现代密码学原理与应用 宋秀丽 第4章 新.pptVIP

在线教务辅导网： 更多课程配套课件资源请访问在线教务辅导网 * * * * * * * * * * * * * * * * * * * (3) 列混合(MixColumn) 列混合变换将State乘以一个固定的矩阵A，对State逐列进行变换，每一列中的每个字节被变换成一个新值，直到4列都变换完毕。 相乘后得到的乘积矩阵，其中每个元素均是一行和一列中所对应元素的乘积之和。这里的乘法和加法都是定义在有限域GF(28)上的。 Ｐage* 图 列混合运算示意图 【例4-15】设当前的State为 计算MixColumn (State) (4) 密钥加（AddRoundKey） 密钥加是将轮密钥Ki简单地与状态State进行逐比特异或。 【例4-16】列混合后的结果Ai-1与轮密钥Ki分别为 求轮密钥加后的结果Ci。 Ｐage* 图 密钥加运算示意图 3．密钥扩展算法 由密钥扩展算法将种子密钥扩展成为扩展密钥的计算过程如下 当种子密钥长度为128bit时，这里的Nk＝4，其中： temp=SubByte (RotByte (W[i-1])) Rcon[i] RotByte ( )表示循环左移一个字节，如W=(a0,a1,a2,a3)，则RotByte (W)= (a1,a2,a3,a0)； SubByte( )是S盒的字节代换； Rcon[i]为轮常数 【例4-17】在AES加密算法中，假定种子密钥K0长度为128bit，它的值为 K0= 06 07 08 09 0A 0B 0C 0D 0E 0F 00 01 02 03 04 05 计算第一轮的子密钥K1的值。 其中 W0 = 06 07 08 09 W1 = 0A 0B 0C 0D W2 = 0E 0F 00 01 W3 = 02 03 04 05 根据密钥扩展算法可计算出 W4 = SubByte (RotByte (W3)) ? Rcon[1] ? W0 = SubByte(03 04 05 02) ? Rcon[1] ?W0 = (7B F2 6B 77) ?(01 00 00 00) ? (06 07 08 09) = 7C F5 63 7E W5 = W1 ? W4 = (0A 0B 0C 0D) ? (7C F5 63 7E) = 76 FE 6F 73 W6 = W2 ? W5 = (0E 0F 00 01) ? (76 FE 6F 73) = 78 F1 6F 72 W7 = W3 ? W6 = (02 03 04 05) ? ( 78 F1 6F 72) = 7A F2 6B 77 AES算法的整个解密过程与加密过程类似，要依次完成：初始密钥加，Nr-1轮解密逆变换，最后一轮逆变换操作。 解密轮变换使用前面加密轮变换的逆变换函数，解密算法中的一轮与加密算法的一轮有类似的结构，依次进行逆字节代换，逆行移位，逆列混合和密钥加。 4.4.3 AES的解密过程 InvByteSub ( )是ByteSub ()的逆变换，通过查表4-12逆S盒来实现。 InvShifRow( )是ShifRow()的逆变换，对State的各行进行一定量的循环移位（Nb=4）。 ? 第0行不移位； ? 第1行循环右移1个字节； ? 第2行循环右移2个字节； ? 第3行循环右移3个字节。 InvMixColumn( )是MixColumn( )的逆变换，可由如下矩阵乘法定义 Ｐage* AES算法举例 设明文分组长度和密钥长度均为128比特，则Nb=Nk=4，Nr=10。已知用16进制表示的输入信息和种子密钥信息分别如下： B＝32 43 f6 ad 88 5a 30 8d 31 31 98 a2 e0 37 07 34 K＝2b 7e 15 16 28 ae d2 a6 ab f7 15 88 09 cf 4f 3c 1. 首先计算子密钥。 2. 求第一轮加密结果。 其它各轮的加密结果可以依照上述方法计算。经10轮加密，最后得到密文 1) 该算法对密钥的选择没有任何限制，还没有发现弱密钥和半弱密钥的存在。 2) 可抗击穷举密钥的攻击。因为AES的密钥长度可变，针对128/192/256bit的密钥，密钥量为2128/2192/2256，足以抵抗穷举搜索攻击。 3) 可抗击线性攻击，经4轮变换后，线性分析就无能为力了。 4) 可抗击差分攻击，经8轮变换后，差分攻击就无从着手了。 5) 目前尚未出现对完整Rijndael算法的成功攻击，只提出了几种针对简化算法的攻击方法，最有效攻击仍是密码设计者自己提出的