密碼算法詳解——AES

時間 2019-11-10

標籤密碼算法詳解 aes 欄目系統安全简体版

原文原文鏈接

0 AES簡介

　　咱們知道數據加密標準（Data Encryption Standard: DES）的密鑰長度是56比特，所以算法的理論安全強度是2⁵⁶。但二十世紀中後期正是計算機飛速發展的階段，元器件製造工藝的進步使得計算機的處理能力愈來愈強，DES將不能提供足夠的安全性。1997年1月2號，美國國家標準技術研究所（National Institute of Standards and Technology: NIST）宣佈但願徵集高級加密標準（Advanced Encryption Standard: AES）^[3]，用以取代DES。AES獲得了全世界不少密碼工做者的響應，前後有不少人提交了本身設計的算法。最終有5個候選算法進入最後一輪：Rijndael，Serpent，Twofish，RC6和MARS，下圖分別爲其中的5位做者。最終通過安全性分析、軟硬件性能評估等嚴格的步驟，Rijndael算法獲勝。git

　　Rijndael由比利時兩位很是著名的密碼學家Joan Daemen和Vincent Rijmen設計。Rijndael是一個分組密碼算法族，其分組長度包括128比特、160比特、192比特、224比特、256比特，密鑰長度也包括這五種長度，可是最終AES只選取了分組長度爲128比特，密鑰長度爲128比特、192比特和256比特的三個版本。本文主要結合AES-128進行介紹，AES-196和AES-256的思路基本同樣，只是密鑰擴展算法的過程會稍有不一樣，加解密的輪數會適當增長，但加解密的操做都是同樣的。另外，本文只對AES算法的各個模塊、基本原理進行介紹，旨在加深對算法流程、密碼算法實現的瞭解。在正式軟件運用中並不推薦本身編寫代碼，不少開源項目如Linux，OPENSSL，SRTP等都有很是高效的實現。因爲數學知識的缺陷，本文不介紹算法安全性分析相關的知識，有興趣的讀者能夠自行閱讀相關文獻。github

　　AES是一個分組密碼，屬於對稱密碼範疇，AES算法的模塊在對稱密碼領域特別是分組密碼領域常有使用。算法

1 算法流程

　　AES加密算法涉及4種操做：字節替代（SubBytes）、行移位（ShiftRows）、列混淆（MixColumns）和輪密鑰加（AddRoundKey）。下圖給出了AES加解密的流程，從圖中能夠看出：1）解密算法的每一步分別對應加密算法的逆操做，2）加解密全部操做的順序正好是相反的。正是因爲這幾點（再加上加密算法與解密算法每步的操做互逆）保證了算法的正確性。加解密中每輪的密鑰分別由種子密鑰通過密鑰擴展算法獲得。算法中16字節的明文、密文和輪子密鑰都以一個4x4的矩陣表示。數組

1.1 字節替代

　　字節代替的主要功能是經過S盒完成一個字節到另一個字節的映射。S盒的詳細構造方法能夠參考文獻[4]。這裏直接給出構造好的結果，下圖(a)爲S盒，圖(b)爲S^-1（S盒的逆）。S盒用於提供密碼算法的混淆性。安全

　　S和S^-1分別爲16x16的矩陣，完成一個8比特輸入到8比特輸出的映射，輸入的高4-bit對應的值做爲行標，低4-bit對應的值做爲列標。假設輸入字節的值爲a=a₇a₆a₅a₄a₃a₂a₁a₀，則輸出值爲S[a₇a₆a₅a₄][a₃a₂a₁a₀]，S^-1的變換也同理。網絡

　　例如：字節00000000_B替換後的值爲（S[0][0]=）63_H，再經過S^-1便可獲得替換前的值，（S^-1 [6][3]=）00_H。ide

1.2 行移位

　　行移位是一個4x4的矩陣內部字節之間的置換，用於提供算法的擴散性。函數

　　1) 正向行移位性能

　　正向行移位用於加密，其原理圖以下。其中：第一行保持不變，第二行循環左移8比特，第三行循環左移16比特，第四行循環左移24比特。優化

　　假設矩陣的名字爲state，用公式表示以下：state’[i][j] = state[i][(j+i)%4];其中i、j屬於[0,3]。

　　2) 逆向行移位

　　逆向行移位便是相反的操做，即：第一行保持不變，第二行循環右移8比特，第三行循環右移16比特，第四行循環右移24比特。

　　用公式表示以下：state’[i][j] = state[i][(4+j-i)%4];其中i、j屬於[0,3]。

1.3 列混淆

　　列混淆：利用GF(2⁸)域上算術特性的一個代替，一樣用於提供算法的擴散性。

　　1) 正向列混淆

　　正向列混淆的原理圖以下：

　　根據矩陣的乘法可知，在列混淆的過程當中，每一個字節對應的值只與該列的4個值有關係。此處的乘法和加法都是定義在GF(2⁸)上的，須要注意以下幾點：

　　　　1) 將某個字節所對應的值乘以2，其結果就是將該值的二進制位左移一位，若是原始值的最高位爲1，則還須要將移位後的結果異或00011011；[1]

　　　　　　英文原文描述以下：In particular, multiplication of a value by x (i.e., by {02}) can be implemented as a 1-bit left shift followed by a conditional bitwise XOR with (0001 1011) if the leftmost bit of the original value (prior to the shift) is 1.

　　　　2) 乘法對加法知足分配率，例如：07·S_0,0=(01⊕02⊕04)·S_0,0= S_0,0⊕(02·S_0,0)(04·S_0,0)

　　　　3) 此處的矩陣乘法與通常意義上矩陣的乘法有所不一樣，各個值在相加時使用的是模2⁸加法（異或運算）。

　　下面舉一個例子，假設某一列的值以下圖，運算過程以下：

　　在計算02與C9的乘積時，因爲C9對應最左邊的比特爲1，所以須要將C9左移一位後的值與(0001 1011)求異或。同理能夠求出另外幾個值。

　　2) 逆向列混淆

　　逆向列混淆的原理圖以下：

　　因爲：

　　說明兩個矩陣互逆，通過一次逆向列混淆後便可恢復原文。

1.4 輪密鑰加

　　這個操做相對簡單，其依據的原理是「任何數和自身的異或結果爲0」。加密過程當中，每輪的輸入與輪子密鑰異或一次；所以，解密時再異或上該輪的輪子密鑰便可恢復。

1.5 密鑰擴展算法

　　密鑰擴展的原理圖以下：

　　密鑰擴展過程說明：

　　　　1) 將種子密鑰按圖(a)的格式排列，其中k₀、k₁、……、k₁₅依次表示種子密鑰的一個字節；排列後用4個32比特的字表示，分別記爲w[0]、w[1]、w[2]、w[3]；

　　　　2) 按照以下方式，依次求解w[j]，其中j是整數而且屬於[4,43]；

　　　　3) 若j%4=0,則w[j]=w[j-4]⊕g(w[j-1]),不然w[j]=w[j-4]⊕w[j-1]；

　　函數g的流程說明：

　　　　a) 將w循環左移8比特；

　　　　b) 分別對每一個字節作S盒置換；

　　　　c) 與32比特的常量（RC[j/4],0,0,0）進行異或，RC是一個一維數組，其值以下。（RC的值只須要有10個，而此處用了11個，實際上RC[0]在運算中沒有用到，增長RC[0]是爲了便於程序中用數組表示。因爲j的最小取值是4，j/4的最小取值則是1，所以不會產生錯誤。）

　　　　　　RC = {0x00, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36}

1.6 小結

　　密碼算法要求是可逆的，這樣解密算法才能正確的恢復明文。拿AES來講，在密鑰固定的狀況下，明文和密文在整個輸入空間是一一對應的。所以算法的各個部件也都是可逆的，再將各個部件的操做順序設計成可逆的，密文就能正確的解密了。

2 源碼

　　本身寫了一份AES-128的實現代碼，放在Github上；另一份AES代碼實現了3種密鑰長度的算法，和標準文檔徹底保存一致，沒有作任何優化，有興趣能夠看看。

　　AES中列混淆部分設計有限域乘法操做，在運行中須要消耗較多的時間。如今的計算平臺都擁有豐富的軟件資源(RAM、Flash等)，所以AES的軟件實現通常都會採用查表的方式，將字節替代、行移位、列混淆合在一塊兒查表，大概消耗8-10K字節的存儲空間，但效率很是之高。

　　在硬件上，爲了減小實現面積，能夠經過對解密的操做進行適當調換，這樣解密操做能夠複用加密的電路。

3 擴展

SIMD [10]：單指令流多數據流指令，最經常使用的包括SSE、SSE二、AVX、AVX512 [5] 等，如今不少Intel和AMD的處理器都支持。SIMD操做可以很大地提升效率，一些項目中都有用到，好比libsodium [6]（A modern and easy-to-use crypto library）、FastMemcpy [7] （Speed-up over 50% in average vs traditional memcpy in gcc 4.9 or vc2012 ）、hamming_weight [8] （C library to compute the Hamming weight of arrays）等。

AES-NI [9]：AES硬件指令，可以很快地實現AES加解密，大部分Intel處理器、AMD處理器支持。