Расписание ключей AES

Метод расширения ключа до раундовых ключей в AES

Advanced Encryption Standard использует расписание ключей для расширения короткого ключа в ряд отдельных раундовых ключей. Три варианта AES имеют разное количество раундов. Каждый вариант требует отдельный 128-битный раундовый ключ для каждого раунда плюс еще один. ^{[примечание 1]} Расписание ключей создает необходимые раундовые ключи из исходного ключа.

Круглые константы

Константа раунда rcon _i для раунда i расширения ключа представляет собой 32-битное слово: ^{[примечание 2]}

${\displaystyle rcon_{i}={\begin{bmatrix}rc_{i}&00_{16}&00_{16}&00_{16}\end{bmatrix}}}$

где rc _i — восьмибитное значение, определяемое как:

${\displaystyle rc_{i}={\begin{cases}1&{\text{if }}i=1\\2\cdot rc_{i-1}&{\text{if }}i>1{\text{ and }}rc_{i-1}<80_{16}\\(2\cdot rc_{i-1})\oplus {\text{11B}}_{16}&{\text{if }}i>1{\text{ and }}rc_{i-1}\geq 80_{16}\end{cases}}}$

где — побитовый оператор XOR , а константы, такие как 00 ₁₆ и 11B _16, указаны в шестнадцатеричном формате . Эквивалентно: ${\displaystyle \oplus }$

${\displaystyle rc_{i}=x^{i-1}}$

где биты rc _i рассматриваются как коэффициенты элемента конечного поля , так что eg представляет собой многочлен . ${\displaystyle {\rm {{GF}(2)[x]/(x^{8}+x^{4}+x^{3}+x+1)}}}$ ${\displaystyle rc_{10}=36_{16}=00110110_{2}}$ ${\displaystyle x^{5}+x^{4}+x^{2}+x}$

AES использует до rcon ₁₀ для AES-128 (так как требуется 11 раундовых ключей), до rcon ₈ для AES-192 и до rcon ₇ для AES-256. ^{[примечание 3]}

Ключевой график

Расписание ключей AES для 128-битного ключа.

Определять:

• N — длина ключа в 32-битных словах: 4 слова для AES-128, 6 слов для AES-192 и 8 слов для AES-256
• K ₀ , K ₁ , ... K _{N -1} как 32-битные слова исходного ключа
• R — необходимое количество раундовых ключей: 11 раундовых ключей для AES-128, 13 ключей для AES-192 и 15 ключей для AES-256 ^{[примечание 4]}
• W ₀ , W ₁ , ... W _{4 R -1} как 32-битные слова расширенного ключа ^{[примечание 5]}

Также определите RotWord как однобайтовый циклический сдвиг влево : ^{[примечание 6]}

${\displaystyle \operatorname {RotWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}b_{1}&b_{2}&b_{3}&b_{0}\end{bmatrix}}}$

и SubWord как применение AES S-box к каждому из четырех байтов слова:

${\displaystyle \operatorname {SubWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}\operatorname {S} (b_{0})&\operatorname {S} (b_{1})&\operatorname {S} (b_{2})&\operatorname {S} (b_{3})\end{bmatrix}}}$

Тогда для : ${\displaystyle i=0\ldots 4R-1}$

${\displaystyle W_{i}={\begin{cases}K_{i}&{\text{if }}i<N\\W_{i-N}\oplus \operatorname {SubWord} (\operatorname {RotWord} (W_{i-1}))\oplus rcon_{i/N}&{\text{if }}i\geq N{\text{ and }}i\equiv 0{\pmod {N}}\\W_{i-N}\oplus \operatorname {SubWord} (W_{i-1})&{\text{if }}i\geq N{\text{, }}N>6{\text{, and }}i\equiv 4{\pmod {N}}\\W_{i-N}\oplus W_{i-1}&{\text{otherwise.}}\\\end{cases}}}$

Примечания

1. Варианты Rijndael без AES требуют до 256 бит расширенного ключа на раунд.
2. В FIPS-197 значением является младший байт с индексом 0. ${\displaystyle rc_{i}}$
3. Варианты Rijndael с большими размерами блоков используют больше этих констант, до rcon ₂₉ для Rijndael с 128-битными ключами и 256-битными блоками (требуется 15 раундовых ключей из каждых 256 бит, что означает 30 полных раундов расширения ключа, что означает 29 вызовов ядра расписания ключей с использованием раундовых констант). Оставшиеся константы для i ≥ 11 : 6C, D8, AB, 4D, 9A, 2F, 5E, BC, 63, C6, 97, 35, 6A, D4, B3, 7D, FA, EF и C5
4. Другие варианты Rijndael требуют max( N , B ) + 7 раундовых ключей, где B — размер блока в словах.
5. Другие варианты Rijndael требуют BR слов расширенного ключа, где B — размер блока в словах.
6. Вращение противоположно направлению порядка байтов. Адреса байтов FIPS-197 в массивах увеличиваются слева направо ^{[ref 1]} в прямом порядке байтов, но вращение происходит справа налево. В AES-NI ^{[ref 2]} и в lib/crypto/aes.c ядра Linux ^{[ref 3]} порядок байтов увеличивается справа налево в прямом порядке байтов, но вращение происходит слева направо.

Ссылки

• FIPS PUB 197: официальный стандарт AES ( файл PDF )

1. "Публикация федеральных стандартов обработки информации 197 от 26 ноября 2001 г. Объявление о СТАНДАРТЕ УСОВЕРШЕНСТВОВАННОГО ШИФРОВАНИЯ (AES)" (PDF) . стр. 8 . Получено 16.06.2020 .
2. «Новый набор инструкций Intel® Advanced Encryption Standard (AES)» (PDF) . стр. 13.
3. "aes.c". GitHub . Получено 2020-06-15 .

Внешние ссылки

• Описание ключевого расписания Rijndael
• Схематическое изображение расписания ключей для 128- и 256-битных ключей для 160-битных ключей на Cryptography Stack Exchange