非常值得参考的是官方文档,它详细介绍了AES及其实验过程。博文AES加密算法的C++实现就是基于该文档的介绍及实现,是难得的一篇好文,故在本文最后会附上该文,以作备份。
还有很值得推荐的就是AES的动画演示,做的很形象,非常有助于理解!
对AES而言,它采用了“代换-置换网络”结构(Substitution-Permutation Network, SPN)。其最复杂的计算在于列混淆,而列混淆的复杂又来自有限域的乘法;另外,一方面,我们还要考虑加密过程中需要考虑的字节填充。下边将进行介绍。
1. 有限域乘法
这部分主要参考自《密码编码学与网络安全——原理与实践》(第五版)(P. 96-97)。
在该书中,作者提到“本质上说,域就是一个集合,我们可以在其上进行加法、减法、乘法和除法而不脱离该集合”。有限域是域的一种,它指的是阶(元素个数,记为p)有限的域,记为GF(p),其中有限域的阶必须是一个素数的幂p'^n(p'为素数,n为正整数)。GF(2^n)是在密码学中用得很多的有限域,它表示该域总共只有2^n个元素。特别地,GF(2^8)被用于AES的加解密。GF(2^8)是一个包含256个元素的域,它的每一个元素可被赋值为0~2^8-1中的唯一整数(注意这里提到的可,它意味着GF(2^8)的每一个元素同样可以取其他范围的值(不在0~2^8-1),但就是要满足域的条件)。在AES中,用到的有限域是GF(2^8),它的每一个元素被赋值为0~2^8-1中的唯一整数。
同时,在该书中,作者还提出GF(2^n)的乘法计算公式如下:
详细推导请参考该书P. 96。
下边参考博文有限域GF(2^8)内乘法代码实现以及原理(这篇博文开头对有限域的说明有点问题,作者貌似是把有限域理解成因为该域内的元素的值是有范围的,所以才叫有限域)的例子来说明如何进行GF(2^8)有限域乘法。
在二进制中,所有的数都能用0x01,0x02,0x04,0x08,0x10,0x20,0x40,0x80异或得到,0x01,0x02,0x04,0x08,0x10,0x20,0x40,0x80的二进制表示如下:
后一个分别是前一个的2倍。假设任意一个数a,他的二进制表示为10101101,可以由以下组合组成:
而任何一个数x和a相乘都可以表示为
所以只要计算出
最后再对这些结果进行异或就可以求出最终的乘法结果。那如何求0x3a*0x24?
首先0x3a=00111010,分别求
0x24=00100100,所以0x3a*0x24=0x3a*00100100=0x04*0x3a^0x20*0x3a=0xe8^0x01=0xe9.
作者还附带了一个C/C++程序来计算GF(2^8)有限域乘法:
unsigned char XTIME(unsigned char x) { return ((x << 1) ^ ((x & 0x80) ? 0x1b : 0x00)); } unsigned char multiply(unsigned char a, unsigned char b) { unsigned char temp[8] = { a }; unsigned char tempmultiply = 0x00; int i = 0; for (i = 1; i < 8; i++) { temp[i] = XTIME(temp[i - 1]); } tempmultiply = (b & 0x01) * a; for (i = 1; i <= 7; i++) { tempmultiply ^= (((b >> i) & 0x01) * temp[i]); } return tempmultiply; }
关于程序的解释可以参考该博文。
2. 字节填充
AES是分块计算,当数据内容不足,16字节(128 bit AES),24字节(192 bit AES),32字节(256 bit AES),不足部分就需要填充。维基百科(翻译)上面列举填充方式有如下几种:
1)ANSI X.923
不足部分填充0,最后一字节为填充字节数。如下面8字节的块,需要填充4字节时:
… | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 04 |
2)ISO 10126
不足部分填充随机数字,最后一字节为填充字节数。如下面8字节的块,需要填充4字节时:
… | DD DD DD DD DD DD DD DD | DD DD DD DD BC DA EF 04 |
3)PKCS7与PKCS5
不足部分填充为需要填充字节数。若数据大小是分块大小N的倍数时,则增加一个全为N的分块。如下面8字节的块,需要填充4字节时:
… | DD DD DD DD DD DD DD DD | DD DD DD DD 04 04 04 04 |
4)ISO/IEC 7816-4
不足的部分,首先填充一个0×80,剩余部分全为0。如下面8字节的块,需要填充4字节时:
… | DD DD DD DD DD DD DD DD | DD DD DD DD 80 00 00 00 |
要求数据内容本身不包含0×80
5)Zero padding
不足部分全部填充0。如下面8字节的块,需要填充4字节时:
… | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 00 |
这种方法不能区分数据内容本身末尾包含0的情况,因而也不是标准的填充方式。
本人在实现的时候采用的是ANSI X.923标准。
3. 个人实现
代码请见Github.
4. 博文AES加密算法的C++实现摘录
摘要:作为新一代的加密标准,AES 旨在取代 DES(请看《DES加密算法的C++实现》),以适应当今分布式开放网络对数据加密安全性的要求。本文在分析了 AES 加密原理的基础上着重说明了算法实现的具体步骤,并用 C++ 实现了对文件的加密和解密。
一、AES 介绍
AES(高级加密标准,Advanced Encryption Standard),在密码学中又称 Rijndael 加密法,是美国联邦政府采用的一种分组加密标准。这个标准用来替代原先的 DES,目前已经广为全世界所使用,成为对称密钥算法中最流行的算法之一。
在 AES 出现之前,最常用的对称密钥算法是 DES 加密算法,它在 1977 年被公布成为美国政府的商用加密标准。DES 的主要问题是密钥长度较短,渐渐不适合于分布式开放网络对数据加密安全性的要求。因此,1998年美国政府决定不再继续延用 DES 作为联邦加密标准,并发起了征集 AES 候选算法的活动。征集活动对 AES 的基本要求是: 比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。
经过三年多的甄选,比利时的密码学家所设计的 Rijndael 算法最终脱颖而出,成为新一代的高级加密标准,并于 2001 年由美国国家标准与技术研究院(NIST)发布于 FIPS PUB 197。
二、AES 算法原理
AES算法(即 Rijndael 算法)是一个对称分组密码算法。数据分组长度必须是 128 bits,使用的密钥长度为 128,192 或 256 bits。对于三种不同密钥长度的 AES 算法,分别称为“AES-128”、“AES-192”、“AES-256”。(Rijndael 的设计还可以处理其它的分组长度和密钥长度,但 AES 标准中没有采用)
下图是 AES 加密解密的整体流程图:
这里我们需要知道3个符号:Nb
—— 状态 State 包含的列(32-bit 字)的个数,也就是说 Nb=4;Nk
—— 密钥包含的 32-bit 字的个数,也就是说 Nk=4,6 或 8;Nr
—— 加密的轮数,对于不同密钥长度,轮数不一样,具体如下图所示:
下面分为密钥扩展、分组加密、分组解密三个部分来讲 AES 算法,我会尽可能地简明扼要,若还有不懂的,请自行 Google。
1)密钥扩展
AES 算法通过密钥扩展程序(Key Expansion)将用户输入的密钥 K 扩展生成 Nb(Nr+1)
个字,存放在一个线性数组w[Nb*(Nr+1)]
中。具体如下:
-
位置变换函数
RotWord()
,接受一个字 [a0, a1, a2, a3] 作为输入,循环左移一个字节后输出 [a1, a2, a3, a0]。 -
S盒变换函数
SubWord()
,接受一个字 [a0, a1, a2, a3] 作为输入。S盒是一个16x16的表,其中每一个元素是一个字节。对于输入的每一个字节,前四位组成十六进制数 x 作为行号,后四位组成的十六进制数 y 作为列号,查找表中对应的值。最后函数输出 4 个新字节组成的 32-bit 字。 -
轮常数
Rcon[]
,如何计算的就不说了,直接把它当做常量数组。 -
扩展密钥数组
w[]
的前 Nk 个元素就是外部密钥 K,以后的元素w[i]
等于它前一个元素w[i-1]
与前第 Nk 个元素w[i-Nk]
的异或,即w[i] = w[i-1] XOR w[i-Nk]
;但若 i 为 Nk 的倍数,则w[i] = w[i-Nk] XOR SubWord(RotWord(w[i-1])) XOR Rcon[i/Nk-1]
。
注意,上面的第四步说明适合于 AES-128 和 AES-192,详细的伪代码如下:
密钥扩展程序的 C++ 代码(AES-128):
1 #include <iostream> 2 #include <bitset> 3 using namespace std; 4 typedef bitset<8> byte; 5 typedef bitset<32> word; 6 7 const int Nr = 10; // AES-128需要 10 轮加密 8 const int Nk = 4; // Nk 表示输入密钥的 word 个数 9 10 byte S_Box[16][16] = { 11 { 0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76 }, 12 { 0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0 }, 13 { 0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15 }, 14 { 0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75 }, 15 { 0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84 }, 16 { 0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF }, 17 { 0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8 }, 18 { 0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2 }, 19 { 0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73 }, 20 { 0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB }, 21 { 0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79 }, 22 { 0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08 }, 23 { 0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A }, 24 { 0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E }, 25 { 0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF }, 26 { 0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F, 0xB0, 0x54, 0xBB, 0x16 } 27 }; 28 29 // 轮常数,密钥扩展中用到。(AES-128只需要10轮) 30 word Rcon[10] = { 0x01000000, 0x02000000, 0x04000000, 0x08000000, 0x10000000, 31 0x20000000, 0x40000000, 0x80000000, 0x1b000000, 0x36000000 }; 32 33 /** 34 * 将4个 byte 转换为一个 word. 35 */ 36 word Word(byte& k1, byte& k2, byte& k3, byte& k4) 37 { 38 word result(0x00000000); 39 word temp; 40 temp = k1.to_ulong(); // K1 41 temp <<= 24; 42 result |= temp; 43 temp = k2.to_ulong(); // K2 44 temp <<= 16; 45 result |= temp; 46 temp = k3.to_ulong(); // K3 47 temp <<= 8; 48 result |= temp; 49 temp = k4.to_ulong(); // K4 50 result |= temp; 51 return result; 52 } 53 54 /** 55 * 按字节 循环左移一位 56 * 即把[a0, a1, a2, a3]变成[a1, a2, a3, a0] 57 */ 58 word RotWord(word& rw) 59 { 60 word high = rw << 8; 61 word low = rw >> 24; 62 return high | low; 63 } 64 65 /** 66 * 对输入word中的每一个字节进行S-盒变换 67 */ 68 word SubWord(word& sw) 69 { 70 word temp; 71 for (int i = 0; i<32; i += 8) 72 { 73 int row = sw[i + 7] * 8 + sw[i + 6] * 4 + sw[i + 5] * 2 + sw[i + 4]; 74 int col = sw[i + 3] * 8 + sw[i + 2] * 4 + sw[i + 1] * 2 + sw[i]; 75 byte val = S_Box[row][col]; 76 for (int j = 0; j<8; ++j) 77 temp[i + j] = val[j]; 78 } 79 return temp; 80 } 81 82 /** 83 * 密钥扩展函数 - 对128位密钥进行扩展得到 w[4*(Nr+1)] 84 */ 85 void KeyExpansion(byte key[4 * Nk], word w[4 * (Nr + 1)]) 86 { 87 word temp; 88 int i = 0; 89 // w[]的前4个就是输入的key 90 while (i < Nk) 91 { 92 w[i] = Word(key[4 * i], key[4 * i + 1], key[4 * i + 2], key[4 * i + 3]); 93 ++i; 94 } 95 96 i = Nk; 97 98 while (i < 4 * (Nr + 1)) 99 { 100 temp = w[i - 1]; // 记录前一个word 101 if (i % Nk == 0) 102 w[i] = w[i - Nk] ^ SubWord(RotWord(temp)) ^ Rcon[i / Nk - 1]; 103 else 104 w[i] = w[i - Nk] ^ temp; 105 ++i; 106 } 107 } 108 109 int main() 110 { 111 byte key[16] = { 0x2b, 0x7e, 0x15, 0x16, 112 0x28, 0xae, 0xd2, 0xa6, 113 0xab, 0xf7, 0x15, 0x88, 114 0x09, 0xcf, 0x4f, 0x3c }; 115 116 word w[4 * (Nr + 1)]; 117 118 cout << "KEY IS: "; 119 for (int i = 0; i<16; ++i) 120 cout << hex << key[i].to_ulong() << " "; 121 cout << endl; 122 123 KeyExpansion(key, w); 124 // 测试 125 for (int i = 0; i<4 * (Nr + 1); ++i) 126 cout << "w[" << dec << i << "] = " << hex << w[i].to_ulong() << endl; 127 128 return 0; 129 }
测试输出结果:
2)加密
根据 AES 加密的整体流程图(本文开头),伪代码如下:
从伪代码描述中可以看出,AES 加密时涉及到的子程序有SubBytes()
、ShiftRows()
、MixColumns()
和AddRoundKey()
。下面我们一个一个进行介绍:
① S盒变换-SubBytes()
在密钥扩展部分已经讲过了,S盒是一个 16 行 16 列的表,表中每个元素都是一个字节。S盒变换很简单:函数SubBytes()
接受一个 4x4 的字节矩阵作为输入,对其中的每个字节,前四位组成十六进制数 x 作为行号,后四位组成的十六进制数 y 作为列号,查找表中对应的值替换原来位置上的字节。
② 行变换-ShiftRows()
行变换也很简单,它仅仅是将矩阵的每一行以字节为单位循环移位:第一行不变,第二行左移一位,第三行左移两位,第四行左移三位。如下图所示:
③ 列变换-MixColumns()
函数MixColumns()
同样接受一个 4x4 的字节矩阵作为输入,并对矩阵进行逐列变换,变换方式如下:
注意公式中用到的乘法是伽罗华域(GF,有限域)上的乘法,高级加密标准文档 fips-197 上有讲,如果还是不懂,请自行Google。
④ 与扩展密钥的异或-AddRoundKey()
扩展密钥只参与了这一步。根据当前加密的轮数,用w[]
中的 4 个扩展密钥与矩阵的 4 个列进行按位异或。如下图:
好了,到这里 AES 加密的各个部分就讲完了。算法实现的 C++ 源码在文章后面第三部分。
3)解密
根据 AES 解密的整体流程图(本文开头),伪代码如下