分组密码(五)AES算法② — 密码学复习(八)

  在上一篇简单复习了AES的历史时间节点、产生背景、与DES的对比、算法框图(粗略)以及一些数学基础,如果不记得的话点击这里回顾。下面将介绍AES算法的细节。

  下面给出AES算法的流程,图片来源:密码算法详解——AES

 

 通过上图可以知道,AES的加密算法主要可以概括为:

  ① 一个初始轮密钥加变换

  ② Nr-1轮的标准轮变换

  ③ 最后一轮的非标准轮变换

  注意:

  ① 第一步和最后一步都用了轮密钥加,因为没有密钥参与的变换都是容易被攻破的。

  ② DES的IP和IP-1没有密钥的参与。

  8.1 轮变换 —— 加密轮函数

  下面用伪代码的形式对其过程进行介绍。在AES中,除最后一轮外,其它轮次都是运行标准轮函数,最后一轮运行非标准轮函数。

  ① 标准轮变换

1 Round(State,RoundKey)
2 {
3     ByteSub(State);                 // S盒变换
4     ShiftRow(State);                // 行移位变换
5     MixColumn(State);               // 列混合变换
6     AddRoundKey(State,RoundKey);    // 轮密钥加变换
7 }

  ② 最后一轮,非标准轮函数

1 FinalRound(State,RoundKey)
2 {
3     ByteSub(State);                 // S盒变换
4     ShiftRow(State);                // 行移位变换
5     AddRoundKey(State,RoundKey);    // 轮密钥加变换
6 }

  通过代码可以发现:最后一轮是没有列混合的

  8.1.1 S盒变换 ByteSub(State)

  ① S盒变换是AES的唯一非线性变换,是AES安全的关键。

  ② AES使用16个相同的S盒,DES使用的是8个不同的S盒。

  ③ AES的S盒有8位输入,8位输出,是一种非线性置换;DES的S盒有6位输入,4位输出,是一种非线性压缩

  S盒变换可分为2步:(1)求逆;(2)代入公式计算

  (1)第一步:

  把输入字节用其GF(28)的逆来代替;

  把输入字节看成GF(28)上的元素;

  求出其在GF(28)上的逆元素;

  用该逆元素代替原输入字节。

  (2)第二步:

  对上面的结果做如下仿射变换:

  注意:

  • S盒变换的第一步是把字节的值用它的乘法逆来代替,是一种非线性变换
  • 第二步是仿射运算,是线性变换
  • 由于系数矩阵中每列都有5个1,说明改变输入任意一位,输出中5位发生变化。
  • 由于系数矩阵中每行都有5个1,说明输出的每一位都与输入的5位相关。

  8.1.2 行移位变换 ShiftRow(State)

  ① 行移位变换对状态的行进行循环移位;

  ② 第0行不移位,第1行移C1字节,第2行移C2字节,第3行移C3字节。

Nb C1 C2 C3
4 1 2 3
6 1 2 3

  ③ 行移位属于置换,属于线性变换。本质在于把数据打乱重排,其扩散作用

  8.1.3 列混合变换 MixColumn(State)

  ① 列混合变换把状态的列视为GF(28)上的多项式a(x)乘以一个固定的多项式c(x),并模x4+1.

b(x) = a(x)c(x)  mod x4+1

  其中,c(x)= 03x3+01x2+01x+02.

  ② 列混合变换属于线性变换,起扩散作用

  ③ c(x)与x4+1互素,从而保证c(x)存在逆多项式d(x),而c(x)d(x)=1 mod x4+1,只有逆多项式存在,才能进行解密。

  写成矩阵的形式:

   8.1.4 轮密钥加变换 AddRoundKey(State,RoundKey)

  ① 把轮密钥与状态进行模2相加

  ② 轮密钥根据密钥产生算法产生

  ③ 轮密钥长度等于数据块长度

 

  8.2 轮密钥的产生

  ① 加密迭代中每一轮需要一个轮密钥参与加密

  ② 轮密钥根据密钥产生算法通过用户密钥得到

  ③ 密钥产生分两步进行:

    (1)密钥扩展

    (2)轮密钥选择

  ④ 密钥扩展将用户密钥扩展为一个扩展密钥

  ⑤ 密钥选择从扩展密钥中选出轮密钥

  密钥扩展的原理图如下图所示,图片来源:密码算法详解——AES

 

 

  8.2.1 密钥扩展

  ① 密钥扩展产生扩展密钥。

  ② 用一个字元素的一维数组W[Nb*(Nr+1)]表示扩展密钥。

  ③ 用户密钥放在该数组最开始的Nk个字中。

  ④ 其它的字由它前面的字经过处理后得到。

  ⑤ 分Nk≤6Nk>6两种密钥扩展算法。

  (1)Nk ≤ 6的密钥扩展

  ① 最前面的Nk个字是由用户密钥填充的

  ② 之后的每一个字W[j]等于前面的字W[j-1]与Nk个位置之前的字W[j-Nk]的异或

  ③ 而且对于Nk的整数倍的位置处的字,在异或之前,对W[j-1]进行Rotl变换和ByteSub变换,之后再异或一个常数Rcon.

  当j不是Nk的整数倍:Wj=Wj-Nk⊕Wj-1

  当j是Nk的整数倍:Wj=Wj-Nk⊕ByteSub(Rotl(Wj-1)⊕Rcon[j/Nk]

  说明:

  • Rotl是一个字里的字节循环左移函数:

  设 W=(A,B,C,D) 则 Rotl(W)=(B,C,D,A)

  • 轮常数Rcon与Nk无关,且定义为:

  Rcon[i] = (RC[i],'00','00','00')

  RC[0] = '01'

  RC[i] = xtime(RC[i-1])

  (2)Nk > 6的密钥扩展

  说明:

  Nk>6的密钥扩展 与 Nk≤6的密钥扩展 基本相同,不同之处在于:如果j被Nk除的余数=4,则在异或之前,对W[j-1]进行ByteSub变换。

  增加ByteSub变换是因为当Nk>6时密钥很长,仅仅对Nk的整数倍的位置处的字进行ByteSub变换,就显得ByteSub变换的密度比较稀,安全程度不够强。

  8.2.2 轮密钥的选择

  根据分组大小,依次从扩展密钥中取出轮密钥。

  前面的Nb个字作为轮密钥0,接下来的Nb个字作为轮密钥1...

 

  8.3 AES的基本逆变换

  AES的加密算法不是对合运算,所以解密算法和加密算法不同。

  AES的巧妙之处:虽然解密算法和加密算法不同,但解密算法与加密算法的结构相同

  把加密算法的基本变换换成逆变换,便得到解密算法。

  AES的基本变换都是可逆的

① 轮密钥加的逆就是其本身:(AddRoundKey)-1AddRoundKey

② 行移位变换的逆就是状态的后三行分别移位Nb-C1、Nb-C2、Nb-C3个字节。

③ 列混合的逆

状态的每列都乘以c(x)的逆多项式d(x):

  d(x) = (c(x))-1  mod x4+1

  c(x) = 03x3+01x2+01x+02

  d(x) = 0Bx3+0Dx2+09x+0E

④ S盒变换的逆

第一步:首先进行逆仿射变换

第二步:再把每个字节用其在GF(28)上的来代替。

(1)把输入字节看成GF(28)上的元素

(2)求出其在GF(28)上的逆元素

(3)用该逆元素代替原输入字节

注:S盒的逆仿射变换:

⑤ 解密的密钥扩展

解密的密钥扩展与加密的密钥扩展不同,解密的密钥扩展定义如下:

(1) 加密算法的密钥扩展

(2) 把InvMixColumn(逆列混合)应用到除第一和最后一轮外的所有轮密钥上。

⑥ 逆轮变换

 

 (1) 标准拟轮变换

1  Inv_Round(State,RoundKey)
2  {
3      Inv_ByteSub(State);             // S盒变换的逆
4      Inv_ShiftRow(State);            // 逆行移位变换
5      Inv_MixColumn(State);           // 逆列混合变换
6      AddRoundKey(State,RoundKey);    // 轮密钥加变换
7  }

 

  (2) 最后一轮,非标准逆轮函数

1  Inv_FinalRound(State,RoundKey)
2  {
3      Inv_ByteSub(State);             // S盒变换的逆
4      Inv_ShiftRow(State);            // 逆行移位变换
5      AddRoundKey(State,RoundKey);    // 轮密钥加变换
6  }

 

  8.4 AES的实现

  实现方法:软件、硬件

  软件方法:

  ① 基于算法的描述 —— 效率不够高

  ② 基于查表 —— 时空折换,提高效率

  基于查表:

  ① S盒,本质上是8进8出,但要S盒和逆S盒2个表。

  ② 列混合变换

  GF(28)的非零元素构成循环群,可通过加法和查表实现乘法。逆列混合同理。

 

  8.5 AES的安全性

  能够抵抗目前所有的已知攻击。①穷举攻击 ②差分攻击 ③线性攻击 ④Square攻击 ⑤侧信道攻击

  目前已有低于穷举复杂度的攻击方法,但都还不能对AES构成本质的威胁。

 

  8.6 AES的体现

  AES体现了香农的密码设计理论。

  体现了公开设计的原则。

  实践是检验AES密码安全性的唯一标准。

 

  8.7 AES的优点

  ① 运算速度快

  ② 对内存的需求非常低,适合于受限环境

  ③ 分组长度和密钥长度设计灵活

  ④ AES的密钥长度比DES的密钥长度要长,用穷举法破译较难

  ⑤ 很好的抵抗差分密码分析和线性密码分析的能力

posted @ 2021-09-30 14:51  不爱学习的Shirley  阅读(893)  评论(1编辑  收藏  举报