最近在逆向某APP,其关键字段在native进行了AES加密。由于AES种类繁多,且各个库有时候加密结果都不一样,一度不是很理解这个算法。趁着这个机会,对AES算法进行了详细的理解。
2000年10月,Nation Institute of Standards Technology宣布Rijndael算法当选AES(Advanced Encryption Standard,高级加密标准)。Rijndael算法支持可变分组长度以及可变密钥长度,其分组密码可以独立的设置为32bit的任意倍,最小128bit,最大256bit。AES算法将分组长度固定为128bit,仅支持128、192、256位的密钥长度。
我们将128bit长度的分组称为块,AES加密以块为单位进行加密,对于长度大于128bit的数据,先对其进行填充处理,使其长度符合128bit的倍数,填充方式有多种,包括ZeroPadding(末尾添加0x0)、PKCS7/PKCS5(缺少y位就填充0xy)等。本文以AES-128-ECB模式加密16字节数据为例进行说明。
AES加密主要步骤有:
秘钥扩展(KeyExpansion)
字节代换(SubBytes)
行位移(ShiftRows)
列混合(MixColumns)
轮秘钥加(AddRoundKey)
其加密步骤用伪代码可以表示为:
AES_128_ECB_Encrypt(byte in[4*Nb], byte out[4*Nb], byte key[16]){
dword dw = keyExpansion(key[16]);
//AES的所有操作都是在state数组上进行的,在本章中是一个4*4的二维数组
byte state[4,Nb];
state = in;
AddRoundKey(state, dw[0, Nb - 1]);
//10次轮函数,每次包括字节代换,行位移,列混合、轮密钥加,特别需要注意的最后一轮不需要列混合
for(int i = 0; i < 10; i++){
SubBytes(state);
ShiftRows(state);
MixColumns(state);
AddRoundKey(state, dw[i * Nb, (i + 1) * Nb - 1]);
}
SubBytes(state);
ShiftRows(state);
AddRoundKey(state, dw[10 * Nb, (10 + 1) * Nb - 1]);
out = state
}
接下来对这几个主要的步骤进行说明:
1.字节代换SubBytes
取状态数组中每个字节元素的高4位作为行标,低四位作为列标,从S盒中取出相应的元素即为一次字节代换
const uint8_t Sbox[256] = {
0x63, 0x7c, 0x77, 0x7b, 0xf2, 0x6b, 0x6f, 0xc5, 0x30, 0x01, 0x67, 0x2b, 0xfe, 0xd7, 0xab, 0x76,
0xca, 0x82, 0xc9, 0x7d, 0xfa, 0x59, 0x47, 0xf0, 0xad, 0xd4, 0xa2, 0xaf, 0x9c, 0xa4, 0x72, 0xc0,
0xb7, 0xfd, 0x93, 0x26, 0x36, 0x3f, 0xf7, 0xcc, 0x34, 0xa5, 0xe5, 0xf1, 0x71, 0xd8, 0x31, 0x15,
0x04, 0xc7, 0x23, 0xc3, 0x18, 0x96, 0x05, 0x9a, 0x07, 0x12, 0x80, 0xe2, 0xeb, 0x27, 0xb2, 0x75,
0x09, 0x83, 0x2c, 0x1a, 0x1b, 0x6e, 0x5a, 0xa0, 0x52, 0x3b, 0xd6, 0xb3, 0x29, 0xe3, 0x2f, 0x84,
0x53, 0xd1, 0x00, 0xed, 0x20, 0xfc, 0xb1, 0x5b, 0x6a, 0xcb, 0xbe, 0x39, 0x4a, 0x4c, 0x58, 0xcf,
0xd0, 0xef, 0xaa, 0xfb, 0x43, 0x4d, 0x33, 0x85, 0x45, 0xf9, 0x02, 0x7f, 0x50, 0x3c, 0x9f, 0xa8,
0x51, 0xa3, 0x40, 0x8f, 0x92, 0x9d, 0x38, 0xf5, 0xbc, 0xb6, 0xda, 0x21, 0x10, 0xff, 0xf3, 0xd2,
0xcd, 0x0c, 0x13, 0xec, 0x5f, 0x97, 0x44, 0x17, 0xc4, 0xa7, 0x7e, 0x3d, 0x64, 0x5d, 0x19, 0x73,
0x60, 0x81, 0x4f, 0xdc, 0x22, 0x2a, 0x90, 0x88, 0x46, 0xee, 0xb8, 0x14, 0xde, 0x5e, 0x0b, 0xdb,
0xe0, 0x32, 0x3a, 0x0a, 0x49, 0x06, 0x24, 0x5c, 0xc2, 0xd3, 0xac, 0x62, 0x91, 0x95, 0xe4, 0x79,
0xe7, 0xc8, 0x37, 0x6d, 0x8d, 0xd5, 0x4e, 0xa9, 0x6c, 0x56, 0xf4, 0xea, 0x65, 0x7a, 0xae, 0x08,
0xba, 0x78, 0x25, 0x2e, 0x1c, 0xa6, 0xb4, 0xc6, 0xe8, 0xdd, 0x74, 0x1f, 0x4b, 0xbd, 0x8b, 0x8a,
0x70, 0x3e, 0xb5, 0x66, 0x48, 0x03, 0xf6, 0x0e, 0x61, 0x35, 0x57, 0xb9, 0x86, 0xc1, 0x1d, 0x9e,
0xe1, 0xf8, 0x98, 0x11, 0x69, 0xd9, 0x8e, 0x94, 0x9b, 0x1e, 0x87, 0xe9, 0xce, 0x55, 0x28, 0xdf,
0x8c, 0xa1, 0x89, 0x0d, 0xbf, 0xe6, 0x42, 0x68, 0x41, 0x99, 0x2d, 0x0f, 0xb0, 0x54, 0xbb, 0x16
};
void subByte(uint8_t *t) {
uint8_t tmp1 = (*t >> 4) * 16;
uint8_t tmp2 = (*t & 0x0f);
*t = Sbox[(int)(tmp2 + tmp1)];
}
2.行位移ShiftRows
行位移是一个左循环移位。当密钥长度为128比特时,状态矩阵的第0行左移0字节,第1行左移1字节,第2行左移2字节,第3行左移3字节。
void RotWord(uint32_t *t, int count) {
uint8_t temp;
for (int i = 0; i < count; i++) {
temp = (*t >> 24) & 0xff;
*t <<= 8;
*t |= temp;
}
}
void shiftRow(uint32_t t[4]) {
for(int i = 0; i < 4; i++) {
RotWord(&t[i], i);
}
}
3.列混合MixColumns
列混合是通过矩阵相乘来实现的,经行位移后的状态矩阵与固定的矩阵相乘,得到混淆后的状态矩阵。
该项理解起来可能稍难,我们需要先复习,哦预习一下相关数学知识。偷一下懒,借用一下别人的文章。
具体怎么计算?看如下代码:
const uint32_t mcBox[4] = {
0x02030101, 0x01020301, 0x01010203, 0x03010102
};
//列混合计算
void mixColumns(uint32_t t[4]) {
turn(t, t);
uint32_t temp[4];
memcpy(temp, t, sizeof(uint32_t) * 4);
for(int i = 0; i < 4; i++) {
for(int j = 0; j < 4; j++) {
t[i] &= ~(0xff000000 >> (j * 8));
t[i] |= ((uint32_t)(GFmulWord(mcBox[i], temp[j])) << ((3 - j) * 8));
}
}
}
//相乘
uint8_t GFmulWord(uint32_t f1, uint32_t f2) {
uint8_t t = 0x00;
for(int i = 0; i < 4; i++) {
t ^= GFmul((f1 >> (i * 8)) & 0xff, (f2 >> (i * 8)) & 0xff);
}
return t;
}
uint8_t GFmul(uint8_t f1, uint8_t f2) {
if(f1 == 0) {
return 0;
}
if(f1 == 0x01) {
return f2;
}
uint8_t mask = 0x80;
uint8_t r = 0x00;
uint8_t temp = f2;
for(int i = 0; i < 7; i++) {
if((f1 & (mask >> i)) != 0) {
for(int j = 0; j < (7 - i); j++) {
if((temp & 0x80) != 0) {
temp = (temp << 1) ^ 0x1b;
}
else {
temp = temp << 1;
}
}
r = r ^ temp;
temp = f2;
}
}
if((f1 & 0x01) != 0) {
r = r ^ f2;
}
return r;
}
4.轮密钥加AddRoundKey
轮秘钥加是将数据与相应的秘钥逐位进行异或操作,代码也很简单
void addRoundKey(uint32_t *t1, uint32_t *t2, int t3) {
for (int i= 0; i < t3; i++) {
t1[i] ^= t2[i];
}
}
5.密钥扩展KeyExpansion
以4字节为一个字,roundKeys前4个字为输入的密钥,后续的生成规则如下:
roundKey[i] = i % 4 == 0 ? roundKey[i - 4] ⨁ T(roundKey[i - 1]) : roundKey[i - 4] ⨁ roundKey[i - 1]
T函数主要有三个部分构成:循环左移一个字节→S盒字节代换→轮常量异或
具体实现看代码:
const uint32_t Rcon[10] = {
0x01000000, 0x02000000, 0x04000000, 0x08000000, 0x10000000,
0x20000000, 0x40000000, 0x80000000, 0x1b000000, 0x36000000
};
void geneRoundKeys(uint32_t key[4], uint32_t roundKeys[NK * (ROUND + 1)]) {
uint32_t temp;
memcpy(roundKeys, key, sizeof(uint32_t) * 4);
for (int i = 4; i < NK * (ROUND + 1); i++) {
temp = roundKeys[i - 1];
if(i % NK == 0) {
RotWord(&temp, 1);//循环位移
subWord(&temp);//字节代换
temp ^= Rcon[i / 4 - 1];//与常量表异或
}
roundKeys[i] = roundKeys[i - NK] ^ temp;
}
}
后记
之所以想对AES的加密原理进行分析,是因为逆向经常遇到AES加密,但是总是套用别人的代码,由于AES模式繁多,加上密钥向量什么的,自己也不懂AES加密解密,导致有时候很小的一个问题自己也没办法改一改。这次趁着兴趣正浓,从网上查阅了大量的资料,看了各个大神详细的分析版本,也阅读了很多大神的代码,对很多函数有了深入的了解,接下来自己会尝试写一套AES加密解密的源码进行更深入的了解。
这几天参考了大量的文献,对这些作者的无私奉献表示感谢:
1.https://blog.csdn.net/qq_28205153/article/details/55798628
很详细很全面的一篇AES介绍文章,很多书上不太理解的地方看了这篇文章之后恍然大悟
2.https://blog.csdn.net/shaosunrise/article/details/80219950
3.https://github.com/XUANLANcognition/aes-cpp
......