分组密码： AES 算法

1. 分组密码：AES算法 《现代密码学》第4章(6)

2. 本节主要内容 • 1、AES候选算法产生过程 • 2、Rijndael的数学基础和设计思想 • 3、Rijndael的算法说明 • 4、习题

3. 1. AES候选算法产生过程 • 背景 从各方面来看，DES已走到了它生命的尽头。其56比特密钥实在太小，虽然三重DES可以解决密钥长度的问题，但是DES的设计主要针对硬件实现，而今在许多领域，需要用软件方法来实现它，在这种情况下，它的效率相对较低。鉴于此，1997年4月15日美国国家标准和技术研究所（NIST）发起征集AES（AES—Advanced Encryption Standard）算法的活动，并成立了AES工作组。目的是为了确定一个非保密的、公开披露的、全球免费使用的加密算法，用于保护下一世纪政府的敏感信息。也希望能够成为保密和非保密部门公用的数据加密标准（DES）。

4. 1. AES候选算法产生过程 1997年4月15日，美国ANSI发起征集AES（advanced encryption standard）的活动，并为此成立了AES工作小组。此次活动的目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，以作为新的数据加密标准。1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。对AES的基本要求是： 比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。

5. 1. AES候选算法产生过程 • 评选过程中采用的方法 1.用量化的或定性的尺度作为选择的标准； 2.选择一种以上的算法； 3.选择一个备用算法； 4.考虑公众的建议以改进算法。

6. 1. AES候选算法产生过程 1998年8月12日，在首届AES候选会议（first AES candidate conference）上公布了AES的15个候选算法，任由全世界各机构和个人攻击和评论，这15个候选算法是CAST256、CRYPTON、E2、DEAL、FROG、SAFER+、RC6、MAGENTA、LOKI97、SERPENT、MARS、Rijndael、DFC、Twofish、HPC。1999年3月，在第2届AES候选会议（second AES candidate conference）上经过对全球各密码机构和个人对候选算法分析结果的讨论，从15个候选算法中选出了5个。

7. 1. AES候选算法产生过程 这5个是RC6、Rijndael、SERPENT、Twofish和MARS。2000年4月13日至14日，召开了第3届AES候选会议（third AES candidate conference），继续对最后5个候选算法进行讨论。2000年10月2日，NIST宣布Rijndael作为新的AES。至此，经过3年多的讨论，Rijndael终于脱颖而出。

8. 1. AES候选算法产生过程 Rijndael 由比利时的Joan Daemen和Vincent Rijmen设计，算法的原型是Square算法，它的设计策略是宽轨迹策略（wide trail strategy）。宽轨迹策略是针对差分分析和线性分析提出的，它的最大优点是可以给出算法的最佳差分特征的概率及最佳线性逼近的偏差的界；由此，可以分析算法抵抗差分密码分析及线性密码分析的能力。

9. 1. AES候选算法产生过程 在宣布最后的5个候选算法后，NIST再次恳请公众参与对这些算法的评论。公众对这五种候选算法的评阅期于2000年5月15日结束。NIST发布的AES主页[2]提供了大量的关于算法描述、源程序、有关AES3的论文以及其他公众评论的信息。2000年4月开始进行第三阶段（AES3）的评选，AES3共收到37篇提交给NIST的论文，并采用了其中的24篇。在这一阶段的讨论中，这些算法得到了非常深入的分析。NIST的AES小组综合所有公众对候选算法的评价和分析作了一个非常彻底的评论。

10. 1. AES候选算法产生过程 经过长时间的评审和讨论之后，NIST在2000年5月宣布选择Rijndael作为AES的算法。该算法的开发者提出以下几种发音供选择"Reign Dah1"，"Rain doll"和 "Rhine Dah1"。

11. 1. AES候选算法产生过程 • 结果 NIST最终选择了Rijndael作为AES的标准，因为全面地考虑，Rijndael汇聚了安全，性能好，效率高，易用和灵活等优点。 Rijndael使用非线性结构的S-boxes，表现出足够的安全余地；Rijndael在无论有无反馈模式的计算环境下的硬，软件中都能显示出其非常好的性能；它的密钥安装的时间很好，也具有很高的灵活性；Rijndael的非常低的内存需求也使它很适合用于受限的环境；

12. 1. AES候选算法产生过程 Rijndael的操作简单，并可抵御时间和能量攻击，此外，它还有许多未被特别强调的防御性能；Rijndael在分组长度和密钥长度的设计上也很灵活，算法可根据分组长度和密钥长度的不同组合提供不同的迭代次数，虽然这些特征还需更深入地研究，短期内不可能被利用，但最终，Rijndael内在的迭代结构会显示良好的潜能来防御入侵行为。

14. Rijndael 特点 • 不属于Feistel结构 • 加密、解密相似但不对称 • 支持128/32=Nb数据块大小 • 支持128/192/256(/32=Nk)密钥长度 • 有较好的数学理论作为基础 • 结构简单、速度快

15. AES参数

16. 2. Rijndael的数学基础和设计思想 域的概念：一个field 是一个group并且满足下面的性质 （1）乘法封闭性：如果a,b属于G，则ab属于G. （2）乘法结合律：如果a,b,c 属于G，则有a(bc)=(ab)c恒成立。 （3）分配律：如果a,b,c 属于G,则有a(b+c)=ab+ac。 （4）乘法交换律：如果a,b属于G,则有ab=ba。 （5）没有0的除法：如果a,b属于G,并且ab=0,不能得出a=0 or b=0 （6）存在乘法单位元：aI=Ia=a. （7）存在乘法逆元：如果a属于G,且a不等于0,则有ba=ab=I. 给定一个素数，则必存在一个有限域，域中的元素个数为： 这类有限域用 来表示。

17. 2.1 Rijndael的数学基础 1. 有限域GF(28) 有限域中的元素可以用多种不同的方式表示。对于任意素数的方幂，都有惟一的一个有限域，因此GF(28)的所有表示是同构的，但不同的表示方法会影响到GF(28)上运算的复杂度，本算法采用传统的多项式表示法。

18. 2.1 Rijndael的数学基础 将b7b6b5b4b3b2b1b0构成的字节b看成系数在{0,1}中的多项式 b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0 例如： 十六进制数‘57’对应的二进制为01010111，看成一个字节，对应的多项式为x6+x4+x2+x+1。 AES的理论基础定义在GF(28) ,其基本的运算有三种，分别为加法，乘法和乘x。

19. 2.1 Rijndael的数学基础 （1）加法 在AES算法中，若两个多项式进行加法运算（加法运算的 符号定义为 ）运算的方法为两个多项式对应的系数相 加后，在取模2运算。 此加法运算可以有XOR运算进行处理，即相加的两个 数进行异或运算。

20. 2.1 Rijndael的数学基础 在多项式表示中，GF(28)上两个元素的和仍然是一个次数不超过7的多项式，其系数等于两个元素对应系数的模2加（比特异或）。 例如： ‘57’+‘83’=‘D4’，用多项式表示为 (x6+x4+x2+x+1)+(x7+x+1)=x7+x6+ x4+ x2 (mod m(x)) 用二进制表示为 01010111+10000011=11010100 由于每个元素的加法逆元等于自己，所以减法和加法相同。

21. 2.1 Rijndael的数学基础 （2）乘法 在AES算法中，若两个多项式进行乘法运算（乘法运算的 符号定义为 ）运算的方法为两个多项式相乘。若运算 的结果超过8次方，则必须对此结果对一个多项式m(x)进行 模运算。AES算法中定义m(x)多项式为： 例如： 运算过程如下：

22. 2.1 Rijndael的数学基础

23. 2.1 Rijndael的数学基础 要计算GF(28)上的乘法，必须先确定一个GF(2)上的8次不可约多项式；GF(28)上两个元素的乘积就是这两个多项式的模乘（以这个8次不可约多项式为模）。 在Rijndael密码中，这个8次不可约多项式确定为 m(x)= x8+x4+x3+x+1 它的十六进制表示为‘11B’。

24. 2.1 Rijndael的数学基础 • 例如，‘57’·‘83’=‘C1’可表示为以下的多项式乘法： • (x6+x4+x2+x+1)·(x7+x+1)=x7+x6+1(mod m(x)) • 乘法运算虽然不是标准的按字节的运算，但也是比较简单的计算部件。

25. 2.1 Rijndael的数学基础 以上定义的乘法满足交换律，且有单位元‘01’。另外，对任何次数小于8的多项式b(x)，可用推广的欧几里得算法得 b(x)a(x)+m(x)c(x)=1 即a(x)·b(x)=1 mod m(x)，因此a(x)是b(x)的乘法逆元。 再者，乘法还满足分配律： a(x)·(b(x)+c(x))= a(x)·b(x)+a(x)·c(x) 所以，256个字节值构成的集合，在以上定义的加法和乘法运算下，有有限域GF(28)的结构。

26. 2.1 Rijndael的数学基础 （3）乘X运算 在AES算法中，若一最高项指数不大于7的多项式b(x)乘上x 的乘法运算，称为xtime运算。例如： 如果 ，求模结果不变，否则要对乘积结果对m(x)求模 。 求模过程可以用乘积结果减去m(x).在具体运算时可以用下 面的方法：x乘b(x)可以先对b(x)在字节内左移一位，若 ，则再与‘1b’做逐比特的异或运算来实现。该运算记为 b=xtime(a)。在专用的芯片中只需4个异或。 注意： X的幂乘运算可以重复应用xtime来实现。对任意常数 的乘法可以通过对中间结果相加来实现。

27. 2.1 Rijndael的数学基础 例如：

28. 2.1 Rijndael的数学基础 GF(28)上还定义了一个运算，称之为x乘法，其定义为x·b(x)= b7x8+b6x7+b5x6+b4x5+b3x4+b2x3+b1x2+b0 x(mod m(x)) 如果b7=0，求模结果不变，否则为乘积结果减去m(x)，即求乘积结果与m(x)的异或。

29. 2.1 Rijndael的数学基础 • 由此得出x（十六进制数‘02’）乘b(x)可以先对b(x)在字节内左移一位（最后一位补0），若b7=1，则再与‘1B’（其二进制为00011011）做逐比特异或来实现，该运算记为b=xtime(a)。 • 在专用芯片中，xtime只需4个异或。x的幂乘运算可以重复应用xtime来实现。而任意常数乘法可以通过对中间结果相加实现。

30. 2.1 Rijndael的数学基础 例如，‘57’·‘13’可按如下方式实现： ‘57’·‘02’=xtime(57)=‘AE’； ‘57’·‘04’=xtime(AE)=‘47’； ‘57’·‘08’=xtime(47)=‘8E’； ‘57’·‘10’=xtime(8E)=‘07’； ‘57’·‘13’=‘57’·(‘01’‘02’‘10’) =‘57’‘AE’‘07’=‘FE’。

31. 2.1 Rijndael的数学基础 2. 系数在GF(28)上的多项式 4个字节构成的向量可以表示为系数在GF(28)上的次数小于4的多项式。 多项式的加法就是对应系数相加；换句话说，多项式的加法就是4字节向量的逐比特异或。

32. 2.1 Rijndael的数学基础 规定多项式的乘法运算必须要取模M(x)=x4+1，这样使得次数小于4的多项式的乘积仍然是一个次数小于4的多项式，将多项式的模乘运算记为， 设 a(x)= a3x3+a2x2+a1x+a0， b(x)= b3x3+b2x2+b1x+b0， c(x)= a(x)b(x)=c3x3+c2x2+c1x+c0。

33. 2.1 Rijndael的数学基础 • 由于xj mod (x4+1)= x jmod 4，所以 • c0=a0b0a3b1a2b2a1b3； • c1= a1b0a0b1a3b2a2b3； • c2= a2b0a1b1a0b2a3b3； • c3= a3b0a2b1a1b2a0b3。

34. 2.1 Rijndael的数学基础 可将上述计算表示为

35. 2.1 Rijndael的数学基础 注意到M(x)不是GF(28)上的不可约多项式（甚至也不是GF(2)上的不可约多项式），因此非0多项式的这种乘法不是群运算。 不过在Rijndael密码中，对多项式b(x)，这种乘法运算只限于乘一个固定的有逆元的多项式a(x)= a3x3+a2x2+a1x+a0。

36. 2.1 Rijndael的数学基础 定理1 系数在GF(28)上的多项式a3x3+a2x2+a1x+a0是模x4+1可逆的，当且仅当矩阵 在GF(28)上可逆。

37. 2.1 Rijndael的数学基础 证明： a3x3+a2x2+a1x+a0是模x4+1可逆的，当且仅当存在多项式h3x3+h2x2+h1x+h0， (a3x3+a2x2+a1x+a0)(h3x3+h2x2+h1x+h0)=1 mod(x4+1) 因此有 (a3x3+a2x2+a1x+a0)(h2x3+h1x2+h0x+h3)=x mod (x4+1) (a3x3+a2x2+a1x+a0)(h1x3+h0x2+h3x+h2)=x2 mod (x4+1) (a3x3+a2x2+a1x+a0)(h0x3+h3x2+h2x+h1)=x3 mod(x4+1)；

38. 2.1 Rijndael的数学基础 将以上关系写成矩阵形式即得 （证毕）

39. 2.1 Rijndael的数学基础 c(x)=xb(x)定义为x与b(x)的模x4+1乘法，即c(x)= xb(x)= b2x3+b1x2+b0x+b3。其矩阵表示中，除a1=‘01’外，其他所有ai= ‘00’，即 因此，x（或x的幂）模乘多项式相当于对字节构成的向量进行字节循环移位。

40. 2.2 Rijndael的设计思想 Rijndael密码的设计力求满足以下3条标准： ① 抵抗所有已知的攻击。 ② 在多个平台上速度快，编码紧凑。 ③ 设计简单。

41. 2.2 Rijndael的设计思想 当前的大多数分组密码，其轮函数是Feistel结构，即将中间状态的部分比特不加改变地简单放置到其他位置。Rijndael没有这种结构，其轮函数是由3个不同的可逆均匀变换组成的，称它们为3个“层”。所谓“均匀变换”是指状态的每个比特都是用类似的方法进行处理的。不同层的特定选择大部分是建立在“宽轨迹策略”的应用基础上的。简单地说，“宽轨迹策略”就是提供抗线性密码分析和差分密码分析能力的一种设计。

42. 2.2 Rijndael的设计思想 为实现宽轨迹策略，轮函数3个层中的每一层都有它自己的功能： 线性混合层 确保多轮之上的高度扩散； 非线性层 将具有最优的“最坏情况非线性特性”的S盒并行使用； 密钥加层 单轮子密钥简单地异或到中间状态上，实现一次性掩盖。

43. 2.2 Rijndael的设计思想 在第一轮之前，用了一个初始密钥加层，其目的是在不知道密钥的情况下，对最后一个密钥加层以后的任一层（或者是当进行已知明文攻击时，对第一个密钥加层以前的任一层）可简单地剥去，因此初始密钥加层对密码的安全性无任何意义。许多密码的设计中都在轮变换之前和之后用了密钥加层，如IDEA、SAFER和Blowfish。

44. 2.2 Rijndael的设计思想 为了使加密算法和解密算法在结构上更加接近，最后一轮的线性混合层与前面各轮的线性混合层不同，这类似于DES的最后一轮不做左右交换。可以证明这种设计不以任何方式提高或降低该密码的安全性。

45. 3. Rijndael的算法说明 Rijndael是一个迭代型分组密码，其分组长度和密钥长度都可变，各自可以独立地指定为128比特、192比特、256比特。

46. 3.1 状态、种子密钥和轮数 类似于明文分组和密文分组，算法的中间结果也须分组，称算法中间结果的分组为状态，所有的操作都在状态上进行。状态可以用以字节为元素的矩阵阵列表示，该阵列有4行，列数记为Nb，Nb等于分组长度除以32。 例如用128比特密钥加密192比特的明文，则明文和密钥被表示成下面的状态：

47. 明文状态 密钥状态

48. 3.1 状态、种子密钥和轮数 种子密钥类似地用一个以字节为元素的矩阵阵列表示，该阵列有4行，列数记为Nk，Nk等于分组长度除以32。表3.8是Nb=6的状态和Nk=4的种子密钥的矩阵阵列表示。（见65页表3.8） 有时可将这些分组当作一维数组，其每一元素是上述阵列表示中的4字节元素构成的列向量，数组长度可为4、6、8，数组元素下标的范围分别是0~3、0~5和0~7。4字节元素构成的列向量有时也称为字。

49. 3.1 状态、种子密钥和轮数 算法的输入和输出被看成是由8比特字节构成的一维数组，其元素下标的范围是0~(4Nb–1)，因此输入和输出以字节为单位的分组长度分别是16、24和32，其元素下标的范围分别是0~15、0~23和0~31。输入的种子密钥也看成是由8比特字节构成的一维数组，其元素下标的范围是0~(4Nk–1)，因此种子密钥以字节为单位的分组长度也分别是16、24和32，其元素下标的范围分别是0~15、0~23和0~31。

50. 3.1 状态、种子密钥和轮数 算法的输入（包括最初的明文输入和中间过程的轮输入）以字节为单位按a00a10a20a30a01a11a21a31…的顺序放置到状态阵列中。 同理，种子密钥以字节为单位按k00k10k20k30k01k11k21k31…的顺序放置到种子密钥阵列中。 而输出（包括中间过程的轮输出和最后的密文输出）也是以字节为单位按相同的顺序从状态阵列中取出。