wonderfulpjz<em> 阅读(67) 评论(0)
转载自:https://www.cnblogs.com/xiehongfeng100/p/4315395.html

 非常值得参考的是官方文档,它详细介绍了AES及其实验过程。博文AES加密算法的C++实现就是基于该文档的介绍及实现,是难得的一篇好文,故在本文最后会附上该文,以作备份。

  还有很值得推荐的就是AES的动画演示,做的很形象,非常有助于理解!

    对AES而言,它采用了“代换-置换网络”结构(Substitution-Permutation Network, SPN)。其最复杂的计算在于列混淆,而列混淆的复杂又来自有限域的乘法;另外,一方面,我们还要考虑加密过程中需要考虑的字节填充。下边将进行介绍。

1. 有限域乘法

  这部分主要参考自《密码编码学与网络安全——原理与实践》(第五版)(P. 96-97)。

  在该书中,作者提到“本质上说,域就是一个集合,我们可以在其上进行加法、减法、乘法和除法而不脱离该集合”。有限域是域的一种,它指的是阶(元素个数,记为p)有限的域,记为GF(p),其中有限域的阶必须是一个素数的幂p'^n(p'为素数,n为正整数)。GF(2^n)是在密码学中用得很多的有限域,它表示该域总共只有2^n个元素。特别地,GF(2^8)被用于AES的加解密。GF(2^8)是一个包含256个元素的域,它的每一个元素被赋值为0~2^8-1中的唯一整数(注意这里提到的,它意味着GF(2^8)的每一个元素同样可以取其他范围的值(不在0~2^8-1),但就是要满足域的条件)。在AES中,用到的有限域是GF(2^8),它的每一个元素被赋值为0~2^8-1中的唯一整数。

  同时,在该书中,作者还提出GF(2^n)的乘法计算公式如下:

 

  

  详细推导请参考该书P. 96。

  下边参考博文有限域GF(2^8)内乘法代码实现以及原理(这篇博文开头对有限域的说明有点问题,作者貌似是把有限域理解成因为该域内的元素的值是有范围的,所以才叫有限域)的例子来说明如何进行GF(2^8)有限域乘法。

  在二进制中,所有的数都能用0x01,0x02,0x04,0x08,0x10,0x20,0x40,0x80异或得到,0x01,0x02,0x04,0x08,0x10,0x20,0x40,0x80的二进制表示如下:

  

      后一个分别是前一个的2倍。假设任意一个数a,他的二进制表示为10101101,可以由以下组合组成:

  

       而任何一个数x和a相乘都可以表示为

  

  所以只要计算出

  

最后再对这些结果进行异或就可以求出最终的乘法结果。那如何求0x3a*0x24?

      首先0x3a=00111010,分别求

  

  0x24=00100100,所以0x3a*0x24=0x3a*00100100=0x04*0x3a^0x20*0x3a=0xe8^0x01=0xe9.

  作者还附带了一个C/C++程序来计算GF(2^8)有限域乘法:

unsigned char XTIME(unsigned char x) 
{ return ((x << 1) ^ ((x & 0x80) ? 0x1b : 0x00));
}
unsigned char multiply(unsigned char a, unsigned char b) 
{
    unsigned char temp[8] = { a };
    unsigned char tempmultiply = 0x00; int i = 0; for (i = 1; i < 8; i++) 
    {
        temp[i] = XTIME(temp[i - 1]);
    }
    tempmultiply = (b & 0x01) * a; for (i = 1; i <= 7; i++) 
    {
        tempmultiply ^= (((b >> i) & 0x01) * temp[i]);
    } return tempmultiply;
}

  关于程序的解释可以参考该博文。

2. 字节填充

  AES是分块计算,当数据内容不足,16字节(128 bit AES),24字节(192 bit AES),32字节(256 bit AES),不足部分就需要填充。维基百科翻译)上面列举填充方式有如下几种:
  1)ANSI X.923
  不足部分填充0,最后一字节为填充字节数。如下面8字节的块,需要填充4字节时:
  … | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 04 |
  2)ISO 10126
  不足部分填充随机数字,最后一字节为填充字节数。如下面8字节的块,需要填充4字节时:
  … | DD DD DD DD DD DD DD DD | DD DD DD DD BC DA EF 04 |
  3)PKCS7与PKCS5
  不足部分填充为需要填充字节数。若数据大小是分块大小N的倍数时,则增加一个全为N的分块。如下面8字节的块,需要填充4字节时:
  … | DD DD DD DD DD DD DD DD | DD DD DD DD 04 04 04 04 |
  4)ISO/IEC 7816-4
  不足的部分,首先填充一个0×80,剩余部分全为0。如下面8字节的块,需要填充4字节时:
  … | DD DD DD DD DD DD DD DD | DD DD DD DD 80 00 00 00 |
  要求数据内容本身不包含0×80
  5)Zero padding
  不足部分全部填充0。如下面8字节的块,需要填充4字节时:
  … | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 00 |
  这种方法不能区分数据内容本身末尾包含0的情况,因而也不是标准的填充方式。

  本人在实现的时候采用的是ANSI X.923标准。

 

3. 个人实现

   代码请见Github.

4. 博文AES加密算法的C++实现摘录

  摘要:作为新一代的加密标准,AES 旨在取代 DES(请看《DES加密算法的C++实现》),以适应当今分布式开放网络对数据加密安全性的要求。本文在分析了 AES 加密原理的基础上着重说明了算法实现的具体步骤,并用 C++ 实现了对文件的加密和解密。

  一、AES 介绍

  AES(高级加密标准,Advanced Encryption Standard),在密码学中又称 Rijndael 加密法,是美国联邦政府采用的一种分组加密标准。这个标准用来替代原先的 DES,目前已经广为全世界所使用,成为对称密钥算法中最流行的算法之一。

  在 AES 出现之前,最常用的对称密钥算法是 DES 加密算法,它在 1977 年被公布成为美国政府的商用加密标准。DES 的主要问题是密钥长度较短,渐渐不适合于分布式开放网络对数据加密安全性的要求。因此,1998年美国政府决定不再继续延用 DES 作为联邦加密标准,并发起了征集 AES 候选算法的活动。征集活动对 AES 的基本要求是: 比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。

  经过三年多的甄选,比利时的密码学家所设计的 Rijndael 算法最终脱颖而出,成为新一代的高级加密标准,并于 2001 年由美国国家标准与技术研究院(NIST)发布于 FIPS PUB 197

  二、AES 算法原理

  AES算法(即 Rijndael 算法)是一个对称分组密码算法。数据分组长度必须是 128 bits,使用的密钥长度为 128,192 或 256 bits。对于三种不同密钥长度的 AES 算法,分别称为“AES-128”、“AES-192”、“AES-256”。(Rijndael 的设计还可以处理其它的分组长度和密钥长度,但 AES 标准中没有采用)

  下图是 AES 加密解密的整体流程图:

  

  这里我们需要知道3个符号:Nb—— 状态 State 包含的列(32-bit 字)的个数,也就是说 Nb=4;Nk—— 密钥包含的 32-bit 字的个数,也就是说 Nk=4,6 或 8;Nr—— 加密的轮数,对于不同密钥长度,轮数不一样,具体如下图所示:

  

  下面分为密钥扩展、分组加密、分组解密三个部分来讲 AES 算法,我会尽可能地简明扼要,若还有不懂的,请自行 Google。

  1)密钥扩展

  AES 算法通过密钥扩展程序(Key Expansion)将用户输入的密钥 K 扩展生成 Nb(Nr+1)个字,存放在一个线性数组w[Nb*(Nr+1)]中。具体如下:

  1. 位置变换函数RotWord(),接受一个字 [a0, a1, a2, a3] 作为输入,循环左移一个字节后输出 [a1, a2, a3, a0]。

  2. S盒变换函数SubWord(),接受一个字 [a0, a1, a2, a3] 作为输入。S盒是一个16x16的表,其中每一个元素是一个字节。对于输入的每一个字节,前四位组成十六进制数 x 作为行号,后四位组成的十六进制数 y 作为列号,查找表中对应的值。最后函数输出 4 个新字节组成的 32-bit 字。

  3. 轮常数Rcon[],如何计算的就不说了,直接把它当做常量数组。

  4. 扩展密钥数组w[]的前 Nk 个元素就是外部密钥 K,以后的元素w[i]等于它前一个元素w[i-1]与前第 Nk 个元素w[i-Nk]的异或,即w[i] = w[i-1] XOR w[i-Nk];但若 i 为 Nk 的倍数,则w[i] = w[i-Nk] XOR SubWord(RotWord(w[i-1])) XOR Rcon[i/Nk-1]。

  注意,上面的第四步说明适合于 AES-128 和 AES-192,详细的伪代码如下:

  

  密钥扩展程序的 C++ 代码(AES-128):

 KeyExpansion

  测试输出结果:

  

  2)加密

  根据 AES 加密的整体流程图(本文开头),伪代码如下:

  

  从伪代码描述中可以看出,AES 加密时涉及到的子程序有SubBytes()、ShiftRows()、MixColumns()和AddRoundKey()。下面我们一个一个进行介绍:

  ① S盒变换-SubBytes()

  在密钥扩展部分已经讲过了,S盒是一个 16 行 16 列的表,表中每个元素都是一个字节。S盒变换很简单:函数SubBytes()接受一个 4x4 的字节矩阵作为输入,对其中的每个字节,前四位组成十六进制数 x 作为行号,后四位组成的十六进制数 y 作为列号,查找表中对应的值替换原来位置上的字节。

  ② 行变换-ShiftRows()

行变换也很简单,它仅仅是将矩阵的每一行以字节为单位循环移位:第一行不变,第二行左移一位,第三行左移两位,第四行左移三位。如下图所示:

  

  ③ 列变换-MixColumns()

  函数MixColumns()同样接受一个 4x4 的字节矩阵作为输入,并对矩阵进行逐列变换,变换方式如下:

  

  注意公式中用到的乘法是伽罗华域(GF,有限域)上的乘法,高级加密标准文档 fips-197 上有讲,如果还是不懂,请自行Google。

  

  ④ 与扩展密钥的异或-AddRoundKey()

  扩展密钥只参与了这一步。根据当前加密的轮数,用w[]中的 4 个扩展密钥与矩阵的 4 个列进行按位异或。如下图:

  

  好了,到这里 AES 加密的各个部分就讲完了。算法实现的 C++ 源码在文章后面第三部分。

   3)解密

  根据 AES 解密的整体流程图(本文开头),伪代码如下:

  

  从伪代码可以看出,我们需要分别实现 S 盒变换、行变换和列变换的逆变换InvShiftRows()、InvSubBytes()和InvMixColumns()。下面就简单的讲一下这三个逆变换:

  ① 逆行变换-InvShiftRows()

  上面讲到ShiftRows()是对矩阵的每一行进行循环左移,所以InvShiftRows()是对矩阵每一行进行循环右移。

  

  ② 逆 S 盒变换-InvSubBytes()

  与 S 盒变换一样,也是查表,查表的方式也一样,只不过查的是另外一个置换表(S-Box的逆表)。

  ③ 逆列变换-InvMixColumns()

  与列变换的方式一样,只不过计算公式的系数矩阵发生了变化。如下图:

  

  好了,AES 解密到这里也讲完了。只要写出三个逆变换的函数,然后根据伪代码就很容易实现 AES 解密算法了。

  三、C++实现

  下面我用 C++ 实现 AES 的加密和解密算法,并实现了对文件的加密和解密。这里我使用 C++ STL 的bitset定义了两个类型:byte和word。需要提到的是,对于有限域上的乘法,我们既可以通过查表(6个结果表),也可以写一个函数来实现。当然,查表的效率会更高,但考虑到贴代码,这里我就用一个函数来实现的。

  下面是 AES-128 对一个 128 位数据加密和解密的源代码:

 View Code

  测试用例如下图:

  

  测试结果截图:

  

  可见,测试结果和预期输出相同,表明对数据的加密和解密成功!!!

  下面我们来写 AES 对文件的加密和解密,在对 128 位的数据加解密成功以后,对文件的加解密就很简单了!只需要每次读 128 位,加密以后,将 128 位的密文写入另外一个文件…..如此循环,直到文件尾。下面是对一张图片进行 AES 加密和解密的测试代码(效率先不管了,有时间我再优化):

 View Code

  (全文完)

 

  更新 —— 2014.12.21

  有限域 GF(28) 上的乘法改用查表的方式实现,AES的加密速度马上提升 80% 以上,所以建议最好使用查表的方式。下面是 AES 算法中用到的 6 个乘法结果表:

 

 View Code