《密碼學》04-6 高級加密標準(AES)(續(xù))

密碼學第四章分組密碼4.5

高級加密標準(AES)(續(xù))密文（字節(jié)矩陣）明文（字節(jié)矩陣）字節(jié)代替變換行移位變換列混合變換行移位變換字節(jié)代替變換k1k10k0第一圈第十圈AES加密運行圖密鑰生成算法脫密算法加脫密相似性AES的簡單分析4.5

高級加密標準(AES)(續(xù))

圈密鑰是通過密鑰生成算法從初始密鑰中獲得的，其長度等于分組長度。AES的密鑰生成算法由兩部分組成：

初始密鑰經(jīng)密鑰擴展過程產(chǎn)生出114=44個四字節(jié)密鑰字的擴展密鑰。W0W1W2W3W4W5W6W7…

W43（一）密鑰擴展一、密鑰生成算法（二）圈密鑰選取

圈密鑰按順序取自擴展密鑰。W0W1W2W3W4W5W6W7…W40W41W42W43k0k1k10當時，如果，那么如果，那么

擴展密鑰的前4個字W0W1W2W3直接取自初始密鑰，后面的字由前面的字遞歸定義。（一）密鑰擴展一、密鑰生成算法（1）函數(shù)RotByte()：輸入輸出都是四字節(jié)的字，將輸入按字節(jié)循環(huán)左移一位可得輸出，即：

RotByte

(a,b,c,d)=(b,c,d,a)。（2）函數(shù)SubByte()：AES的S盒變換，輸入輸出都是四字節(jié)的字。一、密鑰生成算法（3）圈常數(shù)Rcon[j]是一個四字節(jié)的字，按下述方法定義:Rcon[j]=(xj-1modm(x),0016,0016,0016)。x0(modm(x))0116x1(modm(x))0216x2(modm(x))0416x3(modm(x))0816x4(modm(x))1016x5(modm(x))2016x6(modm(x))4016x7(modm(x))8016x8(modm(x))1B16x4(modm(x))3616一、密鑰生成算法設(shè)初始密鑰為一、密鑰生成算法（二）圈密鑰選取

圈密鑰按順序取自擴展密鑰。即第0圈的圈密鑰由擴展密鑰中最前面的4個字組成，第1圈的圈密鑰由接下來的4個字組成，…，第10圈即最后一圈的圈密鑰由最后的4個字組成。W0W1W2W3W4W5W6W7…W40W41W42W43k0k1k10一、密鑰生成算法二、脫密算法

AES的加、脫密過程具有等價結(jié)構(gòu)。通過將加密過程中的變換用相應(yīng)的逆變換代替，以及在密鑰調(diào)度中作適當變化即成為脫密過程。明文（字節(jié)矩陣）密文（字節(jié)矩陣）逆字節(jié)代替變換逆行移位變換逆列混合變換逆行移位變換逆字節(jié)代替變換C-1(k9

)k010k第一圈第十圈AES脫密運行圖（一）逆字節(jié)代替變換

逆字節(jié)代替變換是字節(jié)代替變換的逆變換。它將狀態(tài)中的每一個字節(jié)非線性地變換為另一個字節(jié)，也由兩個可逆變換復合而成。先用仿射變換的逆變換作用，再在GF(28)中取乘法逆即得。二、脫密算法AES的逆S盒二、脫密算法（二）

逆行移位變換

逆行移位變換是行移位變換的逆變換。如果將一個狀態(tài)的狀態(tài)矩陣的行從上到下分別稱為第0，1，2，3行，則逆行移位變換的作用是將一個狀態(tài)的第i行循環(huán)右移i個字節(jié)。二、脫密算法（三）逆列混合變換

逆列混合變換是列混合變換的逆變換。它將一個狀態(tài)的每一列視為系數(shù)在GF(28)上的一個多項式且與一個固定多項式a-1(x)={0b}x3+{0d}x2+{09}x+{0e}模x4+1相乘。二、脫密算法二、脫密算法（四）脫密算法中的圈密鑰

AES脫密算法的初始圈和最后一圈(第10圈)的圈密鑰分別是加密算法的最后一圈(第10圈)和初始圈的圈密鑰，脫密算法的第1圈到第9圈的圈密鑰分別是加密算法的第9圈到第1圈的圈密鑰經(jīng)逆列混合變換后得到的。加密密鑰：解密密鑰：二、脫密算法記：Ｓ為字節(jié)代替變換，Ｒ為行移位變換，C

為列混合變換；S-1為逆字節(jié)代替變換，Ｒ-1為逆行移位變換，C

-1為逆列混合變換，Ak表示圈密鑰加變換，顯然有：SS-1=I，RR-1=I，CC-1=I，AkAk=I，三、加脫密相似性字節(jié)代替與行移位可交換SR=RSúúú?ùêêê?éúúú?ùêêê?éúúú?ùêêê?é字節(jié)代替字節(jié)代替三、加脫密相似性從而AES的圈函數(shù)可以表示為：x，y為兩個字節(jié)矩陣，則有：又因為

，于是有三、加脫密相似性于是,三、加脫密相似性（一）關(guān)于S盒

1.可逆性；

2.輸入比特的線性組合和輸出比特的線性組合之間的最大非平凡相關(guān)性的極小化；

3.異或差分表中最大非平凡值的極小化；

4.在GF(28)中代數(shù)表示的復雜性；

5.表達的簡單性。四、AES的簡單分析（二）關(guān)于行移位變換的位移量

1.各行的位移量不同且第0行位移量為0；

2.抗截段差分攻擊；

3.抗Square攻擊；

4.簡單性。

AES選擇的位移量組合是滿足這4條準則的最佳組合。

四、AES的簡單分析（三）關(guān)于列混合變換

1.可逆性；

2.GF(2)中的線性性；

3.適當?shù)臄U散特性；

4.8位處理器上的快速實現(xiàn)特性；

5.對稱性；

6.表達的簡單性。四、AES的簡單分析（四）關(guān)于密鑰

1.使用一個可逆變換，即知道密鑰擴展的任意Nk個連續(xù)的字，就可以產(chǎn)生整個密鑰表；

2.能夠在多種處理器上快速實現(xiàn)；

3.消除密碼中的對稱性；

4.不能由部分密鑰比特計算出許多其它的密鑰比特；

5.抗相關(guān)密鑰攻擊；

6.足夠的非線性性；

7.描述的簡單性。四、AES的簡單分析（五）完全性兩圈實現(xiàn)完全性四、AES的簡單分析（六）關(guān)于圈數(shù)

AES分組密碼算法的圈數(shù)的選擇是在考察已經(jīng)