AES学习总结

一、         AES密码体制背景

随着对称密码的发展,DES数据加密标准算法由于密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求，因此1997年NIST公开征集新的数据加密标准,即AES[1]。经过三轮的筛选,比利时Joan Daeman和VincentRijmen提交的Rijndael算法被提议为AES的最终算法。此算法将成为美国新的数据加密标准而被广泛应用在各个领域中，AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。其几乎能抵御所有已知的攻击，且在各种平台上都易于实现，速度快。

 

二、         AES加解密过程

加密：

AES加密算法涉及4种操作：字节替代（SubBytes）、行移位（ShiftRows）、列混（MixColumns）和轮密钥加（AddRoundKey）。下图给出了AES加解密的流程，从图中可以看出：1）解密算法的每一步分别对应加密算法的逆操作，2）加解密所有操作的顺序正好是相反的。正是由于这几点（再加上加密算法与解密算法每步的操作互逆）保证了算法的正确性。加解密中每轮的密钥分别由种子密钥经过密钥扩展算法得到。算法中16字节的明文、密文和轮子密钥都以一个4x4的矩阵表示。

1.     字节代换

字节代替的主要功能是通过S盒完成一个字节到另外一个字节的映射。S盒的详细构造方法可以参考文献[4]。这里直接给出构造好的结果，下图(a)为S盒，图(b)为S-1（S盒的逆）。S盒用于提供密码算法的混淆性。

 

 

S和S-1分别为16x16的矩阵，完成一个8比特输入到8比特输出的映射，输入的高4-bit对应的值作为行标，低4-bit对应的值作为列标。假设输入字节的值为a=a7a6a5a4a3a2a1a0，则输出值为S[a7a6a5a4][a3a2a1a0]，S-1的变换也同理。

 

例如：字节00000000B替换后的值为（S[0][0]=）63H，再通过S-1即可得到替换前的值，（S-1 [6][3]=）00H。

2.     行移位

行移位是一个4x4的矩阵内部字节之间的置换，用于提供算法的扩散性。

1) 正向行移位

正向行移位用于加密，其原理图如下。其中：第一行保持不变，第二行循环左移8比特，第三行循环左移16比特，第四行循环左移24比特。

 

假设矩阵的名字为state，用公式表示如下：state’[i][j] =state[i][(j+i)%4];其中i、

j属于[0,3]。

2) 逆向行移位

　　逆向行移位即是相反的操作，即：第一行保持不变，第二行循环右移8比特，第三行循环右移16比特，第四行循环右移24比特。

用公式表示如下：state’[i][j] = state[i][(4+j-i)%4];其中i、j属于[0,3]。

 

3.     列混淆

列混淆：利用GF(28)域上算术特性的一个代替，同样用于提供算法的扩散性。

4.     轮密钥加

这个操作相对简单，其依据的原理是“任何数和自身的异或结果为0”。加密过程中，每轮的输入与轮子密钥异或一次；因此，解密时再异或上该轮的轮子密钥即可恢复。

5.     密钥生成

密钥扩展过程说明：

1)  将种子密钥按图(a)的格式排列，其中k0、k1、……、k15依次表示种子密钥的一个字节；排列后用4个32比特的字表示，分别记为w[0]、w[1]、w[2]、w[3]；

2)  按照如下方式，依次求解w[j]，其中j是整数并且属于[4,43]；

3)  若j%4=0,则w[j]=w[j-4]⊕g(w[j-1]),否则w[j]=w[j-4]⊕w[j-1]；

　　函数g的流程说明：

　　　　a)  将w循环左移8比特；

　　　　b)  分别对每个字节做S盒置换；

　　　　c)  与32比特的常量（RC[j/4],0,0,0）进行异或，RC是一个一维数组，其值如下。（RC的值只需要有10个，而此处用了11个，实际上RC[0]在运算中没有用到，增加RC[0]是为了便于程序中用数组表示。由于j的最小取值是4，j/4的最小取值则是1，因此不会产生错误。）

　　　　　RC = {0x00,0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36}

解密：

按照加密过程实行解密操作就行。

三、         AES数论基础

列混合其实就是对一个状态的每一列去乘一个矩阵，其中乘法是在有限域GF(2^8)内进行的，不可约多项式为x^8+x^4+x^2+x+1如图：

这里重点是有限域GF(2^8)上的乘法。采用的算法的原理如下：

1、  GF(2^8)中任何数乘0x01都不变

2、  GF(2^8)中计算乘0x02，可以分两种情况考虑：

(1)、原数值小于(1000 0000)2，即0x80的时候，乘2后第8个比特不会溢出，那么结果就是原数值左移一位；

(2)、原数值大于(1000 0000)2，即0x80的时候，乘2后第8个比特会溢出，结果需要减去一个不可约多项式(x8+x4+x2+x+1)，注意到GF(2^8)中的减法就是加法，那么结果就为原数值左移一位后(乘2)再与(0001 1011)2即0x1b进行异或(这里x8已经减掉了，只需要再减去x4+x2+x+1)。

3、类似第2点，可以得到GF(2^8)中计算乘4、乘8的结果；

4、GF(2^8)中计算乘其它数时，可以表示为乘1、2、4、8的线性组合。

例如：

类似的，乘以（0000 0100）可以拆分成两次乘以（0000 0010）的运算：

乘以（0000 0011）可以拆分成先分别乘以（0000 0001）和（0000 0010），再将两个乘积异或：

 

 

四、         AES局限性（攻击方法）

1.     S盒作为非线性组件，且结构简单便于分析该算法的安全性；另一方面，Rijndael表现出足够的安全性，没有已知的攻击方法能攻击Rjindael；

2.     密钥的灵活性，Rijindael要求在加密前用特定的密钥产生所有的子密钥，其支持的密钥有128位、192位、256位。