AES 加密算法的原理詳解

時間 2019-11-18

原文原文鏈接

AES 加密算法的原理詳解

原文地址： https://blog.csdn.net/gulang03/article/details/81175854

本教程摘選自 https://blog.csdn.net/qq_28205153/article/details/55798628 的原理部分。html

AES簡介

高級加密標準(AES,Advanced Encryption Standard)爲最多見的對稱加密算法(微信小程序加密傳輸就是用這個加密算法的)。對稱加密算法也就是加密和解密用相同的密鑰，具體的加密流程以下圖：

下面簡單介紹下各個部分的做用與意義：算法

明文P編程

沒有通過加密的數據。小程序
密鑰K微信小程序

用來加密明文的密碼，在對稱加密算法中，加密與解密的密鑰是相同的。密鑰爲接收方與發送方協商產生，但不能夠直接在網絡上傳輸，不然會致使密鑰泄漏，一般是經過非對稱加密算法加密密鑰，而後再經過網絡傳輸給對方，或者直接面對面商量密鑰。密鑰是絕對不能夠泄漏的，不然會被攻擊者還原密文，竊取機密數據。數組
AES加密函數安全

設AES加密函數爲E，則 C = E(K, P),其中P爲明文，K爲密鑰，C爲密文。也就是說，把明文P和密鑰K做爲加密函數的參數輸入，則加密函數E會輸出密文C。微信
密文C網絡

經加密函數處理後的數據編程語言
AES解密函數

設AES解密函數爲D，則 P = D(K, C),其中C爲密文，K爲密鑰，P爲明文。也就是說，把密文C和密鑰K做爲解密函數的參數輸入，則解密函數會輸出明文P。

在這裏簡單介紹下對稱加密算法與非對稱加密算法的區別。

對稱加密算法

加密和解密用到的密鑰是相同的，這種加密方式加密速度很是快，適合常常發送數據的場合。缺點是密鑰的傳輸比較麻煩。
非對稱加密算法

加密和解密用的密鑰是不一樣的，這種加密方式是用數學上的難解問題構造的，一般加密解密的速度比較慢，適合偶爾發送數據的場合。優勢是密鑰傳輸方便。常見的非對稱加密算法爲RSA、ECC和EIGamal。

實際中，通常是經過RSA加密AES的密鑰，傳輸到接收方，接收方解密獲得AES密鑰，而後發送方和接收方用AES密鑰來通訊。

本文下面AES原理的介紹參考自《現代密碼學教程》，AES的實如今介紹完原理後開始。

AES的基本結構

AES爲分組密碼，分組密碼也就是把明文分紅一組一組的，每組長度相等，每次加密一組數據，直到加密完整個明文。在AES標準規範中，分組長度只能是128位，也就是說，每一個分組爲16個字節（每一個字節8位）。密鑰的長度可使用128位、192位或256位。密鑰的長度不一樣，推薦加密輪數也不一樣，以下表所示：

AES	密鑰長度（32位比特字)	分組長度(32位比特字)	加密輪數
AES-128	4	4	10
AES-192	6	4	12
AES-256	8	4	14

輪數在下面介紹，這裏實現的是AES-128，也就是密鑰的長度爲128位，加密輪數爲10輪。
上面說到，AES的加密公式爲C = E(K,P)，在加密函數E中，會執行一個輪函數，而且執行10次這個輪函數，這個輪函數的前9次執行的操做是同樣的，只有第10次有所不一樣。也就是說，一個明文分組會被加密10輪。AES的核心就是實現一輪中的全部操做。

AES的處理單位是字節，128位的輸入明文分組P和輸入密鑰K都被分紅16個字節，分別記爲P = P0 P1 … P15 和 K = K0 K1 … K15。如，明文分組爲P = abcdefghijklmnop,其中的字符a對應P0，p對應P15。通常地，明文分組用字節爲單位的正方形矩陣描述，稱爲狀態矩陣。在算法的每一輪中，狀態矩陣的內容不斷髮生變化，最後的結果做爲密文輸出。該矩陣中字節的排列順序爲從上到下、從左至右依次排列，以下圖所示：

如今假設明文分組P爲」abcdefghijklmnop」，則對應上面生成的狀態矩陣圖以下：

上圖中，0x61爲字符a的十六進制表示。能夠看到，明文通過AES加密後，已經面目全非。

相似地，128位密鑰也是用字節爲單位的矩陣表示，矩陣的每一列被稱爲1個32位比特字。經過密鑰編排函數該密鑰矩陣被擴展成一個44個字組成的序列W[0],W[1], … ,W[43],該序列的前4個元素W[0],W[1],W[2],W[3]是原始密鑰，用於加密運算中的初始密鑰加（下面介紹）;後面40個字分爲10組，每組4個字（128比特）分別用於10輪加密運算中的輪密鑰加，以下圖所示：

上圖中，設K = 「abcdefghijklmnop」，則K0 = a, K15 = p, W[0] = K0 K1 K2 K3 = 「abcd」。

AES的總體結構以下圖所示，其中的W[0,3]是指W[0]、W[1]、W[2]和W[3]串聯組成的128位密鑰。加密的第1輪到第9輪的輪函數同樣，包括4個操做：字節代換、行位移、列混合和輪密鑰加。最後一輪迭代不執行列混合。另外，在第一輪迭代以前，先將明文和原始密鑰進行一次異或加密操做。

上圖也展現了AES解密過程，解密過程仍爲10輪，每一輪的操做是加密操做的逆操做。因爲AES的4個輪操做都是可逆的，所以，解密操做的一輪就是順序執行逆行移位、逆字節代換、輪密鑰加和逆列混合。同加密操做相似，最後一輪不執行逆列混合，在第1輪解密以前，要執行1次密鑰加操做。

下面分別介紹AES中一輪的4個操做階段，這4分操做階段使輸入位獲得充分的混淆。

1、字節代換

1.字節代換操做

AES的字節代換其實就是一個簡單的查表操做。AES定義了一個S盒和一個逆S盒。
AES的S盒：

行/列	0	1	2	3	4	5	6	7	8	9	A	B	C	D	E	F
0	0x63	0x7c	0x77	0x7b	0xf2	0x6b	0x6f	0xc5	0x30	0x01	0x67	0x2b	0xfe	0xd7	0xab	0x76
1	0xca	0x82	0xc9	0x7d	0xfa	0x59	0x47	0xf0	0xad	0xd4	0xa2	0xaf	0x9c	0xa4	0x72	0xc0
2	0xb7	0xfd	0x93	0x26	0x36	0x3f	0xf7	0xcc	0x34	0xa5	0xe5	0xf1	0x71	0xd8	0x31	0x15
3	0x04	0xc7	0x23	0xc3	0x18	0x96	0x05	0x9a	0x07	0x12	0x80	0xe2	0xeb	0x27	0xb2	0x75
4	0x09	0x83	0x2c	0x1a	0x1b	0x6e	0x5a	0xa0	0x52	0x3b	0xd6	0xb3	0x29	0xe3	0x2f	0x84
5	0x53	0xd1	0x00	0xed	0x20	0xfc	0xb1	0x5b	0x6a	0xcb	0xbe	0x39	0x4a	0x4c	0x58	0xcf
6	0xd0	0xef	0xaa	0xfb	0x43	0x4d	0x33	0x85	0x45	0xf9	0x02	0x7f	0x50	0x3c	0x9f	0xa8
7	0x51	0xa3	0x40	0x8f	0x92	0x9d	0x38	0xf5	0xbc	0xb6	0xda	0x21	0x10	0xff	0xf3	0xd2
8	0xcd	0x0c	0x13	0xec	0x5f	0x97	0x44	0x17	0xc4	0xa7	0x7e	0x3d	0x64	0x5d	0x19	0x73
9	0x60	0x81	0x4f	0xdc	0x22	0x2a	0x90	0x88	0x46	0xee	0xb8	0x14	0xde	0x5e	0x0b	0xdb
A	0xe0	0x32	0x3a	0x0a	0x49	0x06	0x24	0x5c	0xc2	0xd3	0xac	0x62	0x91	0x95	0xe4	0x79
B	0xe7	0xc8	0x37	0x6d	0x8d	0xd5	0x4e	0xa9	0x6c	0x56	0xf4	0xea	0x65	0x7a	0xae	0x08
C	0xba	0x78	0x25	0x2e	0x1c	0xa6	0xb4	0xc6	0xe8	0xdd	0x74	0x1f	0x4b	0xbd	0x8b	0x8a
D	0x70	0x3e	0xb5	0x66	0x48	0x03	0xf6	0x0e	0x61	0x35	0x57	0xb9	0x86	0xc1	0x1d	0x9e
E	0xe1	0xf8	0x98	0x11	0x69	0xd9	0x8e	0x94	0x9b	0x1e	0x87	0xe9	0xce	0x55	0x28	0xdf
F	0x8c	0xa1	0x89	0x0d	0xbf	0xe6	0x42	0x68	0x41	0x99	0x2d	0x0f	0xb0	0x54	0xbb	0x16

狀態矩陣中的元素按照下面的方式映射爲一個新的字節：把該字節的高4位做爲行值，低4位做爲列值，取出S盒或者逆S盒中對應的行的元素做爲輸出。例如，加密時，輸出的字節S1爲0x12,則查S盒的第0x01行和0x02列，獲得值0xc9,而後替換S1原有的0x12爲0xc9。狀態矩陣經字節代換後的圖以下：
(第二個字符0xAB查表後應該是轉換成0x62的，感謝細心的朋友指出，有空再從新畫圖更正了)

2.字節代換逆操做

逆字節代換也就是查逆S盒來變換，逆S盒以下：

行/列	0	1	2	3	4	5	6	7	8	9	A	B	C	D	E	F
0	0x52	0x09	0x6a	0xd5	0x30	0x36	0xa5	0x38	0xbf	0x40	0xa3	0x9e	0x81	0xf3	0xd7	0xfb
1	0x7c	0xe3	0x39	0x82	0x9b	0x2f	0xff	0x87	0x34	0x8e	0x43	0x44	0xc4	0xde	0xe9	0xcb
2	0x54	0x7b	0x94	0x32	0xa6	0xc2	0x23	0x3d	0xee	0x4c	0x95	0x0b	0x42	0xfa	0xc3	0x4e
3	0x08	0x2e	0xa1	0x66	0x28	0xd9	0x24	0xb2	0x76	0x5b	0xa2	0x49	0x6d	0x8b	0xd1	0x25
4	0x72	0xf8	0xf6	0x64	0x86	0x68	0x98	0x16	0xd4	0xa4	0x5c	0xcc	0x5d	0x65	0xb6	0x92
5	0x6c	0x70	0x48	0x50	0xfd	0xed	0xb9	0xda	0x5e	0x15	0x46	0x57	0xa7	0x8d	0x9d	0x84
6	0x90	0xd8	0xab	0x00	0x8c	0xbc	0xd3	0x0a	0xf7	0xe4	0x58	0x05	0xb8	0xb3	0x45	0x06
7	0xd0	0x2c	0x1e	0x8f	0xca	0x3f	0x0f	0x02	0xc1	0xaf	0xbd	0x03	0x01	0x13	0x8a	0x6b
8	0x3a	0x91	0x11	0x41	0x4f	0x67	0xdc	0xea	0x97	0xf2	0xcf	0xce	0xf0	0xb4	0xe6	0x73
9	0x96	0xac	0x74	0x22	0xe7	0xad	0x35	0x85	0xe2	0xf9	0x37	0xe8	0x1c	0x75	0xdf	0x6e
A	0x47	0xf1	0x1a	0x71	0x1d	0x29	0xc5	0x89	0x6f	0xb7	0x62	0x0e	0xaa	0x18	0xbe	0x1b
B	0xfc	0x56	0x3e	0x4b	0xc6	0xd2	0x79	0x20	0x9a	0xdb	0xc0	0xfe	0x78	0xcd	0x5a	0xf4
C	0x1f	0xdd	0xa8	0x33	0x88	0x07	0xc7	0x31	0xb1	0x12	0x10	0x59	0x27	0x80	0xec	0x5f
D	0x60	0x51	0x7f	0xa9	0x19	0xb5	0x4a	0x0d	0x2d	0xe5	0x7a	0x9f	0x93	0xc9	0x9c	0xef
E	0xa0	0xe0	0x3b	0x4d	0xae	0x2a	0xf5	0xb0	0xc8	0xeb	0xbb	0x3c	0x83	0x53	0x99	0x61
F	0x17	0x2b	0x04	0x7e	0xba	0x77	0xd6	0x26	0xe1	0x69	0x14	0x63	0x55	0x21	0x0c	0x7d

2、行移位

1.行移位操做

行移位是一個簡單的左循環移位操做。當密鑰長度爲128比特時，狀態矩陣的第0行左移0字節，第1行左移1字節，第2行左移2字節，第3行左移3字節，以下圖所示：

2.行移位的逆變換

行移位的逆變換是將狀態矩陣中的每一行執行相反的移位操做，例如AES-128中，狀態矩陣的第0行右移0字節，第1行右移1字節，第2行右移2字節，第3行右移3字節。

3、列混合

1.列混合操做

列混合變換是經過矩陣相乘來實現的，經行移位後的狀態矩陣與固定的矩陣相乘，獲得混淆後的狀態矩陣，以下圖的公式所示：

狀態矩陣中的第j列(0 ≤j≤3)的列混合能夠表示爲下圖所示：

其中，矩陣元素的乘法和加法都是定義在基於GF(2^8)上的二元運算,並非一般意義上的乘法和加法。這裏涉及到一些信息安全上的數學知識，不過不懂這些知識也行。其實這種二元運算的加法等價於兩個字節的異或，乘法則複雜一點。對於一個8位的二進制數來講，使用域上的乘法乘以(00000010)等價於左移1位(低位補0)後，再根據狀況同(00011011)進行異或運算，設S1 = (a7 a6 a5 a4 a3 a2 a1 a0)，剛0x02 * S1以下圖所示：

也就是說，若是a7爲1，則進行異或運算，不然不進行。
相似地，乘以(00000100)能夠拆分紅兩次乘以(00000010)的運算：

乘以(0000 0011)能夠拆分紅先分別乘以(0000 0001)和(0000 0010)，再將兩個乘積異或：

所以，咱們只須要實現乘以2的函數，其餘數值的乘法均可以經過組合來實現。
下面舉個具體的例子,輸入的狀態矩陣以下：


C9	E5	FD	2B
7A	F2	78	6E
63	9C	26	67
B0	A7	82	E5

下面，進行列混合運算：
以第一列的運算爲例：

其它列的計算就不列舉了，列混合後生成的新狀態矩陣以下：


D4	E7	CD	66
28	02	E5	BB
BE	C6	D6	BF
22	0F	DF	A5

2.列混合逆運算

逆向列混合變換可由下圖的矩陣乘法定義：

能夠驗證，逆變換矩陣同正變換矩陣的乘積剛好爲單位矩陣。

4、輪密鑰加

輪密鑰加是將128位輪密鑰Ki同狀態矩陣中的數據進行逐位異或操做，以下圖所示。其中，密鑰Ki中每一個字W[4i],W[4i+1],W[4i+2],W[4i+3]爲32位比特字，包含4個字節，他們的生成算法下面在下面介紹。輪密鑰加過程能夠當作是字逐位異或的結果，也能夠當作字節級別或者位級別的操做。也就是說，能夠當作S0 S1 S2 S3 組成的32位字與W[4i]的異或運算。

輪密鑰加的逆運算同正向的輪密鑰加運算徹底一致，這是由於異或的逆操做是其自身。輪密鑰加很是簡單，但卻可以影響S數組中的每一位。

密鑰擴展

AES首先將初始密鑰輸入到一個4*4的狀態矩陣中，以下圖所示。

這個4*4矩陣的每一列的4個字節組成一個字，矩陣4列的4個字依次命名爲W[0]、W[1]、W[2]和W[3]，它們構成一個以字爲單位的數組W。例如，設密鑰K爲」abcdefghijklmnop」,則K0 = ‘a’,K1 = ‘b’, K2 = ‘c’,K3 = ‘d’,W[0] = 「abcd」。
接着，對W數組擴充40個新列，構成總共44列的擴展密鑰數組。新列以以下的遞歸方式產生：
1.若是i不是4的倍數，那麼第i列由以下等式肯定：
W[i]=W[i-4]⨁W[i-1]
2.若是i是4的倍數，那麼第i列由以下等式肯定：
W[i]=W[i-4]⨁T(W[i-1])
其中，T是一個有點複雜的函數。
函數T由3部分組成：字循環、字節代換和輪常量異或，這3部分的做用分別以下。
a.字循環：將1個字中的4個字節循環左移1個字節。即將輸入字[b0, b1, b2, b3]變換成[b1,b2,b3,b0]。
b.字節代換：對字循環的結果使用S盒進行字節代換。
c.輪常量異或：將前兩步的結果同輪常量Rcon[j]進行異或，其中j表示輪數。
輪常量Rcon[j]是一個字，其值見下表。

j	1	2	3	4	5
Rcon[j]	01 00 00 00	02 00 00 00	04 00 00 00	08 00 00 00	10 00 00 00
j	6	7	8	9	10
Rcon[j]	20 00 00 00	40 00 00 00	80 00 00 00	1B 00 00 00	36 00 00 00

下面舉個例子：
設初始的128位密鑰爲：
3C A1 0B 21 57 F0 19 16 90 2E 13 80 AC C1 07 BD
那麼4個初始值爲：
W[0] = 3C A1 0B 21
W[1] = 57 F0 19 16
W[2] = 90 2E 13 80
W[3] = AC C1 07 BD
下面求擴展的第1輪的子密鑰(W[4],W[5],W[6],W[7])。
因爲4是4的倍數，因此：
W[4] = W[0] ⨁ T(W[3])
T(W[3])的計算步驟以下：
1. 循環地將W[3]的元素移位：AC C1 07 BD變成C1 07 BD AC;
2. 將 C1 07 BD AC 做爲S盒的輸入，輸出爲78 C5 7A 91;
3. 將78 C5 7A 91與第一輪輪常量Rcon[1]進行異或運算，將獲得79 C5 7A 91，所以，T(W[3])=79 C5 7A 91，故
W[4] = 3C A1 0B 21 ⨁ 79 C5 7A 91 = 45 64 71 B0
其他的3個子密鑰段的計算以下：
W[5] = W[1] ⨁ W[4] = 57 F0 19 16 ⨁ 45 64 71 B0 = 12 94 68 A6
W[6] = W[2] ⨁ W[5] =90 2E 13 80 ⨁ 12 94 68 A6 = 82 BA 7B 26
W[7] = W[3] ⨁ W[6] = AC C1 07 BD ⨁ 82 BA 7B 26 = 2E 7B 7C 9B
因此，第一輪的密鑰爲 45 64 71 B0 12 94 68 A6 82 BA 7B 26 2E 7B 7C 9B。