AES加密算法和原理

.
本文包括：AES架构，AES加解密四大阶段，密钥扩展。

Rijndeal是AES于2000年最终选取的密码算法，出自比利时的密码学家。
.
.

AES分类

名字	AES-128	AES-196	AES-256
明文分组长度 /位	128	128	128
密钥长度 /位	128	196	256
迭代轮数	10	12	14

密钥越长，越难破译，可惜效率也会越低。后面仅讨论 AES-128。

复习一下DES：
明文分组64位，密钥也64位（实际56位+8位校验位）

.
.

AES-128架构

加密：

明文分组——128bit。
密钥扩展——K₀到K₁₀，一共11个K
初始变换——明文 ⊕ K₀
9轮迭代，每轮包括4个步骤——字节替换，行移位，列混淆，轮密钥加。
第10轮迭代，仅3个步骤——字节替换，行变换，轮密钥加。

解密：

密文分组——128bit。
密文 ⊕ K₁₀ （对应初始变换）。
9轮迭代——逆行移位，逆字节替换，轮密钥加，逆列混淆。
第10轮迭代——逆行移位，逆字节替换，轮密钥加

.
.
.

AES加/解密四大阶段

1.字节替换

一句话：查S盒。

之前我们学过的DES轮函数，包括扩展，异或密钥，S盒压缩和P盒置换四个阶段，这里面用到的S盒和本文的可不一样。

AES的S盒是单独定义的，是一个16 * 16个字节的矩阵。
一个明文分组有16个字节（128bit），把每4个字节排成一行（也称为1个字），排成4 * 4的样子。如图中的S_0,0，S_0,1，…，S_3,3，逐个字节替换。

因为一个16进制数是4bit，所以1字节（8bit）的数据可以表示2个16进制的数。比如上图中的S_1,1

查表：S_1,1里面这两个16进制数，处于高位（左边）的作为X输入（第几行）；处于低位的作为Y输入（第几列）。如上图所示

下图是S盒的表格

示例：

{86}被映射到{44}。

{B4}映射到{8D}。
【大括号里的数是16进制】

S盒的构造：

S盒的每个字节映射为它在GF(2⁸)中的逆，其中{00}映射成{00}。这是非线性的，也是加密中唯一的非线性阶段。

.
s盒构造：

初始化：构建16*16的S盒。对第y行，第x列的位置，设定初值为{yx}。
在GF(2⁸)中求{yx}的逆。【求逆可参见：扩展的欧几里得算法和AES的S-BOX】
对2.的结果矩阵变换(可逆)。
将列向量（二进制数）转为字节（16进制数），并填充至(y,x)。

矩阵运算如图，注意：b₇到b₀是由下到上倒序排列的。

构造栗子：

取输入{95}

{95}的逆为{8A}={10001010}

M * [0 1 0 1 0 0 0 1]^T+[1 1 0 0 0 1 1 0]^T

结果化成16进制，等于{2A}

逆S盒的构造：

将字节转为列向量
对1.的结果异或，用逆矩阵变换
将列向量转为字节
在GF(2⁸)中求{yx}的逆
填入逆S盒的对应位置

S盒的特点：

输出位和输入位相关性很低
输出值不是输入值的线性数学函数，而是——乘法逆
没有不动点
有限域的乘法逆是一种非线性变换？

.
.
.

2.行移位

第一行不动；
第二行左移一位；
第三行左移二位；
第四行左移三位。
so easy~
.

逆变换：

第一行不动；
第二行右移一位；
第三行右移二位；
第四行右移三位。
Also very simple~
.
.
.

3.列混淆

每一列都分别去左乘此矩阵，得到的结果仍是列向量，再分别放回原位置，就结束啦。

不过，换个思路，更简单粗暴一点，如下图：

注意：我们用到的加法和乘法都是定义在GF（2⁸）上的，即加法=异或，乘法=拆分+移位+取模+异或合并。具体请参考 AES加密之有限域GF（2^n）算术
.
此矩阵的选择是基于码字间有最大距离的线性编码，即混淆性更好。
列混淆和行移位在几轮迭代以后，所有的输入位和输出位都是相关的。
.

逆列混淆：

再左乘上面矩阵的逆矩阵。

验证还原：
.
.
.

4.轮密钥加

此阶段是加密/解密中 唯一 用到了密钥的环节。

一句话：按位异或。

逆轮密钥加和轮密钥加变换是一样的，因为异或操作是本身的逆。

举个栗子吧

加密中一轮迭代的总结构图

.
.
.

AES-128密钥扩展

密钥扩展算法输入16字节，输出16*11=176字节。

输入密钥直接被复制到W₀到W₃
每行最后一个W，如W₃，经过g函数，变成W '。
W_4n = W ’ ⊕ W_4n-4 ， [ n = 1,2,3… …10 ]，（每行第一个W）
W_m = W_m-1 ⊕ W_m-4 ，[ m ≠ 4n ]，上方异或左方，（每行后三个W）
循环3.4.步骤，直至W₄₃运算完毕。 [ 因为44/4=11组子密钥 ] [ 11=1+9+1 ]
输出。

W代表一列的 K（4个字节）

g函数：

K包含128bit数据，W包含32bit（4个字节）数据。记这4个字节分别为B₀，B₁，B₂，B₃

B 循环左移一位。
四个B分别用S盒替换。（同加密第一阶段字节替换中的S盒）
与轮常量Rcon[ j ] 异或。（消除对称性）
输出。

Rcon [ j ] ：

Rcon [ j ] = ( Rc [ j ] , 0 , 0 , 0 )

Rc [ 1 ] = 1，Rc [ n ] = 2 * Rc [ n-1 ] 。
【2是(10)，左移一位】【乘法定义在GF(2^8)里】

Rc [ n ] 的值（16进制）：

n	1	2	3	4	5	6	7	8	9	10
Rc	01	02	04	08	10	20	40	80	1B	36

密钥扩展总结

足够的非线性，以防止轮密钥的差异完全取决于密钥本身。（S盒，轮常量）

雪崩效应

• 当明文改变1位，大约1半密文被改变
• 当密钥改变1位，大约1半密文被改变

目前没有针对Rijndeal的有效攻击

补充

Rijndael允许块长度为128、192或256位。 AES仅允许一个块长度为128位。

.
.

写的太慢了
.
.
.
.
.
.