信息安全密码学：AES算法

AES与DES一样都是迭代型分组密码算法，也是对称密码体制。事实上，AES的产生就是为了取代DES的。

$事实上，AES是高级加密标准，用到了Rijndael密码算法$

$分组长度：128bit（16byte）、192bit（24byte）、256bit（32byte）$
$密钥长度：128bit、192bit、256bit$
$迭代圈数：根据分组长度和密钥长度的不同组合，圈数也会有所不同$

$迭代圈数$	$N_b=128bit$	$N_b=192bit$	$N_b=256bit$
$N_k=128bit$	$10圈$	$12圈$	$14圈$
$N_k=192bit$	$12圈$	$12圈$	$14圈$
$N_k=256bit$	$14圈$	$14圈$	$14圈$

$$\begin{gathered} N_b：表示分组长度 \\ {N}_k：表示密钥长度 \end{gathered}$$

$AES的核心主要围绕着以下三个方面进行设计的：$

• 加密算法
• 密钥生成算法
• 脱密算法

$加密框图：(圈数由分组长度和密钥长度决定)$

加密算法（圈函数）

$R_r表示圈函数，除了最后一圈，其余各圈都包含：$

• 字节代替 （唯一的非线性变换，非线性层）
• 位移位 （线性混合层）
• 列混合 （线性混合层）
• $⨁K_i$ (与密钥进行模二加（异或）运算)

$字节代替变换（S盒）$

$表达式为：ByteSub(State)其中state表示一个矩阵$
$128bit为16个字节(用a_1、a_2、...、a_{16}表示)，对每个字节进行S盒变换$

$以矩阵\left[\begin{array}{cccc}{a}_1& a_2& a_3& a_4\\ a_5& a_6& a_7& a_8\\ a_9& a_{10}& a_{11}& a_{12}\\ a_{13}& a_{14}& a_{15}& a_{16}\end{array}\right]排列，按照一定规律进行变换$

$\left[\begin{array}{cccc}{a}_1& a_2& a_3& a_4\\ a_5& a_6& a_7& a_8\\ a_9& a_{10}& a_{11}& a_{12}\\ a_{13}& a_{14}& a_{15}& a_{16}\end{array}\right]⟹S盒变换⟹\left[\begin{array}{cccc}{a_1}^{{}^{\prime }}& {a_2}^{{}^{\prime }}& {a_3}^{{}^{\prime }}& {a_4}^{{}^{\prime }}\\ {a_5}^{{}^{\prime }}& {a_6}^{{}^{\prime }}& {a_7}^{{}^{\prime }}& {a_8}^{{}^{\prime }}\\ {a_9}^{{}^{\prime }}& {a_{10}}^{{}^{\prime }}& {a_{11}}^{{}^{\prime }}& {a_{12}}^{{}^{\prime }}\\ {a_{13}}^{{}^{\prime }}& {a_{14}}^{{}^{\prime }}& {a_{15}}^{{}^{\prime }}& {a_{16}}^{{}^{\prime }}\end{array}\right]$
$位置并没有发生改变$

S盒变换的底层细节（怎样由一个字节经过数学运算后得到变换后的字节）【一般可以通过查表找到对应的值】

$S盒变换就是由一个byte的数据(8位)转换为另一个byte的数据（8位）$

$$\begin{gathered} 这里提供一个算法，用来表示字节变换的过程， \\ 平时也可以直接通过以查表的方式找到变换后的字节。 \end{gathered}$$
$所以对这个变换过程没有太大兴趣的话，可以直接跳过这一个片段，也不会影响对后面内容的理解$

$S盒变换由两个变换复合而成:$

• 每一个字节的变换为它在 $有限域GF(2^8)$ 中的乘法逆元，规定“0”变换到其本身（$可逆$）
• 将以上得到的结果，经过二元域的一个仿射变换

$有限域（GF(2^8)）：$
$$\begin{gathered} 如01101001表示为： \\ 0\times x^7+1\times x^6+1\times x^5+0\times x^4+1\times x^3+0\times x^2+0\times x^1+1\times x^0 \end{gathered}$$
$加法：$
$例子：01010111⨁10000011=11010100$
$乘法：$
$$\begin{gathered} 两个字节相乘模二元域GF(2^8)上的8次不可约多项式m(x)，模m(x)的目的是确保其最终得到的值还是一个低于8次的多项式 \\ 一般地，将m(x)规定为固定的值：m(x)=x^8⨁x^4⨁x^3⨁x⨁1 \end{gathered}$$
$$\begin{gathered} 例子： \\ 01010111\times 10000011 \\ =(x^6⨁x^4⨁x^2⨁x⨁1)\times (x^7⨁x⨁1)modm(x) \\ =(x^{13}⨁x^{11}⨁x^9⨁x^8⨁x^5⨁x^4⨁x^3⨁1)modm(x) \\ =x^7⨁x^6⨁1 \\ =11000001 \end{gathered}$$

$求10011101的字节代替变换:$

• 求乘法逆元
• 作仿射变换

$解：$
$10011101\to x^7⨁x^3⨁x^2⨁1$
$求乘法逆元：利用欧几里德算法，得到$
$$\begin{gathered} (x^7⨁x^3⨁x^2⨁1{)}^{-1}=x \\ 即(10011101{)}^{-1}=00000010 \end{gathered}$$
$求仿射变换：$
$\left[\begin{array}{cccccccc}1& 1& 1& 1& 1& 0& 0& 0\\ 0& 1& 1& 1& 1& 1& 0& 0\\ 0& 0& 1& 1& 1& 1& 1& 0\\ 0& 0& 0& 1& 1& 1& 1& 1\\ 1& 0& 0& 0& 1& 1& 1& 1\\ 1& 1& 0& 0& 0& 1& 1& 1\\ 1& 1& 1& 0& 0& 0& 1& 1\\ 1& 1& 1& 1& 0& 0& 0& 1\end{array}\right]\times \left[\begin{array}{c}0\\ 1\\ 0\\ 0\\ 0\\ 0\\ 0\\ 0\end{array}\right]⨁\left[\begin{array}{c}0\\ 1\\ 1\\ 0\\ 0\\ 0\\ 1\\ 1\end{array}\right]=\left[\begin{array}{c}1\\ 0\\ 1\\ 1\\ 1\\ 0\\ 1\\ 0\end{array}\right]=01011101=5D$
$该等式中，红色的是上一步得到的乘法逆元，灰色的矩阵为固定的，蓝色的是最终要求的字节变换$

$亦或通过查表得到结果：$

$因为二级制10011101为16进制的8D，即，x轴为8，y轴为D。对应的数字正好为16进制的5D$

$行移位变换$

$表达式：ShiteRow(State)，State也是一个矩阵$
$将一个字节矩阵自上向下称0，1，2，3行$
$$\begin{gathered} 无论分组长度是多少128bit,192bit，还是256bit都分为了4行，只是三者每一行的元素不同， \\ 如128bit每一行有4个元素。 \\ 而192bit每一行有6个元素。 \\ 256bit每一行有8个元素。 \end{gathered}$$
$$\begin{gathered} 每一个元素是1个字节。 \\ 拿128bit的举例，4行4列是16个元素，16\times 8bit正好是128bit \end{gathered}$$

$每一种的的分组长度对应着属于他们自己偏移量。$

位移量	0行	1行	2行	3行
128bit	0	1	2	3
192bit	0	1	2	3
256bit	0	1	3	4

$如，拿128bit的分组长度进行举例。(其规律是将第i行左移i个字节)$
$\left[\begin{array}{cccc}{a}_0& a_4& a_8& a_{12}\\ a_1& a_5& a_9& a_{13}\\ a_2& a_6& a_{10}& a_{14}\\ a_3& a_7& a_{11}& a_{15}\end{array}\right]⟹\left[\begin{array}{cccc}{a}_0& a_4& a_8& a_{12}\\ a_5& a_9& a_{13}& a_1\\ a_{10}& a_{14}& a_2& a_6\\ a_{15}& a_3& a_7& a_{11}\end{array}\right]$
$变换的目的是使得原来同一列中的4个元组分散到不同列中$

$列混合变换$

$表达式：MixColumn(State)，State是一个矩阵$
$将矩阵\left[\begin{array}{cccc}{a}_0& a_4& a_8& a_{12}\\ a_1& a_5& a_9& a_{13}\\ a_2& a_6& a_{10}& a_{14}\\ a_3& a_7& a_{11}& a_{15}\end{array}\right]的每一列依次同矩阵C(X)=\left[\begin{array}{cccc}2& 3& 1& 1\\ 1& 2& 3& 1\\ 1& 1& 2& 3\\ 3& 1& 1& 2\end{array}\right]相乘得到的另一个矩阵\left[\begin{array}{cccc}{b}_0& b_4& b_8& b_{12}\\ b_1& b_5& b_9& b_{13}\\ b_2& b_6& b_{10}& b_{14}\\ b_3& b_7& b_{11}& b_{15}\end{array}\right]。$
即 $\left[\begin{array}{c}{b}_0\\ b_1\\ b_2\\ b_3\end{array}\right]=\left[\begin{array}{cccc}2& 3& 1& 1\\ 1& 2& 3& 1\\ 1& 1& 2& 3\\ 3& 1& 1& 2\end{array}\right]\times \left[\begin{array}{c}{a}_0\\ a_1\\ a_2\\ a_3\end{array}\right]$
$b_0=2\times a_0⨁3\times a_1⨁1\times a_2⨁1\times a_3$$（注意参与计算的数都是19进制的数，并进行异或操作）$
$其中矩阵中的各个元素都是16进制数$

$圈密钥加$

$表达式：AddRoundKey(State,RoundKey)，State和Round都是一个矩阵$
$$\begin{gathered} Roundkey是圈密钥，State是进行了之前运算后得到的矩阵。 \\ 圈密钥长度等于分组长度 \end{gathered}$$

$密钥字节矩阵与当前状态字节矩阵的对应字节进行亦或运算“⨁”$

$$\begin{gathered} \left[\begin{array}{cccc}{a}_0& a_4& a_8& a_{12}\\ a_1& a_5& a_9& a_{13}\\ a_2& a_6& a_{10}& a_{14}\\ a_3& a_7& a_{11}& a_{15}\end{array}\right]⨁\left[\begin{array}{cccc}{k}_0& k_4& k_8& k_{12}\\ k_1& k_5& k_9& k_{13}\\ k_2& k_6& k_{10}& k_{14}\\ k_3& k_7& k_{11}& k_{15}\end{array}\right]=\left[\begin{array}{cccc}{b}_0& b_4& b_8& b_{12}\\ b_1& b_5& b_9& b_{13}\\ b_2& b_6& b_{10}& b_{14}\\ b_3& b_7& b_{11}& b_{15}\end{array}\right] \\ k是密钥。 \end{gathered}$$

密钥生成算法

初始密钥长度分为128bit，192bit，256bit
密钥长度等于分组长度
$共需密钥总数=初始密钥长度\times (圈数+1)$
$$\begin{gathered} 如，对于128bit，对应着10圈（通过查找之前的表格得到）： \\ 需要的总密钥=128bit\times （10+1）=1408bit。 \end{gathered}$$
$所以对于需要进行10圈加密需要将128bit的初始密钥扩展为1408bit的密钥，为每一圈提供不同的圈密钥$

$用128bit密钥进行举例：$
$$\begin{gathered} AES-128，初始密钥为4个32位字节，圈数为10。则共需要4\times （10+1）=44个32位字的扩展密钥。因此我们需要将4个32bit的初始密钥扩展为44个32bit的扩展密钥 \\ {N}_k=初始密钥比特数/32，是原始密钥可产生的32位的个数。 \end{gathered}$$

初始密钥长度	128bit	192bit	256bit
$N_k$	4	6	8

$$表格中的4，6，8。单位是32bit，如4个32bit，6个32bit，8个32bit$$
$密钥生成有两个情况，一个（N_k=4或者N_k=6）;一个N_k=8。$

$第一种：N_k=4或者6：（128bit，192bit）$

$现在要将4个32bit扩展为44个32bit$

$128bit:N_0,N_1,N_2,N_3\to W_0,W_1,W_2,W_3,W_4,\dots \dots ,W_{42},W_{43}$
$192bit:N_0,N_1,N_2,N_3,N_4,N_5\to W_0,W_1,W_2,W_3,W_4,\dots \dots ,W_{42},W_{43}$
$其中前N_k个直接取自初始密钥，即，N_k=W_{k-1};后面的都取自于前一个递归生成。$

$$\begin{gathered} 对于W_{i-1}，观察i能否整除N_k(N_k的值要么为4要么为6) \\ 如果不能，则将W_{i-1}与W_{i-N_k}进行模二加运算，得到W_i。（其中W_{i-N_k}要么是W_{i-4}要么是W_{i-6}） \\ 如果能，先进行循环左移一个字节（8个bit），然后再进行字节代替，将得到的结果一个结果设为X \\ Rcon[i/N_k]⨁W_{i-N_k}的结果设为Y， \\ 计算X⨁Y，得到W_i。 \end{gathered}$$

$其中就产生了一个疑点：Rcon[i/N_k]是什么？$

$1.Rcon[i/N_k]是什么？$
分析以下这个式子，$Rcon[i/N_k]既然已经走了这个分支，说明i/N_k肯定是个整数，而且其值肯定是在1—10之间$
$一般地，Rcon[i/N_k]别设定为32bit的常数，Rcon[i/N_k]=【RC[J],00,00,00】(是16进制数)$

$J$	1	2	3	4	5	6	7	8	9	10
$RC[J]$	01	02	03	04	08	20	40	80	1B	36

$第二种：N_k=8：（256bit）$

$前N_k个（8个）W_0,W_1,W_2,W_3,\dots \dots ,W_7,W_8直接取自初始密钥，同第一种（N_k=4或6是的情况相似）$

• 如图所示

脱密算法

$$\begin{gathered} 加、脱密的过程具有等价结构，通过将加密过程中的变换用相应的逆变换代替， \\ 以及在密钥调度中作适当变化，即成为脱密过程。过程如图所示。 \end{gathered}$$

其中$C^{-1}(K_9)$是对 K₉ 进行列混合变换的逆变换，K₉ 到K₁都需要进行这一逆变换。

$逆字节代替变换（逆S盒）$

1. 先用GF(2)上的仿射变换
2. 再取GF(2⁸上的乘法逆)

亦或通过查表得出：

$逆行移位变换：参照行移位变换的规则，只是将向左移位，变为向右移位$

$逆列混合变换:同列混合一样乘一个固定的矩阵（1也是6进制）。$

$\left|\begin{array}{cccc}0e& 0b& 0d& 09\\ 09& 0e& 0b& 0d\\ 0d& 09& 0e& 0b\\ 0b& 0d& 09& 0e\end{array}\right|$

$圈密钥加：异或运算$
$-------------------------------------------$

加密与解密的一些其他性质

加密也解密进行比较：

对比这两张图发现，加密和解密圈函数内的3个函数步骤尽然相同，
这是由于以下两个特性决定的。

• 字节代替和行移位可交换(先进行什么运算对结果没有影响)

• 逆列混合变换和圈密钥加广义可交换

$以上即为AES的全部内容。谢谢大家！也请大家批评指正。$