對稱密碼體制

1、2022-6-12Page: 1對稱密碼體制楊秋偉湖南大學(xué) 計算機(jī)與通信學(xué)院2022-6-12Page: 2對稱密碼體制o對稱密碼體制的特征對稱密碼體制的特征n加密密鑰和解密密鑰相同p對稱密碼體制的主要研究課題對稱密碼體制的主要研究課題n密鑰的產(chǎn)生n密鑰的管理加密器EK解密器DK密文密文明文明文明文明文K密鑰產(chǎn)生器K2022-6-12Page: 3對稱密碼體制組成o流密碼o分組密碼o數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)o高級加密標(biāo)準(zhǔn)(AES)2022-6-12Page: 4流密碼：流密碼引論流密碼引論o流密碼流密碼是將明文劃分成字符(如單個字母)，或其編碼的基本單元(如按位)，字符分別與密鑰流作用進(jìn)行加密，

2、解密時以同步產(chǎn)生的同樣的密鑰流實(shí)現(xiàn)。o流密碼強(qiáng)度完全依賴于密鑰序列的隨機(jī)性隨機(jī)性(Randomness)和不可預(yù)測不可預(yù)測性性(Unpredictability)。n核心問題是密鑰流的產(chǎn)生密鑰流生成器的設(shè)計n保持收發(fā)兩端密鑰流的精確同步是實(shí)現(xiàn)可靠解密的關(guān)鍵技術(shù)2022-6-12Page: 5流密碼：流密碼的基本概念流密碼的基本概念o流密碼的基本思想：流密碼的基本思想：假設(shè)存在著明文串x = x0 x1x2n利用密鑰k和密鑰流發(fā)生器f產(chǎn)生一個密鑰流z = z0z1z2。其中，zi = f(k,i)，i是加密器中的記憶元件在時刻i的狀態(tài)，f是以密鑰k和i作為輸入?yún)?shù)的函數(shù)；n加密加密： y = y

3、0y1y2 = Ez0(x0) Ez1(x1) Ez1(x1)；內(nèi)部記憶元件yi= Ezi(xi)xiyik2022-6-12Page: 6流密碼：同步流密碼同步流密碼 o同步流密碼同步流密碼：加密器中記憶元件的存儲狀態(tài)i獨(dú)立于明文字符。o同步流密碼加密器同步流密碼加密器n密鑰流產(chǎn)生器n加密變換器p加密變換器一般采用二元邏輯運(yùn)算XOR，即有限域GF(2)上討論的二元加密流密碼，變換表示為：yi = zi xip一次一密亂碼本一次一密亂碼本是加法流密碼的原型2022-6-12Page: 7流密碼：流密碼的密鑰流產(chǎn)生器流密碼的密鑰流產(chǎn)生器o密鑰流產(chǎn)生器的內(nèi)涵密鑰流產(chǎn)生器的內(nèi)涵n輸入：密鑰k和加密器

4、中的記憶元件在時刻i的狀態(tài)i；n輸出：密鑰流zi狀態(tài)狀態(tài)i密鑰密鑰k狀態(tài)狀態(tài)i+1密鑰流密鑰流zi2022-6-12Page: 8流密碼：密鑰流生成器的設(shè)計原則密鑰流生成器的設(shè)計原則o足夠長的周期足夠長的周期o高線性復(fù)雜度高線性復(fù)雜度o統(tǒng)計性能良好統(tǒng)計性能良好o足夠的足夠的“混亂混亂”n強(qiáng)調(diào)密鑰的作用，增加密鑰與密文之間關(guān)系的復(fù)雜性o足夠的足夠的“擴(kuò)散擴(kuò)散”n小擾動的影響波及到全局密文沒有統(tǒng)計特征，明文一位影響密文的多位，增加密文與明文之間關(guān)系的復(fù)雜性o抵抗不同形式的攻擊抵抗不同形式的攻擊2022-6-12Page: 9流密碼：有限狀態(tài)自動機(jī)有限狀態(tài)自動機(jī)(FA) o具有離散輸入和輸出(輸入集

5、和輸出集均有限)的一種數(shù)學(xué)模型n有限狀態(tài)集S=si|i=1,2,ln有限輸入字符集X=Xi|i=1,2,mn有限輸出字符集Y=Yk|k=1,2,nn轉(zhuǎn)移函數(shù)o Yjf1(sj, Xj)o Sj+1 f2(sj, Xj) 即在狀態(tài)sj，輸入字符Xj時，輸出為Yj，狀態(tài)轉(zhuǎn)移為Sj+1。2022-6-12Page: 10流密碼：有限狀態(tài)自動機(jī)舉例有限狀態(tài)自動機(jī)舉例o例一例一nS=s1,s2,s3,X=x1, x2,x3,Y=y1,y2,y3n轉(zhuǎn)移函數(shù)f1x1x2x3s1s2s3y1y2y3y3y1y2y2y3y1f2x1x2x3s1s2s3s2s3s1s1s2s3s3s1s22022-6-12Pag

6、e: 11流密碼：有限狀態(tài)自動機(jī)舉例有限狀態(tài)自動機(jī)舉例o若輸入為x1x2x1x3x3x1o初始狀態(tài)s1o輸出為 y1y1y2y1y3y12022-6-12Page: 12流密碼：基于基于FA的密鑰流產(chǎn)生器的密鑰流產(chǎn)生器o同步流密碼的密鑰流產(chǎn)生器可看為一個參數(shù)為k的FA：輸出集Z，狀態(tài)集，狀態(tài)轉(zhuǎn)移函數(shù)和輸出函數(shù)，初態(tài)0o設(shè)計的關(guān)鍵是(phi fai)和(psi psai)ikkzi2022-6-12Page: 13流密碼：基于基于FA的密鑰流產(chǎn)生器的密鑰流產(chǎn)生器o一個良好的密鑰流產(chǎn)生器一個良好的密鑰流產(chǎn)生器n極大的周期n良好的統(tǒng)計特性n抗線性分析n抗統(tǒng)計分析o具有非線性的的FA理論很不完善，通常

7、采用線性以及非線性的。可將此類產(chǎn)生器分為驅(qū)動部分驅(qū)動部分和非線性組合非線性組合部分。n驅(qū)動部分控制狀態(tài)轉(zhuǎn)移n非線性組合部分提供統(tǒng)計特性良好的序列2022-6-12Page: 14流密碼：兩種常見兩種常見的密鑰流產(chǎn)生器的密鑰流產(chǎn)生器LFSR非線性組合函數(shù)ziLFSR1LFSR2LFSR3非線性組合函數(shù)ziLFSR：線性反饋移位寄存器流密碼產(chǎn)生密鑰流的主要組成部分。2022-6-12Page: 15流密碼：反饋移位寄存器的概念反饋移位寄存器的概念o基本概念基本概念n級數(shù)級數(shù)(Stages)：存儲單元數(shù)nn狀態(tài)狀態(tài)(State)：n個存儲單元的存數(shù)(ki, , ki+n-1) n反饋函數(shù)：反饋函數(shù)：

8、f(ki, ki+1, , ki+n-1)是狀態(tài)(ki, ki+n-1)的函數(shù)n線性反饋移位寄存器線性反饋移位寄存器(LFSR)：f 為線性函數(shù)n非線性反饋移位寄存器：非線性反饋移位寄存器： f 為非線性函數(shù)2022-6-12Page: 16流密碼：反饋移位寄存器反饋移位寄存器f(ki, ki+1, , ki+n-1)ki+n-1ki+n-2ki+1kiki+n輸出序列寄存移位反饋2022-6-12Page: 17流密碼：線性反饋移位寄存器線性反饋移位寄存器of(x)為線性函數(shù)線性函數(shù)，輸出序列滿足下式1011( ,)002i nii nini nikf kkc kckic ，其中：，或1，

9、是模 加法。ki+n-1ki+n-2ki+1kicn-1cn-2c1c0ki+n輸出序列2022-6-12Page: 18流密碼：LFSR的特征多項式的特征多項式oLFSR的特征多項式：的特征多項式：以LFSR的反饋系數(shù)所決定的一元高次多項式 又稱反饋多項式反饋多項式。p由于ciGF(2)(i = 1,2,n)，所以有2n組初始狀態(tài)，即有2n個遞推序列，其中非恒零的有2n-1個。211210( )1.nnnjnnjjf xc xc xcxc xc x 2022-6-12Page: 19流密碼：LFSR的生成函數(shù)的生成函數(shù) p給定序列 kii0，冪級數(shù)冪級數(shù)稱為該序列的生成函數(shù)生成函數(shù)p定理：定

10、理：令kii0(f)，f(x)是反饋多項式，令k(x)是kii0的生成函數(shù)，則 其中11( )iiik xk x( )( )( )a xk xf x111( )()jnnjlnjljla xcxa x2022-6-12Page: 20流密碼：LFSR的生成函數(shù)的生成函數(shù) o定理證明定理證明,00min()001000()0( ) ( )()()()( )()()( )nilililj njn lj ljljnnjjn lj ln lj ljlj n lnjtj ntj njk x f xk xc xckxckxckxa xc kxnlta x 2022-6-12Page: 21流密碼：LFSR

11、的周期的周期oLFSR 周期的真正涵義？周期的真正涵義？o定義定義：設(shè)p(x)是GF(2)上的多項式，使p(x)|(xp-1)的最小p稱為p(x)的周期或者階。o定理定理：設(shè)序列ki的特征多項式p(x)定義GF(2)上，p是p(x)的周期，則ki的周期r | p。o定理定理：設(shè)序列ki的特征多項式p(x)定義GF(2)上，且p(x)是不可約多項式， p是p(x)的周期，則ki的周期為p。2022-6-12Page: 22流密碼：LFSR的周期的周期om序列：序列：序列ki0in的周期達(dá)到最大2n-1時，稱該序列為m序列。o定理：定理：以f(x)為特征多項式的LFSR的輸出序列是m序列的充要條件

12、為f(x)是本原的。om序列的性質(zhì)序列的性質(zhì)nn級m序列的周期為2n1，周期隨n增加而指數(shù)級遞增；n只要知道n次本原多項式，m序列極易生成；nm序列極不安全，只要泄露2n位連續(xù)數(shù)字，就可完全確定出反饋多項式系數(shù)。階為2n-1的n次不可約多項式2022-6-12Page: 23流密碼：LFSR的周期的周期om序列的破譯序列的破譯n已知ki, ki+1, ki+2n，由遞推關(guān)系式可得出下式n式中有n個線性方程和n個未知量，故可惟一解出ci，0in-1。121110212111.ninininninininiiiniiikkkccckkkkkkkkk2022-6-12Page: 24流密碼：非線性序

13、列非線性序列oLFSR雖然不能直接作為密鑰流用，但可作為驅(qū)動源以其輸出推動一個非線性組合函數(shù)非線性組合函數(shù)所決定的電路來產(chǎn)生非線性序列。這就是所謂非線性前饋序列生成器非線性前饋序列生成器。nLFSR用來保證密鑰流的周期長度、平衡性等；n非線性組合函數(shù)用來保證密鑰流的各種密碼性質(zhì)，以抗擊各種可能的攻擊。2022-6-12Page: 25流密碼：非線性前饋序列非線性前饋序列o前饋函數(shù)前饋函數(shù)F(非線性組合函數(shù))o輸出序列的周期性、隨機(jī)性、線性復(fù)雜度以及相關(guān)免疫性之間的關(guān)系 LFRSFki2022-6-12Page: 26流密碼：J-K觸發(fā)器觸發(fā)器pJ-K觸發(fā)器觸發(fā)器是一個非線性器件，有兩個輸入端j

14、和k，輸出為qi。輸出不僅依賴于輸入，還依賴于前一個輸出位qi-1，即p其結(jié)構(gòu)及邏輯真值表如下所示121112(),iiqxx qxx xJK其中分別為 和 的輸入。JKqk00110101qk-10 11kqJKR = qk-1qk2022-6-12Page: 27流密碼：J-K觸發(fā)器的非線性序列生成器觸發(fā)器的非線性序列生成器oak和bk被稱為非線性序列生成器的驅(qū)動序列。o性質(zhì)性質(zhì)：設(shè)ak和bk分別為x級和y級m序列。當(dāng)x和y互素，且a0 + b0 =1時，序列ck的周期為(2x-1)(2y-1)。LFSR1LFSR2akbkJKck2022-6-12Page: 28流密碼：多路選擇序列多路

15、選擇序列p有n種輸入序列b0(t), bn-1(t) ，在地址序列a1(t),am -1 (t)的控制下決定輸出取自某個輸入比特。 Pless生成器生成器n例如取m級LFSR生成m序列作地址控制，取n級LFSR生成的m序列作為輸入序列。)()()(110tbtbtbn )()()(110tatatam制控址地可供選擇的輸入2022-6-12Page: 29對稱密碼體制組成o流密碼o分組密碼o數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)o高級加密標(biāo)準(zhǔn)(AES)2022-6-12Page: 30對稱密碼體制：分組密碼分組密碼o分組密碼的工作原理分組密碼的工作原理n將明文分成n個塊，m1, m2, , mn；n對每個塊執(zhí)

16、行相同的變換，從而生成n個密文塊，c1, c2, , cn。p分組密碼的工作模式分組密碼的工作模式：明文分組固定，消息的數(shù)據(jù)量不同，數(shù)據(jù)格式各式各樣。為了適應(yīng)各種應(yīng)用環(huán)境，有四種工作模式。n電子編碼薄模式(EBC)n密碼分組鏈接模式(CBC)n密碼反饋模式(CFB)n輸出反饋模式(OFB)2022-6-12Page: 31分組密碼：分組密碼的工作模式比較分組密碼的工作模式比較模式描述用途電碼本模式(ECB)每個明文組獨(dú)立地以同一密鑰加密。傳送短數(shù)據(jù)密碼分組鏈接模式(CBC)加密算法的輸入是當(dāng)前明文組與前一密文組的異或。傳送數(shù)據(jù)分組；認(rèn)證。密碼反饋模式(CFB)每次只處理輸入的j比特，將上一次的

17、密文用作加密算法的輸入以產(chǎn)生偽隨機(jī)輸出，該輸出再與當(dāng)前明文異或以產(chǎn)生當(dāng)前密文。傳送數(shù)據(jù)流；認(rèn)證。輸出反饋模式(OFB)與CFB類似，不同之處是本次加密算法的輸入為前一次加密算法的輸出。有擾信道上(無線通訊)傳送數(shù)據(jù)流2022-6-12Page: 32分組密碼：分組密碼的經(jīng)典工作模式分組密碼的經(jīng)典工作模式電子編碼薄模式密碼分組鏈接模式輸出反饋模式2022-6-12Page: 33分組密碼：分組密碼的擴(kuò)散與壓縮分組密碼的擴(kuò)散與壓縮o分組密碼的基本過程分組密碼的基本過程n將明文分成m個塊，M1, M2, , Mm；n對每個塊執(zhí)行相同的變換，從而生成m個密文塊，C1, C2, , Cm。解密加密密鑰k

18、=(k0, k1, kt-1 )密鑰k=(k0, k1, kt-1 )明文x=(x0, x1, xm-1) 密文x=(y0, y1, yn-1) 明文x=(x0, x1, xm-1) 2022-6-12Page: 34分組密碼：分組密碼的擴(kuò)展與壓縮分組密碼的擴(kuò)展與壓縮p將明文x和密文y表示成分別小于2m和2n的整數(shù)，并用分量形式描述。每個分量分別用xi，yiGF(2) 表示，即：n若nm，則為有數(shù)據(jù)擴(kuò)展數(shù)據(jù)擴(kuò)展的分組密碼；n若n N / 2oKk1,kc = 0(p ) Kk1,kc = 1(p ) nT ) Kk1,kc = 0(p )2022-6-12Page: 69對稱密碼體制：分組密碼

19、的線形密碼分析分組密碼的線形密碼分析o一個重要的數(shù)學(xué)結(jié)論一個重要的數(shù)學(xué)結(jié)論(線性密碼分析的思想，抗線性密碼分析的強(qiáng)度就是非線性度)n如果明文和密文的關(guān)系是n維線性關(guān)系，且系數(shù)是密鑰，則n個明文-密文對(而不是2n個)就可以破解密鑰；n如果明文與密文的關(guān)系是n維r次函數(shù)關(guān)系，且系數(shù)是密鑰，則nr 個明文-密文對就可以破解密鑰；n如果雖然次數(shù)r較大，但明文與密文的關(guān)系“非常逼近”一個n維線性關(guān)系，則n個明文-密文對就可以“基本上”破解密鑰。2022-6-12Page: 70對稱密碼體制：兩重兩重DES2022-6-12Page: 71對稱密碼體制：三重三重DES2022-6-12Page: 72對

20、稱密碼體制組成o流密碼o分組密碼o數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)o高級加密標(biāo)準(zhǔn)(AES)2022-6-12Page: 73對稱密碼體制：高級加密標(biāo)準(zhǔn)高級加密標(biāo)準(zhǔn)(AES)的由來的由來p1997年1月，美國NIST向全世界密碼學(xué)界發(fā)出征集21世紀(jì)高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard, AES)算法的公告，并成立了AES標(biāo)準(zhǔn)工作研究室，1997年4月15日的例會制定了對AES的評估標(biāo)準(zhǔn)。2022-6-12Page: 74對稱密碼體制：高級加密標(biāo)準(zhǔn)的評估標(biāo)準(zhǔn)高級加密標(biāo)準(zhǔn)的評估標(biāo)準(zhǔn)o高級加密標(biāo)準(zhǔn)(AES)的評估標(biāo)準(zhǔn)nAES是公開的；nAES為單鑰體制分組密碼；nAES的密鑰長

21、度可變，可按需要增大；nAES適于用軟件和硬件實(shí)現(xiàn)；nAES可以自由地使用/按符合美國國家標(biāo)準(zhǔn)(ANST)策略的條件使用；n滿足以上要求的AES算法，需按下述條件判斷優(yōu)劣：a. 安全性，b. 計算效率， c. 內(nèi)存要求， d. 使用簡便性，e. 靈活性。2022-6-12Page: 75對稱密碼體制：高級加密標(biāo)準(zhǔn)高級加密標(biāo)準(zhǔn)(AES)的歷史的歷史o1997年4月15日NIST發(fā)起征集AES的活動(要求算法分組長度128比特，密鑰長度128192256比特)；o1998年8月20日第一次AES候選大會，公布了15個候選算法；o1999年3月22日舉行了第二次AES候選大會，選出5個候選算法；o2

22、000年4月25日舉行了第三次AES候選大會；o2000年10月2日公布Rijndael算法作為候選算法。比利時的Joan Daemen和Vincent Rijmen 設(shè)計的 Rijndael 算法：是一個迭代分組密碼，塊長為128/192/256 bits，密鑰長度為128、192、256 bits，相應(yīng)的輪數(shù)為10/12/14。2022-6-12Page: 76AES：AES的特征的特征oAES特征特征nAES是分組密碼，屬于Square結(jié)構(gòu)n加密、解密相似但不對稱n密鑰長度和分組長度均可變，密鑰長度和分組長度可以獨(dú)立地指定為128比特、192比特或256比特n有較好的數(shù)學(xué)理論作為基礎(chǔ)n結(jié)

23、構(gòu)簡單、速度快n能在多種平臺上以較快的速度實(shí)現(xiàn)2022-6-12Page: 77AES：消息分組和密鑰分組消息分組和密鑰分組o消息分組和密鑰分組分別按字節(jié)進(jìn)行劃分按字節(jié)進(jìn)行劃分(一個字節(jié)8比特)，為簡單起見，只討論密鑰長度128比特、消息長度192比特的情形。n明文分組 = a00, , a30, , a05, , a35n密鑰分組 = k00, , k30, , k03, , k33a00a01a02a03a04a05a10a11a12a13a14a15a20a21a22a23a24a25a30a31a32a33a34a35k00k01k02k03k10k11k12k13k20k21k22k

24、23k30k31k32k332022-6-12Page: 78AES：迭代輪數(shù)與密鑰、消息分組的關(guān)系迭代輪數(shù)與密鑰、消息分組的關(guān)系oRijndael算法同算法同DES一樣，由多基本的變換單位一樣，由多基本的變換單位“輪輪”多次迭代而成。多次迭代而成。o迭代輪數(shù)與密鑰、消息分組的關(guān)系表，其中迭代輪數(shù)與密鑰、消息分組的關(guān)系表，其中n以Nr表示迭代輪數(shù)nNb表示消息分組按字節(jié)劃分的矩陣列數(shù)(行數(shù)等于4)nNk表示密鑰分組按字節(jié)劃分的矩陣列數(shù)(行數(shù)等于4)NrNb=4Nb=6Nb=8Nk=4 10 12 14Nk=6 12 12 14Nk=8 14 14 142022-6-12Page: 79AES：

25、輪變換輪變換o輪變換輪變換Round(State, RoundKey)nState：輪消息矩陣，既作為輸入，又作為輸出；nRoundKey：輪密鑰矩陣，它由輸入密鑰通過密鑰表導(dǎo)出。o輪變換由四個不同的變換組成輪變換由四個不同的變換組成(除最后一輪除最后一輪)o最后一輪記為最后一輪記為FinalRound(State, RoundKey)n它等于不使用MixColumns函數(shù)的Round(State, RoundKey)Round(State, RoundKey) SubBytes(State); ShiftRows(State); MixColumns(State); AddRoundKey(

26、State, RoundKey); 2022-6-12Page: 80AES：SubBytes(State)oSubBytes為State的每一個字節(jié)提供一個非線形變換非線形變換，任一非零字節(jié)xGF(28)被下面的變換所代換(仿射變換仿射變換)y = Ax-1 + b2022-6-12Page: 81AES： SubBytes(State)o查表法查表法定時分析攻擊定時分析攻擊n計算x-1 (x, x-1)n計算y包含矩陣A和向量b，(x, y)a00a01a02a03a04a05a10a11a12a13a14a15a20a21a22a23a24a25a30a31a32a33a34a35b00

27、b01b02b03b04b05b10b11b12b13b14b15b20b21b22b23b24b25b30b31b32b33b34b35S-boxaijbij2022-6-12Page: 82AES：ShiftRows(State)oShiftRows在State的每行運(yùn)算，它只重排了元素的位置而不改變元素本身，實(shí)質(zhì)為換位密碼，換位密碼，以128比特的明文長度為例n對在第i行的元素，換位變換就是“循環(huán)向右移動” 4 i個位置。o字節(jié)移位關(guān)系表NbC1C2C34321632183142022-6-12Page: 83AES：MixColumns(State)oMixColumns在State的

28、每列上作用，列作為GF(28)上的多項式，每次迭代的輸出為一列s(x) = c(x) . s(x) mod(x4 + 1) 其中，c(x) = 03 . x3 + 01 . x3 + 01 . x3 + 02, 內(nèi)的數(shù)表示字節(jié)c(x)與與x4 + 1互素互素2022-6-12Page: 84AES：AddRoundKey操作操作o按比特在F2上相加(XOR)a00a01a02a03a04a05a10a11a12a13a14a15a20a21a22a23a24a25a30a31a32a33a34a35k00k01k02k03k04k05k10k11k12k13k14k15k20k21k22k23

29、k24k25k30k31k32k33k34k35 =b00b01b02b03b04b05b10b11b12b13b14b15b20b21b22b23b24b25b30b31b32b33b34b352022-6-12Page: 85AES：密鑰編排密鑰編排o密鑰編排密鑰編排n密鑰編排是指從種子密鑰得到輪密鑰的過程，它由密鑰擴(kuò)展和輪密鑰選取兩部分組成o輪密鑰的比特數(shù)等于分組長度乘以輪數(shù)加1 = 32 Nb (Nr + 1)；o種子密鑰被擴(kuò)展成為擴(kuò)展密鑰；o輪密鑰從擴(kuò)展密鑰中取，其中第1輪輪密鑰取擴(kuò)展密鑰的前Nb個字，第2輪輪密鑰取接下來的Nb個字，如此下去。2022-6-12Page: 86AES

30、：KeyExpansion(key, w)oKeyExpansion(key, w)nkey用于存儲擴(kuò)展前的密鑰；nw用于存儲擴(kuò)展后的密鑰；o以以128比特的密鑰為例比特的密鑰為例n輸入的密鑰key直接被復(fù)制到密鑰數(shù)組的前四個字，w0, w1, w2, w3；nw數(shù)組中下標(biāo)不為4的倍數(shù)的元素按以下規(guī)則擴(kuò)展wi = wi -1 wi - 42022-6-12Page: 87AES：KeyExpansion(key, w)n下標(biāo)為4的倍數(shù)的元素按以下規(guī)則擴(kuò)展o將一個字的四個字節(jié)循環(huán)左移一個字節(jié)，即將b0, b1, b2, b3變?yōu)閎1, b2, b3, b0；o基于SubBytes對輸入字中的每個

31、字節(jié)進(jìn)行代替；S盒盒o將步驟1和步驟2的結(jié)果再與輪常量Rconi相異或。oRconi = (RCi, 00, 00, 00)nRC1 = 01nRCi = 2 . (RCi - 1)2022-6-12Page: 88AES：KeyExpansion() - Nk6KeyExpansion(byte key4 * Nk, word wNb * (Nr + 1) for(i = 0; i Nk; i+) wi = (key4 * i, key4 * i + 1, key4 * i + 2, key4 * i + 3); for(i = Nk; i Nb * (Nr + 1); i+) temp = wi - 1; if(i % Nk = 0) temp = SubBytes(temp 6KeyExpansion(byte key4 * Nk, word wNb * (Nr + 1) for(i = 0; i Nk; i+) wi = (key4 * i, key4 * i +1, key4 * i + 2, key4 * i +3); for(i = Nk; i Nb * (Nr + 1); i+) temp = wi - 1; if(i % Nk = 0) temp = SubBytes(temp 8