AES 加密算法基本原理
AES 是 Advanced Encryption Standard 的缩写,是最常见的对称加密算法。AES 在密码学中又称 Rijndael 加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的 DES,已经被多方分析且广为全世界所使用。
AES基本原理
AES 的加密公式为 C=E(K,P),其中 K 为密钥,P 为明文,C 为密文。
AES 加密明文的过程是,首先对明文进行分组,每组的长度都是 128 位,然后一组一组地加密,直到所有明文都已加密。密钥的长度可以是 128、192 或 256 位。
在加密函数 E 中,会执行一个轮函数,除最后一次执行不同外,前面几轮的执行是相同的。以 AES-128 为例,推荐加密轮数为 10 轮,即前 9 轮执行的操作相同,第 10 轮执行的操作与前面不同。不同的密钥长度推荐的加密轮数是不一样的,具体见下面的表格。
加密时,明文按照 128 位为单位进行分组,每组包含 16 个字节,按照从上到下、从左到右的顺序排列成一个 4 × 4 的矩阵,称为明文矩阵。AES 的加密过程在一个大小同样为 4 × 4 的矩阵中进行,称为状态矩阵,状态矩阵的初始值为明文矩阵的值。每一轮加密结束后,状态矩阵的值变化一次。轮函数执行结束后,状态矩阵的值即为密文的值,从状态矩阵得到密文矩阵,依次提取密文矩阵的值得到 128 位的密文。
以 128 位密钥为例,密钥长度为 16 个字节,也用 4 × 4 的矩阵表示,顺序也是从上到下、从左到右。AES 通过密钥编排函数把密钥矩阵扩展成一个包含 44 个字的密钥序列,其中的前 4 个字为原始密钥用于初始加密,后面的 40 个字用于 10 轮加密,每轮使用其中的 4 个字。密钥递归产生规则如下:
(1) 如果 i 不是 4 的倍数,那么由等式 w[i] = w[i-4] ⊕ w[i-1] 确定;
(2) 如果 i 是 4 的倍数,那么由等式 w[i] = w[i-4] ⊕ T(w[i-1]) 确定。
加密的第 1 轮到第 9 轮的轮函数一样,包括 4 个操作:字节代换、行位移、列混合和轮密钥加。最后一轮迭代不执行列混合。另外,在第一轮迭代之前,先将明文和原始密钥进行一次异或加密操作。
AES 加密的轮函数操作
字节代换 SubBytes
矩阵中的各字节通过一个 8 位的 S-box 进行转换。这个步骤提供了加密法非线性的变换能力。S-box 与 GF(2^8)上的乘法反元素有关,已知具有良好的非线性特性。为了避免简单代数性质的攻击,S-box 结合了乘法反元素及一个可逆的仿射变换矩阵建构而成。此外在建构 S-box 时,刻意避开了固定点与反固定点,即以 S-box 替换字节的结果会相当于错排的结果。
行位移 ShiftRows
在此步骤中,每一行都向左循环位移某个偏移量。在 AES 中(区块大小 128位 ),第一行维持不变,第二行里的每个字节都向左循环移动一格。同理,第三行及第四行向左循环位移的偏移量就分别是 2 和 3。128 位和 192 位的区块在此步骤的循环位移的模式相同。经过 ShiftRows 之后,矩阵中每一竖列,都是由输入矩阵中的每个不同列中的元素组成。Rijndael 算法的版本中,偏移量和 AES 有少许不同;对于长度 256 比特的区块,第一行仍然维持不变,第二行、第三行、第四行的偏移量分别是 1 字节、2 字节、3 字节。除此之外,ShiftRows 操作步骤在 Rijndael 和 AES 中完全相同。
列混合 MixColumns
在 MixColumns 步骤,每一列的四个字节通过线性变换互相结合。每一列的四个元素分别当作 1 , x , x^2 , x^3 的系数,合并即为GF(2^8)中的一个多项式,接着将此多项式和一个固定的多项式 c(x)=3x^3+x^2+x+2 在 modulo x^4 + 1 下相乘。此步骤亦可视为 Rijndael 有限域之下的矩阵乘法。MixColumns 函数接受 4 个字节的输入,输出 4 个字节,每一个输入的字节都会对输出的四个字节造成影响。因此 ShiftRows 和 MixColumns 两步骤为这个密码系统提供了扩散性。
轮密钥加 AddRoundKey
回合密钥将会与原矩阵合并。在每次的加密循环中,都会由主密钥产生一把回合密钥(通过 Rijndael 密钥生成方案产生),这把密钥大小会跟原矩阵一样,以与原矩阵中每个对应的字节作异或(⊕)加法。
分享学习笔记和技术总结,内容涉及 Java 进阶、架构设计、前沿技术、算法与数据结构、数据库、中间件等多个领域,欢迎关注。本文首发于微信公众号“后端开发那点事儿”。