第六講 高级加密标准（AES）.pptVIP

第六讲 高级加密标准(AES) 1997年1月2日，美国国家标准与技术研究所(NIST)宣布启动设计新的对称分组加密算法作为新一代加密标准替代DES。新的加密标准将被命名为高级加密标准(AES)。不同于暗箱设计过程的DES，AES的设计方案于1997年9月12日向全世界公开征集。 AES需要满足下列要求 (1) 必须详细和公开说明对称加密算法的设计原理。 (2) 算法必须支持最小128比特的消息分组，密钥长度可以为128，192，256比特，而安全强度至少达到三重DES但效率应该高于三重DES。 (3) 算法适合于在各种硬件设备上执行。 (4) 如果算法被选中，不应该存在专利问题并可以在世界范围内使用。 1998年8月20日，NIST公布了15个AES侯选算法，这些算法由遍步世界的密码团体的成员提交。公众对这15个算法的评论被当作初始评论(公众的初始评论也被称为第一轮)。第一轮于1999年4月15日截止。根据收到的分析和评论，NIST从15个算法中选出5个算法。 5个参加决赛的AES侯选算法是MARS(来自IBM)，RC6(来自RSA Laboratories)， Rijndael(来自Joan Daemen和Vincent Rijmen)，Serpent(来自Ross Anderson， Eli Biham，和Lars Knudsen)，和Twofish(来自Bruce Schneier，John Kelsey，Doug Whiting，David Wagner，Chris Hall，和Niels Ferguson)。这些参加决赛的算法在又一次更深入的评论期(第二轮)得到进一步的分析。 在第二轮中，要征询对候选算法的各方面的评论和分析，这些方面包括但不限于下面的内容：密码分析、知识产权、所有AES决赛候选算法的剖析、综合评价以及有关实现问题。在2000年5月15日第二轮公众分析结束后，NIST汇集和研究了所有得到的信息，为最终选择提供依据。2000年10月2日，NIST宣布它选中了 Rijndael作为AES。 本讲提要 有限域GF(pn)的知识 基本算法 层 解密 设计思考 执行考虑 AES的积极意义 加密模式 消息认证码(MAC) 1 有限域GF(pn)的知识 1.1 建立有限域 GF(pn) 1.2 关于除法 1.3 GF(28) 2 基本算法 为使论述简单，我们以使用128比特密钥加密128比特消息为例说明，并且先对算法的整体架构予以说明。算法由10轮组成。每一轮使用一个由原始密钥产生的密钥。第0轮使用原始的128比特密钥。每一轮都是128比特输入128比特输出。 每一轮由四个基本步骤称为层(layers)组成： (1) 字节转换(The ByteSub Transformation)： 这是一个非线性层主要用于防止差分和线性分析攻击。 (2) 移动行变换(The ShiftRow Transformation)：这是一个线性层，可以导致多轮之间各个比特位间的扩散。 (3) 混合列变换(The MixColumn Transformation)： 这一层的目的与移动行变换相同。 (4) 轮密钥加密变换(AddRoundKey)：轮密钥与上一层的结果进行异或操作。 一轮的过程 Rijndael加密 (1) 使用第0轮密钥执行ARK操作。 (2) 依次使用第1轮到9轮密钥按顺序执行BS， SR， MC，和ARK操作。 (3) 使用第10轮密钥按顺序执行BS， SR，和ARK操作。 # 注意最后一轮忽略了混合列变换(MC)层。 3 层 3.1字节转换 3.1字节转换 (续) 3.2 移动行变换 3.3混合列变换 3.4 轮密钥加密变换 3.5 轮密钥产生方法 3.6 S-盒原理 3.6 S-盒原理(续) 4 解密 字节转换、移动行变换、混合列变换、轮密钥加密变换都存在相应的逆变换： (1) 字节转换的逆变换可以通过查另一个表来完成，我们称之为逆字节转换(IBS)。 (2) 移动行变换的逆变换可以通过字节右移来实现，我们称之为逆移动行变换(ISR)。 (3) 逆混合列变换 (IMC) 通过乘上另一个矩阵 实现。 (4) 轮密钥加密变换实际上是自身的逆。 Rijndael 解密 (1) 使用第10轮密钥执行ARK操作。 (2) 依次使用第9轮到1轮密钥按顺序执行IBS，ISR， IMC，和IARK操作。 (3) 使用第0轮密钥按顺序执行IBS， ISR，和ARK操作。 # 为了保持结构的一致性，在最后一轮加密中忽