网络安全-05：高级加密标准

Chapter5高级加密标准《密码编码学与网络安全》2020/2/24西安电子科技大学计算机学院2AdvancedEncryptionStandard（AES）2001年由美国国家标准技术局（NIST）发布对称分组密码算法，用以取代DES2020/2/24西安电子科技大学计算机学院3§5.1高级加密标准的评估准则§5.1.1高级加密标准的起源1997年4月15日，NIST发起征集高级加密标准的活动，活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件，开发者承诺放弃被选中算法的知识产权。对AES的基本要求是：比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。1998年8月12日，在首届AES会议上指定了15个候选算法。1999年3月22日第二次AES会议上，将候选名单减少为5个，这5个算法是RC6，Rijndael，SERPENT，Twofish和MARS。2000年4月13日，第三次AES会议上，对这5个候选算法的各种分析结果进行了讨论。2000年10月2日，NIST宣布了获胜者—Rijndael算法，2001年11月出版了最终标准FIPSPUB197。§5.1.2AES的评估2020/2/24西安电子科技大学计算机学院5AESRequirementsprivatekeysymmetricblockcipher128-bitdata,128/192/256-bitkeysstronger&fasterthanTriple-DESactivelifeof20-30years(+archivaluse)providefullspecification&designdetailsbothC&JavaimplementationsNISThavereleasedallsubmissions&unclassifiedanalyses2020/2/24西安电子科技大学计算机学院6AESEvaluationCriteriainitialcriteria:security–effortforpracticalcryptanalysiscost–intermsofcomputationalefficiencyalgorithm&implementationcharacteristicsfinalcriteriageneralsecurityeaseofsoftware&hardwareimplementationimplementationattacksflexibility(inen/decrypt,keying,otherfactors)2020/2/24西安电子科技大学计算机学院7AESShortlistaftertestingandevaluation,shortlistinAug-99:MARS(IBM)-complex,fast,highsecuritymarginRC6(USA)-v.simple,v.fast,lowsecuritymarginRijndael(Belgium)-clean,fast,goodsecuritymarginSerpent(Euro)-slow,clean,v.highsecuritymarginTwofish(USA)-complex,v.fast,highsecuritymarginthensubjecttofurtheranalysis&commentsawcontrastbetweenalgorithmswithfewcomplexroundsversesmanysimpleroundswhichrefinedexistingciphersversesnewproposals2020/2/24西安电子科技大学计算机学院8TheAESCipher-RijndaeldesignedbyRijmen-DaemeninBelgiumhas128/192/256bitkeys,128bitdataaniterativeratherthanfeistelcipherprocessesdataasblockof4columnsof4bytesoperatesonentiredatablockineveryrounddesignedtobe:resistantagainstknownattacksspeedandcodecompactnessonmanyCPUsdesignsimplicity2020/2/24西安电子科技大学计算机学院92020/2/24西安电子科技大学计算机学院102020/2/24西安电子科技大学计算机学院11§5.2AES密码AES的参数AES-128AES-192AES-256密钥长度（字/字节/位）4/16/1286/24/1928/32/256明文分组长度（字/字节/位）4/16/1284/16/1284/16/128轮数101214每轮的密钥长度（字/字节/位）4/16/1284/16/1284/16/128扩展密钥长度（字/字节）44/7652/20860/2402020/2/24西安电子科技大学计算机学院12§5.2AES密码AES的特性所有的已知攻击具有免疫性在各种平台上执行速度快，代码紧凑设计简单2020/2/24西安电子科技大学计算机学院13§5.2AES密码数据结构以字节为单位的方阵描述：输入分组in、中间数组State、输出、密钥排列顺序：方阵中从上到下，从左到右2020/2/24西安电子科技大学计算机学院14§5.2AES密码SP网络结构在这种密码的每一轮中，轮输入首先被一个由子密钥控制的可逆函数S作用，然后再对所得结果用置换（或可逆线性变换）P作用。S和P分别被称为混乱层和扩散层，主要起混乱和扩散作用。2020/2/24西安电子科技大学计算机学院15§5.2AES密码AES算法结构AES算法的轮变换中没有Feistel结构，轮变换是由三个不同的可逆一致变换组成，称之为层。线性混合层：确保多轮之上的高度扩散。非线性层：具有最优最差-情形非线性性的S-盒的并行应用。密钥加层：轮密钥简单地异或到中间状态上。2020/2/24西安电子科技大学计算机学院16§5.2AES密码AES算法结构2020/2/24西安电子科技大学计算机学院17AES-128加解密过程Rijndael2020/2/24西安电子科技大学计算机学院1862020/2/24西安电子科技大学计算机学院19§5.2AES密码AES算法描述假设：State表示数据以及每一轮的中间结果，RoundKey表示每一轮对应的子密钥算法如下：第一轮之前执行AddRoundKey(State,RoundKey)Round(State,RoundKey){ByteSub(State);ShiftRow(State);MixColumn(State);AddRoundKey(State,RoundKey);}FinalRound(State,RoundKey){ByteSub(State);ShiftRow(State);AddRoundKey(State,RoundKey);}2020/2/24西安电子科技大学计算机学院20§5.2AES密码数据结构:状态、密钥、输出的矩阵表示2020/2/24西安电子科技大学计算机学院21§5.2.1字节代换（SubstituteBytes）变换正向和逆向变换字节代替是一个非线性的字节代替，独立地在每个状态字节上进行运算。代替表（S-盒）是可逆的，是一个16×16的矩阵。2020/2/24西安电子科技大学计算机学院222020/2/24西安电子科技大学计算机学院23§5.2.1字节代换（SubstituteBytes）变换S-盒代替表（S-盒）是可逆的，是一个16×16的矩阵。2020/2/24西安电子科技大学计算机学院242020/2/24西安电子科技大学计算机学院25§5.2.1字节代换（SubstituteBytes）变换例子2020/2/24西安电子科技大学计算机学院26S盒的构造初始化元素求逆：在GF中求逆元素置换,,,067bbb,,,067bbbiiiiiiicbbbbbb8mod78mod68mod58mod4其中：0110001111111000111100017070bbbb,,,067ccc=（01100011）22020/2/24西安电子科技大学计算机学院27§5.2.2行移位(shiftRow)变换正向和逆向变换2020/2/24西安电子科技大学计算机学院28§5.2.2行移位(shiftRow)变换例子2020/2/24西安电子科技大学计算机学院29§5.2.3列混淆（MixColumn）变换正向和逆向变换代替操作，将状态的列看作有限域GF（28）上的4维向量并被有限域GF（28）上的一个固定可逆方阵A乘乘法是GF(28)定义中定义的，素多项式为：m(x)=x8+x4+x3+x+12020/2/24西安电子科技大学计算机学院302020/2/24西安电子科技大学计算机学院31§5.2.3列混淆（MixColumn）变换例子2020/2/24西安电子科技大学计算机学院32§5.2.4轮密钥加（AddRoundKey）变换一个简单地按位异或的操作xor2020/2/24西安电子科技大学计算机学院33内部函数的功能小结SubBytes的目的是为了得到一个非线性的代换密码。对于分析密码抗差分分析来说，非线性是一个重要的性质。ShiftRows和MixColumns的目的是获得明文消息分组在不同位置上的字节混合。AddRoundKey给出了消息分布所需的秘密随机性。2020/2/24西安电子科技大学计算机学院34§5.2.5AES的密钥扩展轮密钥是通过密钥调度算法从密钥中产生，包括两个组成部分：密钥扩展和轮密钥选取。基本原理如下：所有轮密钥比特的总数等于分组长度乘轮数加1。（如128比特的分组长度和10轮迭代，共需要1408比特的密钥）。将密钥扩展成一个扩展密钥。轮密钥按下述方式从扩展密钥中选取：第一个轮密钥由开始Nb个字组成，第二个轮密钥由接下来的Nb个字组成，如此继续下去。2020/2/24西安电子科技大学计算机学院35§5.2.5AES的密钥扩展密钥扩展扩展过程2020/2/24西安电子科技大学计算机学院362020/2/24西安电子科技大学计算机学院37§5.2.5AES的密钥扩展密钥扩展伪代码2020/2/24西安电子科技大学计算机学院38§5.2.5AES的密钥扩展密钥扩展伪代码2020/2/24西安电子科技大学计算机学院39§5.2.5AES的密钥扩展函数gRotWord执行一字节循环左移[b0,b1,b2,b3][b1,b2,b3,b0]SubWord执行使用S-盒实行字节替换前两步的结果XOR与轮常数Rcon[j]2020/2/24西安电子科技大学计算机学院40j12345678910RC[j]01020408102040801B36§5.2.5AES的密钥扩展轮常量2020/2/24西安电子科技大学计算机学院41§5.2.5AES的密钥扩展例子2020/2/24西安电子科技大学计算机学院42§5.2.6对应的逆运算2020/2/24西安电子科技大学计算机学院