AESは暗号化に関するアメリカの標準です。パートIII

AES標準に関するそのような詳細なテキストを公開する動機は、暗号化アルゴリズムの独立したソフトウェア実装を開発するだけでなく、暗号に対する潜在的な暗号解析攻撃のアルゴリズムを作成する、つまり、キーを知らなくても暗号文を復号化するのに十分な、詳細にそれを理解する機会を提供することです...



ネットワークで利用できるこれらの出版物は、これらの目標を達成しておらず、専門家のトレーニングの過程で私が使用することはできません。



暗号の主な古い（または古い）要件の1つは、オープンな（研究にアクセス可能な）暗号化アルゴリズムを作成し、暗号キーを除くすべて（モード、プロトコルなど）をラップすることです。重要なのは、誰からも厳格な秘密を守ることです。この場合、キーは「秘密」に分類する必要はありません。そのような条件の限界は、暗号文の受信者だけが鍵を所有することであり、原則として、彼自身がそれを設定する必要があります。



対称暗号化システムの場合、この条件は実現できません。そして、これは非対称（2キー）システムと対称システムの根本的な違いであり、重要な情報漏洩の原因が唯一のものではない可能性があります。 AESはRIJNDAEL暗号の単純化されたバージョンであり、ここでは代わりに完全バージョンを使用することに注意してください。

AES (Key Schedule).

メッセージを暗号化するときに鍵を選択することは、責任のある作業です。一般的なアプローチは、多次元ベクトル空間のランダムバイナリベクトルが選択され、鍵に使用されることです。多くの暗号化アルゴリズムと暗号は、弱い鍵または無効な鍵の存在によって特徴付けられることが多く、暗号の開発中または追加の研究中の操作中に明らかにされます。著者または暗号学者アナリストによるアルゴリズム、したがって、それに関する出版物。



次に、これはキー生成手順に制限を課します。これは、それを複雑にするので望ましくありません。暗号化に関する数学的基礎は、鍵を生成するための数学的基礎と非常に似ており、それらについて詳しくは、こちらをご覧ください。



選択されたバイナリベクトルは暗号鍵と呼ばれ、4x4 = 16バイトの「正方形」に変換されます。次に、ここで詳細に説明する暗号化/復号化プロセスで使用される2つの特別な手順を使用して、ラウンドキーがそこから形成されます。



1つの手順はキー拡張と呼ばれ、もう1つの手順はラウンドキー選択と呼ばれます。固定長の選択されたランダムバイナリベクトルが展開されます。乱数ジェネレータの選択を注意深く検討し、テストして承認することも重要です。

キー拡張

元の（選択された）キーを拡張することの意味は、それを非ブロック（各32ビット）に分割し、そこから各ラウンドで同じ長さの多くの新しいブロックを生成することです。

したがって、選択した（128ビット）暗号鍵をAES = 2b 7e 15 16 28 ae d2 a6 ab f7 15 88 09 cf 4f 3cとします。これは、Nk = 4の場合、4バイトのブロックで表され、初期ラウンド拡張はw [0 ] = 2b7e1516; w [1] = 28aed2a6; w [2] = abf71588; w [3] = 09cf4f3c。 QCテーブルのw [i]記号、i = 0（1）43は、ラウンドキーの4バイトの列を示します。



暗号化セッションは、手紙などのメッセージの準備とアルゴリズム変換です。文字のビット表現のテキストは、固定長のNb = 128、192、または256ビットのブロックに分割されます。 AESでは、ブロック長は128ビットのみです。



次に、各ブロックは正方形または（4行の長方形）で表され、固定数のラウンドNr = Nr（Nb、Nk）に対して個別に暗号化されます。これは、2つの変数の関数です。ブロックの長さNbとキーの長さNkは、独立して値を取ることができます。 128、192、256ビット。



暗号化キーを選択しても、ビットシーケンス自体に制限はありません。 Nrラウンドのそれぞれは、事前に作成された、または直接計算された独自のラウンドキー{w [i]}を使用します。



ラウンドキーは、キー拡張手順とラウンドキー選択手順を含む特別なアルゴリズムを使用して、暗号化キーから生成されます。これらの手順をバイパスしてラウンドキーを直接指定することはできません。



最初の手順の本質と目的は、指定されたソース暗号化キーをより長い拡張キー（拡張キー）に変換することです。ラウンドキーが選択される拡張キーのビットの総数は、積K = Nk（Nr + 1）によって決まります。キーブロックのビット数は、ラウンドの数に1を加えた数で乗算されます。



例1。 Nb = Nk = 4とすると、4×32 = 128ビットの長さのブロックが与えられ、次にNr = 10になります。

拡張鍵のビット長K = 128∙11 = 1408ビット。



2番目の手順（ラウンドキー選択）は、32Nk、つまり拡張キーからの4つの32ビットワードの順次選択です。つまり、最初のラウンドキーは最初に新しく形成されたNkワードで表され、2番目のラウンドキーは次のNkワードで表されます。最終ラウンドまで。



例2。同じ初期データ（前の例を参照）で、拡張キーのバイト単位の全長には、Nk（Nr + 1）= 4∙11 = 44の4バイトワードW（i）、

i = 0（1）Nk（Nr + 1）-1が含まれます。 QCテーブルの行は自然数で番号付けされます。暗号鍵を含む4行（0、1、2、3の番号が付いている）はQCテーブルに含まれていないため、最初の行には4の番号が付けられています。



10ラウンドすべてのテーブル暗号鍵AES（以下のテーブルQCを参照）。







テーブルの行はグループに分けられます（各4行）。各グループでは、すべてのフィールドが1行だけで埋められます。次の3行では、極値（左と右）フィールドのみが入力されています。次の行と後続の2行の左側のフィールド（temp）には、その上の行の右側のフィールドから取得した値が含まれています。



最初の行にQCテーブルの番号i = 4を入力する例を挙げましょう。左の列-最初の0、1、2、3の値はテーブルに含まれていないため、現在の行番号は値（4）で始まります。一般に、インデックス（行番号）iは、32ビットの合計44ワードで、値i = 0（1）Nk（Nr + 1）-1またはi = 0（1）43を超えます。一時



コラム値w [i-1] = 09cf4f3cが配置され、ローテーション（1バイトの循環シフト）RotWord（）によって、値CF4F3C09が取得されます。これは3番目の列に配置されます。4番目の列には、8A84EB01が3番目の列の値のSubBytesのバイトを置き換える結果が含まれています、つまりCF→8A; 4F→84; 3C→EB; 09→01 => 8A84EB01。



表の5番目の列の4番目の行には、Rcon [i / Nk]という値が入力されます。これは、Rcon（J）= 01000000、j = [i / Nk] = 2 ^j-1 = 2 ⁰ = 1）の式で計算される定数です。値01 00 00 00は4バイトワードから書き込まれ、その最初のバイトは2 ⁰ = 1です。 0000 0001 ₂、この32ビットワードの残りのバイトはゼロです。



列6のフィールドには、4番目と5番目のフィールドの合計（XOR）8A84EB01 + 01000000 = 8B84EB01が含まれます。

列7のフィールドには、W [i-Nk] = W [4-4] = W [0] = 2B7E1516が含まれます。

列8のフィールドには、列6と7のフィールドの合計が含まれていますW [i = 4] =884EB01+ 2B7E1516 = A0FAFE17;

そして今、詳細に、そして詳細とともに、私たちは名前付き手続きを検討します。

主な拡張手順

元の暗号鍵から拡張鍵を生成する手順を詳しく見てみましょう。形式的には、拡張キーWは、一連のブロックW [i]、i = 0（1）Nk（Nr + 1）-1、KKテーブルの最後の列に含まれる4バイトワード（丸キー）で記述されます。単語は元のキーを表します。つまり、

W = {W [0]、W [1]、W [2]、W [3]、W [4]、...、W [K-1]}



後続のi番目単語は、合計がXORである式に従って、前の単語から再帰的に形成されます。



。



インデックスがNkの倍数であるキーワードW [i]の場合、W [i-1]の値は、XOR演算を実行する前に追加の変換が行われます。この変換は次のように説明されます。



変換の説明には関数が含まれています。



RotWord（）-規則

{a（0）a（1）a（2）a（3）} から32ビットワードa（0）a（1）a（2）a（3）のバイト循環シフト→{a （3）a（0）a（1）a（2）};



SubWord（）-a（j）をSubBytes（）関数のSブロックの要素に置き換えます。たとえば、バイト（af）はSブロックのバイトs（a、f）に置き換えられます。アクションはメッセージを処理するときと同じで、

Rcon [j]-XOR項は2 ^j-1に等しい。





Nbの倍数が選択され、その値は関数SubWord（）、RotWord（）、Rcon（）を使用して形成されます。位置W [0] –W [3]は指定された初期データに従って入力され、後続のすべてはW [i]の比率に従って計算されます。

ラウンドキーの選択

ラウンドキーの選択（RoundKeySelection）。番号rの現在のラウンド。ラウンドキーは{W [Nb（r）-1]、...、W [Nb（r + 1）-1]}、

r = 1（1）Nrとして選択されます。



ここで、一般的な暗号化アルゴリズムは、変数セットNb、Nk、Nrのさまざまなバリアントを提供することに注意してください。固定オプションの特定の実装では、大幅に簡略化できます。ラウンドキーはオンザフライで計算でき、シーケンスW全体を格納するために大量のメモリを必要としません。Nkワードのバッファに制限できます。



例3。与えられた理論的命題を数値例で説明しましょう。以前と同様に、Nb = Nk = 4、Nr = 10とします。暗号鍵は、16進数のシーケンスK = 2b7e1516 282ed2a6 abf71588 09cf4f3cの形式で与えられます。







アーキテクチャの「正方形」とバイト指向の計算は、次の表で定義されています。





左の列がテーブルに追加されました-ラウンドの数（r）

最初の行r = 1、i = 4、前のバイトW [i-1] = W [3]が3番目の列に書き込まれます。K暗号鍵の最後のバイト。インデックスi = 4はNk = 4の倍数であるため、列6に（Rcon（J）= 01000000、j = [i / Nk] = 2 ^j-1 = 2 ⁰ = 1）値01 00 00 00 4- を書き込みますxバイトワード、その最初のバイトは2 ⁰ = 1、つまり 0000 0001、この32ビットワードの残りのバイトはゼロです。



表の4列目に、前の列の値を入力しますが、1バイト左に循環シフトします（単語の回転-RotWord）。 5番目の列には、前の列の値をS-ブロックからのバイト値でバイト置換した結果が含まれています（SubWord関数-バイト置換）。その後、列5と6の内容のmod2加算（XOR）8a84eb01 + 0100 0000 = 8b84eb01が実行され、合計の結果が列7に入力されます。



バイト0000 0001 ₂ = 01 のバイナリ表現では、_16の最下位ビットが右側にあります。



列8には、ワードW [i-Nk] = W [0]の値が含まれます（最初の行の場合、これは暗号化キーW [0]の最初（左バイト）の4バイトワードの値です）、XOR演算によって追加されます8b 84 eb 01+ 2b 7e 15 16 = a0 fa fe 17、7列のコンテンツ。合計の結果（列9）は、最初のラウンドのラウンドキーの4つの4バイトワードの最初のものです。



最初のラウンドのラウンドキーの他の3ワードは、循環シフト、置換、およびRcon [j]の関数を使用せずに形成されます。これは、それらの数がNkの倍数ではないためです。列9の内容は、テーブルの次の行の3番目の列に転送されます。



Rconの定義[j]。この手順は、特別なアルゴリズムに従って実行されます。そのアクションについては、例を挙げて説明します。 Rcon [j]関数の引数jは整数であり、変数iの現在の値（キーワードの数）によって決定されます。明らかに、

j = 1、2、3、…i = Nk、2Nk、3Nk、…の場合。



この例のNkは4であるため、i = 4、8、12に対してjの整数値があります。さらに、各整数jに対して、Rcon [j] = 2 ^j-1 = 1、2、4、8、16 、...です。

Rcon [j]が体GF（2 ⁸）の要素である限り、倍増は有効です。



i> 32の場合、j> 8になります。フィールド外の値はフィールドに返される必要があります。これは、体Rcon [j]（modφ（x））の要素の多項式表現を削減することによって達成されます。



実施例4... i = 32、36、40とします。次にj = 8、9、10とします。これらの値はフィールドの外側にあります。それらをφ（x）を法とする縮小によってフィールドに戻し、必要な値を計算します。

Rcon [j]の対応する値を定義します。計算結果を表にまとめます。





これで、ラウンドAES暗号鍵を生成する手順の確認は完了です。