【正文】 的第 0行保持不變，第 1行循環(huán)左移位，第 2行循環(huán)左移位，第 3行循環(huán)左移位，其中移位值和與加密塊長 Nb有關(guān)。 1, ?jia1, ?jia jia, )2( 8GF ))(),(),(),(()(,3,2,1,0 jjjjj aByteSubaByteSubaByteSubaByteSubaByteSub ??Nb 移 位 值 C1 C2 C3 4 1 2 3 6 1 2 3 8 1 3 4 ? 注 3：列混合變換（ MixColumn） ? 式中 看成環(huán) 中的元素， 乘法是在環(huán) 中進(jìn)行的。 ? 注意，因?yàn)? 與 互素，所以 有可逆元 ??? ?? caaMixColumnjj )(?ja )1/(])[2( 48 ?xxGF 39。0239。39。0139。39。0139。39。0339。)39。0239。,39。0139。,39。0139。,39。03(39。 23 ?????? xxxc )1/(])[2( 48 ?xxGF?c 14 ?x ?c 39。039。39。0939。39。039。39。039。)39。039。,39。0939。,39。0,39。0(39。 23 ExxDxBEDBd ?????? ? 子密鑰的生成 ? 加密和解密過程分別需要 Nr＋ 1個(gè)子密鑰 ? 步驟： 的擴(kuò)展 ? 根據(jù) 和 兩種不同的情況，采取不同的主密鑰擴(kuò)展方式。 110 ????Nkkkk ?6?Nk 6?Nk ? 主密鑰的擴(kuò)展 對(duì)于 當(dāng) 時(shí)，定義 。 當(dāng) 時(shí)： 若 ，定義 ； 若 ，令 定義 其中， Rotate(a,b,c,d)是左移位，即Rotate(a,b,c,d)＝（ b,c,d,a）。 6?Nk 1,1,0 ?? Nki ???? ? ii kw 1)1( ???? NrNbiNk 0mod ?Nki ????? ?? 1iNkii 0mod ?Nki )2(][ 81 GFxiRC i ?? ? )1/(])[2()39。0039。,39。0039。,39。0039。],[(][ 48 ???? xxGFiRCiRco n ]/[))((1 NkiRconwRotateByteSubww iNkii?????? ?? ? 對(duì)于 當(dāng) 時(shí)，定義 。 當(dāng) 時(shí)： 若 且 ，定義 若 ，令 ， 定義 若 ，定義 這樣，就得到了 Nb(Nr+1) 個(gè)字 。第 i個(gè)子密鑰就是 6?Nk 1,1,0 ?? Nki ???? ? ii kw 1)1( ???? NrNbiNk 0mod ?Nki 4mod ?Nki ? ???? ?? 1iNkii 0mod ?Nki )2(][ 81 GFxiRC i ?? ? )1/(])[2()39。0039。,39。0039。,39。0039。],[(][ 48 ???? xxGFiRCiRco n ]/[))((1 NkiRconwRotateByteSubww iNkii?????? ???4mod ?Nki )(1????? ??iNkii wByteSubw 1)1(1 ????????iNbiNbiNb ??j ? Rijndael解密 ? 算法結(jié)構(gòu)與加密算法相同，其中的變換為加密算法變換的逆變換，且使用了一個(gè)稍有改變的密鑰編制 ? 行移變換的逆是狀態(tài)的后三行分別移動(dòng) 個(gè)字節(jié)，這樣在 i行 j 處的字節(jié)移到 處。 ? 字節(jié)代換的逆是 Rijndael的 S盒的逆作用到狀態(tài)的每個(gè)字節(jié)，這可由如下得到：先進(jìn)行仿射的逆變換，然后把字節(jié)的值用它的乘法逆代替。 ? 列混合變換的逆類似于列混合變換，狀態(tài)的每一列都乘以一個(gè)固定的多項(xiàng)式 ： 321 , CNbCNbCNb ??? NbCNbj i mod)( ??)(xd 39。039。39。0939。39。039。39。039。)( 23 ExxDxBx ???? ? 解密與密碼分析 ? 解密是加密的逆過程，是指掌握密鑰和密碼算法的合法人員從密文 恢復(fù)出明文的過程。密碼分析則是指非法人員對(duì)密碼的破譯，而且 破譯以后不會(huì)告訴對(duì)方。 ? 共同點(diǎn) “解密（脫密）”和“密碼分析（密碼破譯）”都是設(shè)法將 密文還原成明文。 ? 不同點(diǎn) 二者的前提是不同的， “ 解密（脫密） ”掌握了密鑰和密碼體 制，而密碼分析（破譯）則沒有掌握密鑰和密碼體制 分組密碼的分析方法 (續(xù)） ? 根據(jù)攻擊者掌握的信息，可將分組密碼的攻擊分為以下幾類： ? 唯密文攻擊： 攻擊者除了所截獲的密文外，沒有其他可利用的 信息。 ? 已知明文攻擊： 攻擊者僅知道當(dāng)前密鑰下的一些明密文對(duì)。 ? 選擇明文攻擊： 攻擊者能獲得當(dāng)前密鑰下的一些特定的明文所對(duì)應(yīng) 的密文。 ? 選擇密文攻擊： 攻擊者能獲得當(dāng)前密鑰下的一些特定的密文所對(duì) 應(yīng)的明文。 分組密碼的分析方法 (續(xù)） ? 一種攻擊的復(fù)雜度可以分為兩部分：數(shù)據(jù)復(fù)雜度和處理復(fù)雜度。 ? 數(shù)據(jù)復(fù)雜度是實(shí)施該攻擊所需輸入的數(shù)據(jù)量。 ? 處理復(fù)雜度是處理這些數(shù)據(jù)所需的計(jì)算量。 ? 對(duì)某一攻擊通常是以這兩個(gè)方面的某一方面為主要因素，來刻畫攻擊復(fù)雜度 。 【例如】 ? 窮舉攻擊的復(fù)雜度實(shí)際就是考慮處理復(fù)雜度； ? 差分密碼分析其復(fù)雜度主要是由該攻擊所需的明密文對(duì)的數(shù)量來確定。 幾種常見的攻擊方法 強(qiáng)力攻擊可用于任何分組密碼，且攻擊的復(fù)雜度 只依賴于分組長度和密鑰長度，嚴(yán)格地講攻擊所 需的時(shí)間復(fù)雜度依賴于分組密碼的工作效率（包 括加解密速度、密鑰擴(kuò)散速度以及存儲(chǔ)空間 等）。 強(qiáng)力攻擊常見的有：窮舉密鑰搜索攻擊、 字典攻擊、查表攻擊和時(shí)間 存儲(chǔ)權(quán)衡攻擊等。 幾種常見的攻擊方法（續(xù)） 基本思想 通過分析明文對(duì)的差值對(duì)密文對(duì)的差值的影響來恢復(fù)某 些密鑰比特 若給定一個(gè) r輪的迭代密碼，對(duì)已知 n長明文對(duì)為 和 ，定義其差分為 式中 表示集合中定義的群運(yùn)算， 為 在群中的逆元。 密碼分析者可隨機(jī)選擇具有固定差分的一對(duì)明文（只要 求它們符合特定差分條件），然后使用輸出密文中的差 分，按照不同的概率分配給不同的的密鑰。隨著分析的 密文對(duì)越來越多，其中最可能的一個(gè)密鑰就顯現(xiàn)出來 了。這就是正確的密鑰。 X39。X ? ? 139。 ???? XXX? ? ?139。 ?X39。 幾種常見的攻擊方法（續(xù)） 本質(zhì)： 一種已知明文攻擊方法。 基本思想 ：通過尋找一個(gè)給定密碼算法的有效的 線性近似表達(dá)式來破譯密碼系統(tǒng)。 對(duì)已知明文密文和特定密鑰，尋求線性表示式 式中， 是攻擊參數(shù)。對(duì)所有可能密鑰，此表 達(dá)式以概率 成立。對(duì)給定的密碼算法， 使 極大化。為此對(duì)每一盒的輸入和輸 出構(gòu)造統(tǒng)計(jì)線性路線，并最終擴(kuò)展到整個(gè)算法。 ? ? ? ? ? ?xdybxa ?????? ?dba , 2/1?LP 2/1?L 分組密碼的工作模式 ? 常用的分組密碼工作模式有 4種： ECB模式 （ CBC）模式 （ CFB）模式 （ OFB）模式。 ECB(Electronic Code Book) DE Sp1DE S DE S加密過程DE S DE S DE S解密過程cnc1c2pnp2p2pncnc2p1c1k kkk k k CBC（ Cipher Block Chaining） D ES⊕D ES⊕D ES⊕D ES⊕D ES⊕D ES⊕加密過程解密過程kk kkk kp1pnp2pnp2p1c1c1cncnc2c2IVIV CFB（ Cipher Feed Back） 移位寄存器IV （ 64 bit s ）D ESk選擇 丟棄n b i t s | 6 4 n b it s⊕ c 1p1移位寄存器64 n b it s| n b i t sD ESk選擇 丟棄n b i t s | 6 4 n b it s⊕ c 2p2移位寄存器64 n b it s| n b i t sD ESk選擇 丟棄n b i t s | 6 4 n b it s⊕cmpm