级加密标准（AES）.ppt

第九讲 高级加密标准(AES) 1997年1月2日，美国国家标准与技术研究所(NIST)宣布启动设计新的对称分组加密算法作为新一代加密标准替代DES。新的加密标准将被命名为高级加密标准(AES)。不同于暗箱设计过程的DES，AES的设计方案于1997年9月12日向全世界公开征集。 AES需要满足下列要求 (1) 必须详细和公开说明对称加密算法的设计原理。 (2) 算法必须支持最小128比特的消息分组，密钥长度可以为128，192，256比特，而安全强度至少达到三重DES但效率应该高于三重DES。 (3) 算法适合于在各种硬件设备上执行。 (4) 如果算法被选中，不应该存在专利问题并可以在世界范围内使用。 1998年8月20日，NIST公布了15个AES侯选算法，这些算法由遍步世界的密码团体的成员提交。公众对这15个算法的评论被当作初始评论(公众的初始评论也被称为第一轮)。第一轮于1999年4月15日截止。根据收到的分析和评论，NIST从15个算法中选出5个算法。 5个参加决赛的AES侯选算法是MARS(来自IBM)，RC6(来自RSA Laboratories)， Rijndael(来自Joan Daemen和Vincent Rijmen)，Serpent(来自Ross Anderson， Eli Biham，和Lars Knudsen)，和Twofish(来自Bruce Schneier，John Kelsey，Doug Whiting，David Wagner，Chris Hall，和Niels Ferguson)。这些参加决赛的算法在又一次更深入的评论期(第二轮)得到进一步的分析。 在第二轮中，要征询对候选算法的各方面的评论和分析，这些方面包括但不限于下面的内容：密码分析、知识产权、所有AES决赛候选算法的剖析、综合评价以及有关实现问题。在2000年5月15日第二轮公众分析结束后，NIST汇集和研究了所有得到的信息，为最终选择提供依据。2000年10月2日，NIST宣布它选中了 Rijndael作为AES。 本讲提要 有限域GF(pn)的知识 基本算法 层 解密 设计思考 执行考虑 AES的积极意义 加密模式 1 有限域GF(pn)的知识 1.1 建立有限域 GF(pn) 1.2 关于除法 1.3 GF(28) 2 基本算法 为使论述简单，我们以使用128比特密钥加密128比特消息为例说明，并且先对算法的整体架构予以说明。算法由10轮组成。每一轮使用一个由原始密钥产生的密钥。第0轮使用原始的128比特密钥。每一轮都是128比特输入128比特输出。 每一轮由四个基本步骤称为层(layers)组成： (1) 字节转换(The ByteSub Transformation)： 这是一个非线性层主要用于防止差分和线性分析攻击。 (2) 移动行变换(The ShiftRow Transformation)：这是一个线性层，可以导致多轮之间各个比特位间的扩散。 (3) 混合列变换(The MixColumn Transformation)：这一层的目的与移动行变换相同。 (4) 轮密钥加密变换(AddRoundKey)：轮密钥与上一层的结果进行异或操作。 一轮的过程 3 层 3.1字节转换 3.1字节转换 (续) 3.2 移动行变换 3.3混合列变换 3.4 轮密钥加密变换 3.5 轮密钥产生方法 3.6 S-盒原理 3.6 S-盒原理(续) 4 解密 字节转换、移动行变换、混合列变换、轮密钥加密变换都存在相应的逆变换： (1) 字节转换的逆变换可以通过查另一个表来完成，我们称之为逆字节转换(IBS)。 (2) 移动行变换的逆变换可以通过字节右移来实现，我们称之为逆移动行变换(ISR)。 (3) 逆混合列变换 (IMC) 通过乘上另一个矩阵 实现。 (4) 轮密钥加密变换实际上是自身的逆。 5 设计思考 (1) 由于加密和解密过程不一致，相比DES(全1密钥，加密两次恢复为本身)，相信AES不存在任何弱密钥。 (2) 不同于Feistel系统，AES对输入所有比特的处理相同。这使得输入的扩展速度很快。实践表明两轮计算就能得到充分扩展，也就是说，所有的128比特输出完全依赖于所有128比特输入。 (3) AES的S-盒的建立有明晰而简单的代数意义，这样可以避免任何建立在算法上的陷门，较好避免存在于DES的S-盒上的神秘色彩。AES的S-盒具有良好的非线性特性，它可以很