【正文】 (4) 當(dāng)數(shù)組 w下標(biāo)為 4的倍數(shù)時(shí)，按照下面方法計(jì)算： ① 將一個(gè)字的四個(gè)字節(jié)循環(huán)左移一個(gè)字節(jié)，即將輸入字 [b0, b1, b2, b3]變?yōu)?[b1, b2, b3, b0]； ② 用 S盒對(duì)輸入字的每個(gè)字節(jié)進(jìn)行字節(jié)代換； ③ 將步驟①和步驟②的結(jié)果再與輪常數(shù) Rcon[i]相異或 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 127 ? 輪常數(shù) Rcon[i]是一個(gè)字，這個(gè)字的最右邊三個(gè)字節(jié)總是 0 ? 與輪常數(shù)的一個(gè)字異或 ,其結(jié)果即是與該字最左邊的字節(jié)相異或 ? 每輪的輪常數(shù)均不同，其定義為 Rcon[i] = (RC[i], {00}, {00}, {00})，其中 RC[1] ={01}， RC[i] = {02} ( RC[i1])，用多項(xiàng)式表示為 RC[i] = x ( RC[i1]) = xi1， i≥2 ? 字節(jié)用 16進(jìn)制表示，同時(shí)理解為 GF(28)上的元素 ? xi1為 GF(28)中的多項(xiàng)式 x的 i1次方所對(duì)應(yīng)的字節(jié) ? 考慮到 x對(duì)應(yīng)的字節(jié)為 {02}, 輪常數(shù)也可以寫為： Rcon[i] = ((02) i1, {00}, {00}, {00}) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 128 ? 前 10個(gè)輪常數(shù) RC[i]的值如表 ，對(duì)應(yīng)的 Rcon[i] 如表 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 129 AES解密算法 ? AES解密算法是 AES加密算法的逆變換 ? 解密算法和加密算法輪結(jié)構(gòu)的順序不同 ? 但是加密和解密算法中的密鑰編排形式相同 ? 在加密過程中 ,其輪結(jié)構(gòu)是字節(jié)代換、行移位、列混淆和輪密鑰加。 (2) 然后每次用 4個(gè)字填充擴(kuò)展密鑰數(shù)組 w的余下部分， w[i]值依賴于 w[i1]和 w[i4]， i ≥4。第一行是{00}， {01}， … ， {0F}；第二行是 {10}， {11}， … ，{1F}等。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 113 輪密鑰加 字節(jié)代換 行移位 列混淆 輪密鑰加 字節(jié)代換 行移位 列混淆 輪密鑰加 密文 字節(jié)代換 行移位 輪密鑰加 … 明文 第 1輪 第 9輪 第 10輪 子密鑰 w[0,3] 子密鑰 w[4,7] 子密鑰 w[36,39] 子密鑰 w[40,43] 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 114 字節(jié)代換 ? 字節(jié) 代換 (SubBytes())是一個(gè)非線性的字節(jié)代換 ? 它獨(dú)立地將狀態(tài)中的每個(gè)字節(jié)利用代換表 (S盒 )進(jìn)行運(yùn)算 ? S盒被設(shè)計(jì)成能夠抵擋所有已知的攻擊 ? S盒（如圖 ）是由 16 16個(gè)字節(jié)組成的矩陣，包含了 8位值所能表達(dá)的 256種可能的變換 ? State中的每個(gè)字節(jié)按照如下的方式映射為一個(gè)新的字節(jié)：將該字節(jié)的高 4位作為行值，低 4位作為列值，然后取出 S盒中對(duì)應(yīng)行列交叉處的元素作為輸出 ? 例如，十六進(jìn)制 {95}對(duì)應(yīng)的 S盒的行值是 9，列值是 5， S盒中此處的值是 {2A}。加密或解密的運(yùn)算都在該狀態(tài)矩陣上進(jìn)行，最后的結(jié)果將被復(fù)制到輸出字節(jié)數(shù)組。 Nk可以取的值為 6和 8，對(duì)應(yīng)的密鑰長度分別為 128位、 192位和 256位。 顯然 Nb可以取的值為 6和 8，分別對(duì)應(yīng)的分組長度為 128位、 192位和 256 位 ? 類似地密鑰的 列數(shù) 記為 Nk， Nk=密鑰長度（ bits） 247。 15210 ... aaaa2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 104 a0 a4 a8 a12 a1 a5 a9 a13 a2 a6 a10 a14 a3 a7 a11 a15 128位（ 16個(gè)字節(jié)）的矩陣排列 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 105 ? 如果密鑰長度（或在 Rijndael中的明文分組）為 192位、 256位時(shí)，組成的兩個(gè)矩陣如圖 ? 它們的特點(diǎn)是 行數(shù)都是 4，列數(shù)不同 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 106 192位（ 24個(gè)字節(jié)）的矩陣排列 a0 a4 a8 a12 a16 a20 a1 a5 a9 a13 a17 a21 a2 a6 a10 a14 a18 a22 a3 a7 a11 a15 a19 a 23 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 107 a0 a4 a8 a12 a16 a20 a24 a28 a1 a5 a9 a13 a17 a21 a25 a29 a2 a6 a10 a14 a18 a22 a26 a30 a3 a7 a11 a15 a19 a 23 a 27 a 31 256位（ 32個(gè)字節(jié)）的矩陣排列 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 108 ? 這些矩陣有 4行，分組的 列數(shù) 記為 Nb， Nb=分組長度（ bits） 247。該加法對(duì)應(yīng)于相應(yīng) 字節(jié)間 的異或運(yùn)算 ? 乘法要用兩步完成。如果b7 = 0，則該結(jié)果已經(jīng)是模運(yùn)算后的形式 .如果 b7 = 1, 則模運(yùn)算需要異或多項(xiàng)式 m(x)完成 . 由此 ,乘 x (即 {00000010}或十六進(jìn)制 {02})可通過 字節(jié)內(nèi)左移一位 , 緊接著的一個(gè)與 {1B}按位異或來實(shí)現(xiàn) . 將該操作記為 b = xtime(a ) ? 通過將中間結(jié)果相加 ,可以用 xtime()實(shí)現(xiàn)任意常數(shù)的乘法。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 89 ? 1997年 9月給出的選擇高級(jí)加密標(biāo)準(zhǔn)的評(píng)估準(zhǔn)則是： 安全性 代價(jià)：指計(jì)算效率方面 算法和執(zhí)行特征：指算法的靈活性、簡潔性以及硬件與軟件平臺(tái)的適應(yīng)性等方面 ? 1998年 6月 NIST共收到 21個(gè)提交的算法，在同年的 8月首先選出 15個(gè)候選算法 ? 1999年 NIST從 15個(gè) AES候選算法中遴選出5個(gè) 候選算法 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 90 它們是： ? MARS（由 IBM公司研究部門的一個(gè)龐大團(tuán)隊(duì)發(fā)布，對(duì)它的評(píng)價(jià)是算法 復(fù)雜、速度快、安全性高） ? RC6（由 RSA實(shí)驗(yàn)室發(fā)布，對(duì)它的評(píng)價(jià)是 極簡單、速度極快、安全性低） ? Rijndael（由 Joan Daemen和 Vincent Rijmen 兩位比利時(shí)密碼專家發(fā)布，對(duì)它的評(píng)價(jià)是算法 簡潔、速度快、安全性好） ? Serpent（由 Ross Anderson , Eli Biham 和 Lars Knudsen發(fā)布，對(duì)它的評(píng)價(jià)是算法 簡潔、速度慢、安全性極高） ? Twofish（由 Counterpane公司一個(gè)龐大的團(tuán)隊(duì)發(fā)布，對(duì)它的評(píng)價(jià)是算法 復(fù)雜、速度極快、安全性高） 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 91 ? 從全方位考慮， Rijndael(讀成 Rain Doll）匯聚了安全，性能，效率，易用和靈活等優(yōu)點(diǎn)，使它成為 AES最合適的選擇 ? 2023年 10月 Rijndael算法被選為高級(jí)加密標(biāo)準(zhǔn) ? 2023年 11月發(fā)布為聯(lián)邦信息處理標(biāo)準(zhǔn)(Federal Information Processing Standard，F(xiàn)IPS), 用于美國政府組織保護(hù)敏感信息的一種特殊的加密算法，即 FIPS PUB 197標(biāo)準(zhǔn) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 92 AES的基本運(yùn)算 ? AES算法中有些是以 字節(jié) 為單位進(jìn)行運(yùn)算 ? 也有的是以 4個(gè)字節(jié) （即一個(gè) 字 ）為單位的 ? AES將一個(gè) 字節(jié) 看作是在 有限域 GF(28)上的一個(gè)元素 ? 一個(gè) 字 看成是系數(shù)取自 GF(28)，并且次數(shù)小于 4的多項(xiàng)式。若已知 (M, C)，攻擊方法如下： 先用 256個(gè)可能的 K1加密 M，得到 256個(gè)可能的值，將這些值從小到大存入一個(gè)表中 再對(duì) 256個(gè)可能的 K2解密 C，每次做完解密，將所得的值與表中的值比較，如果產(chǎn)生匹配，則它們對(duì)應(yīng)的密鑰可能是 K1和 K2 用一個(gè)新的明文密文對(duì)檢測所得兩個(gè)密鑰，如果兩密鑰產(chǎn)生正確的密文，則它們是正確的密鑰 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 86 ? 為防止中間相遇攻擊，可以采用 3次加密方式，如圖 ? 這是使用兩個(gè)密鑰的三重 EDS，采用加密 —解密 —加密 (EDE)方案 ? 注意的是 , 加密與解密在安全性上來說是等價(jià)的。首先它的密鑰長度是 168位，足以抵抗窮舉攻擊。如果一個(gè)密鑰所產(chǎn)生的所有子密鑰都是一樣的，則這個(gè)外部密鑰就稱為弱密鑰 ? DES的密鑰置換后分成兩半，每一半各自獨(dú)立移位。然而到目前為止也沒有任何證據(jù)證明 DES里確實(shí)存在陷門。 ? 例如對(duì)于 S1盒而言 , 如果輸入為 011001，則行是01(十進(jìn)制 1，即 S盒的第 2行 )，列 1100(12，即 S盒的第 13列 )，該處的值是 9，轉(zhuǎn)換為二進(jìn)制數(shù)為1001，即為該 S盒的輸出 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 75 DES 子密鑰產(chǎn)生 ? DES加密過程共迭代 16輪，每輪用一個(gè)不同的 48位子密鑰 ? 子密鑰由算法的 56位密鑰產(chǎn)生 ? DES算法的輸入密鑰長度是 64位，但只用了其中的 56位 ? 如圖 , 圖中無陰影部分，也就是每行的第 8位被忽略，主要用于奇偶校驗(yàn)，也可以是隨意設(shè)置 ? 子密鑰的產(chǎn)生過程如圖 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 76 圖 DES的輸入密碼 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 77 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 78 ? 56位密鑰首先經(jīng)過置換選擇 1(如圖 )將其位置打亂重排 ? 將前 28位作為 C0(如圖 )，后28位 D0(如圖 ) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 79 ? 接下來經(jīng)過 16輪，產(chǎn)生 16個(gè)子密鑰 ? 每一輪迭代中 , Ci1和 Di1循環(huán)左移 1位或者 2位，如圖 ? Ci1和 Di1循環(huán)左移后變?yōu)?Ci和 Di，將 Ci和 Di合在一起的 56位，經(jīng)過置換選擇 2(如圖 所示 )，從中挑出 48位作為這一輪的子密鑰 ? 再將 Ci和 Di循環(huán)左移后，使用置換選擇 2產(chǎn)生下一輪的子密鑰，如此繼續(xù)，產(chǎn)生所有16個(gè)子密鑰。 ? 對(duì)每個(gè) S盒，將 6位輸入的第一位和最后一位組成一個(gè)二進(jìn)制數(shù)，用于選擇 S盒中的一行。即 ? Li = Ri–1 ? Ri = Li–1 ⊕ F(Ri–1, Ki) 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 68 圖 DES每一輪結(jié)構(gòu) Li1 Ri1 Li Ri Ki F + 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 69 ? 加密函數(shù) F 本質(zhì)上是 Ri1和子密鑰 Ki的異或，如圖 ? 但由于它們的位數(shù)不一樣，不能直接運(yùn)算 ? 從上式可以看出加密函數(shù) F是 32位，而 Ri1是 32位，子密鑰 Ki是 48位，因此 Ri1和 Ki不能直接異或 ? DES這樣處理這個(gè)問題，先用擴(kuò)展置換E(如圖 )將 Ri1擴(kuò)展為 48位，與 48位子密鑰異或，輸出 48位，再使用 8個(gè) S盒壓縮成 32位，然后經(jīng)置換函數(shù) P(如圖 )輸出 32位的加密函數(shù) F。置換表中的數(shù)字表示輸入位在輸出中的位置 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 66 ? 置換后將數(shù)據(jù) M分成兩部分：左半部分 L0和右半部分 R0各 32位。 然后再左右兩半互換； (3) 互換后的左右兩半合并，再經(jīng)過逆初始置換輸出 64位密文。 1977年 1月 15日，數(shù)據(jù)加密標(biāo)準(zhǔn)，即 FIPS PUB 46正式發(fā)布 ? DES是分組密碼的典型代表，也是第一個(gè)被公布出來的加密標(biāo)準(zhǔn)算法。 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 57 置換密碼 ? 代換密碼 是將明文字母用不同的密文字母代替 ? 置換密碼 則保持明文的所有字母不變 ,只是打亂明文字母的位置和次序 ? 置換密碼 實(shí)現(xiàn)方法有很多 .下面介紹一種列置換加密方法 ? 假如用密鑰 work，加密明文 permutation cipher hide the message by rearranging the letter order 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 58 ? 將明文按照密鑰的長度一行一行地寫成一個(gè)矩陣，然后按照密鑰字母對(duì)應(yīng)的數(shù)值從小到大，按照列讀出即為密文 2023/2/25 Ch3(1)對(duì)稱加密技術(shù) 59 ? 在密鑰 work中，字母對(duì)應(yīng)的數(shù)字從小到