AES加密学习笔记(一)

 

    首先，关于AES加密资料最权威的是它本身的标准文件，在CSDN的下载上就有，叫AES+specification(fips-197).pdf，只是是英文的，看着比较累。

    AES是对数据按128位，也就是16个字节进行分组进行加密的，每次对一组数据加密需要运行多轮。而输入密钥的长度可以为128、192和256位，也就是16个字节、24个字节和32个字节，如果用户输入的密钥长度不是这几种长度，也会补成这几种长度。无论输入密钥是多少字节，加密还是以16字节的数据一组来进行的，密钥长度的不同仅仅影响加密运行的轮数。

    一般为了便于32位处理器操作，对密钥和数据再按32位4字节分为字或称为行或列。数据长度就是4个32位字，定义Nk为输入密钥的32位字数，Nr为加密需要操作的轮数，那么它们的对应关系是

Nk＝4     Nr＝10

Nk＝6      Nr=12

Nk＝8      Nr=14

    每轮操作，需要将一组4个字的数据和密钥进行异或操作，并且在加密开始还需要与一组密钥异或一次，也就是说一共需要 Nr+1组，也即4*（Nr+1）个字长的密钥，除了用户输入的前Nk个字的密钥外，后续的密钥是根据一定的规则由输入密钥生成的，这些密钥称为扩展密钥。

AES对数据的排列方式作了以下的定义，如果输入的明文按字节顺序为：

D0,D1,D2……D15

那么定义AES的state结构为：

D0    D4   D8   D12

D1    D5   D9   D13

D2    D6   D10 D14

D3    D7   D11 D15

    其中横向的称为行（Row），纵向的称为列（Column）,要注意的是这个排列方式对于小端模式的处理器是很别扭的，所以其实几乎没有人会真的在程序里按这种顺序来存放和处理，只是为了便于理解，还是按照规范定义的来说明。

另外如果输入的密钥按字节顺序为：

K0,K1,K2……K15

那么其实明文或数据的中间状态在与密钥进行异或操作时，还是按照它们的字节顺序来进行的，即：D0^K0，D1^K1，D2^K2，……D15^K15。

密钥也按32位字排列为：

K0 K1 K2 K3

K4 K5 K6 K7

……

其中前Nk个字为用户输入，后面 4*（Nr+1）－Nk个字为扩展密钥。

 

下面说明一下AES加密的几种基本操作：

    SubBytes 和invSubBytes 称为S变换和反S变换。S变换是对每个字节进行一次替换，简而言之，就是把一个字节变成另一个字节，这个变换是一一对应的，所以可以建立一个查找表来通过查表操作完成。这个表叫做S_Box，在规范文件上有，这里就不贴了。

ShiftRows 和 invShiftRows 称为行变换和反行变换，行变换的操作是这样的，比如对于一个State块

A0 A1 A2 A3

B0 B1 B2 B3

C0 C1 C2 C4

D0 D1 D2 D3

对第二行循环左移1字节，第三行循环左移2字节 ，第四行循环左移3字节，即变为：

A0 A1 A2 A3

B1 B2 B3 B1

C2 C3 C0 C1

D3 D0 D1 D2

注意由于实际在内存中的字节排列方式是按 A0 B0 C0 D0  A1 B1 C1 D1……来排列的，真要进行这么一个变换，变成A0 B1 C2 D3  A1 B2 C3 D0……是很费操作的，所以实际上也很少有人真的这样做了，而是与其它的步骤合并了。

反行变换就是行变换的逆向操作，就不再多说了。

AddRoundKey，就是将数据与该论的密钥进行按字节对应的异或操作，它的逆操作就是它自己。

MixColumns和invMixColumns，列混合操作和反列混合操作。这是AES加密里最不好理解的一个操作，一般以一个矩阵乘法来类比，即把State结构视为一个4*4的矩阵，那么MixColumns操作就是作以下的一个矩阵乘法：

/                           \

|  02  03  01  01  |

|  01  02  03  01  |          ×  State

|  01  01  02  03  |

|  03  01  01  02  |

\                           /

而逆变换就是以下的一个矩阵乘法

/                            \

|  0e   0b  0d  09  |

|  09  0e  0b  0d  |          ×  State

|  0d  09  0e  0b  |

|  0b  0d  09  0e  |

\                            /

注意这里的矩阵运算中的乘法和加法不是普通的乘法和加法，后面再解释。而以上的这两个矩阵，按这种定义的乘法和加法来互乘的话会得到单位阵，也就是说这两个矩阵是互逆的。

基本操作介绍完了，那么AES的加密过程就可以描述为：

1.                生成各轮需要的扩展密钥，存在Key数组中，一共需要 Nr+1组，每组4字，前面Nk个字即为用户输入的原始密钥，后面的为生成的扩展密钥。Nr由输入密钥的长度Nk决定，即{Nk,Nr}对为{4，10}，{6，12}，{8，14}

2.                将待加密的数据与第一组密钥异或

3.                进行Nr-1轮以下的操作：
         SubBytes（state）                   对数据进行S字节变换
         ShiftRows（state）                 进行行变换
          MixColumns(state)                  进行列混合变换
          AddRoundKey(state, Keys[ 当前轮密钥组] )               与当前轮的密钥进行异或

4.                最后一轮操作，基本与上面各轮相同，仅仅不做列混合变换：
        SubBytes（state）                对数据进行S字节变换
        ShiftRows（state）                进行行变换
        AddRoundKey(state, Keys[ 最后轮] )               与最后轮的密钥进行异或

一次加密就完成了，最后State中的数据就是密文。

解密的过程就是以上的反过程，为：

1.                生成各轮需要的扩展密钥

2.                将待解密的数据与最后一组密钥异或

3.                进行Nr-1轮以下的操作：
            invShiftRows（state）                                进行反行变换
           invSubBytes（state）                                   对数据进行反S字节变换

          AddRoundKey(state, Keys[ 当前轮] )            与当前轮的密钥进行异或
          invMixColumns(state)                                     进行反列混合变换

4.                最后一轮操作，基本与上面各轮相同，仅仅不做反列混合变换：
invShiftRows（state） 进行反行变换
invSubBytes（state）  对数据进行反S字节变换
AddRoundKey(state, Keys[ 第一组] ) 与第一组密钥进行异或

 

下面说明一下扩展密钥的生成。扩展密钥的前面Nk个字就是用户输入的密钥，Nk为4、6或8，如果用户输入的不是这个长度的，应该补足这个长度，至于用什么补，好像没什么规定，一般应该是用0补吧。另外，扩展密钥需要用到以下的这个常数数组，为：

Rcon＝{ 0x01000000 , 0x02000000,0x04000000,0x08000000,0x10000000,0x20000000

0x40000000,0x80000000, 0x1b000000,0x36000000}

注意这个表示方式是在大端模式的处理器上的表示方式，如果在小端模式上要倒过来，总而言之，非零的那个字节是按存储字节顺序的第一个字节

扩展密钥的生成，先拷贝Nk个字的用户密钥作为前面的密钥，然后执行以下伪代码操作：

I=Nk;

While ( I < 4*(Nr+1))

        Temp=Keys[i-1]

        If ( I mod Nk ==0 ) //即i为Nk的整倍数

               Temp= SubWord ( RotWord (Temp) ) //将Temp循环左移一字节，再进行S变换

               Temp=Temp xor Rcon[ i/Nk]  //与轮常数异或

          Else if ( Nk>6 and I mod Nk==4) //实际上就是当Nk为8时，对第12、20、28轮要进行特殊操作

               Temp ＝ SubWord(Temp)   //即进行一次S变换

        End if

        Key[i]= Temp xor Key[i-Nk] 

        I=I+1

End while

 

好了，该说说那个特殊的乘法和加法运算法则了。这是一个在GF[2,8]域内的运算，到底应该怎么解释我也说不清，大概意思就是它的运算结果是封闭在2**8这个域，也就是0~255内的，也就是一个字节。

这个加法运算实际上就是异或运算，即A+B 操作为A xor B。在这种运算下，加法和减法是一样的，也即 A+A ＝ A xor A =0，而不是等于2A。

它的乘法是则是一种多项式乘法，并且超过8位时候，要进行对常数0x11b的模二除法运算，也就是求CRC时的那种运算。

最简单的情况，如果A*2，就是 （A<<1） xor （A>>7）*0x11b，即A左移一位，如果A的最高位为1，则再与0x11b进行一次异或。而A*4＝A*2*2，A*8＝A*2*2*2……，实际上轮常数Rcon就是该域下的2的(Nr-1)次方。而A*(B+C)=A*B+A*C，则A*0xff可表示为 A*128+A*64 +……+A的和。

在这种运算法则下，一个数A的256次方总等于A，也即A的255次方等于1，也就A * pow(A,254) 等于1，定义如果 A*B＝＝1，则称B＝pow(A,-1) , 或称AB互为倒数，可知其实 pow(A,-1)＝pow(A,254)，这也是求A的倒数的一种方法。

而列变换的矩阵乘法和加法就是这种运算，特别的3*A＝2*A+A，而2*A实际为（A<<1） xor （A>>7）*0x11b，则3*A＝A xor （A<<1） xor （A>>7）*0x11b。

而S_Box的生成和A的代数有关，实际上它的生成关系为

对一个数A，先求其倒数 rA=pow(A,-1)，rshift为循环左移操作，则

S= rA xor rshift( rA ,1) xor rshift( rA ,2) xor rshift( rA,3) xor rshift( rA ,4) xor 0x63

好了，基本上只是要实现AES算法的话，这些就足够了。当然要深入了解和优化还需要了解更多的东西，留到下次再写。