密码学与网路安全第5章 高阶加密标准.ppt

密碼學與網路安全第5章 高階加密標準 AES的起源 DES應只用在舊系統，新系統應改用3DES，但3DES的軟體實作效能低落 為了要取代DES/3DES，NIST在1997年徵求新的AES計畫書，並要求新標準的安全強度要等同或強過3DES，而且也要大幅加強效能 NIST是在2001年11月完成整個評估，並且發表最終的標準（FIPS PUB 197） NIST最終選擇Rijndael作為AES演算法的建議規格 AES最終會取代3DES，但這個過程需要好幾年。在可預見的未來，NIST預期3DES仍會是美國政府公認的演算法標準 評選AES 安全性 實際的安全性：以相同長度的金鑰及區塊，和其他送交的演算法相互比較 隨機性：隨機重排輸入區塊而讓演算法的輸出無法辨識的程度 強固性：演算法安全性的數學基礎 其他安全因素：在評選過程公開接受挑戰，包括任何能證明演算法實際的安全性並無提交者所宣稱的攻擊 評選AES 成本 授權要求：讓全世界都能非獨佔、免權利金的使用AES所指定的演算法 計算效率：計算效率的評估結果將同時適用於硬體和軟體的實作 記憶體需求：評選過程也會考慮以硬體和軟體實作演算法所需要的記憶體 記憶體需求的考量因素包含硬體實作所需要的邏輯閘數量，以及軟體實作所需要的RAM 評選AES 演算法和實作特性 彈性：演算法越彈性，就越能符合更多人的需求，但有些極端的功能並不實用 硬體和軟體適用性：不應將演算法實作限制在硬體，如果可以有效的以韌體實作，就是演算法彈性的一大優點 簡易性：演算法應該以設計的簡易程度而評斷其優劣 AES加密法 - Rijndael 由比利時的 Rijmen-Daemen 所設計 金鑰長度 128/192/256 位元，區塊長度 128 位元 不採用菲仕托架構，而是在每回合以取代和重排來平行處理整個資料區塊 每回合的回合金鑰由4個不同的字組（128位元）組成 有4種不同的階段，其一是重排，其他則是取代 特性： 能抵抗所有已知的攻擊 能在各種平台上快速執行，且程式碼小巧緊湊 簡明易懂的設計 圖解AES的加密與解密過程 AES的資料結構 位元組的取代 位元組的正向取代方式稱為SubBytes 位元組的反向取代稱為InvSubBytes 稱為S-boxes的16 × 16 位元組矩陣，包含了所有8 位元數值（256個） 每個位元組最左邊的4 個位元所形成的數值，會當成列編號，而最右邊的4 個位元所形成的數值，則當成行編號 例如16進位數值{95}參照到S-boxes第9列、第5行的值{2A} 因此{95}就對映到{2A} 位元組的取代 列的移位 列的正向移位稱為ShiftRows 第1列並未改變 第2列的每個元素向左循環位移1個位元組 第3列向左循環位移2個位元組 第4列向左循環位移3個位元組 列的反向移位稱為InvShiftRows 讓後三列以反方向循環位移 也就是第2列向右循環位移l個位元 完整移位之後，一行裡的4位元組會分散到不同的四行 列的移位 行的混合 行的正向混合稱為MixColumns，是在每一行個別運作 每行裡的每個位元組會對映到新的數值，而此數值是行內所有4個位元組的函數 乘積矩陣是以質數多項式m(x) =x8+x4+x3+x+1 在GF(28)執行 行的混合 行的混合 行的反向混合稱為InvMixColumns，是以下列的矩陣乘法定義： 解密需使用反向矩陣 AES文件以其他方式描述MixColumns的特徵 定義MixColumns是考量狀態的每一行都是4個項目的多項式 其係數定義在 GF(28) 每一行都會乘以固定的多項式a(x)，再取 (x4+1) 的同餘 新增回合金鑰 新增回合金鑰的正向轉換稱為AddRoundKey AddRoundKey (state, w[round*4, round*4 +3]) 是將16位元組的state與16位元組(4字組)的回合金鑰中的每個對應位元進行XOR運算，並將運算結果重新放於state 狀態裡的128個位元會和回合金鑰的128個位元進行逐一位元的XOR運算 此運算能視為狀態裡某一行的4個位元組，和回合金鑰裡一個字元組的交互運算 也能視為位元組層級的運算 新增回合金鑰的反向轉換，與新增回合金鑰的正向轉換相同 因為XOR運算是其本身的反向運算 新增回合金鑰 AES的加密回合 AES的金鑰擴充 將128位元 (4字組) 金鑰擴充成 44/52/60 字組的陣列 金鑰擴充演算法的虛擬程式碼如下： AES的金鑰擴充 金鑰擴充的基本原理 設計的足以抵抗已知的攻擊 採用的特定規範 知道部分的加密金鑰或回合金鑰，也無法完全計算出其他的回合金鑰位元 可反向的轉換 在不同處理器皆能維持速度 藉由回合常數排除對稱性 將加密金鑰的差異擴散到回合金