密码学第14讲高级加密标准(AES)课件

1、第14讲 高级加密标准（AES）密码学国家精品课程 高级加密标准（AES）是美国国家标准技术研究所（NIST）主持开发的面向21世纪的联邦信息处理标准。主要内容 AES背景 AES算法概述 圈函数 密钥生成算法 脱密算法 加、脱密的相似性一、AES开发背景目的：基本要求： 对称密钥密码实现的分组密码算法。 速 度：至少和三重DES一样安全； 安 全 性：比三重 DES 快； 密码体制： 确定一个安全性能更好的分组密码算法取代DES。 1997年1月，NIST启动AES的开发研究计划。 1997年4月，NIST开始征集AES算法。 回顾数据加密标准(DES) 。 第一轮：1998年8月，公布15

2、个候选算法； 第二轮：1999年3月，筛选出5个决赛算法； 第三轮：2000年4月，决定推荐Rijndael算法作为 高级加密标准。并于2000年10月宣布。 2001年11月，Rijndael作为AES正式公布。 2002 年5月正式生效。 评选过程：评选准则：安全性、有效性和灵活性。 二、AES算法概述AES算法是迭代型分组密码算法。圈 数：128比特。分组长度：密钥长度：128、192或256比特。 基本参数:密钥长度128192256圈 数101214字节代替行移位列混合明文M R1 R9 R10密文C字节代替行移位AES加密框图出口处理变换入口处理变换三、圈函数非线性层线性混合层字节

3、矩阵将128比特输入数据m依次分为16个字节(一) 字节代替变换（S盒） 字节代替变换是关于字节的非线性变换，它将字节矩阵中的每一个字节利用同一个S盒变换为另一个字节。变换后的位置不变。 字节代替S 字节代替变换是AES中唯一的非线性变换。(一) 字节代替变换（S盒） 字节代替变换由两个可逆变换复合而成。(2) 对(1) 的变换结果用二元域上的一个仿射变换作用。(1) 将每一个字节变换为它在有限域GF(28)中的乘法逆。 并规定0变换到其自身；(一) 字节代替变换（S盒）有限域GF(28)上的运算 设字节 b7b6b5b4b3b2b1b0例如： 01010111b7x7 b6x6 b5x5 b

4、4x4 b3x3 b2x2 b1x b00 x7 1x6 0 x5 1 x4 0 x3 1 x2 1 x 1 (一) 字节代替变换（S盒） AES算法中定义了两种面向字节的运算：加法和乘法 两个字节相加，其和为两个字节按比特异或的结果。用“”表示。 1、加法：例如： 0101011110000011= 11010100 (一) 字节代替变换（S盒）后的结果所对应的字节。用“”表示。 2、乘法：两个字节相乘，其积为对应多项式的乘积模二元域GF(2)上的8次不可约多项式 m(x) = x8 x4 x3 x 1(一) 字节代替变换（S盒）(x6 x4 x2 x 1)(x7 x 1) mod m(x)

5、例如：计算 0101011110000011= x13 x11 x9 x8 x6 x5 x4 x3 1 mod m(x) 11000001 解：因 0101011110000011故 0101011110000011 = 11010100= x7 x6 1 (一) 字节代替变换（S盒）字节代替变换S由两个可逆变换复合而成。（2）对（1）中的结果用GF(2)上的仿射变换作用。（1）将每一个字节变换为有限域GF(28)中的乘法逆， 并规定0变换到其自身；记（1）中变换结果为x7 x6 x5 x4 x3 x2 x1 x0 ，则输出为即0 a a -1, 0 0；例：求S(10001101) 解：x7

6、 x3 x2 1利用欧几里德算法，可求得即 (10001101)-1 00000010即： S(8d) = 01011101= 5d （十六进制表示）(x7 x3 x2 1)-1 xStep1先求乘法逆元因 10001101Step2再作仿射变换 即字节代替变换S 为： S(a) = f (a-1) 。 AES的S盒 代替表（S盒）具体如下表所示。设 xy（十六进制表示）为字节矩阵中的一个字节，则代替表（S盒）中第 x 行第 y 列的字节就是对应的字节代替变换的结果。(二) 行移位变换 如果将一个字节矩阵的行从上到下分别称为第0，1，2，3行，则行移位变换的作用就是将这个字节矩阵的第 i 行循

7、环左移 i 个字节。效果：改变行中字节的位置，将原来同一列中 的4个元素分散到不同列中(三) 列混合变换 列混合变换对一个字节矩阵逐列进行变换。列混合(三) 列混合变换例：求解：设(三) 列混合变换(四) 圈密钥加 圈密钥是通过密钥生成算法从初始密钥中产生的，其长度等于分组长度。 圈密钥加就是将密钥字节矩阵与当前状态字节矩阵的对应字节异或。 (四) 圈密钥加AES算法加密框图 AES算法的圈密钥长度等于分组长度-128比特，即4个32位字，若迭代圈数为Nr ，则连同入口密钥，共需4(Nr+1)个32位字的密钥。 对AES-128，初始密钥为4个32位字(128比特)，此时圈数Nr=10，则共需

8、411=44个32位字的扩展密钥：这里Wi 是32位字，由4个字节组成。四、密钥生成算法 记Nk = 初始密钥比特数/32是原始密钥可产生的32位字的个数 ， 即密钥长度128192256Nk468四、密钥生成算法四、密钥生成算法(128, 192比特密钥情形)RotebyteBytesub前Nk个w0,w1, wNk-1直接取自初始密钥循环左移1字节字节代替Rconj = (RCj,00,00,00)是设定的32位常数RCj= x(j-1)mod m(x)四、密钥生成算法(256比特密钥情形)RotebyteBytesubBytesub前Nk个w0,w1, wNk-1直接取自初始密钥wi密文

9、（字节矩阵）明文（字节矩阵）字节代替变换行移位变换列混合变换行移位变换字节代替变换 k1k10k0第一圈第十圈AES加密框图 AES的加、脱密过程具有等价结构。通过将加密过程中的变换用相应的逆变换代替，以及在密钥调度中作适当变化即成为脱密过程。五、脱密算法明文（字节矩阵）密文（字节矩阵）逆字节代替变换逆行移位变换逆列混合变换逆行移位变换逆字节代替变换 C-1(k9 )k010k第一圈第十圈AES脱密框图（一）逆字节代替变换 逆字节代替变换是字节代替变换的逆变换。它将状态中的每一个字节变换为另一个字节，代替表由两个可逆变换复合而成。先用GF(2)上的仿射变换的逆变换作用，再在GF(28)中取乘法

10、逆即得。五、脱密算法AES的逆S盒逆字节代替变换（二） 逆行移位变换 逆行移位变换是行移位变换的逆变换。如果将一个状态矩阵的行从上到下分别称为第0，1，2，3行，则逆行移位变换的作用是将这个状态矩阵的第i行循环右移i个字节。五、脱密算法（三）逆列混合变换 逆列混合变换是列混合变换的逆变换。五、脱密算法明文（字节矩阵）密文（字节矩阵）逆字节代替变换逆行移位变换逆列混合变换逆行移位变换逆字节代替变换 C-1(k9 )k010k第一圈第十圈AES脱密框图明文（字节矩阵）密文（字节矩阵）逆字节代替变换逆行移位变换逆列混合变换逆行移位变换逆字节代替变换 C-1(k9 )k010k第一圈第十圈AES加密框图密文（字节矩阵）明文（字节矩阵）字节代替变换行移位变换列混合变换行移位变换字节代替变换 k1k10k0第一圈第十圈AES脱密框图 字节代替（S盒）与行移位可交换。六、加、脱密的相似性代替字节代替字节由于 列混合与密钥加广义可交换。六、加、脱密的相似性明文（字节矩阵）密文（字节矩阵）逆字节代替变换逆行移位变