# AES對稱加密演算法
## 簡介
是一種對稱加密演算法,它被廣泛應用於保護資料的安全性。AES 實作指的是如何利用 AES 演算法來加密和解密資料。由於 AES 使用相同的金鑰進行加密和解密,因此它屬於對稱加密的一種。
## AES數學推導
### 有限域**GF(2^8)運算**
AES主要基於**有限域GF(2^8)**,即256個元素組成的代數結構,這裡的加法和乘法都是**模2**運算
(1) **加法(XOR運算)**
加法定義為**逐位XOR**:
$$a+b= a \oplus b$$
範例:
$$(1101\ 0110)_2 \oplus (1011\ 0011)_2 =(0110\ 0101)_2$$
實作程式碼:
```cpp=
uint8_t AESadd(uint8_t a,uint8_t b){
return a^b;
}
```
(2) **乘法(有限域GF(2^8)下的乘法)**
乘法需要一個不可約多項式$P(x)=x^8+x^4+x^3+x+1$來進行模運算
範例:
$$(0x57 \times 0x83) \mod P(x)$$
計算方式
1.轉換成多項式相乘
2.以$P(x)$為模,對結果進行模運算
這個運算是AES**S-Box、MixColumns**變換的基礎
實作程式碼:
```cpp=
uint8_t GF_mul(uint8_t a,uint8_t b){
uint8_t p=0;
uint8_t mod=0x1b; // x^8+x^4+x^3+x+1
for(int i=0; i<8; i++){
if (b&1) p^=a;
bool high_bit=(a&0x80);
a<<=1;
if(high_bit) a^=mod;
b>>=1;
}
return p;
}
```
## AES算法
有四種操作,分別是金鑰加密(Add Round Key)、位元組代換(SubByte)、行位移(Shift Rows)、列混淆(Mix Column)
明文和金鑰都是128位的(密鑰也可以192位256位,下面都已128為主),16個字節由上到下由左到右排成4*4
總共進行10輪處理,只有最後一輪少了一次MixColumn
### 流程圖
### **SubBytes(S-Box變換)**
這步驟使用**GF(2^8)** 的逆元和**仿射變換**,來增加 AES 的非線性度,防禦線性攻擊。
(1)**計算GF(2^8)逆元**
如果輸入字節$\alpha$,則找出:
$$\alpha^{-1} \mod P(x)$$
例如:
$$0X53^{-1}=0xCA\quad \text(在GF(2^8)中)$$
(2)仿設變換
將逆元的位元$x$進行以下變換:
$$y_i = x_i \oplus x_{(i+4) \mod 8} \oplus x_{(i+5) \mod 8} \oplus x_{(i+6) \mod 8} \oplus x_{(i+7) \mod 8} \oplus c_i$$
其中$c_i$是固定的二進制向量。
S_box
來源Wiki:https://en.wikipedia.org/wiki/Rijndael_S-box
INV_S_box
來源Wiki:https://en.wikipedia.org/wiki/Rijndael_S-box
程式碼實作:
```cpp=
#define State vector<vector<uint8_t>>
uint8_t char s_box[256] =
{
0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76,
0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0,
0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15,
0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75,
0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84,
0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF,
0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8,
0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2,
0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73,
0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB,
0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79,
0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08,
0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A,
0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E,
0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF,
0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F, 0xB0, 0x54, 0xBB, 0x16
};
uint8_t char inv_s_box[256] =
{
0x52, 0x09, 0x6A, 0xD5, 0x30, 0x36, 0xA5, 0x38, 0xBF, 0x40, 0xA3, 0x9E, 0x81, 0xF3, 0xD7, 0xFB,
0x7C, 0xE3, 0x39, 0x82, 0x9B, 0x2F, 0xFF, 0x87, 0x34, 0x8E, 0x43, 0x44, 0xC4, 0xDE, 0xE9, 0xCB,
0x54, 0x7B, 0x94, 0x32, 0xA6, 0xC2, 0x23, 0x3D, 0xEE, 0x4C, 0x95, 0x0B, 0x42, 0xFA, 0xC3, 0x4E,
0x08, 0x2E, 0xA1, 0x66, 0x28, 0xD9, 0x24, 0xB2, 0x76, 0x5B, 0xA2, 0x49, 0x6D, 0x8B, 0xD1, 0x25,
0x72, 0xF8, 0xF6, 0x64, 0x86, 0x68, 0x98, 0x16, 0xD4, 0xA4, 0x5C, 0xCC, 0x5D, 0x65, 0xB6, 0x92,
0x6C, 0x70, 0x48, 0x50, 0xFD, 0xED, 0xB9, 0xDA, 0x5E, 0x15, 0x46, 0x57, 0xA7, 0x8D, 0x9D, 0x84,
0x90, 0xD8, 0xAB, 0x00, 0x8C, 0xBC, 0xD3, 0x0A, 0xF7, 0xE4, 0x58, 0x05, 0xB8, 0xB3, 0x45, 0x06,
0xD0, 0x2C, 0x1E, 0x8F, 0xCA, 0x3F, 0x0F, 0x02, 0xC1, 0xAF, 0xBD, 0x03, 0x01, 0x13, 0x8A, 0x6B,
0x3A, 0x91, 0x11, 0x41, 0x4F, 0x67, 0xDC, 0xEA, 0x97, 0xF2, 0xCF, 0xCE, 0xF0, 0xB4, 0xE6, 0x73,
0x96, 0xAC, 0x74, 0x22, 0xE7, 0xAD, 0x35, 0x85, 0xE2, 0xF9, 0x37, 0xE8, 0x1C, 0x75, 0xDF, 0x6E,
0x47, 0xF1, 0x1A, 0x71, 0x1D, 0x29, 0xC5, 0x89, 0x6F, 0xB7, 0x62, 0x0E, 0xAA, 0x18, 0xBE, 0x1B,
0xFC, 0x56, 0x3E, 0x4B, 0xC6, 0xD2, 0x79, 0x20, 0x9A, 0xDB, 0xC0, 0xFE, 0x78, 0xCD, 0x5A, 0xF4,
0x1F, 0xDD, 0xA8, 0x33, 0x88, 0x07, 0xC7, 0x31, 0xB1, 0x12, 0x10, 0x59, 0x27, 0x80, 0xEC, 0x5F,
0x60, 0x51, 0x7F, 0xA9, 0x19, 0xB5, 0x4A, 0x0D, 0x2D, 0xE5, 0x7A, 0x9F, 0x93, 0xC9, 0x9C, 0xEF,
0xA0, 0xE0, 0x3B, 0x4D, 0xAE, 0x2A, 0xF5, 0xB0, 0xC8, 0xEB, 0xBB, 0x3C, 0x83, 0x53, 0x99, 0x61,
0x17, 0x2B, 0x04, 0x7E, 0xBA, 0x77, 0xD6, 0x26, 0xE1, 0x69, 0x14, 0x63, 0x55, 0x21, 0x0C, 0x7D
};
State sub_bytes(const State &state){
State new_state=state;
for(int i=0; i<4; i++){
for(int j=0; j<4; j++){
new_state[i][j]= s_box[state[i][j]];
}
}
return new_state;
}
State Inv_sub_bytes(const State &state){
State new_state=state;
for(int i=0; i<4; i++){
for(int j=0; j<4; j++){
new_state[i][j]= inv_s_box[state[i][j]];
}
}
return new_state;
}
```
### ShiftRows(行位移)
在 AES 中,ShiftRows 是對明文狀態矩陣進行處理的一個步驟。狀態矩陣的大小為 4x4,每一行進行不同的位移。假設我們的狀態矩陣為:
$$
\text{state} = \begin{bmatrix}
s_{00} & s_{01} & s_{02} & s_{03} \\
s_{10} & s_{11} & s_{12} & s_{13} \\
s_{20} & s_{21} & s_{22} & s_{23} \\
s_{30} & s_{31} & s_{32} & s_{33} \\
\end{bmatrix}
$$
在AES中,對於**ShiftRows**操作,會依照如下規則對行進行位移:
* 第一行(Row 0)不變
* 第二行(Row 1)左移一位
* 第三行(Row 2)左移兩位
* 第四行(Row 3)左移三位
這個過程的數學表達如下:
$$
\text{After ShifhtRows} = \begin{bmatrix}
s_{00} & s_{01} & s_{02} & s_{03} \\
s_{11} & s_{12} & s_{13} & s_{10} \\
s_{22} & s_{23} & s_{20} & s_{21} \\
s_{33} & s_{30} & s_{31} & s_{32} \\
\end{bmatrix}
$$
InvShiftRows就是移回去(還原)
程式實作碼:
```cpp=
#define State vector<vector<uint8_t>>
State ShiftRows(const State &state){
State new_state=state;
for(int i=1; i<=3; i++){
vector<uint8_t> row(4);
for(int j=0; j<4; j++){
row[j] = state[i][j];
}
for(int j=0; j<4; j++){
new_state[i][(j-i+4)%4]=row[j];
}
}
return new_state;
}
State Inv_ShiftRows(const State &state){
State new_state=state;
for(int i=1; i<=3; i++){
vector<uint8_t> row(4);
for(int j=0; j<4; j++){
row[j]=state[i][j];
}
for(int j=0; j<4; j++){
new_state[i][(i+j)%4]=row[j];
}
}
return new_state;
}
```
### MixClumns(列混合)
這步驟透過**GF(2^8)矩陣乘法**來提供擴散性,矩陣為
\
\begin{bmatrix}
2 & 1 & 1 & 3 \\
3 & 2 & 1 & 1 \\
1 & 3 & 2 & 1 \\
1 & 1 & 3 & 2
\end{bmatrix}
\
行向量**s**變換後為:
$$s'=M \cdot s$$
其中的乘法是**GF(2^8)乘法**,如:
$$2 \times x = x \ll 1 \mod P(x)$$
這確保小的輸入變化會擴散到整個區塊。
程式碼實作
```cpp=
#define State uint8_t
State MixColumns(const State &state){
State tmp(4,vector<uint8_t>(4));
for(int i=0; i<4; i++){
for (int j=0; j<4; j++){
tmp[i][j]=state[i][j];
}
}
for(int i=0; i<4; i++){
for(int j=0; j<4; j++){
//乘換成擴展域的乘法,加換成擴展域的加法(XOR)
state[i][j]=G_Multi(tmp[0][j], Mix[i][0])^G_Multi(tmp[1][j], Mix[i][1])^G_Multi(tmp[2][j], Mix[i][2])^G_Multi(tmp[3][j], Mix[i][3]);
}
}
return state;
}
State InvMixColumns(const State &state) {
State tmp(4,vector<uint8_t>(4));
for (int i = 0; i < 4; i++) {
for (int j = 0; j < 4; j++) {
tmp[i][j] = state[i][j];
}
}
for (int i=0; i<4; i++) {
for (int j=0; j<4; j++) {
//乘換成擴展域的乘法加,換成擴展域的加法(XOR)
state[i][j]=G_Multi(tmp[0][j], InvMix[i][0])^G_Multi(tmp[1][j], InvMix[i][1])^G_Multi(tmp[2][j], InvMix[i][2])^G_Multi(tmp[3][j], InvMix[i][3]);
}
}
return state;
}
uint8_t G_Multi(uint8_t a, uint8_t b) {
uint8_t result = 0;
for (int i=0; i<8; i++) {
if (b&1) {
result^=a;
}
bool Highbit = a&0x80;
a<<=1;//模擬乘上x(因為下次和a的高一次方運算)
if(Highbit) {
a^=0x1B;//模擬除以(x^8 + x^4 + x^3 + x^1 + 1),剛剛左移丟失的高位也剛好被除掉
}
b>>=1;//將高一次方移到第一位
}
return result;
}
```
### **密鑰擴展**
使用**輪常數Rcon**,並透過XOR產生新的子密鑰:
$$w[i] = w[i-4] \oplus T(w[i-1])$$
其中$T(x)$包含**S-Box變換+Rcon**
### AddRoundKey(輪密鑰加)
AddRoundKey 步驟是將當前的狀態矩陣與 輪密鑰(Round Key)進行 XOR 操作。每一輪的密鑰是通過密鑰擴展從原始密鑰生成的,密鑰大小也是 128 位(16 字節)。假設我們有以下狀態矩陣:
$$
\text{state} = \begin{bmatrix}
s_{00} & s_{01} & s_{02} & s_{03} \\
s_{10} & s_{11} & s_{12} & s_{13} \\
s_{20} & s_{21} & s_{22} & s_{23} \\
s_{30} & s_{31} & s_{32} & s_{33} \\
\end{bmatrix}
$$
而輪密鑰(Round Key)也有相同大小:
$$
\text{Round Key} = \begin{bmatrix}
k_{00} & k_{01} & k_{02} & k_{03} \\
k_{10} & k_{11} & k_{12} & k_{13} \\
k_{20} & k_{21} & k_{22} & k_{23} \\
k_{30} & k_{31} & k_{32} & k_{33} \\
\end{bmatrix}
$$
**AddRoundKey**的操作是對每個位置進行**XOR**操作,即:
$$ State_{new} = State \oplus Round Key$$
這會對每一個元素進行**XOR**。舉例如下:
$$
\text{State}_{\text{new}} =
\begin{bmatrix}
s_{00} \oplus k_{00} & s_{01} \oplus k_{01} & s_{02} \oplus k_{02} & s_{03} \oplus k_{03} \\
s_{10} \oplus k_{10} & s_{11} \oplus k_{11} & s_{12} \oplus k_{12} & s_{13} \oplus k_{13} \\
s_{20} \oplus k_{20} & s_{21} \oplus k_{21} & s_{22} \oplus k_{22} & s_{23} \oplus k_{23} \\
s_{30} \oplus k_{30} & s_{31} \oplus k_{31} & s_{32} \oplus k_{32} & s_{33} \oplus k_{33} \\
\end{bmatrix}
$$
程式碼實作:
```cpp=
#define State vector<vector<uint8_t>>
State AddRoundKey(const State &state, const State &round_key){
State new_state = state;
for(int i=0; i<4; i++){
for(int j=0; j<4; j++){
new_state[i][j]^=round_key[i][j];
}
return new_state;
}
}
```
### 密鑰生成
來源:https://www.slideserve.com/keegan/chapter-5#google_vignette
$其中W_0=K_0和K_1和K_2和K_3連起來(是四分之一長的密鑰,而W_0和W_1和W_2和W_3$是原始的密鑰),g函式是實作中的KeyScheduleCore
實作程式碼:
```cpp=
uint8_t RCON[11] = { 0x8d, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1b, 0x36 };
void KeyExpansion(const uint8_tr* key, uint8_t* ExpandKey) {
int KeyLength = 16;
int ExpandKeyLength = 176;
int Pre = 16;//to previous round key
//int m = 0;
//this four value is depanding on the size of the key. Now it is 128bit
for(int i=0; i<16; i++){
ExpandKey[i] = key[i];
}
for (int i=KeyLength, rconIt=1; i<ExpandKeyLength; rconIt++) {
uint8_t tmp[4];
memcpy(tmp, ExpandKey+i-4, 4);
uint8_t g[4];
KeyScheduleCore(rconIt, tmp, g);
memcpy(tmp, ExpandKey+i-Pre, 4);
for(int j=0; j<4; j++){
tmp[j] ^= g[j];
}
memcpy(ExpandKey+i, tmp, 4);
i += 4;
for(int j=0; j<3; j++){
memcpy(tmp, ExpandKey+i-4, 4);
for(int k = 0; k < 4; k++){
ExpandKey[i+k] = tmp[k]^ExpandKey[i-Pre+k];
}
i += 4;
}
//如要支援其他大小的密鑰,還有其他東西要寫
}
}
```
### ECB
在加密時,明文的長度通常會超過 128 位(AES 區塊的大小)。而 ECB模式 是處理這個問題最簡單的一種方式。除了 ECB,還有其他模式如 CBC、CTR、CFB 和 OFB,也可以解決長明文的加密問題,但它們在處理方式和安全性上有所不同。
ECB 模式的工作原理非常簡單,它將明文每 128 位切分成一個區塊,並對每個區塊單獨進行加密。這樣處理的最大問題是:相同的明文區塊會被加密為相同的密文區塊,這樣會暴露出明文的某些模式或結構,從而削弱了加密的安全性。
### pkcs7_padding
在加密時,明文大小通常不會是加密演算法所需區塊大小的整數倍。例如,AES 的區塊大小是 16 字節,所以如果明文的大小不是 16 的倍數,就需要進行填充。而 PKCS7 padding 的填充方式很簡單,假設現在差一個字節就能成為 16 的倍數,那就填充 0x01,如果差兩個字節,就填充兩個 0x02,以此類推。當差 15 個字節時,就填充 15 個 0x0f。比較特別的是,如果明文的長度本來就已經是 16 的倍數,則需要填充 16 個 0x10。
這樣的填充方式是必要的,因為在去除填充時,需要依據最後一個字節的數值來判定需要刪除多少個填充字節。例如,如果最後一個字節是 0x04,那麼可以知道倒數 4 個字節都是填充字節,應該將其刪除。因此,填充 0x10 也是必要的,這樣才能在去除填充時正確地恢復原來的數據。
程式碼實作
```cpp=
string pkcs7_padding(const string& str, int BlockSize) {
int PaddingSize = BlockSize-(str.size()%BlockSize);
uint8_t PaddingChar = (uint8_t)PaddingSize;
for(int i=0; i<PaddingSize; i++){
str.push_back(PaddingChar);
}
return str;
}
string pkcs7_unpadding(const string& str) {
int PaddingSize = (int)((unsigned char)str[str.size()-1]);
str.resize(str.size()-PaddingSize);
return str;
}
```
完整實作
實際實作上還有很多細節,(包括ECB的處理、Base64的使用等)
可以到github詳細觀看
Google Drive
Gist
Clipboard
Sign in with Wallet
