《密码学》04-6 高级加密标准(AES)(续)

密码学第四章分组密码4.5

高级加密标准(AES)(续)密文（字节矩阵）明文（字节矩阵）字节代替变换行移位变换列混合变换行移位变换字节代替变换k1k10k0第一圈第十圈AES加密运行图密钥生成算法脱密算法加脱密相似性AES的简单分析4.5

高级加密标准(AES)(续)

圈密钥是通过密钥生成算法从初始密钥中获得的，其长度等于分组长度。AES的密钥生成算法由两部分组成：

初始密钥经密钥扩展过程产生出114=44个四字节密钥字的扩展密钥。W0W1W2W3W4W5W6W7…

W43（一）密钥扩展一、密钥生成算法（二）圈密钥选取

圈密钥按顺序取自扩展密钥。W0W1W2W3W4W5W6W7…W40W41W42W43k0k1k10当时，如果，那么如果，那么

扩展密钥的前4个字W0W1W2W3直接取自初始密钥，后面的字由前面的字递归定义。（一）密钥扩展一、密钥生成算法（1）函数RotByte()：输入输出都是四字节的字，将输入按字节循环左移一位可得输出，即：

RotByte

(a,b,c,d)=(b,c,d,a)。（2）函数SubByte()：AES的S盒变换，输入输出都是四字节的字。一、密钥生成算法（3）圈常数Rcon[j]是一个四字节的字，按下述方法定义:Rcon[j]=(xj-1modm(x),0016,0016,0016)。x0(modm(x))0116x1(modm(x))0216x2(modm(x))0416x3(modm(x))0816x4(modm(x))1016x5(modm(x))2016x6(modm(x))4016x7(modm(x))8016x8(modm(x))1B16x4(modm(x))3616一、密钥生成算法设初始密钥为一、密钥生成算法（二）圈密钥选取

圈密钥按顺序取自扩展密钥。即第0圈的圈密钥由扩展密钥中最前面的4个字组成，第1圈的圈密钥由接下来的4个字组成，…，第10圈即最后一圈的圈密钥由最后的4个字组成。W0W1W2W3W4W5W6W7…W40W41W42W43k0k1k10一、密钥生成算法二、脱密算法

AES的加、脱密过程具有等价结构。通过将加密过程中的变换用相应的逆变换代替，以及在密钥调度中作适当变化即成为脱密过程。明文（字节矩阵）密文（字节矩阵）逆字节代替变换逆行移位变换逆列混合变换逆行移位变换逆字节代替变换C-1(k9

)k010k第一圈第十圈AES脱密运行图（一）逆字节代替变换

逆字节代替变换是字节代替变换的逆变换。它将状态中的每一个字节非线性地变换为另一个字节，也由两个可逆变换复合而成。先用仿射变换的逆变换作用，再在GF(28)中取乘法逆即得。二、脱密算法AES的逆S盒二、脱密算法（二）

逆行移位变换

逆行移位变换是行移位变换的逆变换。如果将一个状态的状态矩阵的行从上到下分别称为第0，1，2，3行，则逆行移位变换的作用是将一个状态的第i行循环右移i个字节。二、脱密算法（三）逆列混合变换

逆列混合变换是列混合变换的逆变换。它将一个状态的每一列视为系数在GF(28)上的一个多项式且与一个固定多项式a-1(x)={0b}x3+{0d}x2+{09}x+{0e}模x4+1相乘。二、脱密算法二、脱密算法（四）脱密算法中的圈密钥

AES脱密算法的初始圈和最后一圈(第10圈)的圈密钥分别是加密算法的最后一圈(第10圈)和初始圈的圈密钥，脱密算法的第1圈到第9圈的圈密钥分别是加密算法的第9圈到第1圈的圈密钥经逆列混合变换后得到的。加密密钥：解密密钥：二、脱密算法记：Ｓ为字节代替变换，Ｒ为行移位变换，C

为列混合变换；S-1为逆字节代替变换，Ｒ-1为逆行移位变换，C

-1为逆列混合变换，Ak表示圈密钥加变换，显然有：SS-1=I，RR-1=I，CC-1=I，AkAk=I，三、加脱密相似性字节代替与行移位可交换SR=RSúúúûùêêêëéúúúûùêêêëéúúúûùêêêëé字节代替字节代替三、加脱密相似性从而AES的圈函数可以表示为：x，y为两个字节矩阵，则有：又因为

，于是有三、加脱密相似性于是,三、加脱密相似性（一）关于S盒

1.可逆性；

2.输入比特的线性组合和输出比特的线性组合之间的最大非平凡相关性的极小化；

3.异或差分表中最大非平凡值的极小化；

4.在GF(28)中代数表示的复杂性；

5.表达的简单性。四、AES的简单分析（二）关于行移位变换的位移量

1.各行的位移量不同且第0行位移量为0；

2.抗截段差分攻击；

3.抗Square攻击；

4.简单性。

AES选择的位移量组合是满足这4条准则的最佳组合。

四、AES的简单分析（三）关于列混合变换

1.可逆性；

2.GF(2)中的线性性；

3.适当的扩散特性；

4.8位处理器上的快速实现特性；

5.对称性；

6.表达的简单性。四、AES的简单分析（四）关于密钥

1.使用一个可逆变换，即知道密钥扩展的任意Nk个连续的字，就可以产生整个密钥表；

2.能够在多种处理器上快速实现；

3.消除密码中的对称性；

4.不能由部分密钥比特计算出许多其它的密钥比特；

5.抗相关密钥攻击；

6.足够的非线性性；

7.描述的简单性。四、AES的简单分析（五）完全性两圈实现完全性四、AES的简单分析（六）关于圈数

AES分组密码算法的圈数的选择是在考察已经