分組密碼（四）AES演算法① — 密碼學複習（七）

  介紹完S-PN型結構之後，下面介紹AES演算法。由於內容比較多所以將其分為兩篇來介紹，本篇主要講AES的歷史時間節點、產生背景、與DES的對比、演算法框圖（粗略）以及一些數學基礎。

  7.1 AES的歷史時間節點及產生背景

  7.1.1 AES的歷史時間節點

  1997年，美國政府(NIST)向社會公開徵集高階資料加密標準(AES):

    第一輪：1998年8月20日從應徵的21個演算法中選出15個演算法。

    第二輪：1999年8月又選中其中5個演算法。

    第三輪：2000年10月2日再選出1個演算法。

  2001年11月26日，NIST接受其為標準。

  7.1.2 AES的產生背景

  ① 1984年12月，里根總統下令由國家安全域性(NSA)研製新密碼標準，以取代DES.

  ② 1991年新密碼開始試用並徵求意見。但其有如下特點：

    ·不公開演算法，只提供晶片；

    ·新密碼設計成雙刃劍，它是安全的。但通過法律允許可破譯監聽；

    ·民眾要求公開演算法，並去掉法律監督。

  ③ 1994年，頒佈新密碼標準EES.

  ④ 1995年5月，貝爾實驗室博士生M.Blaze在PC機上用45分鐘攻擊法律監督欄位獲得成功。

  ⑤ 1995年7月，美國政府放棄用EES加密資料。

  ⑥ 1997年，美國政府向社會公開徵集AES.

  ⑦ 從DES到AES反映了美國商用密碼政策的變化。

    公開徵集DES（成功）  ->  祕密設計EES（不成功）  ->  公開徵集AES（成功）

  這說明：① 商用密碼應當堅持公開設計、公佈演算法的政策，這是商用密碼的客觀規律。

       ② 群眾的力量是偉大的。

  7.1.3 AES的設計要求

  ① 安全性：可以抵抗目前所有的已知攻擊。

  ② 實用性：適應各種應用環境，加解密速度快。

  ③ 擴充套件性：分組長度和金鑰長度可擴充套件，可以適應社會對保密性不斷提高的需求。

 

  7.2 AES與DES的對比

  在講述具體的演算法之前，讓我們來看一下AES和DES的對比。

 

 

  7.3 AES演算法框圖

  接下來讓我們看一下AES演算法的框圖，可以看到AES演算法中也有S盒，但要注意這裡的S盒和DES演算法中的S盒並不一樣，具體內容將在後面詳細闡述。

 

  7.4 數學基礎

  由於AES中涉及到一些計算需要一些簡單的數學基礎，下面將對其進行簡單講解。

  7.4.1 AES的基礎域是有限域GF(2⁸)

• 一個位元組的全體256種取值構成一個GF(2⁸)
• 一個GF(2)上的8次既約多項式可以生成一個GF(2⁸)
• GF(2⁸)的全體元素構成加法交換群
• GF(2⁸)的非零元素構成乘法交換群 （這意味著有生成元）
• GF(2⁸)中的元素有多種表示：

位元組：GF(2⁸)={(a₇,a₆,a₅,...,a₁,a₀)|a_i∈GF(2)}

多項式形式：GF(2⁸)={a₇x⁷+a₆x⁶+a₅x⁵+...+a₁x+a₀|a_i∈GF(2)}

指數形式：GF(2⁸)^*={α⁰,α¹,...,α²⁵⁴},α是一個本原元。（去掉零元素是乘法迴圈群，其餘元素都可以用生成元來表示）

對數形式：GF(2⁸)^*={0,1,2,...,254}

• GF(2⁸)的特徵為2. 

  7.4.2 AES的GF(2⁸)表示

  AES採用GF(2)上既約多項式m(x)生成GF(2⁸)：

m(x)=x⁸+x⁴+x³+x+1

• GF(2⁸)的元素採用GF(2)上的多項式表示：

  位元組B=b₇b₆b₅b₄b₃b₂b₁b₀可表示成GF(2)上的多項式：b₇x⁷+b₆x⁶+b₅x⁵+b₄x⁴+b₃x³+b₂x²+b₁x+b₀.

  例：57 = 0101 0111 多項式表示為：x⁶+x⁴+x²+x+1.

• 加法：兩個元素多項式的係數按位模2加

  例：57 + 83 = D4

    （x⁶+x⁴+x²+x+1）+（x⁷+x+1） = x⁷+x⁶+x⁴+x²

    而x⁷+x⁶+x⁴+x²對應1101 0100，即D4.

• 乘法：兩個元素多項式相乘，模m(x)

  例：57 × 83 = C1

    （x⁶+x⁴+x²+x+1）×（x⁷+x+1） = x¹³+x⁷+x⁶+x¹¹+x⁵+x⁴+x⁹+x³+x²+x⁸+x²+x+x⁷+x+1

                       = x¹³+x¹¹+x⁹+x⁸+x⁶+x⁵+x⁴+x³+1

                       = x⁷+x⁶+1    mod x⁸+x⁴+x³+x+1

• 乘法單位元：位元組01 多項式表示為：1
• 乘法逆元

    設a(x)的逆元為b(x)，則a(x)b(x)=1 mod m(x)

    可根據Euclid演算法可求出b(x).

• x乘法xtime：用x乘GF(2⁸)的元素

  例：xtime(57) = x (x⁶+x⁴+x²+x+1) = x⁷+x⁵+x³+x²+x

    xtime(83) = x（x⁷+x+1）= x⁸+x²+x mod m(x) = x⁷+x⁴+x³+1

  若x⁷的係數為0，則為簡單相乘，係數左移；若x⁷的係數為1，則乘後取模m(x)，即乘後減去x⁸+x⁴+x³+x+1.

• 多項式求逆

  下面通過一個例子來說明多項式求逆的方法：

  在求解後還可以將兩者相乘看結果是否mod m(x)與1同餘，如果是則所求結果正確。這個寫法是參考：手動推導計算AES中的s盒的輸出。

 

  7.4.3 AES的字表示與運算

• AES資料處理單位是位元組和字。

  一個字 = 4個位元組 = 32位元

  一個字可以表示為係數取自GF(2⁸)上的次數低於4次的多項式。

  例：字 57 83 4A D1 -> 57x³+83x²+4Ax+D1

• 字加法：兩多項式係數按位模2加（不進位）

  例：(57x³+83x²+4Ax+D1)+(Ax³+B3x²+EF)=5Dx³+30x²+4Ax+3F.

• 字乘法：設a和c是兩個字，a(x)和c(x)是其字多項式。AES定義a和c的乘積b為

b(x) = a(x)c(x)   mod x⁴+1

  設：a(x)=a₃x³+a₂x²+a₁x+a₀

    c(x)=c₃x³+c₂x²+c₁x+c₀

    b(x)=b₃x³+b₂x²+b₁x+b₀

  則 b(x) = a(x)c(x) mod x⁴+1為：

    b₀ = a₀c₀+a₃c₁+a₂c₂+a₁c₃

    b₁ = a₁c₀+a₀c₁+a₃c₂+a₂c₃

    b₂ = a₂c₀+a₁c₁+a₀c₂+a₃c₃

    b₃ = a₃c₀+a₂c₁+a₁c₂+a₀c₃

  寫成矩陣的形式：

  注意：①x⁴+1是可約多項式，字c(x)不一定有逆。

      ②但AES選擇的c(x)有逆，c(x)=03x³+01x²+01x+02.(0多1少，速度快)

      ③c(x)有逆的條件是(x⁴+1,c(x))=1

• 字的x乘法：設b(x)是一個字，p(x)=xb(x) mod x⁴+1

  寫成矩陣的形式：

  注意：因為模x⁴+1，字的x乘法相當於按位元組迴圈移位。

  7.4.4 AES的資料處理方式

  AES的資料處理方式有：按位元組處理、按字處理 和 按狀態處理。

  狀態：

• 加解密過程中的中間資料
• 以位元組為元素的矩陣或二維陣列
• 符號：Nb——明密文所含的字數；Nk——金鑰所含的字數；Nr——迭代輪數。

參考部落格：

[1] 手動推導計算AES中的s盒的輸出