AES的数学基础

8 8)上的多项式运算 字运算：系数在GF(2 信息安全技术
字：4个字节构成的向量 。 4个字节构成的向量可以表示为系数在GF(28)上的 次数小于4的多项式。
0 1 2 3 4 5 6 7 8 9 a b c d e f
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AES alogtable
0 1 2 3 4 5 6 7 8 9 a b c d e f
0 1 95 229 83 76 131 181 254 251 195 159 155 252 69 18 57
如果b7=0，求模结果不变， 否则为乘积结果减去m(x)，即求乘积结果与m(x)的异或。 由此得出x（十六进制数‘02’）乘b(x)可以 先对b(x)在字节内Hale Waihona Puke Baidu移一位（最后一位补0）， 若b7=1，则再与‘1B’（其二进制为00011011）做逐比特异 或来实现， 该运算记为b=xtime(a)。
计算机科学与技术学院 计算机科学与技术学院
1 3 225 52 245 212 158 196 25 22 94 186 182 31 207 54 75
2 5 56 92 4 103 185 87 43 58 226 213 193 33 74 90 221
3 15 72 228 12 169 208 249 125 78 61 100 88 99 222 238 124
计算机科学与技术学院 计算机科学与技术学院
3 3)的多项式表示 有限域GF(2 信息安全技术
GF(23): {000,001,010,011,100,101,110,111}
计算机科学与技术学院 计算机科学与技术学院
3 3)的本原多项式的根表示 有限域GF(2 信息安全技术
α定义为本原多项式 m(x)=x3+x+1的根，即 α3+ α +1=0 和α3 =α +1
乘法运算
要计算GF(28)上的乘法，必须先确定一个GF(2) 上的8次不可约多项式； GF(28)上两个元素的乘积就是这两个多项式的 模乘（以这个8次不可约多项式为模）。 在Rijndael密码中，这个8次不可约多项式确定 为 m(x)= x8+x4+x3+x+1 它的十六进制表示为‘11B’。
计算机科学与技术学院 计算机科学与技术学院
7 255 164 38 204 215 127 240 236 194 192 126 175 9 145 140 253
8 26 247 106 79 98 129 11 47 93 91 130 234 27 168 143 28
9 46 2 190 209 166 152 29 113 231 237 157 37 45 227 138 36
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AES产生过程
1998年8月12日，在首届AES候选会议（first AES candidate conference）上公布了AES的15个 候选算法，任由全世界各机构和个人攻击和评论。 1999年3月，在第2届AES候选会议（second AES candidate conference）上经过对全球各密码机构 和个人对候选算法分析结果的讨论，从15个候选 算法中选出了5个。 这5个是RC6、Rijndael、SERPENT、Twofish 和MARS 2000年10月2日，NIST宣布Rijndael作为新的 AES。至此，经过3年多的讨论，Rijndael终于脱 颖而出。
信息安全技术
例题
例如，‘57’·‘13’可按如下方式实现： ‘57’·‘02’=xtime(57)=‘AE’； ‘57’·‘04’=xtime(AE)=‘47’； ‘57’·‘08’=xtime(47)=‘8E’； ‘57’·‘10’=xtime(8E)=‘07’； ‘57’·‘13’=‘57’·(‘01’+‘02’+‘10’) =‘57’+‘AE’+‘07’=‘FE’。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
加法运算
在多项式表示中，GF(28)上两个元素的和仍然 是一个次数不超过7的多项式，其系数等于两个 元素对应系数的模2加（比特异或）。 由于每个元素的加法逆元等于自己，所以减法 和加法相同。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
信息安全技术
AES算法的数学基础
主讲人：裴士辉 e_mail: shihui_pei @sina.com
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
背景资料:DES
1973年NBS国家标准局 （NIST国家标准与技术研究所） 算法要求： ①算法公开，安全性依赖于密钥而不是算法 ②算法应能测试和验证 ③不同的设备可以相互通信
• 线性密码分析攻击问题，DES不能抵御线性分析
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AES产生过程
1997年4月15日，美国ANSI发起征集AES（advanced encryption standard）的活动，并为此成立了AES工作 小组。此次活动的目的是确定一个非保密的、可以公开 技术细节的、全球免费使用的分组密码算法，以作为新 的数据加密标准。 1997年9月12日，美国联邦登记处公布了正式征集AES候 选算法的通告。 对AES的基本要求是： 比三重DES快、 至少与三重DES一样安全、 数据分组长度为128比特、密钥长度为128/192/256比 特。
a 114 6 217 104 241 179 39 147 50 44 188 111 119 62 133 108
b 150 10 112 184 8 206 105 174 86 116 223 177 153 66 148 180
计算机科学与技术学院 计算机科学与技术学院
c 161 30 144 211 24 73 187 233 250 156 122 200 176 198 167 199
GF(23): {0, α0, α1, α2, α3, α4, α5, α6}
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
8) 有限域GF(28
有限域GF(28)表示特征为2的具有28元素的有限域。 这里表示成系数在{0,1}中的多项式的集合： {b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0} 这样任意的8位二进制数就和有限域中的一个多 项式建立了一一对应的关系。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
练习
计算GF(28)上的两个元素10010010和01100010的 乘积。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
0 0 100 125 101 150 102 126 43 175 44 127 204 151 83 68 103 1 0 4 194 47 143 221 110 121 88 215 12 187 178 57 17 74 2 25 224 29 138 219 253 72 10 168 117 246 62 135 132 146 237 3 1 14 181 5 189 48 195 21 80 122 111 90 144 60 217 222 4 50 52 249 33 54 191 163 155 244 235 23 251 97 65 35 197 5 2 141 185 15 208 6 182 159 234 22 196 96 190 162 32 49
信息安全技术
例题
例题. 计算GF(28)上的两个元素10010001和 00100010的乘积。 答案：10000100
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
x乘法
GF(28)上还定义了一个运算，称之为x乘法， 其定义为
x·b(x)= b7x8+b6x7+b5x6+b4x5+b3x4+b2x3+b1x2+b0 x(mod m(x))
4 17 216 55 20 224 107 16 135 210 71 172 232 165 121 41 132
5 51 115 89 60 59 189 48 146 109 201 239 35 244 139 123 151
6 85 149 235 68 77 220 80 173 183 64 42 101 7 134 141 162
8 8)上的运算 字节运算：有限域GF(2 信息安全技术
1.有限域GF(23) 2.有限域GF(28) 3.有限域GF(28)的加法运算 4.有限域GF(28)的乘法运算
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
3) 有限域GF(23
GF(23)表示域中有23个元素，除0之外的7个元素由 本原多项式构造。 假定其本原多项式为： m(x)=x3+x+1
d 248 34 171 110 40 219 214 32 21 191 142 67 203 81 242 82
e 19 102 230 178 120 118 97 96 63 218 137 197 70 243 13 246
f 53 170 49 205 136 154 163 160 65 117 128 84 202 14 23 1
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AES设计思想
Rijndael密码的设计力求满足以下3条标准： ① 抵抗所有已知的攻击。 ② 在多个平台上速度快，编码紧凑。 ③ 设计简单。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 字节远算 字运算
AES算法的数学基础
计算机科学与技术学院 计算机科学与技术学院
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
背景资料:DES
1968~1974，IBM研制 1976 被定为联邦标准 并命名为DES(Data Encryption Standard) 1981、1987、1993 分别被NIST再次认证
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
• 密钥长度问题
DES的安全强度
• 56-bit 密钥有256 = 72,057,584,037,927,936 ≈ 7.2亿亿 之多 • 技术进步使穷举搜索成为可能
– 1997年1月28日，RSA公司发起破译RC4、RC5、MD2、 MD5，以及DES的活动，破译DES奖励10000美金。明 文是：Strong cryptography makes the world a safer place. 结果仅搜索了24.6%的密钥空间便得到结果，耗 时96天。 – 1998年在一台专用机上(EFF)只要几天时间即可 – 1999年在超级计算机上只要22小时!
AES Logtable
6 26 129 39 225 206 139 30 94 214 11 73 177 220 109 46 254 7 198 239 106 36 148 98 66 202 116 245 236 134 252 71 137 24 8 75 76 77 18 19 179 58 78 79 89 216 59 188 20 180 13 9 199 113 228 240 92 37 107 212 174 203 67 82 149 42 124 99 a 27 8 166 130 210 226 40 172 233 95 31 161 207 158 184 140 b 104 200 114 69 241 152 84 229 213 176 45 108 205 93 38 128 c 51 248 154 53 64 34 250 243 231 156 164 170 55 86 119 192 d 238 105 201 147 70 136 133 115 230 169 118 85 63 242 153 247 e 223 28 9 218 131 145 61 167 173 81 123 41 91 211 227 112 f 3 193 120 142 56 16 186 87 232 160 183 157 209 171 165 7