【正文】 ???????2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 100 ? 所得結(jié)果 c(x)并沒有表示為一個(gè) 4字節(jié)的字 ? 乘法的第二步是模一個(gè) 4次多項(xiàng)式來化簡c(x)，使得結(jié)果化簡為一個(gè)次數(shù)小于 4的多項(xiàng)式 ? 在 AES算法中，這一模多項(xiàng)式取為 14 ?x2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 101 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 102 ? 當(dāng) a(x)是一個(gè)固定多項(xiàng)式時(shí)，等式中定義的運(yùn)算可以寫成矩陣形式，如 ? 由于 x4+1不是 GF(28)上的不可約多項(xiàng)式，因此被一個(gè)固定的 4次多項(xiàng)式相乘的乘法不一定可逆 ? 然而，在 AES算法中選擇了一個(gè)固定的有逆元的 4項(xiàng)多項(xiàng)式的乘法，它按照乘法運(yùn)算有逆元 ?????????????????????????????????????321001233012230112303210bbbbaaaaaaaaaaaaaaaadddd2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 103 AES加密 ? 在 Rijndael算法中 ,分組長度和密鑰長度分別可以是 128位、 192位、 256位 ? 而在 AES中 ,分組長度只是 128位 ? AES算法中基本的運(yùn)算單位是 字節(jié) ,即視為一個(gè)整體的 8比特序列 ? 如果分組長度和密鑰長度為 128位，假如字節(jié)數(shù)組將表示為如下形式： ? 其字節(jié)排列方式如圖 。 15210 ... aaaa2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 104 a0 a4 a8 a12 a1 a5 a9 a13 a2 a6 a10 a14 a3 a7 a11 a15 128位（ 16個(gè)字節(jié)）的矩陣排列 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 105 ? 如果密鑰長度（或在 Rijndael中的明文分組）為 192位、 256位時(shí)，組成的兩個(gè)矩陣如圖 ? 它們的特點(diǎn)是 行數(shù)都是 4，列數(shù)不同 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 106 192位（ 24個(gè)字節(jié)）的矩陣排列 a0 a4 a8 a12 a16 a20 a1 a5 a9 a13 a17 a21 a2 a6 a10 a14 a18 a22 a3 a7 a11 a15 a19 a 23 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 107 a0 a4 a8 a12 a16 a20 a24 a28 a1 a5 a9 a13 a17 a21 a25 a29 a2 a6 a10 a14 a18 a22 a26 a30 a3 a7 a11 a15 a19 a 23 a 27 a 31 256位（ 32個(gè)字節(jié)）的矩陣排列 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 108 ? 這些矩陣有 4行，分組的 列數(shù) 記為 Nb， Nb=分組長度（ bits） 247。 32(bits)。 顯然 Nb可以取的值為 6和 8，分別對(duì)應(yīng)的分組長度為 128位、 192位和 256 位 ? 類似地密鑰的 列數(shù) 記為 Nk， Nk=密鑰長度（ bits） 247。 32(bits) 。 Nk可以取的值為 6和 8，對(duì)應(yīng)的密鑰長度分別為 128位、 192位和 256位。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 109 ? 密碼運(yùn)算的中間結(jié)果都是以上面的形式表示，稱之為 狀態(tài)（ State）數(shù)組 ? AES將這些中間結(jié)果復(fù)制到狀態(tài)（ State）數(shù)組中 ? 算法的運(yùn)行過程是將需要加密的分組從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài)，最后該數(shù)組被復(fù)制到輸出矩陣中 ? 如對(duì)于 128位分組，假設(shè)加密和解密的初始階段將輸入字節(jié)數(shù)組為復(fù)制到如圖 （ State）矩陣中。加密或解密的運(yùn)算都在該狀態(tài)矩陣上進(jìn)行，最后的結(jié)果將被復(fù)制到輸出字節(jié)數(shù)組。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 110 ? 狀態(tài)矩陣中每一列的四個(gè)字節(jié)可以看作一個(gè) 32bit字，用 行號(hào) r作為每一個(gè)字 中四個(gè)字節(jié)的索引 ? 狀態(tài)可以看作 32bit字 (列 ),的一維數(shù)組，用列號(hào) c表示該數(shù)組 的索引 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 111 ? AES密碼是一種迭代式密碼結(jié)構(gòu)，但不是 Feistel 密碼結(jié)構(gòu) ? Rijndael算法 迭代的輪數(shù)與分組長度和密鑰長度相關(guān) ? 對(duì)于 AES算法，算法的輪數(shù)依賴于密鑰長度 ? 將輪數(shù)表示為 Nr，當(dāng) Nk=4時(shí) Nr＝ 10；當(dāng)Nk=6時(shí) Nr＝ 12；當(dāng) Nk=8時(shí) Nr＝ 14 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 112 AES加密過程 ? 當(dāng)分組長度和密鑰長度均為 128位時(shí)， AES共迭代 10輪，需要 11個(gè)子密鑰 ? 其加密過程如圖 ? 前面 9輪完全相同，每輪包括 4階段，分別是 字節(jié)代換 （ Byte Substitution）、 行移位（ Shift Rows）、 列混淆 （ Mix Columns）和 輪密鑰加 （ Add Round Key） ? 最后一輪只 3個(gè)階段， 缺少列混淆 。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 113 輪密鑰加 字節(jié)代換 行移位 列混淆 輪密鑰加 字節(jié)代換 行移位 列混淆 輪密鑰加 密文 字節(jié)代換 行移位 輪密鑰加 … 明文 第 1輪 第 9輪 第 10輪 子密鑰 w[0,3] 子密鑰 w[4,7] 子密鑰 w[36,39] 子密鑰 w[40,43] 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 114 字節(jié)代換 ? 字節(jié) 代換 (SubBytes())是一個(gè)非線性的字節(jié)代換 ? 它獨(dú)立地將狀態(tài)中的每個(gè)字節(jié)利用代換表 (S盒 )進(jìn)行運(yùn)算 ? S盒被設(shè)計(jì)成能夠抵擋所有已知的攻擊 ? S盒（如圖 ）是由 16 16個(gè)字節(jié)組成的矩陣，包含了 8位值所能表達(dá)的 256種可能的變換 ? State中的每個(gè)字節(jié)按照如下的方式映射為一個(gè)新的字節(jié)：將該字節(jié)的高 4位作為行值，低 4位作為列值，然后取出 S盒中對(duì)應(yīng)行列交叉處的元素作為輸出 ? 例如，十六進(jìn)制 {95}對(duì)應(yīng)的 S盒的行值是 9，列值是 5， S盒中此處的值是 {2A}。因此 {95}被映射為{2A} 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 115 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 116 S盒的構(gòu)造方法 ? 逐行按照上升排列的方式初始化 S盒。第一行是{00}， {01}， … ， {0F}；第二行是 {10}， {11}， … ，{1F}等。因此在 x行 y列的字節(jié)值是 {xy} ? 把 S盒中的每個(gè)字節(jié)映射為它在有限域 GF(28)上的乘法逆；其中，元素 {00}映射到它自身 {00} ? 把 S盒中的每個(gè)字節(jié)表示為 ( ) 8位，對(duì) S盒中的每個(gè)字節(jié)中的每個(gè)為做如下變換： ? 其中 ,對(duì)于 ,是字節(jié)的第 i位 ,ci是值為{63}或 {01100011}的字節(jié) c的第 i位 01234567 ,, bbbbbbbb 80 ?? i2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 117 ? 在變量的右上角作標(biāo)記（如 b’）表示該變量將用右側(cè)的值更新 ? AES按照如下的方式用矩陣描述 S盒的變換： 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 118 ? 如用 {95}作為輸入，可以計(jì)算出 {95}在 GF(28)上的逆為 {8A}，用二進(jìn)制表示為 10001010，代入上述變換有 ? 結(jié)果為 00101010，用十六進(jìn)制表示為 {2A}，與前面查表所得結(jié)果一樣 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 119 行移位 ? 行移位 (ShiftRows( ))是一個(gè)簡單的置換 ? 在 行移位變換中， 對(duì) State的各行進(jìn)行循環(huán)左移位 ? State的第一行保持不變，第二行循環(huán)左移一個(gè)字節(jié)，第三行循環(huán)左移兩個(gè)字節(jié)，第四行循環(huán)左移三個(gè)字節(jié) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 120 列混淆 ? 列 混淆 (MixColumns( ))變換在 State上按照每一列（即對(duì)一個(gè)字）進(jìn)行運(yùn)算 ? 將每一列看作 4次多項(xiàng)式，即將 State的列看作GF(28)上的多項(xiàng)式且被一個(gè) 固定的多項(xiàng)式 a(x)模x4+1乘 ? a(x)為： }02{}01{}01{}03{)( 23 ???? xxxxa2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 121 ? 經(jīng)過該乘法計(jì)算后，一列中的 4個(gè)字節(jié)將由下述結(jié)果取代 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 122 混淆 變換示意圖 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 123 輪密鑰加 ? 輪密鑰加 (AddRoundKey( ))在輪密鑰加變換中， 128位的 State按位與 128位子密鑰異或 ? 可以將這種操作看成是 state一列中的 4個(gè)字節(jié)與輪密鑰的一個(gè)字進(jìn)行異或 ? 也可以看成是兩者之間的字節(jié)異或 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 124 AES的密鑰擴(kuò)展 ? 當(dāng)分組長度和密鑰長度都是 128位時(shí) ,AES的加密算法共迭代 10輪，需要 11個(gè)子密鑰 ? AES的密鑰擴(kuò)展的目的是將輸入的 128位密鑰擴(kuò)展成 11個(gè) 128位的子密鑰 ? AES的密鑰擴(kuò)展算法是以 字 為一個(gè)基本單位 ? 一個(gè)字等于 4個(gè)字節(jié)，共 32位，剛好是密鑰矩陣的一列 ? 因此 4個(gè)字（ 128位）密鑰需要擴(kuò)展成 11個(gè)子密鑰，共 44個(gè)字 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 125 ? 若 Nr表示加密算法輪數(shù)，那么密鑰擴(kuò)展總共生成 Nb(Nr+1)個(gè)字 ? 擴(kuò)展后的密鑰編排結(jié)果由一個(gè) 4byte字的線性數(shù)組組成 ? 第一個(gè)子密鑰的 Nk個(gè)字由密碼的原始密鑰直接填充 ? 下面以 Nk＝ 4（即密鑰為 128位）為例 ,說明AES的密鑰擴(kuò)展過程 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 126 密鑰擴(kuò)展過程 (1) 將輸入密鑰直接復(fù)制到擴(kuò)展密鑰數(shù)組的前 4個(gè)字中，得到 w[0]， w[1]， w[2]， w[3]。 (2) 然后每次用 4個(gè)字填充擴(kuò)展密鑰數(shù)組 w的余下部分， w[i]值依賴于 w[i1]和 w[i4]， i ≥4。 (3) 當(dāng)數(shù)組 w下標(biāo)不是 4的倍數(shù)時(shí) , w[i]值為 w[i1]和 w[i4] 的異或。 (4) 當(dāng)數(shù)組 w下標(biāo)為 4的倍數(shù)時(shí)，按照下面方法計(jì)算： ① 將一個(gè)字的四個(gè)字節(jié)循環(huán)左移一個(gè)字節(jié)，即將輸入字 [b0, b1, b2, b3]變?yōu)?[b1, b2, b3, b0]； ② 用 S盒對(duì)輸入字的每個(gè)字節(jié)進(jìn)行字節(jié)代換； ③ 將步驟①和步驟②的結(jié)果再與輪常數(shù) Rcon[i]相異或 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 127 ? 輪常數(shù) Rcon[i]是一個(gè)字，這個(gè)字的最右邊三個(gè)字節(jié)總是 0 ? 與輪常數(shù)的一個(gè)字異或 ,其結(jié)果即是與該字最左邊的字節(jié)相異或 ? 每輪的輪常數(shù)均不同，其定義為 Rcon[i] = (RC[i], {00}, {00}, {00})，其中 RC[1] ={01}， RC[i] = {02} ( RC[i1])，用多項(xiàng)式表示為 RC[i] = x ( RC[i1]) = xi1， i≥2 ? 字節(jié)用 16進(jìn)制表示，同時(shí)理解為 GF(28)上的元素 ? xi1為 GF(28)中的多項(xiàng)式 x的 i1次方所對(duì)應(yīng)的字節(jié) ? 考慮到 x對(duì)應(yīng)的字節(jié)為 {02}, 輪常數(shù)也可以寫為： Rcon[i] = ((02) i1, {00}, {00}, {00}) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 128 ? 前 10個(gè)輪常數(shù) RC[i]的值如表 ，對(duì)應(yīng)的 Rcon[i] 如表 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 129 AES解密算法 ? AES解密算法是 AES加密算法的逆變換 ? 解密算法和加密算法輪結(jié)構(gòu)的順序不同 ? 但是加密和解密算法中的密鑰編排形式相同 ? 在加密過程中 ,其輪結(jié)構(gòu)是字節(jié)代換、行移位、列混淆和輪密鑰加。在解密過程中，其輪結(jié)構(gòu)是逆向行移位、逆向字節(jié)代換、輪密鑰加和逆