【正文】 子密鑰的模 216加法逆元。 i=1和 9時，取為相應的第 2個和第3個加密子密鑰的模 216加法逆元。 ② 第 i(i=1,… ,8)輪解密的后兩個子密鑰等于加密過程第 (9i)輪的后兩個子密鑰 。 第 2章 對稱密鑰密碼體系 86 IDEA算法的設計原理 Network and Information Security 第 2章 對稱密鑰密碼體系 87 Network and Information Security 第 2章 對稱密鑰密碼體系 88 Network and Information Security 第 2章 對稱密鑰密碼體系 89 Network and Information Security 第 2章 對稱密鑰密碼體系 90 Network and Information Security 第 2章 對稱密鑰密碼體系 91 Network and Information Security 第 2章 對稱密鑰密碼體系 92 高級加密標準（ AES） ?AES提出 1997年 1月， 美國 國家標準與技術研究所 NIST向全世界密碼學界發(fā)出征集 21世紀高級加密標準 AES(Advanced Encryption Standard)算法的公告，并成立了 AES標準工作研究室， 1997年 4月 15日的例會制定了對 AES的評估標準。 Network and Information Security 第 2章 對稱密鑰密碼體系 93 AES的要求 （ 1） AES是公開的； （ 2） AES為單鑰體制分組密碼 （ 3） AES的密鑰長度可變，可按需要增大 （ 4） AES適于用軟件和硬件實現(xiàn)； （ 5） AES可以自由地使用，或按符合美國國家標準（ ANST）策略的條件使用； 第 2章 對稱密鑰密碼體系 94 算法衡量條件 滿足以上要求的 AES算法，需按下述條件判斷優(yōu)劣： ?安全性 ?計算效率 ?內存要求 ?使用簡便性 ?靈活性 第 2章 對稱密鑰密碼體系 95 AES的評審 ? 1998年 4月 15日全面征集 AES算法的工作結束。 1998年 8月12日舉行了首屆 AES候選會議（ first AES candidate conference） ，在涉及 14個國家的密碼學家所提出的候選AES算法進行了評估和測試，初選并公布了 15個備選方案，任由全世界各機構和個人攻擊和評論。 CAST25 CRYPTON、 E DEAL、 FROG、 SAFER+、 RC MAGENTA、LOKI9 SERPENT、 MARS、 Rijndael、 DFC、 Twofish、 HPC。 ? 這些算法設計思想新穎，技術水平先進，算法的強度都超過 3DES，實現(xiàn)速度快于 3DES。 Network and Information Security 第 2章 對稱密鑰密碼體系 96 AES的評審 ? 1999年 8月 9日 NIST宣布第二輪篩選出的 5個候選算法為： MARS（ ， IBM), RC6(， RSA Lab), Rijndael(,比）， SERPENT（ ，英，以，挪威）， Twofish（ ） 。 ? 2022年 10月 2日， NIST宣布 Rijndael作為新的 AES。 至此，經過 3年多的討論， Rijndael終于脫穎而出。 Network and Information Security 第 2章 對稱密鑰密碼體系 97 AES算法設計思想 ?抵抗所有已知攻擊 ?在多個平臺上速度快，編碼緊湊 ?設計簡單 ?Rijndael是一個分組密碼算法，其分組長度和密鑰長度相互獨立，都可以改變。 第 2章 對稱密鑰密碼體系 98 分組長度和密鑰長度的不同取值 Network and Information Security 第 2章 對稱密鑰密碼體系 99 ? AES中共用到 5個數據度量單位： 位、字節(jié)、字、分組和態(tài)。 ? 位： 就是二進制的 0或 1； ? 字節(jié)： 就是一組 8位的二進制數； ? 字： 是由 4個字節(jié)組成的一個基本處理單位，可以是按行或列排成一個矩陣； ? AES中的 分組：如 128位，可以表示成 16個字節(jié)組成的一個行矩陣 ? 態(tài)（ State） ：密碼運算的中間結果成為狀態(tài)。 ? State的表示：狀態(tài)用以 字節(jié)為基本構成元素 的矩陣陣列來表示，該陣列有 4行，列數記為 Nb。 ? Nb=分組長度（ bits） 247。 32 ? Nb可以取的值為 4， 6,8，對應的分組長度為 128,192， 256bits. Network and Information Security 第 2章 對稱密鑰密碼體系 100 明文分組和密鑰的組織排列方式 Network and Information Security 以明文分組為 128bits為例組成的陣列 注意：矩陣中字節(jié)排列順序是從上到下從左到右。 第 2章 對稱密鑰密碼體系 101 以明文分組（或密鑰）為 128bits、 192bits、 256bits為例組成的陣列 Network and Information Security 第 2章 對稱密鑰密碼體系 102 102 AES的加密與解密 過程 最后 1輪沒有列混合 第 2章 對稱密鑰密碼體系 103 103 輪函數的 3層 ?線性混合層：確保多輪之上的高度擴散 ?非線性層：進行字節(jié)代換，即 S盒替換，起到混淆的作用 ?密鑰加層：單輪子密鑰簡單的異或到中間狀態(tài)上，實現(xiàn)一次性掩蓋 第 2章 對稱密鑰密碼體系 104 104 AES 各輪 AES加密循環(huán)（除最后一輪外）均包含 4個步驟 : (1) 字節(jié)代換 (SubBytes) 通過一個非線性的替換函數，用查找表的方式把每個字節(jié)替換成對應的字節(jié) 。 (2)行位移變換 (ShiftRows) 將矩陣中的每個橫列進行循環(huán)式移位。 (3)列混合變換 (MixColumns) 為了充分混合矩陣中各個直行的操作。這個步驟使用線性轉換來混合每內聯(lián)的四個字節(jié)。 (4) 輪密鑰加運算 (AddRoundKey) 矩陣中的每一個字節(jié)都與該次輪密鑰（ Round key）做 XOR運算；每個子密鑰由密鑰生成方案產生。 第 2章 對稱密鑰密碼體系 105 105 AES (1) 字節(jié)變換 (SubBytes) ? Subbytes變換是一個基于 S盒的非線性置換。將狀態(tài)矩陣中的每一個字節(jié)通過查表操作映射成另一個字節(jié) ? 映射方法：輸入字節(jié)的高 4位作為 S盒的行值，低 4位為 S盒的列值。 第 2章 對稱密鑰密碼體系 106 e 第 2章 對稱密鑰密碼體系 107 按照字節(jié)代替的處理方法，可以將一個態(tài)中的 16字節(jié)分別代替 87 f2 4d 97 ec 6e 4c 90 4a c3 46 e7 24 64 61 2a ea 04 65 85 83 45 5d 96 5c 33 98 b0 a6 8c d8 95 第 2章 對稱密鑰密碼體系 108 108 AES （ 2）行位移變換 (ShiftRows) ? 每一行都向左循環(huán)位移某個偏移量。在 AES中（區(qū)塊大小 128位），第一行維持不變，第二行里的每個字節(jié)都向左循環(huán)移動一格。同理，第三行及第四行向左循環(huán)位移的偏移量就分別是 2和 3。 ? 經過 ShiftRows之后，矩陣中每一豎列，都是由輸入矩陣中的每個不同列中的元素組成。 第 2章 對稱密鑰密碼體系 109 偏移量 C1 、 C2 、 C3與分組長度 Nb有關 第 2章 對稱密鑰密碼體系 110 按照行移位的處理方法，可以將一個態(tài)中的 4行分別移位處理 87 f2 4d 97 6e 4c 90 ec 46 e7 4a c3 2a 24 64 61 87 f2 4d 97 ec 6e 4c 90 4a c3 46 e7 24 64 61 2a 第 2章 對稱密鑰密碼體系 111 (3)列混合變換 (MixColumns) ? 可用矩陣乘法表示： ? 即 ? MixColumns函數接受 4個字節(jié)的輸入，輸出 4個字節(jié)，每一個輸入的字節(jié)都會對輸出的四個字節(jié)造成影響。因此 ShiftRows和MixColumns兩步驟為這個密碼系統(tǒng)提供了擴散性。 ???????????????????????????????????????????3210321002022103030202210103020101010302aaaabbbb111 AES )()()( xaxcxb ??第 2章 對稱密鑰密碼體系 112 一個列混淆的例子 02 03 01 01 01 02 03 01 01 01 02 03 03 01 01 02 87 f2 4d 97 6e 4c 90 ec 46 e7 4a c3 a6 8c d8 95 47 40 a3 4c 37 d4 70 9f 94 e4 3a 42 ed a5 a6 bc ﹒ = 02 8 7 ⊕ 036e ⊕ 01 46 ⊕ 01 a6=47 第 2章 對稱密鑰密碼體系 113 113 AES (4)輪密鑰加運算 (AddRoundKey) 在每次的加密循環(huán)中，都會由主密鑰產生一把輪密鑰，這把密鑰大小會跟原矩陣一樣，然后與原矩陣中每個對應的字節(jié)作異或（ ⊕ ）加法。 第 2章 對稱密鑰密碼體系 114 一個輪密鑰加的例子 32 88 31 e0 43 5a 31 37 f6 30 98 07 a8 8d a2 34 2b 28 ab 09 7e ae f7 ef 15 d2 15 4f 16 a6 88 3c 19 A0 9a E9 3d F4 C6 F8 E3 E2 8d 48 Be 2b 2a 08 ⊕ = 態(tài) 輪密鑰 新態(tài) 第 2章 對稱密鑰密碼體系 115 ? 密碼密鑰的表示 ：用一個 4行的矩陣來表示，列數記為 Nk。 ? Nk=密鑰長度（ bits） 247。 32 ? Nk可以取的值為 4,6,8，對應的密鑰長度為128,192,256bits。 Network and Information Security 第 2章 對稱密鑰密碼體系 116 116 密鑰擴展（ Expanded Key）算法 ? 密鑰 bit的總數 =分組長度 （輪數 Round+1） 例如當分組長度為 128bits和輪數 Round為 10時，輪密鑰長度為 128 (10+1)=1408bits ? 種子密鑰被擴展為擴展密鑰 ? 輪密鑰從擴展密鑰中按順序選?。旱谝粋€輪密鑰由擴展密鑰的第一個 Nb個 4字節(jié)字，第二個輪密鑰由接下來的 Nb個 4字節(jié)字組成，以此類推。 第 2章 對稱密鑰密碼體系 117 ? 例如： 128位的密鑰以字節(jié)為單位的矩陣描述的，這個密鑰采用擴展算法被擴展到一個以字為單位的密鑰序列中，最終擴展成 44字的序列。 Network and Information Security 第 2章 對稱密鑰密碼體系 118 118 128位密鑰擴展的具體步驟： （ 1）初始密鑰直接被復制到數組 W[i]的前 4個字中，得到W[0],W[1],W[2],W[3] 如加密密鑰 =2b 7e 15 16 28 ae d2 a6 ab f7 15 88 09 cf 4f 3c, 則 :w[0]=2b7e1516, w[1]=28aed2a6, w[2]=abf71588, w[3]=09cf4f3c (2) 對 W數組中下標 不為 4的倍數 的元素，只是簡單地異或，即 W[i]=W[i1] ⊕ W[i4](i不為 4的倍數） W[5]=w[4] ⊕ w[1] w[6]=w[5] ⊕ w[2] 第 2章 對稱密鑰密碼體系 119 ? （ 3）對 w數組中 下標為 4的倍數 的元素，在使用