基础知识

需要先了解什么是有限域, 伽罗瓦有限域, GF(2⁸), 否则就是看天书

AES

AES的本质:　替换, 移位, 异或, 每一步都是可逆的

ISO/IEC 18033-3, 不是免费文档.
http://www.doc88.com/p-6405051328829.html
https://tools.ietf.org/html/rfc3962

AES每次加密128 bits数据plaintext, 也就是16字节.
AES128的key为128 bits, 执行10轮加密, 记为Nr = 10
AES192的key为192 bits, 执行12轮加密 记为Nr = 12
AES256的key为256 bits, 执行14轮加密 记为Nr = 12

加密过程如下:

1. 初始始State表, S = P

2. S = AddRoundKey(S, W₀), 这里的W₀也是一个4X4的矩阵

3. for i=1 to (Nr-1) : { //重复Nr-1次
   S = SubBytes(S)
   S = ShiftRows(S)
   S = MixColumns(S)
   S = AddRoundKey(S, W_i)
   }

4. S = SubBytes(S)
   S = ShiftRows(S)
   C = AddRoundKey(S, W_Nr)
   C即为最后的密文

解释
Wi为4X4的矩阵, 为 [w_(4i),w_(4i+1),w_(4i+2),w_(4i+4)]
小写的w是单列数据, 由密钥key扩展生成, 规则见下面的章节

代码演示
https://github.com/wzjwhut/aes-encryption

以下是每一个步骤的说明

初始化State表

假设这plaintext 16个字节的数据分别为
p₀, p₁, p₂, … p₁₅

首先, 创建一个4x4的表s, 这个表称为State表

使用plaintext来初始化s
按照从上往下, 从左往右的顺序填充State表

替换SubBytes()

有一张称为S-box的表, 将S表中的值替换成S-box中的的值, 规则如下
假设s_i,j的16进制显示为mn, 其中m∈[0, f], n∈[0,f], 那么
s_i,j被替换成S-box_m,n
S-box https://en.wikipedia.org/wiki/Rijndael_S-box , 这个表是通过有限域的仿射变换生成的
举例, 设 s_i,j = 83 = 0x53, 那么使用S-box_5,3 = 0xed 替换, 也就是0x53被0xed替换.
S-Box的生成规则:
首先找出GF(2⁸)中的互为乘法逆元的元素对, 然后对这些元素执行Rijndael变形.

逆替换SubBytes^-1()

SubBytes^-1() 是SubBytes()还原操作
上例中, 也就是0x53被0xed替换. 还原操作就是将0xed再还原成0x53, 也是使用查表法
https://en.wikipedia.org/wiki/Rijndael_S-box 上有生成好的还原表.

行移位ShiftRows()

规则
S_{r, c} = S_{r, (c+r) mod 4} , (0<r<4, 0≤c<4)
也就是, 第1行不变换, 剩下的3行需要变化.
比如
S_{1, 0} = S_{1, 1},
S_{1, 1} = S_{1, 2},
S_{1, 2} = S_{1, 3},
S_{1, 3} = S_{1, 0},
也就是, 第2行的数据循环向左移了1个位置. 依次类推:
第3行的数据循环向左移了2个位置
第4行的数据循环向左移了3个位置

逆行移位变换ShiftRows^-1()

这是移位变换的还原操作, 也就是
第2行的数据循环向右移1个位置
第3行的数据循环向右移2个位置
第4行的数据循环向右移3个位置

列混合变换MixColumns()

公式为
S^’_0,c = ( 2 • S_0,c ) ⊕ ( 3 • S_1,c) ⊕ S_2,c ⊕ S_3,c
S^’_1,c = S_0,c ⊕ ( 2 • S_1,c ) ⊕ ( 3 • S_2,c) ⊕ S_3,c
S^’_2,c = S_0,c ⊕ S_1,c⊕ ( 2 • S_2,c ) ⊕ ( 3 • S_3,c)
S^’_2,c = ( 3 • S_0,c) ⊕ S_1,c ⊕ S_2,c⊕ ( 2 • S_3,c )

其中
⊕ 表示异或操作, 也可以认为是有限域GF( 2⁸ )中的加法操作
• 表示有限域GF( 2⁸ )的乘法操作. 不是整数上的乘法操作. 代码实现可参考
https://en.wikipedia.org/wiki/Finite_field_arithmetic#Rijndael.27s_finite_field
https://blog.csdn.net/wzj_whut/article/details/86521447

这个操作也可以写成矩阵形式

$\begin{bmatrix} S_{0,c}^{&#x27;} \\S_{1,c}^{&#x27;} \\S_{2,c}^{&#x27;}\\S_{3,c}^{&#x27;} \end{bmatrix} = \begin{bmatrix} 2 &amp; 3 &amp; 1 &amp; 1 \\1 &amp; 2 &amp; 3 &amp; 1 \\1 &amp; 1 &amp; 2 &amp; 3 \\3 &amp; 1 &amp; 1 &amp; 2 \end{bmatrix} \begin{bmatrix} S_{0,c}\\S_{1,c} \\S_{2,c}\\S_{3,c} \end{bmatrix}$

逆列混合变换MixColumns^-1()

公式为
S^’_0,c = ( 0e • S_0,c ) ⊕ ( 0b • S_1,c) ⊕ (0d • S_2,c ) ⊕ ( 09 • S_3,c )
S^’_0,c = ( 09 • S_0,c ) ⊕ ( 0e • S_1,c) ⊕ (0b • S_2,c ) ⊕ ( 0d • S_3,c )
S^’_0,c = ( 0d • S_0,c ) ⊕ ( 09 • S_1,c) ⊕ (0e • S_2,c ) ⊕ ( 0b • S_3,c )
S^’_0,c = ( 0b • S_0,c ) ⊕ ( 0d • S_1,c) ⊕ (09 • S_2,c ) ⊕ ( 0e • S_3,c )

矩阵形式(中间的矩阵是16进制表示的)
$\begin{bmatrix} S_{0,c}^{&#x27;} \\S_{1,c}^{&#x27;} \\S_{2,c}^{&#x27;}\\S_{3,c}^{&#x27;} \end{bmatrix} = \begin{bmatrix} e &amp; b &amp; d &amp; 9 \\9 &amp; e &amp; b &amp; d \\d &amp; 9 &amp; e &amp; b \\b &amp; d &amp; 9 &amp; e \end{bmatrix} \begin{bmatrix} S_{0,c}\\S_{1,c} \\S_{2,c}\\S_{3,c} \end{bmatrix}$

密钥扩展Key schedule

对于AES128来说, 初始key为16个字节, 第4字节记为1列, 共4列, 记Nk=4, Nr=10 (10轮操作)
(对于AES196来说, 初始key为24个字节, 共6列, 记Nk=6, Nr=12, 其它同理)
密钥扩展的意思是: 将初始密钥扩展到4*(Nr+1) -1列

伪代码如下, (小写的w_i 表示第i列数据, 不是矩阵):

for j = Nk to ( 4*(Nr+1) -1 )
if( j mod Nk == 0 ) then
w_j = w_j-Nk ⊕ SubBytes( ShiftColumn(w_j-1)) ⊕ R ^j/Nk_c
else
w_j = w_j-Nk ⊕ w_j-1

解释:
ShiftColumn表示将这列数据循环上移1个位置.
SubBytes( ShiftColumn(w_j-1)) 表示循环上移1个位置之后, 再使用S-Box执行替换操作
R ^j/Nk_c的计算规则为GF(2⁸)的元素同余操作
x^{j/Nk -1} mod ( x⁸+x⁴+x³+x+1)
可以按照以下规则进行代码编写(也可以查表)
https://en.wikipedia.org/wiki/Rijndael_key_schedule

AddRoundKey()

W_i = [w_(4i), w_(4i+1), w_(4i+2), w_(4i+3)], 0≤i≤Nr
对State表的每列, 执行以下操作
$\begin{bmatrix} S_{0,c}^{&#x27;} \\S_{1,c}^{&#x27;} \\S_{2,c}^{&#x27;}\\S_{3,c}^{&#x27;} \end{bmatrix} = \begin{bmatrix} S_{0,c}\\S_{1,c} \\S_{2,c}\\S_{3,c} \end{bmatrix} ⊕ \begin{bmatrix} w_{(4*i +c)} \end{bmatrix}$

Key,PlainText未对齐16字节的处理

最简单的方式, 就是补零. 如果是加密字符串, 那么就很好处理, 遇到0, 就认为是结束符.
对于二进制的数据, 需要依赖更上层的封装协议来指明padding占用的字节长度.

AES模式

https://ws680.nist.gov/publication/get_pdf.cfm?pub_id=51031
ECB: 最简单的方式, (原文,密钥) => 密文
CBC: 先将原文与IV异或, 再加密, (原文⊕IV ,密钥) => 密文
CFB: 过程比较复杂, 自己看文档吧. 大概就是, 上个数据块的输出, 会作为下个数据块的输入.
CTR: 复杂, 自己看文档吧.