Klíčový plán AES - AES key schedule

AES používá a klíčový plán rozbalte krátkou klávesu na několik samostatných kulatých kláves. Tři varianty AES mají odlišný počet nábojů. Každá varianta vyžaduje pro každé kolo samostatný 128bitový kulatý klíč plus jeden další.^{[poznámka 1]} Plán klíčů produkuje potřebné kulaté klíče z počátečního klíče.

Kulaté konstanty

Hodnoty $rc i$ v šestnáctkové soustavě
$i$	1	2	3	4	5	6	7	8	9	10
$rc i$	01	02	04	08	10	20	40	80	1B	36

Kruhová konstanta $rcon i$ na kolo $i$ klíčové expanze je 32bitové slovo:^{[poznámka 2]}

{ displaystyle rcon_ {i} = { begin {bmatrix} rc_ {i} & 00_ {16} & 00_ {16} & 00_ {16} end {bmatrix}}}

kde $rc i$ je osmibitová hodnota definovaná jako:

{ displaystyle rc_ {i} = { začátek {případů} 1 & { text {if}} i = 1 2 cdot rc_ {i-1} & { text {if}} i> 1 { text {and}} rc_ {i-1} <80_ {16} (2 cdot rc_ {i-1}) oplus { text {11B}} _ {16} & { text {if}} i > 1 { text {and}} rc_ {i-1} geq 80_ {16} end {cases}}}

kde ${ displaystyle oplus}$ je bitový XOR operátor a konstanty jako $0016$ a $11B 16$ jsou uvedeny v hexadecimální. Ekvivalentně:

{ displaystyle rc_ {i} = x ^ {i-1}}

kde kousky $rc i$ jsou považovány za koeficienty prvku prvku konečné pole ${ displaystyle { rm {{GF} (2) [x] / (x ^ {8} + x ^ {4} + x ^ {3} + x + 1)}}}$ , takže např. ${ displaystyle rc_ {10} = 36_ {16} = 00110110_ {2}}$ představuje polynom ${ displaystyle x ^ {5} + x ^ {4} + x ^ {2} + x}$ .

AES používá až $rcon 10$ pro AES-128 (je potřeba 11 kulatých klíčů), až $rcon 8$ pro AES-192 a až $rcon 7$ pro AES-256.^{[Poznámka 3]}

Klíčový plán

Plán klíče AES pro 128bitový klíč.

Definovat:

$N$ jako délka klíče ve 32bitových slovech: 4 slova pro AES-128, 6 slov pro AES-192 a 8 slov pro AES-256
$K. 0$ , $K. 1$ , ... $K. N -1$ jako 32bitová slova původního klíče
$R$ jako potřebný počet kulatých kláves: 11 kulatých kláves pro AES-128, 13 kláves pro AES-192 a 15 kláves pro AES-256^{[poznámka 4]}
$Ž 0$ , $Ž 1$ , ... $Ž 4 R -1$ jako 32bitová slova rozšířeného klíče^{[poznámka 5]}

Také definujte $RotWord$ jako jednobajtový levý kruhový posun:^{[poznámka 6]}

{ displaystyle operatorname {RotWord} ({ begin {bmatrix} b_ {0} & b_ {1} & b_ {2} & b_ {3} end {bmatrix}}) = { begin {bmatrix} b_ {1} & b_ {2} & b_ {3} & b_ {0} end {bmatrix}}}

a $Dílčí slovo$ jako aplikace AES S-box na každý ze čtyř bajtů slova:

{ displaystyle operatorname {SubWord} ({ begin {bmatrix} b_ {0} & b_ {1} & b_ {2} & b_ {3} end {bmatrix}}) = { begin {bmatrix} operatorname {S} (b_ {0}) & operatorname {S} (b_ {1}) & operatorname {S} (b_ {2}) & operatorname {S} (b_ {3}) end {bmatrix}}}

Pak pro ${ displaystyle i = 0 ldots 4R-1}$ :

{ displaystyle W_ {i} = { begin {cases} K_ {i} & { text {if}} i 6 { text {, a}} i equiv 4 { pmod {N}} W_ {iN} oplus W_ {i-1} & { text {jinak.}} konec {případů}}}

Poznámky

^ Varianty jiné než AES Rijndael vyžadují až 256 bitů rozšířeného klíče na jedno kolo
^ Ve FIPS-197 ${ displaystyle rc_ {i}}$ value je nejméně významný bajt v indexu 0
^ Varianty Rijndael s větší velikostí bloků používají více těchto konstant, až $rcon 29$ pro Rijndael se 128bitovými klíči a 256bitovými bloky (potřebuje 15 kulatých klíčů z každého 256bitového, což znamená 30 celých kol rozšíření klíče, což znamená 29 volání na klíčové jádro plánu pomocí kulatých konstant). Zbývající konstanty pro $i \geq 11$ jsou: 6C, D8, AB, 4D, 9A, 2F, 5E, BC, 63, C6, 97, 35, 6A, D4, B3, 7D, FA, EF a C5
^ Jiné varianty Rijndael vyžadují $max (N, B) + 7$ kulaté klíče, kde $B$ je velikost bloku ve slovech
^ Jiné varianty Rijndael vyžadují $BR$ slova rozšířeného klíče, kde $B$ je velikost bloku ve slovech
^ Rotace je opačná od směru pořadí bajtů. FIPS-197 bajtové adresy v polích se zvyšují zleva doprava^{[odkaz 1]} v malém endianu, ale rotace je zprava doleva. V AES-NI^{[odkaz 2]} a v linuxovém jádře lib / crypto / aes.c^{[odkaz 3]}, pořadí bajtů roste zprava doleva v malém endianu, ale rotace je zleva doprava.

Reference

FIPS PUB 197: oficiální standard AES (PDF soubor)

^ „Publikace Federal Information Processing Standards Standard 197, 26. listopadu 2001, oznamující STANDARD POKROČILÉHO Šifrování (AES)“ (PDF). str. 8. Citováno 2020-06-16.
^ „Sada nových pokynů pro Intel® Advanced Encryption Standard (AES)“ (PDF). str. 13.
^ „aes.c“. Citováno 2020-06-15.

externí odkazy

Popis klíčového plánu Rijndaela
schematický pohled na klíčový plán pro 128 a 256 bitové klíče pro 160bitové klíče o kryptografii Stack Exchange

[1] Varianty jiné než AES Rijndael vyžadují až 256 bitů rozšířeného klíče na jedno kolo

[2] Ve FIPS-197 ${ displaystyle rc_ {i}}$ value je nejméně významný bajt v indexu 0

[3] Varianty Rijndael s větší velikostí bloků používají více těchto konstant, až $rcon 29$ pro Rijndael se 128bitovými klíči a 256bitovými bloky (potřebuje 15 kulatých klíčů z každého 256bitového, což znamená 30 celých kol rozšíření klíče, což znamená 29 volání na klíčové jádro plánu pomocí kulatých konstant). Zbývající konstanty pro $i \geq 11$ jsou: 6C, D8, AB, 4D, 9A, 2F, 5E, BC, 63, C6, 97, 35, 6A, D4, B3, 7D, FA, EF a C5

[4] Jiné varianty Rijndael vyžadují $max (N, B) + 7$ kulaté klíče, kde $B$ je velikost bloku ve slovech

[5] Jiné varianty Rijndael vyžadují $BR$ slova rozšířeného klíče, kde $B$ je velikost bloku ve slovech

[9] Rotace je opačná od směru pořadí bajtů. FIPS-197 bajtové adresy v polích se zvyšují zleva doprava^{[odkaz 1]} v malém endianu, ale rotace je zprava doleva. V AES-NI^{[odkaz 2]} a v linuxovém jádře lib / crypto / aes.c^{[odkaz 3]}, pořadí bajtů roste zprava doleva v malém endianu, ale rotace je zleva doprava.

[6] „Publikace Federal Information Processing Standards Standard 197, 26. listopadu 2001, oznamující STANDARD POKROČILÉHO Šifrování (AES)“ (PDF). str. 8. Citováno 2020-06-16.

[7] „Sada nových pokynů pro Intel® Advanced Encryption Standard (AES)“ (PDF). str. 13.

[8] „aes.c“. Citováno 2020-06-15.

[poznámka 1]

[poznámka 2]

[Poznámka 3]

[poznámka 4]

[poznámka 5]

[poznámka 6]

[odkaz 1]

[odkaz 2]

[odkaz 3]