第5章AES.pptVIP

当前的大多数分组密码，其轮函数是Feistel结构，即将中间状态的部分比特不加改变地简单放置到其他位置。Rijndael没有这种结构，其轮函数是由3个不同的可逆均匀变换组成的，称它们为3个“层”。所谓“均匀变换”是指状态的每个比特都是用类似的方法进行处理的。不同层的特定选择大部分是建立在“宽轨迹策略”的应用基础上的。简单地说，“宽轨迹策略”就是提供抗线性密码分析和差分密码分析能力的一种设计。 * 在第一轮之前，用了一个初始密钥加层，其目的是在不知道密钥的情况下，对最后一个密钥加层以后的任一层（或者是当进行已知明文攻击时，对第一个密钥加层以前的任一层）可简单地剥去，因此初始密钥加层对密码的安全性无任何意义。许多密码的设计中都在轮变换之前和之后用了密钥加层，如IDEA、SAFER和Blowfish。 为了使加密算法和解密算法在结构上更加接近，最后一轮的线性混合层与前面各轮的线性混合层不同，这类似于DES的最后一轮不做左右交换。可以证明这种设计不以任何方式提高或降低该密码的安全性。 为实现宽轨迹策略，轮函数3个层中的每一层都有它自己的功能： 线性混合层 确保多轮之上的高度扩散； 非线性层 将具有最优的“最坏情况非线性特性”的S盒并行使用； 密钥加层 单轮子密钥简单地异或到中间状态上，实现一次性掩盖。 * 回顾第四章的内容 * 在以上伪C代码记法中，State、RoundKey 可用指针类型，函数Round、FinalRound、ByteSub、ShiftRow、MixColumn、AddRoundKey都在指针State、RoundKey所指向的阵列上进行运算。 * 七、AES的解密算法 证明：组合部件“ByteSub→ShiftRow”的逆变换原本为“InvShiftRow→InvByteSub”。由于字节代换（ByteSub）是对每个字节进行相同的变换，故“InvShiftRow”与“InvByteSub”两个计算部件可以交换顺序。（证毕） 七、AES的解密算法 引理3.2 设列混合（MixColumn）的逆变换为InvMixColumn。则列混合部件与密钥加部件（AddRoundKey）的组合部件“MixColumn→AddRoundKey (·, Key)”的逆变换为“InvMixColumn→AddRoundKey (·, InvKey)”。 其中密钥InvKey与Key的关系为： InvKey=InvMixColumn (Key)。 七、AES的解密算法 证明： 组合部件“MixColumn→AddRoundKey (·, Key)” 的逆变换原本为“AddRoundKey (·, Key)→InvMixColumn”，由于列混合（MixColumn）实际上是线性空间GF(28)4上的可逆线性变换，因此“AddRoundKey (·, Key)→InvMixColumn” =“InvMixColumn→AddRoundKey (·, InvMixColumn (Key))”（证毕） 七、AES的解密算法 引理3.3 将某一轮的后两个计算部件和下一轮的前两个计算部件组成组合部件，该组合部件的程序为 MixColumn (State)； AddRoundKey (State, Key(i)); ByteSub (State); ShiftRow (State) 则该组合部件的逆变换程序为 InvByteSub (State); InvShiftRow (State); InvMixColumn (State); AddRoundKey (State, InvMixColumn (Key(i))) 七、AES的解密算法 证明：这是引理3.1和引理3.2的直接推论。 注意到在引理3.3所描述的逆变换中，第2步到第4步在形状上很像加密算法的轮函数，这将是解密算法的轮函数。注意到结尾轮只有3个计算部件，因此可以得到如下定理。 七、AES的解密算法 定理2 Rijndael密码的解密算法为顺序完成以下操作：初始的密钥加；(Nr-1)轮迭代；一个结尾轮。其中解密算法的轮函数为 InvRound (State, RoundKey) { InvByteSub (State); InvShiftRow (State); InvMixColumn (State); AddRoundKey (State, RoundKey) } 七、AES的解密算法 解密算法的结尾轮为 InvFinalRound (State, RoundKey) { InvBy