【正文】 21000 04000000 08000000 10000000 I 6 7 8 9 10 Rcon[i] 20210000 40000000 80000000 1b000000 36000000 輸入密鑰直接被復制到擴展密鑰數(shù)組的前四個字中，得到 w[0]、 w[1]、 w[2]、 w[3]；然后每次用四個字填充擴展密鑰數(shù)組余下的部分。]0[ ?RC ， ])1[(2][ ??? iRCiRC 。],[(][ iRCiR co n ? ，39。,39。,39。 )39。 Rijndael 的密鑰擴展方案的偽碼描述如下： KeyExpansion(byte key[4*Nk],word w[Nb*(Nr+1)],Nk) {//Nk 代表以 32 位字為單位的密鑰的長度，及 Nk=密鑰長度 /32 14 begin i=0 while(INk) w[i]=word[key[4*i], key[4*i+1], key[4*i+2], key[4*i+3]] i=i+1 end while i=Nk while(iNb*(Nr+1)) word temp=w[i1] if (I mod Nk=0) temp=SubWord(RotWord(temp))xor Rcon[i/Nk] else if (Nk=8 and I mod Nk=4) temp=SubWord(temp) end if w[i]=w[iNk] xor temp i=i+1 end while end } 其中， key[]和 w[]分別用于存儲擴展前，擴展后的密鑰。 通過生成器產(chǎn)生 1rN? 輪輪密鑰，每個輪密鑰由 bN 個字組成，共有 )1( ?rb NN 個字W[i]， i=0， 1， … ， 1)1( ??rb NN 。密鑰擴展例程從一個原始密鑰中生成多重密鑰以代替使用單個密鑰大大增加 了比特位的擴散，在 AES 密鑰擴展算法的輸入值是 4 字密鑰 ，輸出是一個 44 字的一一維線性數(shù)組。 } 密鑰擴展 (Key Expansion) 為了防止已有的密碼分析攻擊， AES 使用了與輪相關的輪常量 (Rcon[j]，是一個字，這個字的右邊三個字節(jié)總為 0)防止不同輪中產(chǎn)生的輪密鑰的對稱性或相似性。 ShiftRows( States )。 } FinalRound ( State , ExpandedKey[ rN ] )。 MixColumns ( State )。 列表 Rijufael 的輪變換 Round （ State, ExpandedKey[i]） 13 { SubBytes ( State )。 2. 簡單性。除了具體到可不的準則以外，還采用了以下兩個通用的設計準則： 1. 可逆性。容易驗證：若將 Round 變換中的 MixColumns 步驟去掉，則它等價于 FinalRound 變換。該密碼的最后一輪 FinalRound 稍有不同，也如列表 所示。 表 列出了作為 bN 和 kN 函數(shù)的 tN 值。 12 對于具有更大分組長度 256 比特的 Rijndael 版本，我們已經(jīng)發(fā)現(xiàn)，即使將攻擊的處理范圍擴大一輪也難以實現(xiàn)。 (2) 更大的分組長度將增加可能出現(xiàn)的模式的選取范圍，這些模式可用在某幾輪的輸入輸出上。而對具有較長分組的 Rijndael 版本，分組長度每增加 32 比特，輪的數(shù)目就增加一輪。如果增加密碼密鑰的長度，密碼分析者的搜索范圍也將隨之增加。因為窮舉密鑰搜索的工作量隨密鑰長度的增加而增加，而捷徑攻擊對具有更長密鑰的密碼的攻擊效率不高。 對于具有較長密鑰的 Rijndael 版本，密碼密鑰每增加 32 比特，倫德數(shù)目就增加一輪。滲透攻擊也是如此，它利用一個四輪的傳播結構來攻擊六輪。在實際中，這種密碼一般采用四輪或更多。 Rijndael 輪變換的高擴散性歸功于它在所有狀態(tài)比特上的均勻結構。每個狀態(tài)比特均依賴與兩輪之前的所有狀態(tài)比特，或者一個狀態(tài)比特的改變均可能對兩輪之后的半數(shù)狀態(tài)比特產(chǎn)生影響。對分組長度和密鑰長度均是 128比特的 Rijndael，我們尚未發(fā)現(xiàn)能夠對具有六輪以上的簡化版本實施的捷徑攻擊，又增加 4 輪作 為安全余量。 0k 4k 8k 12k 16k 20k 1k 5k 9k 13k 17k 21k 2k 6k 10k 14k 18k 22k 3k 7k 11k 15k 19k 23k 11 我們通過考慮抗擊捷徑攻擊來確定輪的數(shù)目，因為捷徑攻擊明顯比窮盡密鑰搜索攻擊更有效。 )最后執(zhí)行只包括 3 個階段 (省略 MixColumns 變換 )的最后一輪運算。 AES 算法結構對加密和解密的操作，算法由輪密鑰開始，并用Nr 表示對一個數(shù)據(jù)分組加密的輪數(shù) (加密輪數(shù)與密鑰長度的關系如表 2 所示 )。 如果將密鑰記為 143210 ?? kNzzzzz ? 那么 jiji zk 4, ?? ， 40 ??i ， kNj??0 狀態(tài)與密碼密鑰的表示以及明文 狀態(tài)與密鑰 密碼密鑰的映射，如圖所示 10 0P 4P 8P 12P 1P 5P 9P 13P 2P 6P 10P 14P 3P 7P 11P 15P 當 bN = kN =6 時狀態(tài)和密碼密鑰的大致分布 8. AES加密算法 實現(xiàn)的理論分析 AES 中的操作均是以字節(jié)作為基礎的，用到的變量也都是以字節(jié)為基礎。密碼密鑰的列數(shù)記為 kN ，它等于密鑰長度除以 32。 當加密是，輸入是一個明文分組，映射是 jiji Pa 4, ?? ， 40 ??i ， bNj??0 當解密是，輸入是一個密文分組，映射是 jiji Ca 4, ?? ， 40 ??i ， bNj??0 在加密結束時，密文分組以相同 的順序從狀態(tài)字節(jié)中取出 4/,4mod iii aC ? ， bNi 40 ?? 在解密結束時，明文分組按以下順序從狀態(tài)中得到 4/,4mod iii aP ? ， bNi 40 ?? 類似地，密鑰被映射到兩維密碼密鑰上。類似地，將密文分組記為 143210 ?? bNCCCCC ? 將狀態(tài)記為 jia, ， 40 ??i ， bNj??0 這里， jia, 表示位于第 i 行第 i 列的字節(jié)。狀態(tài)可以形象地表示為一個矩形的字節(jié)數(shù)組，該數(shù)組共有 4 行。對解密而言，輸入是一個密文分組和一個密鑰，而輸出是一個明文分組。 7. AES加、解密的輸入 /輸出 Rijndael 的輸入 /輸出可看作 8 位字節(jié)的一維數(shù)組。 具體算法結構如圖 1所示。 6. AES算法的框架描述 Rijndael算法是一個可變數(shù)據(jù)塊長和可變密鑰長的分組迭代加密算法，數(shù)據(jù)塊長和密鑰長可分別為 128， 192或 256比特，但為了滿足 AES的要求，分組長度為 128比特，密鑰長度為 128， 192或 256比特。 ? ByteRotation 符合以下準則： (1) 4 個位移量互不相同且 00?C ； (2) 能抵抗差分截斷攻擊； (3) 能抗 Square 攻擊； (4) 簡單。 選擇模數(shù)多項式 14?x 可滿足準則 6?？梢哉业狡渌?S 盒滿足以上準則。 7 滿足前 3 條準則的 S 盒的 構造方法已被給出， AES 的作者從眾多候選構造中選擇將x 映射到它的逆的 S 盒。 } 5. AES 算法的設計原理 GF( 82 )中乘法使用的多項式是 8 次不可約多項式列表中的第一個多項式。i++) Round ( State,ExpandedKey[i] )。 For (i=1。 列表 使用 Rijndael 進行加密的高級算法 Rijndael （ State, Cipherkey） { KeyExpansion ( CipherKey, ExpandedKey)。從 CipherKey導出 ExpandedKey的過程記為 KeyExpansion。初始的密鑰加法和每個輪變換均以狀態(tài) State 和一個輪密鑰作為輸入。同時也做了更進一步的改進，均為了使描述更加清楚、全面，但對分組密碼本身沒有做任何改變。 根據(jù) 的建議，我們對最初所提交的 AES 提案中描述的一些步驟的名稱進行了修改。 值得注意的是，本章中的輪變換包含了密鑰加法，這一點與（ ）～（ ）式 6 的定義相反。 4. AES的結構 Rijndael 是一個密鑰迭代分組密碼，包含了輪變換對狀態(tài)的重復作用。在 AES 的選擇過程中， Rijndael 所具有的額外的分組長度和密鑰長度沒有評估。我們可以定義具有更大分組長度和密鑰長度的各種版本的 Rijndael，但目前似乎沒有必要。 Rijndael 是具有可變分組長度和可變密鑰長度的分組密碼。 Murphy[14]發(fā)現(xiàn)任何明文或明文差分經(jīng)過 Rijndael算法線性擴散層 16輪迭代后會重現(xiàn)， Wernsdorf[15]則指出 Rijndael 算法的輪函數(shù)構成交換群。他們利用布爾函數(shù)局部結構中的相鄰特性，通過尋找等價參數(shù) ijD 、 a、 b 和 c 的方法間接證明了分量函數(shù)之間的等價關系。 Fuller[12]等指出 Rijndael 算法 S 盒的分量函數(shù)之間存在等價關系cbxaxDsxs ijji ???? )()( 。但是，由于對偶密碼的結構容易分析，并易于轉換成原算法，可能會有助于實施差分或線性攻擊，所以對偶密碼的 存在也可能是對 Rijndael 算法的一種潛在威脅。 Barkan[10] 替換算法中的不變常量 (如既約多項式、列混合運算中的系數(shù)和 S 盒中的仿射變換 )，產(chǎn)生新的等價對偶密碼 (平方對偶、對數(shù)對偶和自對偶等數(shù)百種之多 )。 Ferguson[8]給出了 Rijndael 算法一個直觀而緊湊的代數(shù)表示形式； Filiol[9]則將算法的 每 一 輸 出 比 特 看 作 以 明 文 比 特 和 密 鑰 比 特 為 變 量 的 布 爾 函 數(shù)),( 39。 算法結構性質分析 密碼代數(shù)結構的任何弱點都將有利于密碼的分析和破譯。 Koeune[6]描述了一種計時攻擊，通過對每個密鑰數(shù)千次的測量，展現(xiàn)攻破一個不良的現(xiàn)實設計的過程。 Gilbert[5]利用局部函數(shù)間的沖突特性對 4 到 7 輪簡化算法進行了攻擊。 Lucks[3]利用密鑰生成算法的弱點，將 Square 攻擊的密鑰長度擴展到 192 和 256 比特，攻擊 7 輪簡化算法比窮盡搜索快。最有名的當數(shù)密碼設計者自己提出的 Square 攻擊，其主要思想是利用第 4 輪字節(jié)替換前后平衡性的改變來猜測密鑰字節(jié)，對 128 比特密鑰下 4 到 6 輪簡化算法有效。本文從簡化算法攻擊、算法結構性質分析以及密碼分析的進展等方面對 AES 算法的密碼分析狀況進行討論。 Rijndael 算法設計采用針對差分和線性密碼分析提出的寬軌跡策略 (WTS)，其最大優(yōu)勢是可以給出算法最佳差分特征的概率以及最佳線性逼近偏差的界；使用簡單的部件組織成清晰的結構，便于算法安全性的分析。迭代加密使用一個循環(huán)結構，在該循環(huán)中重復置換 (permutations)和替換(substitutions)輸入數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。 2021 年 10 月 2 日， NIST 對 Rijndael 做 出了最終評估。 AES 的全稱是 Advanced Encryption Standard，即高級加密標準。由于本文重點在乘法類算法，下面只介紹一些關鍵的輔助函數(shù)， 其它輔助函數(shù)要到相關算法使用到時再簡略介紹。 韋寶典 [25]利用 Walsh 譜理論分析 Rijndael 算法 S 盒的嚴格雪崩特性、擴散特性和相關免疫性等密碼性質，提出了廣義自相關函數(shù)的概念，解決了嚴格雪崩準則和擴散準則階數(shù)的確定問題；基于等價類的劃分、線性方程組的求解和標準基之對偶基的計算，給出了域元素分量代數(shù)表達式的 3 種求法，提出了一種基于生 日悖論、利用活動性進行攻擊的新方法；指出了 Square6 攻擊是不成功的，并給出了修正攻擊方案。 中國的研究人員也對 AES 算法進行了大量研究分析。同年美洲密碼分析研討會上， Murphy[17]設計了一種新的算法 BES(Big Encryption System)，將 AES 中 GF( 82 )和 GF(2)上的兩種域運算歸結為域 GF( 82 )上的運算，使 AES 成為某種消息空間和密鑰空間下的 BES，通過研究形式更為簡潔的 BES，可以更清晰地了解 AES 算法內部的數(shù)學結構。 參 考 文 獻 .......................................................................................................................... 39 附 錄 ......................................................