第3章高级加密标准.ppt

行移位变换分析 行移位就是将某个字节从一列移到另一列，其线性距离是4字节的倍数。 确保某列中的四字节被扩展到了4个不同的列。 列混淆Mix Column变换 代替操作，将状态的列看作有限域GF(28)上的4维向量并与有限域GF(28)上的一个固定可逆方阵A相乘。 列混淆的矩阵表示 MixColumns()（列混合）变换 S’0c S’1c S’2c S’3c S0c S1c S2c S3c 02 03 01 01 01 02 03 01 01 01 02 03 03 01 01 02 S’0c＝({02} ● S0c)⊕({03} ● S1c)⊕ S2c⊕S3c，但这个结果可能会超出一个字节的存储范围，所以实际上还要对结果进行处理。 列混淆计算举例 （｛02｝·｛87｝⊕｛03｝ ·｛6E｝ ⊕｛46｝ ⊕｛46｝=｛47｝ ｛02｝ ·｛87｝=（0000 1110） ⊕（0001 1011）=（0001 0101） ｛03｝ ·｛6E｝={6E} ⊕({02} ·{6E})=（0110 1110） ⊕（1101 1100）=（1011 0010） 列混淆Mix Column变换评价 矩阵系数的选择是基于码字间有最大距离的线性编码。 每列的所有字节中有良好的混淆性。 经过几轮列混淆变换和行移位变换后，所有的输出位均与所有的输入位相关。 轮密钥加（Add Round Key） 一个简单地按位异或的操作 轮密钥加（Add Round Key） 47 40 A3 4C 37 D4 70 9F 94 E4 3A 42 ED A5 A6 BC AC 19 28 57 77 FA D1 5C 66 DC 29 00 F3 21 41 6A EB 59 8B 1B 40 2E A1 C3 F2 38 13 42 1E 84 E7 D6 = AES的密钥调度 轮密钥是通过密钥调度算法从密钥中产生，包括两个组成部分：密钥扩展和轮密钥选取。 AES密钥扩展算法输入值是4个字（16字节），输出值是由44个字组成（176字节）的一维线性数组。 基本原理如下： 所有轮密钥比特的总数等于分组长度乘轮数加1个分组。（如128比特的分组长度和10轮迭代，共需要1408比特的密钥）。 将密码密钥扩展成一个扩展密钥。 轮密钥按下述方式从扩展密钥中选取：第一个轮密钥由开始4个字组成，第二个轮密钥由接下来的4个字组成，如此继续下去。 AES的密钥扩展算法 AES的密钥扩展算法的输入值是4字（128bit,16字节）密钥，输出44字（176字节），为10轮中的每一轮提供4字的轮密钥。 AES的密钥扩展算法2 输入密钥直接被复制到扩展密钥数组的前4个字，然后每次用4个字填充扩展密钥数组余下的部分。 在扩展密钥数组中，w[i]的值依赖于w[i-1]和w[i-4](即w[4]依赖于w[3]和w[0])。 对W数组中下标为4的倍数的元素，采用一个更复杂的g函数来计算。 AES的密钥扩展算法 函数g由下述子功能组成： （1）子循环的功能是使一个字中的4个字节循环左移一个字节，即将输入字[B0,B1,B2,B3]变成[B1,B2,B3,B0]。 （2）字替代利用S盒对输入字中的每个字节进行字节代替 （3）步骤1和步骤2的结果再与轮常量Rcon[j]相异或。 轮常量是一个字，这个字最右边三个字节总为0.因此字与Rcon相异或，其结果只是与该字最左的那个字节相异或。每轮的轮常量均不同，其定义为Rcon[j]=(RC[j]，0，0，0)，其中RC[1]=1,RC[j]=2*RC[j-1][乘法是定义在域GF[28]上的]。RC[j]的值按十六进制表示为： j 1 2 3 4 5 6 7 8 9 10 RC[j] 01 02 04 08 10 20 40 80 1B 36 Wi-4 Wi-3 Wi-2 Wi-1 Wi Byte Substituion Byte Rotate + Rcons + Key expansion 4 = i 4 ( Rnd + 1 ) i mod 4 = 0 i mod 4 != 0 密钥扩展的伪代码 密钥长度 128 例：假设第8轮的轮密钥为： EA D2 73 21 B5 8D BA D2 31 2B F5 60 7F 8D 29 2F 那么第9轮的轮密钥的前4个字节（第一列）能按如下的方式计算： i(十进制) Temp 字循环后 字代替后 Rcon(9) 与Rcon进行XOR后 36 7F8D292F 8D292F7F 5DA515D2