第3章分組密碼-3

第3章分組密碼本章主要內(nèi)容概述 分組密碼的設(shè)計(jì)原則與評(píng)估分組密碼的設(shè)計(jì)方法數(shù)據(jù)加密標(biāo)準(zhǔn)－DES高級(jí)加密標(biāo)準(zhǔn)－AES 分組密碼的工作模式其它分組密碼

第3章分組密碼3.1概述

分組密碼具有速度快、易于標(biāo)準(zhǔn)化和便于軟硬件實(shí)現(xiàn)等特點(diǎn)。通常是信息與網(wǎng)絡(luò)安全中實(shí)現(xiàn)數(shù)據(jù)加密和認(rèn)證的核心體制，它在計(jì)算機(jī)通信和信息系統(tǒng)安全領(lǐng)域有著最廣泛的應(yīng)用。第3章分組密碼3.2分組密碼的設(shè)計(jì)原則與評(píng)估

3.2.1分組密碼的設(shè)計(jì)原則 針對(duì)安全性的一般設(shè)計(jì)原則明文分組長(zhǎng)度和密鑰長(zhǎng)度望盡可能大混亂原則：又稱混淆原則，是指密鑰和明文以及密文之間的依賴關(guān)系盡可能的復(fù)雜擴(kuò)散原則：密鑰或明文的每一位影響密文的許多位以便隱蔽明文的統(tǒng)計(jì)特性 針對(duì)實(shí)現(xiàn)的設(shè)計(jì)原則軟件實(shí)現(xiàn)的設(shè)計(jì)原則硬件實(shí)現(xiàn)的設(shè)計(jì)原則第3章分組密碼 3.2.2分組密碼的評(píng)估

(1)安全性

評(píng)估中的最重要因素，包括下述要點(diǎn)：算法抗密碼分析的強(qiáng)度，可靠的數(shù)學(xué)基礎(chǔ)，算法輸出的隨機(jī)性，與其他候選算法比較的相對(duì)安全性

(2)性能

在各種平臺(tái)上的計(jì)算效率和對(duì)存儲(chǔ)空間的需求

(3)算法和實(shí)現(xiàn)特性

靈活性、硬件和軟件適應(yīng)性、算法的簡(jiǎn)單性等

第3章分組密碼3.3分組密碼常見的設(shè)計(jì)方法

3.3.1Feistel結(jié)構(gòu)

Feistel結(jié)構(gòu)是典型的迭代密碼.Feistel結(jié)構(gòu)的解密與加密是完全一樣的，除了所使用的子密鑰的順序正好相反。Li-1Ri-1FKiLi=Ri-1Ri=Li-1

F(Ri-1,Ki)

第3章分組密碼 3.3.2SPN結(jié)構(gòu)

SPN結(jié)構(gòu)也是一種特殊的迭代密碼。SPN結(jié)構(gòu)和Feistel結(jié)構(gòu)相比，可以得到更快速的擴(kuò)散，但是SPN密碼的加解密通常不相似。3.4S-DES(SimplifiedDES)S-DES全稱SimplifiedDES，它是一個(gè)供教學(xué)而非安全的加密算法，與DES的特性和結(jié)構(gòu)類似，但參數(shù)小，便于理解。S-DES算法的輸入是一個(gè)8位的明文或者密文組和一個(gè)10位的密鑰，輸出是一個(gè)8位的密文或者明文組S-DES算法涉及五個(gè)函數(shù)：

(1)初始置換IP(initialpermutation)

(2)復(fù)合函數(shù)fk1，它是由密鑰K確定的，具有置換和替代的運(yùn)算

(3)轉(zhuǎn)換函數(shù)SW

(4)復(fù)合函數(shù)fk2

(5)初始置換IP的逆置換IP-1加密算法的數(shù)學(xué)表示為：密文=IP-1(fk2(SW(fk1(IP(明文)))))

解密算法的數(shù)學(xué)表示為：明文=IP-1(fk1(SW(fk2(IP(密文)))))

整體框架如下：

第3章分組密碼S-DES(SimplifiedDES)IPfkSWfkIP-1P10P8IPfkSWfkIP-1SHIFTSHIFTP8EncryptionDecryption8-bitplaintext8-bitplaintext8-bitciphertext8-bitciphertextK1K1K2K2第3章分組密碼IPE/PS0S1P4E/PS0S1P4SWIP-1K1K244844224S-DES(SimplifiedDES)-F函數(shù)第3章分組密碼k1k2k3k4k5k6k7k8k2k6k3k1k4k8k5k7若IP[]={2,6,3,1,4,8,5,7};則IP-I[]={4,1,3,5,7,2,8,6};IP-I是IP的逆置換IP-1(IP(X))=X;IP置換的輸入是明文或者密文。

若明文X=01110110，則IP(X)=11101001；S-DES(SimplifiedDES)第3章分組密碼IP置換k4k1k2k3k2k3k4k1k1k2k3k4S-DES(SimplifiedDES)-Expansion/Permutation(E/P）如果EP[]={4,1,2,3,2,3,4,1};則對(duì)于一個(gè)四位數(shù)的輸入（n1,n2,n3,n4），它的直觀結(jié)果是：n4

n1

n2

n3n2

n3

n4

n1將4位輸入擴(kuò)展成8位第3章分組密碼S-Box運(yùn)算上述結(jié)果的第一行輸入進(jìn)S-盒S0，產(chǎn)生2-位的輸出；第二行的4位輸入進(jìn)S盒S1，產(chǎn)生2-位的輸出。兩個(gè)S盒按如下定義：

S盒按下述規(guī)則運(yùn)算：

將第1和第4的輸入比特做為2-bit數(shù)，指示為S盒的一個(gè)行；

將第2和第3的輸入比特做為2-bit數(shù)，指示為S盒的一個(gè)列。如此確定為S盒矩陣的（i,j）數(shù)。

例如：0100為S0的輸入，（P0,0,P0,3）=(00)=0,并且(P0,1,P0,2)=(10)=2，確定了S0中的第0行2列（0，2）的系數(shù)為3，記為（11）輸出。第3章分組密碼密鑰的生成第3章分組密碼S-DES算法實(shí)例P10[]={3,5,2,7,4,10,1,9,8,6};P8[]={6,3,7,4,8,5,10,9};P4[]={2,4,3,1};IP[]={2,6,3,1,4,8,5,7};IPI[]={4,1,3,5,7,2,8,6};EP[]={4,1,2,3,2,3,4,1};S0[][]={

{1,0,3,2},

{3,2,1,0},

{0,2,1,3},

{3,1,3,2},};S1[][]={

{0,1,2,3},

{2,0,1,3},

{3,0,1,0},

{2,1,0,3},};ciphertext=

01110110；key

=

011111

1101；1、計(jì)算兩個(gè)子密鑰K1

K2key經(jīng)過P10置換得

t0=1111110011t0高低位循環(huán)左移一位，LS-1之后合并得

t1=1111100111t1經(jīng)P8置換后計(jì)算得

K1=01011111t1高低位循環(huán)左移兩位，LS-2之后合并為

t2=1111111100t2經(jīng)P8置換后計(jì)算得

K2=111111002、第一輪fk函數(shù)密文經(jīng)IP置換得

m=11101001對(duì)m取高低位

L=1110

R=1001經(jīng)擴(kuò)張/置換運(yùn)算

E/P(R)=11000011與K2進(jìn)行異或得

001111110011進(jìn)入S盒S0中得到一個(gè)二位輸出

101111進(jìn)入S盒S1中得到一個(gè)二位輸出

11兩者合并得到一個(gè)四位輸出

1011

上一輪結(jié)果經(jīng)P4置換得到

0111上一輪結(jié)果與L按位異或得到

1001故第一輪fk函數(shù)的結(jié)果為

100110013、轉(zhuǎn)換函數(shù)SW第一輪fk函數(shù)的結(jié)果經(jīng)SW得

10011001第3章分組密碼第二輪fk函數(shù)對(duì)上一輪結(jié)果（10011001）取高低位L=R=經(jīng)擴(kuò)張/置換運(yùn)算 E/P(R)=與K1（01011111）進(jìn)行異或得

進(jìn)入S盒S0中得到一個(gè)二位輸出進(jìn)入S盒S1中得到一個(gè)二位輸出

兩者合并得到一個(gè)四位輸出上一輪結(jié)果經(jīng)P4置換得到上一輪結(jié)果與L按位異或得到故第二輪fk函數(shù)的結(jié)果為

第二輪fk函數(shù)結(jié)果經(jīng)IP逆置換得得到

10011001P10[]={3,5,2,7,4,10,1,9,8,6};P8[]={6,3,7,4,8,5,10,9};P4[]={2,4,3,1};IP[]={2,6,3,1,4,8,5,7};IPI[]={4,1,3,5,7,2,8,6};EP[]={4,1,2,3,2,3,4,1};S0[][]={

{1,0,3,2},

{3,2,1,0},

{0,2,1,3},

{3,1,3,2},};S1[][]={

{0,1,2,3},

{2,0,1,3},

{3,0,1,0},

{2,1,0,3},};Ciphertext=

01110110；key

=

011111

110111000011100111001001110011011101

110101000100100100010110第3章分組密碼第3章分組密碼3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES

DES是一種明文分組為64比特，有效密鑰56比特，輸出密文64比特的，具有16輪迭代的分組對(duì)稱密碼算法，DES由初始置換，16輪迭代，初始逆置換組成。輸入64位比特明文初始置換IP置換表在密鑰控制下16輪迭代交換左右32bitIP逆置換表輸出64位比特密文3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DESround1函數(shù)fLi-1

（32bit）Ri-1

（32bit）Ri=Li-1⊕f(Ri-1,ki)Li=Ri-1Kiround2round16第3章分組密碼可以看出，DES加密需要四個(gè)關(guān)鍵點(diǎn)：(1)IP置換表和IP-1逆置換表;(2)函數(shù)f;(3)子密鑰Ki。(4)S盒的工作原理。DES算法的實(shí)現(xiàn)步驟第3章分組密碼3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES

（1）IP置換表IP置換表58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157輸入的第1位被置換到第40位輸入的第2位被置換到第8位40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725輸入的第40位作為第1位輸入的第8位作為第2位IP-1逆置換表3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES第3章分組密碼IP置換表（續(xù)）M=(m1,m2,…..)12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455561234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556IP(M)=(m58,m50

)=(m1

1,m1

2,…..)5850423426181026052443628201246254463830221466456484032241685749413325179161584537292113563554739312315740848165624643239747155523

63

3138646145422623037545135321612936444125220602834242105018582633141949175725IPIP-11第3章分組密碼DES算法的實(shí)現(xiàn)步驟-（2）f函數(shù)函數(shù)f(Ri-1,Ki)有兩個(gè)輸入：32位的Ri-1和48位子密鑰Ki，f函數(shù)的處理流程如下圖所示。第3章分組密碼子密鑰（Ki)第3章分組密碼 E-擴(kuò)展運(yùn)算

E-擴(kuò)展運(yùn)算是擴(kuò)位運(yùn)算，將32比特?cái)U(kuò)展為48比特，用方陣形式可以容易地看出其擴(kuò)位方法，其中粗方框中的為原始輸入數(shù)據(jù)。3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES第3章分組密碼(3)壓縮替代S盒(SubstitutionBox)3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES48bit塊通過S盒壓縮成32bit塊48bit寄存器32bit寄存器

S1S2S3S4S5S6S7S86bit4bit共8個(gè)S盒第3章分組密碼(3)壓縮替代S盒(SubstitutionBox)S1盒1441312151183106125907015741421311061211953841148136211151297310501512824917511314100613作用：將6個(gè)輸入位映射為4個(gè)輸出位；方法：若定義6個(gè)輸入位為a1a2a3a4a5a6，a1代表第1位，a6代表第6位，將a1a6組成2位二進(jìn)制數(shù)，對(duì)應(yīng)S盒表中的行號(hào)；將a2a3a4a5組成一個(gè)4位的2進(jìn)制數(shù)，對(duì)應(yīng)S盒表中的列號(hào)；映射到交叉點(diǎn)的數(shù)據(jù)就是該S盒的輸出。輸入為101011的輸出是？？？交叉點(diǎn)數(shù)據(jù)為9轉(zhuǎn)化為二進(jìn)制為：1001a1a6=11->3->第3行a2a3a4a5=0101->5->第5列3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES第3章分組密碼（4）置換函數(shù)P（Permutaion）P置換的目的是：提供雪崩效應(yīng)；明文或密鑰的一點(diǎn)小的變動(dòng)都引起密文的較大變化；16072021291228170115232605183110020824143227030919133006221104253.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES第3章分組密碼DES結(jié)構(gòu)

3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES子密鑰生成器密鑰(56bit)PC-1K1C0置換選擇1D0LS1LS1C1D1LS2LS2C2D2PC-2置換選擇228bit28bit56bitK2PC-256bitLS16LS16C16D16K16PC-256bit48bit48bit48bit第3章分組密碼3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES循環(huán)左移1234567811222222091011121314151612222221密鑰表的計(jì)算邏輯：輪數(shù)574941332517915850423426181025951432527191136052443663554739312315762544638302214661534537292113528201241417112415328156211023191242681672720132415231374755304051453348444939563453464250362932置換選擇1置換選擇2子密鑰生成器-置換選擇第3章分組密碼3.5數(shù)據(jù)加密標(biāo)準(zhǔn)－DES第3章分組密碼3.5.2DES的安全性分析DES算法正式公開發(fā)表以后，引起了一場(chǎng)激烈的爭(zhēng)論。1977年Diffie和Hellman提出了制造一個(gè)每秒能測(cè)試106個(gè)密鑰的大規(guī)模芯片，造價(jià)昂貴1997年1月28日，美國(guó)的RSA公司在互聯(lián)網(wǎng)上開展了一項(xiàng)名為“密鑰挑戰(zhàn)”的競(jìng)賽，懸賞一萬(wàn)美元，破解一段用56比特密鑰加密的DES密文。1997年6月17日Rocke和志愿者們成功地找到了密鑰，在計(jì)算機(jī)上公布了明文：“Strongcryptographymakestheworldasaferplace”。第3章分組密碼3.5.3三重DES

為了增強(qiáng)DES算法的安全性，人們提出了許多DES的改進(jìn)方案。其中，稱為三重DES的多重加密算法是DES的一個(gè)重要的改進(jìn)算法。DES解密DES加密DES加密DES加密DES解密DES解密明文M密文CK1K2K3加密這周五實(shí)驗(yàn)，在242第3章分組密碼3.5高級(jí)加密標(biāo)準(zhǔn)－AES

AES是DES的替代者。1997年9月12日，NIST發(fā)布了征集算法的正式公告，要求AES具有128比特的分組長(zhǎng)度，并支持128、192和256比特的密鑰長(zhǎng)度，而且要求AES要能在全世界范圍內(nèi)免費(fèi)使用。

2000年10月2日，Rijndael算法被選擇為高級(jí)加密標(biāo)準(zhǔn)。

AES的候選算法根據(jù)以下三條主要原則進(jìn)行評(píng)判安全性代價(jià)算法與實(shí)現(xiàn)特性3.5.1AES算法的數(shù)學(xué)基礎(chǔ)

AES中的運(yùn)算是按字節(jié)的，并把一個(gè)字節(jié)看成是系數(shù)在有限域GF(2)上的次數(shù)小于8的多項(xiàng)式（即把一個(gè)字節(jié)看成是有限域GF(28)中的一個(gè)元素)。

一、有限域GF(28)

可以把出b7b6b5b4b3b2b1b0構(gòu)成的一個(gè)字節(jié)看成是系數(shù)在(0,1)中取值的多項(xiàng)式：

b7x7+

b6x6+

b5x5+

b4x4

+

b3x3+

b2x2+

b1x

+

b0

如{57}（01010111）可寫成：x6+

x4

+

x2+

x

+

1注：57H第3章分組密碼1.多項(xiàng)式加法

在多項(xiàng)式表示中，兩個(gè)元素的和是一個(gè)多項(xiàng)式，其系數(shù)是兩個(gè)元素的對(duì)應(yīng)系數(shù)的模2加(即異或)。例如：“57”和“83”的和為：57⊕83＝D4，或者采用其多項(xiàng)式記法：57→01010111→x6+x4+x2+x+183→10000011→x7+x+1(x6+x4+x2+x+1)+(x7+x+1)＝x7+x6+x4+x2→11010100→D4顯然，該加法與簡(jiǎn)單的以字節(jié)為單位的比特異或是一致的。

01010111⊕10000011110101002.多項(xiàng)式乘法

有限域GF(28)中兩個(gè)元素的乘法為模2元域GF(28)上的一個(gè)8次不可約多項(xiàng)式的多項(xiàng)式乘法。對(duì)于AES這一8次不可約多項(xiàng)式為例：

m(x)=x8+x4+x3+x+1用十六進(jìn)制表示為{9B}。第3章分組密碼

【例】計(jì)算：5783=？

(x6+x4+x2+x+1)

(x7+x+1)=x13+x11+x9+x8+x7+x7+x5+x3+x2+

x+x6+x4+x2+x+1=x13+x11+x9+x8+x6+x5+x4+x3+

1而:(x13+x11+x9+x8+x6+x5+x4+x3+

1)modm(x)=(x13+x11+x9+x8+x6+x5+x4+x3+

1)mod(x8+x4+x3+x+1)；計(jì)算時(shí)按降冪排

=x7+x6+1所以：(x6+x4+x2+x+1)

(x7+x+1)=x7+x6+1(多項(xiàng)式表示)0101011110000011=11000001(2進(jìn)制表示)5783=C1(16進(jìn)制表示)第3章分組密碼3.x乘法考慮用x乘以多項(xiàng)式B(x):(b7b6b5b4b3b2b1b0)B(x)＝b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+

b1x

+

b0

x

B(x)＝b7x8+b6x7+b5x6+b4x5+b3x4+b2x3+

b1x2

+

b0x將上面的結(jié)果模m(x)求余就得到x

B(x)。如果b7＝0，則：x

B(x)＝b6x7+b5x6+b4x5+b3x4+b2x3+

b1x2

+

b0x

即所得結(jié)果字節(jié)為：(b6b5b4b3b2b1b00)如果b7＝1，則：x

B(x)＝x8+b6x7+b5x6+b4x5+b3x4+b2x3+

b1x2

+

b0xmod(x8+x4+x3+x+1)=x8+b6x7+b5x6+b4x5+b3x4+b2x3+

b1x2

+

b0x+(x8+x4+x3+x+1)·1=b6x7+b5x6+b4x5+b3x4+b2x3+

b1x2

+

b0x+(x4+x3+x+1)

即所得結(jié)果字節(jié)為：(b6b5b4b3b2b1b00)⊕(00011011)所以，x

B(x)=(b6b5b4b3b2b1b00)；b7＝0(b6b5b4b3b2b1b00)⊕(00011011)；b7＝1第3章分組密碼第3章分組密碼例1：f(x)=x6+x4+x2+x+1,g(x)=x7+x+1,m(x)=x4+x3+x+1，求f(x)*g(x)modm(x)現(xiàn)在我們用二進(jìn)制運(yùn)算的方法來計(jì)算，即（01010111）*(10000011).首先要求出x冪乘01010111的中間結(jié)果：（01010111）*(00000010)=(10101110)(01010111)*(00000100)=(01011100)⊕(00011011)=(01000111)(01010111)*(00001000)=(10001110)(01010111)*(00010000)=(00011100)⊕(00011011)=(00000111)(01010111)*(00100000)=(00001110)(01010111)*(01000000)=(00011100)(01010111)*(10000000)=(00111000)所以：(01010111)*(10000011)=(01010111)*[(00000001)+（00000010）+（10000000)] =(01010111)⊕(10101110)⊕(00111000)=(11000001)11000001等價(jià)于x7+x6+1第3章分組密碼二、GF（28）域上的多項(xiàng)式

一個(gè)（4字節(jié)）字可以看作是GF（28

）域上的多項(xiàng)式，每個(gè)字對(duì)應(yīng)于一個(gè)次數(shù)小于4的多項(xiàng)式。1.多項(xiàng)式加法

多項(xiàng)式加法通過對(duì)應(yīng)的系數(shù)簡(jiǎn)單相加可以實(shí)現(xiàn)。2.多項(xiàng)式乘法

GF(28)域上的多項(xiàng)式乘法為模M(x)=x4+1的乘法。AES概述在Rijndael算法中，分組長(zhǎng)度和密鑰長(zhǎng)度均能分別被指定為128位，192位或256位。在高級(jí)加密標(biāo)準(zhǔn)規(guī)范中，密鑰長(zhǎng)度可以使用三者中的任意一種，但分組長(zhǎng)度只能是128位在本例題中假定密鑰的長(zhǎng)度為128位，這是最廣泛的實(shí)現(xiàn)方式Rijndael具有如下特性：所有已知的攻擊具有免疫性在各種平臺(tái)上，其執(zhí)行速度快而且代碼緊湊設(shè)計(jì)簡(jiǎn)單AES加密和解密流程1．給定一個(gè)明文M，將輪密鑰與M異或（稱為AddRoundKey）；2．對(duì)前Nr-1輪中的每—輪，用s盒進(jìn)行一次替換操作（稱為SubBytes）；對(duì)替換的結(jié)果做行移位操作（稱為ShiftRows）；再對(duì)結(jié)果做列混淆變換（稱為MixColumns）；然后進(jìn)行AddRoundKey(輪密鑰加）操作。3．在最后一輪中依次進(jìn)行SubBytes、ShiftRows和AddRoundKey操作。4．得到密文C。AES（Rijndael）結(jié)構(gòu)AES的數(shù)據(jù)結(jié)構(gòu)在我們的例子中，加密算法的輸入分組和解密算法的輸出分組均為128位輸入分組時(shí)以字節(jié)為單位的正方形矩陣描述的該分組被復(fù)制到state數(shù)組，這個(gè)數(shù)組在加密或解密的每個(gè)階段都會(huì)被改變。在執(zhí)行了最后的階段后，state被復(fù)制到輸出矩陣。128位的密鑰也是用以字節(jié)為單位的矩陣描述的。然后這個(gè)密鑰被擴(kuò)展成為一個(gè)以字為單位密鑰序列數(shù)組；每個(gè)字由四個(gè)字節(jié)組成，128位的密鑰最終擴(kuò)展為44字的序列。AES的數(shù)據(jù)結(jié)構(gòu)AES結(jié)構(gòu)AES結(jié)構(gòu)的一個(gè)顯著特征是它不是Feistel結(jié)構(gòu)。在Fiestel結(jié)構(gòu)里，數(shù)據(jù)分組中的一半被用來修改數(shù)據(jù)分組中的另一半，然后交換兩部分。然而Rijndael在內(nèi)的兩個(gè)AES最終候選算法沒有使用Feistel結(jié)構(gòu)，而是每一輪都使用代換和混淆并行地處理整個(gè)數(shù)組分組輸入的密鑰被擴(kuò)展成由44個(gè)32位字所組成的數(shù)組w[i]。從圖中可以看出在每輪加解密過程中有4個(gè)字（128位）的密鑰是作為該輪的密鑰AES結(jié)構(gòu)該結(jié)構(gòu)由四個(gè)不同的階段組成，包括一個(gè)混淆和三個(gè)替換：字節(jié)替換行移位列混淆：一個(gè)利用在域GF（28）上的算術(shù)特性的代換算法簡(jiǎn)單，僅僅在輪密鑰加階段中使用密鑰。每個(gè)階段均可逆。對(duì)字節(jié)替換，行移位和列混淆，在解密算法中用與他們相對(duì)應(yīng)的逆函數(shù)與大多數(shù)分組密碼一樣，解密算法按逆序方式利用了擴(kuò)展密鑰AES分組AES替換移位列混淆列混合變換MixColumns()對(duì)一個(gè)狀態(tài)逐列進(jìn)行變換，它將一個(gè)狀態(tài)的每一列視為有限域GF(28)上的一個(gè)多項(xiàng)式。在列混合變換中，每一列所表示的多項(xiàng)式將乘以一個(gè)固定的多項(xiàng)式C(x)，

C(x)={03}x3+{01}x2+{01}x

+{02}對(duì)應(yīng)4字節(jié)向量為(03010102)，模多項(xiàng)式為(x4+1)。87F24D976E4C90EC46E74AC3A68CD8954740A34C37D4709F94E43A42EDA5A6BC輪密鑰加AES密鑰擴(kuò)展KeyExpansion（密鑰擴(kuò)展）

將輸入的密鑰擴(kuò)展為11組128位密鑰組，其中第0組為輸入密鑰本身

其后第n組第i列為第n-1組第i列與第n組第i-1列之和（模2加法也就是異或，1<=i<=3）對(duì)于每一組第0列即i=0，有特殊的處理將前一列即第n-1組第3列（i=3）的4個(gè)字節(jié)循環(huán)左移1個(gè)字節(jié)，并對(duì)每個(gè)字節(jié)進(jìn)行字節(jié)替代變換SubBytes將第一行（即第一個(gè)字節(jié)）與輪常量rc[n]相加

最后再與前一組該列相加

i=0i=1i=2i=3RotWordSubWord第3章分組密碼3.6分組密碼的工作模式

3.6.1電子密碼本模式（ECB）特點(diǎn)：(1)

一種最簡(jiǎn)易的工作方式；(