现代密码学第四讲分组密码3ppt课件

分组密码 （三） 现代密码学 第四讲 Date 1北邮现代密码学 上讲内容回顾 n DES算法的整体结构 Feistel结构 n DES算法的轮函数 n DES算法的密钥编排算法 n DES的解密变换 Date 2北邮现代密码学 本节主要内容 n AES算法的整体结构 n AES算法的轮函数 n AES算法的密钥编排算法 n AES的解密变换 n DES的扩散和 AES的扩散 Date 3北邮现代密码学 AES算法的整体结构 n Rijndael 由比利时的 Joan Daemen和 Vincent Rijmen设计，算法的原型是 Square算法，经过修 改后确定为高级数据加密标准 AES. n 典型的 SPN结构 n 有较好的数学理论作为基础；结构简单、速度快 Key Length (Nk words) Block Size (Nb words) Number of Rounds (Nr) AES-128 4 4 10 AES-192 6 4 12 AES-256 8 4 14 Date 4北邮现代密码学 AES算法的整体结构 Date 5北邮现代密码学 AES算法的轮函数 Rijndael的轮函数由 4 个变换组成，依次为 ： 1）字节代换（ SubByte ） 2）行移位（ ShiftRow） 3）列混合（ MixColumn ） 4）密钥加（ AddRoundKey） Date 6北邮现代密码学 1) 字节代换（ ByteSub） 字节代换是非线形变换，独立地对状态 的每个字节进行，代换表（即 S-盒）是可逆 的 . AES算法的轮函数 Date 7北邮现代密码学 AES算法的轮函数 Date 8北邮现代密码学 AES算法的轮函数 例：字节代换 (128比特分组 ) Date 9北邮现代密码学 AES算法的轮函数 上述 S-盒由以下两个变换的合成得到： 约化多项式： m(x)=x8+x4+x3+x+1 首先，将字节看作 GF(28)上的元素 : b7b6b5b4b3b2b1b0 | b(x)， b(x)=b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+ b0 然后，映射到自己的乘法逆元， 00映射到 00 . b(x) | b(x)-1 最后，对字节做如下的（ GF(2)上的，可逆的） 仿射变换： Date 10北邮现代密码学 AES算法的轮函数 Date 11北邮现代密码学 2) 行移位（ ShiftRow） 行移位是将状态阵列的各行进行循环移 位，不同状态行的位移量不同： 第 0行不移动， 第 1行循环左移 C1个字节， 第 2行循环左移 C2个字节， 第 3行循环左移 C3个字节。 位移量 C1、 C2、 C3的取值与 Nb有关，由下 表给出： AES算法的轮函数 Date 12北邮现代密码学 例：当 Nb=4时，具体的操作如下： AES算法的轮函数 Date 13北邮现代密码学 3）列混合（ MixColumn） 列混合变换中，将状态阵列的每列视为 GF(28)4)上的多项式，再与一个固定的多项 式 c(x)进行模 x4+1乘法 . Rijndael的设计者给 出的 c(x)为（系数用十六进制数表示）： c(x)=03x3+01x2+01x+02 AES算法的轮函数 Date 14北邮现代密码学 列混合运算示意图 AES算法的轮函数 Date 15北邮现代密码学 列混合运算也可写为矩阵乘法 . 设 b(x)= c(x) a(x)， 则 AES算法的轮函数 Date 16北邮现代密码学 AES算法的轮函数 Date 17北邮现代密码学 AES算法的轮函数 GF(28)的多项式乘法，约化多项式为 m(x)=x8+x4+x3+x+1 例： 57x乘以 83x (x6+x4+x2+x+1) (x7+x+1) = (x13+x11+x9+x8+x7) (x7+x5+x3+x2+x) (x6+x4+x2+x+1) = x13+x11+x9+x8+x6+x5+x4+x3+1 =x7+x6+1 mod m(x) Date 18北邮现代密码学 AES算法的轮函数 课堂练习：列混合运算 (128比特分组 ) Date 19北邮现代密码学 4) 密钥加（ AddRoundKey） 密钥加是将轮密钥简单地与状态进行逐 比特异或 . 轮密钥由种子密钥通过密钥编排 算法得到，轮密钥长度等于分组长度 Nb. AES算法的轮函数 Date 20北邮现代密码学 注 . 结尾轮的轮函数与前面各轮不同 , 将 MixColumn这一步去掉 . AES算法的轮函数 Date 21北邮现代密码学 密钥编排指从种子密钥得到轮密钥的过程 ， AES的密钥编排由密钥扩展和轮密钥选取 两部分组成，其基本原则如下： 1）轮密钥的总比特数等于轮数加 1再乘以分 组长度；如 128比特的明文经过 10轮的加密，则总 共需要（ 10+1） *128=1408比特的密钥 . 2）种子密钥被扩展成为扩展密钥； 3）轮密钥从扩展密钥中取，其中第 1轮轮密钥 取扩展密钥的前 Nb个字，第 2轮轮密钥取接下来的 Nb个字，依次类推 . AES算法的密钥编排算法 Date 22北邮现代密码学 1) 密钥扩展 扩展密钥是以 4字节字为元素的一维阵 列，表示为 WNb* (Nr+1)， 其中前 Nk个字 取为种子密钥，以后每个字按递归方式定义 . 扩展算法根据 Nk6和 Nk6有所不同。 AES算法的密钥编排算法 Date 23北邮现代密码学 当 Nk6 时，扩展算法如下 : KeyExpansion (byteKey4*Nk , WNb*(Nr+1) for (i =0; i 6时，扩展算法如下： KeyExpansion (byte Key4*Nk , WNb*(Nr+1) for (i=0; i Nk; i +) Wi=(Key4* i, Key4* i +1, Key4* i +2, Key4* i +3 ); for (i =Nk; i Nb*(Nr+1); i +) temp=Wi -1; if (i % Nk= =0) temp=SubByte (RotByte (temp)Rconi /Nk; else if (i % Nk=4) temp=SubByte (temp); Wi=Wi - Nk temp; AES算法的密钥编排算法 Date 26北邮现代密码学 Rconi/Nk 为轮常数，其值与 Nk无关，定 义为（字节用十六进制表示，同时理解为 GF(28)上的元素）： Rcon i=(RCi, 00, 00, 00) 其中 RCi 是 GF(28) 中值为 xi-1的元素 ，因此 RC1 =1(即 01) RC2 = x(即 02) RCi=xRCi-1= xi-1 AES算法的密钥编排算法 Date 27北邮现代密码学 2) 轮密钥选取 轮密钥 i（ 即第 i 个轮密钥）由轮密钥缓 冲字 WNb* i到 WNb*(i+1)给出 : AES算法的密钥编排算法 Nb=4及 Nk=4时的密钥扩展与轮密钥选取 Date 28北邮现代密码学 AES算法的密钥编排算法 Nb=4及 Nk=6时的密钥扩展与轮密钥选取 Nb=4及 Nk=8时的密钥扩展与轮密钥选取 Date 29北邮现代密码学 AES解密运算是加密运算的逆运算，其中 轮函数的逆为： 1） ByteSub的逆变换由代换表的逆表做字 节代换，可通过如下两步实现 : 首先进行仿 射变换的逆变换，再求每一字节在 GF(28)上 逆元 . 2) 行移位运算的逆变换是循环右移，位移 量与左移时相同 . AES 的解密变换 Date 30北邮现代密码学 3) 列混合运算的逆运算是类似的，即每列 都用一个特定的多项式 d(x)相乘 , d(x)满足 (03x3+01x2+01x+02) d(x)=01 由此可得 d(x)=0Bx3+0Dx2+09x+0E. 4) 密钥加运算的逆运算是其自身 . AES 的解密变换 Date 31北邮现代密码学 第一轮扩散 Date 32北邮现代密码学 第一轮扩散 Date 33北邮现代密码学 第二轮扩散 Date 34北邮现代密码学 第二轮扩散 Date 35北邮现代密码学 DES扩散 Date 36北邮现代密码学 DES扩散 n 思考： L0的一块数据（ 4比特）要几轮才能 影响所有的数据块？ n S盒的扩散和混淆情况如何？ Date 37北邮现代密码学 第一轮扩散 Date 38北邮现代密码学 第二轮扩散 Date 39北邮现代密码学 AES扩散 轮函数 轮函数 Date 40北邮现代密码学 AES扩散 n 思考：字节代换的扩散和混淆作用？ Date 41北邮现代密码学 主要知识点小结 n AES算法的整体结构 n AES算法的轮函数 Date 42北邮现代密码学 作业 1 对于分组长度 128比特，密钥长度 128比特的 AES 算法，若已知 明文： 0x3243f6a8885a308d313198a2e037073