x) = 0Bx3+0Dx2+09x+0E

④ S盒變換的逆

第一步:首先進行逆仿射變換

第二步:再把每個位元組用其在GF(28)上的來代替。

(1)把輸入位元組看成GF(28)上的元素

(2)求出其在GF(28)上的逆元素

(3)用該逆元素代替原輸入位元組

注:S盒的逆仿射變換:

⑤ 解密的金鑰擴充套件

解密的金鑰擴充套件與加密的金鑰擴充套件不同,解密的金鑰擴充套件定義如下:

(1) 加密演算法的金鑰擴充套件

(2) 把InvMixColumn(逆列混合)應用到除第一和最後一輪外的所有輪金鑰上。

⑥ 逆輪變換

(1) 標準擬輪變換

1  Inv_Round(State,RoundKey)
2 {
3 Inv_ByteSub(State); // S盒變換的逆
4 Inv_ShiftRow(State); // 逆行移位變換
5 Inv_MixColumn(State); // 逆列混合變換
6 AddRoundKey(State,RoundKey); // 輪金鑰加變換
7 }

(2) 最後一輪,非標準逆輪函式

1  Inv_FinalRound(State,RoundKey)
2 {
3 Inv_ByteSub(State); // S盒變換的逆
4 Inv_ShiftRow(State); // 逆行移位變換
5 AddRoundKey(State,RoundKey); // 輪金鑰加變換
6 }

8.4 AES的實現

實現方法:軟體、硬體

軟體方法:

① 基於演算法的描述 —— 效率不夠高

② 基於查表 —— 時空折換,提高效率

基於查表:

① S盒,本質上是8進8出,但要S盒和逆S盒2個表。

② 列混合變換

GF(28)的非零元素構成迴圈群,可通過加法和查表實現乘法。逆列混合同理。

8.5 AES的安全性

能夠抵抗目前所有的已知攻擊。①窮舉攻擊 ②差分攻擊 ③線性攻擊 ④Square攻擊 ⑤側通道攻擊

目前已有低於窮舉複雜度的攻擊方法,但都還不能對AES構成本質的威脅。

8.6 AES的體現

AES體現了夏農的密碼設計理論。

體現了公開設計的原則。

實踐是檢驗AES密碼安全性的唯一標準。

8.7 AES的優點

① 運算速度快

② 對記憶體的需求非常低,適合於受限環境

③ 分組長度和金鑰長度設計靈活

④ AES的金鑰長度比DES的金鑰長度要長,用窮舉法破譯較難

⑤ 很好的抵抗差分密碼分析和線性密碼分析的能力