4 - 高级加密标准 (AES)

高级加密标准 (AES)

我的博客

原书:《Understanding Cryptography: A Text book for Students and Practitioners》

AES: Advanced Encryption Standard 是今天使用最广的对称加密运算。尽管 AES 中的标准是美国政府应用的标准,AES 块运算加密算法依旧在很多工业标准以及商务系统中使用。包括 AES 安全商务安全标准的有网络安全标准 IPsecTLSWi-Fi 加密标准 IEEE 802.11iSSHSkype 以及数不清的安全产品。迄今为止,破解 AES 的最好方法还是暴力破解。

4.1 介绍

在 1999 年美国 NIST: National Institute of Standards and Technology 指示 DES 只能用在落后的系统中,其他系统应该使用 3DES。虽然破解 3DES 的最好方法还是暴力破解,它也有很多问题。首先,软件实现这一算法是低效的;其次,加密块大小只有 64 字节,这显然在今天的很多应用中还是落后的;最后,量子计算机在可预见的未来几十年是可能存在的,因此我们需要 256 位长的密钥长度。所有这些因素,促使了 NIST 寻找一种新的块加密算法来替代 3DES。

候补 AES 块运算加密算法需要满足下面的条件:

  • 块运算使用 128 位
  • 支持 128/192/256 位密钥长度
  • 对比其他竞争对手更安全
  • 能够高效通过软件/硬件实现

AES 算法的发展过程如下:

  • 1997 年 1 月 2 日,由 NIST 发布新的块加密算法需求
  • 1997 年 9 月 12 日,AES 宣布了这一算法的正式名称
  • 1998 年 8 月 20 日,多个国家的研究者提交了共计 15 种候选算法
  • 1999 年 8 月 9 日,5 种算法进入决赛圈
    • IBM 的 Mars
    • RSA 的 RC6
    • Joan Daemen 与 Vincent Rijmen 的 Rijndael
    • Ross Anderson、Eli Biham 与 Lars Knudsen 的 Serpent
    • Bruce Schneier、John Kelsey、Doug Whiting、David Wagner、Chris Hall 与 Niels Ferguson 的 Twofish
  • 2000 年 10 月 2 日,NIST 宣布选择 Rijndael 算法做为 AES
  • 2001 年 11 月 26 日,AES 正式成为美国联邦加密标准

4.2 AES 算法总览

AES 块运算加密算法与 Rijndael 算法基本一致,只是Rijndael 算法支持 128/192/256 位的块运算,而 AES 只支持 128 位的块运算。后面我们只讨论块长度 128 字节的 Rijndael 算法。

不同的密钥长度,进行的计算轮数不同:

密钥长度 轮数
128 位 10
192 位 12
256 位 14

AES 中不像 DES 那样具有 Feistel 网络。Feistel 网络不会在每次迭代中加密所有的信息块,在 DES 中,每次迭代只加密 64/2 = 32 位的数据块。而 AES 则会在每次迭代加密所有的 128 位数据,这也是为什么它的运算轮数相对较少。

AES 由称作层的结构组成。每一层操作所有的 128 位的数据。只有三种不同类型的层。除了第一轮,每一轮都由所有三层组成。

密钥加法层

128 位密钥或子密钥,通过密钥策略从主密钥中计算得到,进行异或操作

字节替换层(S 盒)

每一个状态的元素通过查表进行非线性转换,这一过程为数据引入混乱

扩散层

为所有状态位提过扩散,它由两个子层组成,二者都进行线性操作:

  • ShiftRows 层在字节层面进行数据置换
  • MixColumn 层是矩阵操作组合四字节块

4.3 一些数学内容:伽罗瓦域简单介绍

在 AES 中,大部分层使用了伽罗瓦域算法,尤其在 S 盒与 MixColumn 层中。

4.3.1 有限域存在性

一个有限域(伽罗瓦域),是具有有限成员的集合。在这个域中,我们可以进行加/减/乘/逆运算。

我们先介绍一个简单的代数结构,群。

定义4.3.1 群 群是一簇元素 \(G\) 并具有操作 \(\circ\)\(G\) 的两个元素组合,具有如下特性:

  1. 群操作 \(\circ\) 是闭合的,既对于所有的 \(a,b\in G\) 满足 \(a \circ b = c \in G\)
  2. 群操作满足结合律,既 \(a\circ (b\circ c) = (a\circ b)\circ c,a,b,c \in G\)
  3. 具有零元素 \(1 \in G\),满足 \(a\circ 1 = 1 \circ a = a,a \in G\)
  4. 对于 \(a\in G\) 存在 \(a^{-1}\in G\) 称作逆,满足 \(a\circ a^{-1} = a^{-1} \circ a = 1\)
  5. 如果 \(a\circ b = b\circ a,a,b\in G\) 那么这个群是阿贝尔群

简而言之,群就是具有一个操作与对应逆操作的集合。如果一个操作称作加,那么对应的逆操作就是减;如果一个操作是乘,那么对应的逆操作就是除。

例4.1 对于集合 \(Z_m = {0,1,...,m - 1}\) 与取模运算,组成具有零元素 0 的群。每一个元素 a,具有逆 -a,满足 a + (-a) = 0 mod m,注意到,这个集合对乘法运算并不组成群,因为大部分元素并不具备逆元素,满足 \(aa^{-1} = 1 \quad mod \quad m\)

为了在一个结构中包含所有四种基本代数运算(加减乘除),我们需要包含加法与乘法的群,我们称之为域。

定义4.3.2 域 域 F 是元素的集合,满足如下特性:

  • F 的所有元素通过加法操作组成加法群,其零元素为 0
  • F 的所有元素通过乘法操作组成乘法群,其零元素为 1
  • 当两个群的操作混合,满足分配律,既\(a(b+c) = (ab) + (ac),a,b,c\in F\)

例4.2 实数集是一个域,对于加法操作是具有零元素为 0 的群,对于乘法操作是零元素为 1 的群。每一个实数 a 具有一个加法逆 -a,具有一个乘法逆 1/a。

在密码学中,我们总是对具有有限数字的域感兴趣,这样的域称作有限域或伽罗瓦域。在域中的元素数称作它的阶/势。

定理4.3.1 对于正整数 n 与质数 p,只有在 \(m = p^n\) 时,具有 m 阶的域才存在,p 称作有限域的特征

4.3.2 质数域

有限域的最直观的例子是质数阶,n = 1 的域。这样的质数域 GF(p) 可以由整数 0,1,...,p - 1 组成。这个域支持模加运算与模乘运算。

定理 4.3.2 p 为质数,整数环 \(Z_p\) 表示为 GF(p) 是一个质数域。所有 GF(p) 的非零元素都具有逆,所有 GF(p) 的算术都是模 p 的

这意味着如果我们考虑整数环 \(Z_m\),具有模加与模乘运算,m 为质数,那么 \(Z_m\) 不仅是一个环,它还是一个有限域。

为了在质数域中进行运算,我们必须遵从整数环的规则:加法与乘法操作都要模 p,任何元素有 \(a + (-a) = 0\quad mod \quad p\)\(a\dot a^{-1} = 1\)

例 4.3 考虑有限域 GF(5) = {0,1,2,3,4},下表展示了加法与乘法操作:

+ 0 1 2 3 4
0 0 1 2 3 4
1 1 2 3 4 0
2 2 3 4 0 1
3 3 4 0 1 2
4 4 0 1 2 3
\(\times\) 0 1 2 3 4
0 0 0 0 0 0
1 0 1 2 3 4
2 0 2 4 1 3
3 0 3 1 4 2
4 0 4 3 2 1

加法逆

\[-0 = 0 \\ -1 = 4 \\ -2 = 3 \\ -3 = 2 \\ -4 = 1 \]

乘法逆

\[1^{-1} = 1 \\ 2^{-1} = 3 \\ 3^{-1} = 2 \\ 4^{-1} = 4 \]

一个重要的质数域是 GF(2),它是最小的有限域。在 GF(2) = {0,1} 中,有:

+ 0 1
0 0 1
1 1 0
\(\times\) 0 1
0 0 0
1 0 1

4.3.3 扩展域 \(GF(2^m)\)

在 AES 算法中,有限域包含 256 个元素,表示为 \(GF(2^8)\)。选择这个域,是因为每一个域元素可以表示为单字节。对于 S 盒与 MixColumn 转换,AES 数据中的每一个字节视作域 \(GF(2^8)\) 中的元素,并在这个有限域中对数据进行计算。

如果有限域的阶不是质数,显然 \(2^8\) 不是质数,加法与乘法操作不能被整数的加法与乘法模 \(2^8\) 表示。这样的 $m > 1 $ 的域称作扩展域。为了处理扩展域,我们需要不同的域元素标识,元素进行算术运算的不同规则。下面我们会看到扩展域可以表示为多项式,并通过对多项式运算进行扩展域的计算。

在扩展域 \(GF(2^8)\) 中的元素不是以整数的形式表示的,而是以系数在 \(GF(2)\) 中的多项式表示的。多项式具有最大 m - 1 阶,这样对于每一个元素最多有 m 个系数。在域 \(GF(2^8)\) 中,每一个元素 \(A \in GF(2^8)\) 可以表示为:

\[A(x) = a_7 x^7 + ... + a_1 x + a_0,a_i \in GF(2) = {0,1} \]

这样会有 \(256 = 2^8\) 个多项式,每一个多项式可以表示为如下的向量:

\[A = (a_7,a_6,a_5,a_4,a_3,a_2,a_1,a_0) \]

4.3.4 \(GF(2^m)\) 中的加法与减法

现在我们就可以进行这个域中的加法与乘法了。AES 的密钥加法层使用加法运算。操作是直白的,只需要进行标准多项式的加法与减法:我们只需要进行系数的加法与减法操作。

定义 4.3.3 扩展域加法与减法

\(A(x),B(x) \in GF(2^m)\),两个元素的和可通过下式计算:

\[C(x) = A(x) + B(x) = \sum_{i = 0}^{m - 1}c_i x^i,c_i \equiv a_i + b_i \quad mod \quad 2 \]

差通过下式计算:

\[C(x) = A(x) - B(x) = \sum_{i = 0}^{m - 1}c_ix^i,c_i \equiv a_i - b_i \equiv a_i + b_i \quad mod \quad 2 \]

注意到我们对系数进行模 2 加法/减法操作。在第二章中我们知道,模 2 的加法与减法是相同的操作。模 2 加法等效于按位异或。

例 4.5 \(C(x) = A(x) + B(x)\)\(GF(2^8)\) 中的两个元素

\[A(x) = x^7 + x^6 + x^4 + 1 \\ B(x) = x^4 + x^2 + 1 \\ C(x) = x^7 + x^6 + x^2 \]

如果我们进行减法操作,将会得到相同的结果。

4.3.5 \(GF(2^m)\) 中的乘法

\(GF(2^8)\) 中的乘法是 AES MixColumn 转换的核心,第一步,两个元素使用标准多项式乘法规则计算:

\[A(x)\cdot B(x) = (a_{m-1}x^{m-1} + ... + a_0)\cdot (b_{m-1}x^{m-1}+...+b_0) \\ C'(x) = c'_{2m-2}x^{2m-2} + ... + c'_0 \]

其中:

\[c'_0 = a_0b_0 \quad mod \quad 2\\ c'_1 = a_0b_1 + a_1b_0 \quad mod \quad 2 \\ ... \\ c'_{2m-2} = a_{m-1}b_{m-1} \quad mod \quad 2 \]

系数都是 \(GF(2)\) 中的元素。多项式 \(C(x)\) 的阶高于 \(m - 1\),因此必须要降阶。基本思想与质数域中的乘法类似,在 \(GF(p)\),我们乘两个整数,除一个质数,并只考虑余数。下面是我们对扩展域做的操作:乘法的积除以指定的多项式,只考虑余数。我们需要不可约的多项式来进行降阶。

定义 4.3.4 扩展域乘法

\(A(x),B(x) \in GF(2^m)\)

\[P(x) = \sum_{i=0}^{m}p_ix^i,p_i \in GF(2) \]

是一个不可约的多项式。对两个元素 \(A(x),B(x)\) 的乘法为:

\[C(x) \equiv A(x)\cdot B(x) \quad mod \quad P(x) \]

这样每一个 \(GF(2^m)\) 多项式需要一个系数为 \(GF(2)\) 的 m 阶不可约多项式 \(P(x)\)。注意到,不是所有的多项式都是不可约的,比如,\(x^4 + x^3+x+1\) 就是可约的:

\[x^4+x^3+x+1 = (x^2+x+1)(x^2+1) \]

例 4.6 我们想要乘 \(GF(2^4)\) 中的两个多项式 \(A(x) = x^3+x^2+1\)\(B(x) = x^2 +x\),不可约的多项式为:

\[P(x) = x^4 + x + 1 \]

原多项式的乘法可以计算得:

\[C'(x) = A(x)\cdot B(x) = x^5+x^3+x^2+x \]

我们可以像下面这样计算:

\[x^4 = 1\cdot P(x) + (x+1) \\ x^4 \equiv x+1 \quad \mod \quad P(x) \\ x^5 \equiv x^2 + x \quad mod \quad P(x) \]

现在,我们只需将降阶后的表达式代入原方程 \(C'(x)\)

\[C(x) \equiv x^5 + x^3 + x^2 +x \quad mod \quad P(x) \\ C(x) \equiv (x^2 + x) + (x^3 + x^2 + x) = x^3 \\ A(x)\cdot B(x) \equiv x^3 \]

如果我们查看前面的例子,可以以下面的比特操作表示:

\[A \cdot B = C \\ (x^3+x^2+1)\cdot(x^2+x) = x^3 \\ (1 1 0 1)\cdot(0 1 1 0) = (1 0 0 0) \]

注意到,这个计算与整数乘法不同。

4.3.6\(GF(2^m)\) 中的逆

\(GF(2^8)\) 的逆是字节替换转换的核心,它组成了 AES 的 S 盒。对于给定的有限域 \(GF(2^m)\) 以及相关的不可约降阶多项式 \(P(x)\),非零元素 \(A\in GF(2^m)\) 的逆 \(A^{-1}\) 有:

\[A^{-1}\cdot A(x) = 1 \quad mod \quad P(x) \]

对于小的域,在实践中,通常意味着具有 \(2^{16}\) 或更少的元素,通常可以使用预先计算好的域的逆表,进行查表。下表展示了 AES S 盒使用的值。表格包含所有 \(GF(2^8)\)\(P(x) = x^8+x^4+x^3+x+1\) 的逆的十六进制表示形式。一个特殊的形式是域元素 0,它的逆并不存在。不过,对于 AES S 盒需要对每一个输入都给到一个输出,因此 S 盒的设计者给到 0 的输出映射为 0。

x\y 0 1 2 3 4 5 6 7 8 9 A B C D E F
0 00 01 8d f6 cb 52 7b d1 e8 4f 29 c0 b0 e1 e5 c7
1 74 b4 aa 4b 99 2b 60 5f 58 3f fd cc ff 40 ee b2
2 3a 6e 5a f1 55 4d a8 c9 c1 0a 98 15 30 44 a2 c2
3 2c 45 92 6c f3 39 66 42 f2 35 20 6f 77 bb 59 19
4 1d fe 37 67 2d 31 f5 69 a7 64 ab 13 54 25 e9 09
5 ed 5c 05 ca 4c 24 87 bf 18 3e 22 f0 51 ec 61 17
6 16 5e af d3 49 a6 36 43 f4 47 91 df 33 93 21 3b
7 79 b7 97 85 10 b5 ba 3c b6 70 d0 06 a1 fa 81 82
8 83 7e 7f 80 96 73 be 56 9b 9e 95 d9 f7 02 b9 a4
9 de 6a 32 6d d8 8a 84 72 2a 14 9f 88 f9 dc 89 9a
A fb 7c 2e c3 8f b8 65 48 26 c8 12 4a ce e7 d2 62
B 0c e0 1f ef 11 75 78 71 a5 8e 76 3d bd bc 86 57
C 0b 28 2f a3 da d4 e4 0f a9 27 53 04 1b fc ac e6
D 7a 07 ae 63 c5 db e2 ea 94 8b c4 d5 9d f8 90 6b
E b1 0d d6 eb c6 0e cf ad 08 4e d7 e3 5d 50 1e b3
F 5b 23 38 34 68 46 03 8c dd 9c 7d a0 cd 1a 41 1c

例 4.7 从上表中有下面的式子

\[x^7 + x^6 + x = (1100 0010)_2 = (C2)_{hex} = (xy) \]

可以确定到 C 行 2 列,查表得到它的多项式逆为:

\[(2F)_{hex} = (00101111)_2 = x^5+x^3+x^2+x+1 \]

这可以通过如下乘法验证:

\[(x^7+x^6+x)\cdot(x^5+x^3+x^2+x+1) \equiv 1 \quad mod \quad P(x) \]

注意到,上面的表格中并不包含 S 盒本身。

4.4 AES 的内部结构

下面我们会讨论 AES 的内部构造。在 AES 的单轮中,16 字节的输入 \(A_0,...,A_{15}\) 按字节给到 S 盒,S 盒的 16 字节的输出 \(B_0,...,B_{15}\) 在 ShiftRows 层按字节置换,并给到 MixColumn 层进行混合转换 \(c(x)\),最后,128 位子密钥 \(k_i\) 域中间结果进行异或。AES 是面向字节的块运算。

这与 DES 不同,DES 进行的是按位置换,是面向位的结构。

我们首先想象一个状态 A,由 16 字节的 \(A_0,A_1,...,A_{15}\) 组成,并以 \(4\times 4\) 矩阵准备:

\(A_0\) \(A_4\) \(A_8\) \(A_{12}\)
\(A_1\) \(A_5\) \(A_9\) \(A_{13}\)
\(A_2\) \(A_6\) \(A_{10}\) \(A_{14}\)
\(A_3\) \(A_7\) \(A_{11}\) \(A_{15}\)

AES 对元素当前状态据帧的行列进行操作。相似的,密钥字节以 \(4\times 4\) 矩阵(128 位密钥),6 列矩阵(192 位密钥),8 列矩阵(256 位密钥)。下面是 192 位密钥的表示:

\(k_0\) \(k_4\) \(k_8\) \(k_{12}\) \(k_{16}\) \(k_{20}\)
\(k_1\) \(k_5\) \(k_9\) \(k_{13}\) \(k_{17}\) \(k_{21}\)
\(k_2\) \(k_6\) \(k_{10}\) \(k_{14}\) \(k_{18}\) \(k_{22}\)
\(k_3\) \(k_7\) \(k_{11}\) \(k_{15}\) \(k_{19}\) \(k_{23}\)

4.4.1 字节替换层

每一轮的第一层都是字节替换层。字节替换层,可以看作是 16 行的平行 S 盒,具有 8 个输入与输出位。注意到,16 个 S 盒都是相同的。在这一层,每一个状态 \(A_i\) 都被 \(B_i\) 替换:

\[S(A_i) = B_i \]

S 盒是 AES 中唯一的非线性元素,既 \(字节替换(A) + 字节替换(B) \ne 字节替换(A+B)\)。S 盒替换是双向映射,既对于 \(2^8 = 256\) 可能的输入,有一一映射的输出元素。在软件中 S 盒可以通过查表实现。

x\y 0 1 2 3 4 5 6 7 8 9 A B C D E F
0 63 7c 77 7b f2 6b 6f c5 30 01 67 2b fe d7 ab 76
1 ca 82 c9 7d fa 59 47 f0 ad d4 a2 af 9c a4 72 c0
2 b7 fd 93 26 36 3f f7 cc 34 a5 e5 f1 71 d8 31 15
3 04 c7 23 c3 18 96 05 9a 07 12 80 e2 eb 27 b2 75
4 09 83 2c 1a 1b 6e 5a a0 52 3b d6 b3 29 e3 2f 84
5 53 d1 00 ed 20 fc b1 5b 6a cb be 39 4a 4c 58 cf
6 d0 ef aa fb 43 4d 33 85 45 f9 02 7f 50 3c 9f a8
7 51 a3 40 8f 92 9d 38 f5 bc b6 da 21 10 ff f3 d2
8 cd 0c 13 ec 5f 97 44 17 c4 a7 7e 3d 64 5d 19 73
9 60 81 4f dc 22 2a 90 88 46 ee b8 14 de 5e 0b db
A e0 32 3a 0a 49 06 24 5c c2 d3 ac 62 91 95 e4 79
B e7 c8 37 6d 8d d5 4e a9 6c 56 f4 ea 65 7a ae 08
C ba 78 25 2e 1c a6 b4 c6 e8 dd 74 1f 4b bd 8b 8a
D 70 3e b5 66 48 03 f6 0e 61 35 57 b9 86 c1 1d 9e
E e1 f8 98 11 69 d9 8e 94 9b 1e 87 e9 ce 55 28 df
F 8c a1 89 0d bf e6 42 68 41 99 2d 0f b0 54 bb 16

例 4.8 我们假设 S 盒输入为 \(A_i = (C2)_{hex}\),那么它的替换值是:

\[S((C2)_{hex}) = (25)_{hex} \]

在比特层级,替换可以描述为:

\[S(11000010) = (00100101) \]

虽然 S 盒是双向的,它并没有任何固定的点,既不存在输入 \(A_i\) 从而有 \(S(A_i) = A_i\),即便输入 0 也不是不变的:

\[(00000000) = (01100011) \]

例 4.9 让我们假设字节替换的输入为:

\[(C2,C2,...,C2) \]

一十六进制表示,输出状态是:

\[(25,25,...,25) \]

S盒的数学描述

4.4.2 扩散层

在 AES 算法中,扩散由两个子层组成,ShiftRows 转换与 MixColumn 转换。不像 S 盒,扩散层进行的操作是线性的,有:

\[DIFF(A) + DIFF(B) = DIFF(A+B) \]

ShiftRows 层

ShiftRows 转换进行下面的移位:第一行不变,第二行循环左移一位,第二行循环左移两位,第三行循环三位。

\(B_0\) \(B_4\) \(B_8\) \(B_{12}\)
\(B_1\) \(B_5\) \(B_9\) \(B_{13}\)
\(B_2\) \(B_6\) \(B_{10}\) \(B_{14}\)
\(B_3\) \(B_7\) \(B_{11}\) \(B_{15}\)

输出新状态如下:

\(B_0\) \(B_4\) \(B_8\) \(B_{12}\)
\(B_5\) \(B_9\) \(B_{13}\) \(B_1\)
\(B_{10}\) \(B_{14}\) \(B_2\) \(B_6\)
\(B_{15}\) \(B_3\) \(B_7\) \(B_{11}\)

MixColumn 层

MixColumn 步是线性转换,会混合每一个状态矩阵的列。因为每一个输入会影响四个输出字节,MixColumn 操作是 AES 中主要带来扩散的组件。ShiftRows 以及 MixColumn 二者组合仅需要三轮,状态矩阵的每一个字节将与所有 16 字节的原文有关。

我们将 16 字节的输入表示为 B,输出表示为 C:

\[MixColumn(B) = C \]

这里 B 为 ShiftRows 的输出。

现在每四个字节列考虑为一个向量,乘一个 \(4\times 4\) 矩阵,其中乘法与加法的系数属于 \(GF(2^8)\)。比如,如下例:

\[\begin{equation} \begin{pmatrix} C_0 \\ C_1 \\ C_2 \\ C_3 \end{pmatrix} = \begin{pmatrix} 02 & 03 & 01 & 01 \\ 01 & 02 & 03 & 01 \\ 01 & 01 & 02 & 03 \\ 03 & 01 & 01 & 02 \end{pmatrix} \begin{pmatrix} B_0 \\ B_5 \\ B_{10} \\ B_{15} \end{pmatrix} \end{equation} \]

对应的,第二列输出 \((C_4,C_5,C_6,C_7)^T\) 是由 \((B_4,B_9,B_{14},B_3)\) 使用相同的常矩阵计算得到,以此类推。

每一个状态字节 \(C_i\) 以及 \(B_i\) 是 8 位值,表示为 \(GF(2^8)\) 中的元素。所有计算都是在伽罗瓦域中进行的。比如矩阵中的常量是以十六进制表示的 01,实际上是 \(GF(2^8)\) 多项式系数 (0000 0001),既在伽罗瓦域中的 1;02,是多项式系数 (0000 0010),既伽罗瓦域中的 x;03 是多项式系数 (0000 0011),既伽罗瓦域 x+1。

在向量矩阵乘法中的加法是 \(GF(2^8)\) 中的加法。我们选择 01,02,03 做为矩阵常量,是因为它十分高效。都可以通过查表快速得到。

例 4.11 假设输入给 MixColumn 层的状态是:

\[B = (25,25,...,25) \]

只需要进行 02,03 乘法计算:

\[02\cdot 25 = x\cdot(x^5 + x^2 + 1)\\ = x^6 + x^3 + x \]

\[03\cdot 25 = (x+1)(x^5+x^2+1)\\ =(x^6+x^3+x)+(x^5+x^2+1) \\ =x^6+x^5+x^3+x^2+x+1 \]

因为中间产物的阶都低于 8,因此不需要通过 \(P(x)\) 进行降阶计算。输出为:

\[C_i = (x^5+x^2+1)+(x^5+x^2+1)+(x^6+x^3+x)+(x^6+x^5+x^3+x^2+x+1) = (x^5+x^2+1) = 25 \]

因此输出为:

\[C = (25,25,...,25) \]

4.4.3 密钥加法层

输入给密钥加法层的两个输入是当前 16 字节的状态矩阵以及 16 字节的子密钥。两个输入通过按位异或操作结合。注意到异或操作与伽罗瓦域 \(GF(2)\) 的加法等效。子密钥通过密钥策略计算得到。

4.4.4 密钥策略

密钥策略使用原始输入密钥(128/192/256位)计算得到子密钥。子密钥的异或加法在 AES 的输入与输出都会用到。这个过程有时称作密钥漂白。子密钥数量等于轮数加一。对于密钥长度为 128 位,轮数是 10,因此共有 11 个子密钥,每一个子密钥为 128 位。192 位密钥长度有 13 个 128 位子密钥。256 位密钥长度有 15个 128 位子密钥。AES 子密钥递归计算,既计算 \(k_i\) 需要知道 \(k_{i-1}\)

AES 密钥策略是基于字的(在这里说的字为32位)。对于不同的初始密钥长度,AES 具有不同的密钥策略,不过它们的策略是相似的。

128 位长 AES 密钥策略

11 个子密钥存储在密钥扩展数组 \(W[0],...,W[43]\)

第一个子密钥 \(k_0\) 就是 AES 的原始密钥。既 \(W[0] - W[3]\),剩下的密钥最左侧的字通过下面的步骤计算:

\[W[4i] = W[4(i-1)] + g(W[4i-1]) \quad i = 1,...,10 \]

其中 \(g()\) 为非线性函数。

剩下的子密钥三个字通过下面的方式计算:

\[W[4i+j] = W[4i+j-1]+W[4(i-1)+j] \quad i= 1,...,10,j=1,2,3 \]

\(g()\) 函数旋转它的四个输入字节,执行按位的 S 盒替换,并添加轮系数 RC。轮系数是伽罗瓦域 \(GF(2^8)\) 中的元素,既一个 8 位的值,只会添加到最左侧的字节。轮系数每一轮都不同:

\[RC[1] = x^0 = (0000 0001)_2 \\ RC[2] = x^1 = (0000 0010)_2 \\ RC[3] = x^2 = (0000 0011)_2 \\ ... \\ RC[10] = x^9 = (00110110)_2 \]

函数 \(g()\) 为密钥策略添加非线性属性,并消除了 AES 中的对称性。

192 位长 AES 密钥策略

256 位长 AES 密钥策略

4.5 解密

因为 AES 不是基于 Feistel 网络,所有的层必须做反转,既字节替换层变成逆字节替换层,ShiftRows 层编程逆 ShiftRows 层,MixColumn 层变成逆 MixColumn 层。不过,我们可以看到,各层的逆操作与用于加密的层是相似的。子密钥的顺序也是逆转的,既,我们需要逆转密钥策略。

因为最后一个加密轮不会进行 MixColum 操作,第一个解密层不会包含对应的逆转层。所有其他的解密层,包含全部的 AES 层。

MixColumn 逆层

为了得到 MixColumn 的逆操作,需要使用 MixColumn 中使用矩阵的逆,计算是遵循 \(GF(2^8)\) 的:

\[\begin{equation} \begin{pmatrix} B_0 \\ B_1 \\ B_2 \\ B_3 \end{pmatrix} = \begin{pmatrix} 0E & 0B & 0D & 09 \\ 09 & 0E & 0B & 0D \\ 0D & 09 & 0E & 0B \\ 0B & 0D & 09 & 0E \end{pmatrix} \begin{pmatrix} C_0 \\ C_1 \\ C_2 \\ C_3 \end{pmatrix} \end{equation} \]

ShiftRows 逆层

为了逆转 ShiftRows 操作,我们必须按照相反的方向移位,比如下面的子层:

\(B_0\) \(B_4\) \(B_8\) \(B_{12}\)
\(B_1\) \(B_5\) \(B_9\) \(B_{13}\)
\(B_2\) \(B_6\) \(B_{10}\) \(B_{14}\)
\(B_3\) \(B_7\) \(B_{11}\) \(B_{15}\)

那么它的逆转就是:

\(B_0\) \(B_4\) \(B_8\) \(B_{12}\)
\(B_{13}\) \(B_1\) \(B_5\) \(B_9\)
\(B_{10}\) \(B_{14}\) \(B_2\) \(B_6\)
\(B_7\) \(B_{11}\) \(B_{15}\) \(B_3\)

字节替换逆层

因为 AES 的 S 盒是一一映射的关系,因此可以获得 S 盒的逆:

\[A_i = S^{-1}(B_i) = S^{-1}(S(A_i)) \]

其中 \(A_i\) 以及 \(B_i\) 是状态矩阵的元素。逆 S 盒如下表:

x/y 0 1 2 3 4 5 6 7 8 9 A B C D E F
0 52 09 6a d5 30 36 a5 38 bf 40 a3 9e 81 f3 d7 fb
1 7c e3 39 82 9b 2f ff 87 34 8e 43 44 c4 de e9 cb
2 54 7b 94 32 a6 c2 23 3d ee 4c 95 0b 42 fa c3 4e
3 08 2e a1 66 28 d9 24 b2 76 5b a2 49 6d 8b d1 25
4 72 f8 f6 64 86 68 98 16 d4 a4 5c cc 5d 65 b6 92
5 6c 70 48 50 fd ed b9 da 5e 15 46 57 a7 8d 9d 84
6 90 d8 ab 00 8c bc d3 0a f7 e4 58 05 b8 b3 45 06
7 d0 2c 1e 8f ca 3f 0f 02 c1 af bd 03 01 13 8a 6b
8 3a 91 11 41 4f 67 dc ea 97 f2 cf ce f0 b4 e6 73
9 96 ac 74 22 e7 ad 35 85 e2 f9 37 e8 1c 75 df 6e
A 47 f1 1a 71 1d 29 c5 89 6f b7 62 0e aa 18 be 1b
B fc 56 3e 4b c6 d2 79 20 9a db c0 fe 78 cd 5a f4
C 1f dd a8 33 88 07 c7 31 b1 12 10 59 27 80 ec 5f
D 60 51 7f a9 19 b5 4a 0d 2d e5 7a 9f 93 c9 9c ef
E a0 e0 3b 4d ae 2a f5 b0 c8 eb bb 3c 83 53 99 61
F 17 2b 04 7e ba 77 d6 26 e1 69 14 63 55 21 0c 7d

解密密钥策略

解密时我们需要反方向顺序的子密钥。

4.6 软件与硬件实现

软件

不像 DES,AES 设计通过软件高效实现是可行的。核心的思想是将所有轮通过软件查表实现,只需要四个表格,每一个表格由 256 条目组成,每一个条目是 32 位宽。这些表称为 T 盒。在 1.2 GHz 的英特尔处理器上,可以达到 400Mbps。理论上在 64 位 Athlon CPU 上带宽可达 1.6Gbps。

硬件

实现 AES 相较于 DES 算法需要更多的硬件资源。不过在现今的集成电路上,这都不成问题,AES 可以在现代 ASIC 或 FPGA 技术上实现非常高的带宽。商用 AES ASICs 可以超过 10Gbps。使用并行技术,速度可以更快。

posted @ 2023-03-01 22:50  ArvinDu  阅读(933)  评论(0编辑  收藏  举报