3.3.5. Алгоритм aes (Rijndael)
Алгоритм
– победитель конкурса AES,
объявленный в 2000 году, был разработан
двумя бельгийскими криптографами
Дименом (Daemen)
и Рийменом (Rijmen).
Эта криптосистема не является обобщением
шифра Фейстеля. В основе алгоритма –
повторяющиеся раунды, каждый из которых
состоит из замен, перестановок и
прибавления ключа. Кроме того, AES
использует сильную математическую
структуру: большинство его операций
основано на арифметике поля
.
Однако в отличие от DES
зашифрование и расшифрование в этом
алгоритме – процедуры разные. Элементы
поля
хранятся в памяти компьютера в виде
8-битовых векторов (байтов). Например
последовательность ‘1000 0011b’
соответствует многочлену X
7
+ X
+ 1 над полем F2
или
шестнадцатиричному числу ‘83h’.
Арифметические операции в поле соответствуют операциям над двоичными многочленами из F2[X] по модулю неприводимого многочлена
m(X) = X 8 + X 4 + X 3 + X + 1.
В алгоритме AES 32-битовые слова отождествляются с многочленами степени 3 из [X]. Отождествление делается в формате «перевертыш», то есть старший бит соответствует младшему коэффициенту многочлена. Так, например, слово
a0||a1||a2||a3
соответствует многочлену
a3X 3 + a2X 2 + a1X + a0.
Арифметика в алгоритме совпадает с арифметическими действиями в кольце многочленов [X] по модулю многочлена M(X) = X 4 + 1. Заметим, что многочлен M(X) = (X + 1)4 приводим, и, следовательно, арифметические действия в алгоритме отличны от операций поля, в частности, бывают пары ненулевых элементов, произведение которых равно 0.
AES – настраиваемый блочный алгоритм, который может работать с блоками из 128, 192 или 256 битов. Для каждой комбинации размера блока и размера ключа определено свое количество раундов. Здесь рассматривается самый простой вариант алгоритма, при котором блоки, как и ключ, состоят из 128 битов. В этом случае в алгоритме выполняется 10 раундов.
Алгоритм оперирует с внутренней байтовой матрицей размера 4 на 4, называемой матрицей состояний:
,
которую обычно записывают как вектор 32-битовых слов. Каждое слово в векторе представляет собой столбец матрицы. Подключи также хранятся в виде матрицы 4 на 4:
.
Операции алгоритма AES
Раундовая функция алгоритма действует с использованием четырех операций.
SubBytes. В алгоритме есть два типа S-блоков. Один применяется при зашифровании, а другой – при расшифровании. S-блоки имеют прозрачную математическую структуру. Они поочередно обрабатывают строки матрицы состояний s = [s7, ..., s0], воспринимая их как элементы поля . Их работа состоит из двух шагов.
Вычисляется мультипликативный обратный к элементу
и записывается как новый байт x
= [x7,
..., x0].
По соглашению, элемент [0, ..., 0], не имеющий
обратного, остается неизменным.Битовый вектор x при помощи линейного преобразования над полем F2 переводится в вектор y:
,
служащий выходом S-блока. Действия S-блока на стадии расшифрования состоят в обратном линейном преобразовании и вычислении мультипликативного обратного. Эти преобразования байтов можно осуществить, используя табличный поиск или микросхему, реализующую вычисление обратных элементов в и линейные преобразования.
ShiftRows. Операция осуществляет циклический сдвиг матрицы состояний. Каждая из ее строк сдвигается на свое число позиций. В рассматриваемой версии шифра это преобразование имеет вид:
Обратная операция – тоже циклический сдвиг, но в противоположном направлении. Данная операция является рассеивающим преобразованием на протяжении нескольких раундов.
MixColumns. Операция в сочетании с предыдущей является рассеивающим преобразованием и обеспечивает зависимось каждого выходного байта от каждого входного.
Каждый столбец матрицы представляется в виде многочлена степени 3 с коэффициентами из :
a(X) = a0 + a1X + a2X2 + a3X3.
Новый столбец получается умножением многочлена a(X) на фиксированный многочлен
с(x) = ‘02h’ + ‘01h’· X + ‘01h’· X2 + ‘03h’· X3.
по модулю многочлена M(X) = X 4 + 1. Так как умножение на многочлен линейная операция, ее можно представить в виде действия матрицы:
.
Матрица коэффициентов невырождена над , поэтому операция обратима, а обратимое к ней действие реализуется матрицей, обратной к выписанной.
AddRoundKey. Сложение с подключом осуществляется побайтово по модулю 2 для каждого байта матрицы состояний с соответствующим элементом матрицы подключа. обратная операция, очевидно, совпадает с исходной.
Структура раундов.
Шифрование в алгоритме AES запишется в псевдокоде следующим образом:
AddRoundKey(S,K[0]);
For i:= 1 to 9 do Begin SubBytes(S); ShiftRows(S); MixColumns(S); AddRoundKey(S,K[i]) End;
SubBytes(S);
ShiftRows(S);
AddRoundKey(S,K[10])
Блок открытого текста, предназначенный для шифрования, записывается в виде матрицы состояний S. Полученный в результате алгоритма шифротекст представляется той же матрицей. В последнем раунде операция MixColumns не осуществляется.
Процедура расшифрования в псевдокоде:
AddRoundKey(S,K[10]);