1、第第8章章 對稱密碼體制對稱密碼體制1 第八章第八章 對稱密碼體制對稱密碼體制8.1 8.1 對稱密碼概述對稱密碼概述8.2 DES8.2 DES8.3 AES8.3 AES2一、對稱密碼體制概述一、對稱密碼體制概述第第8章章 對稱密碼體制對稱密碼體制3對稱密碼體制簡介對稱密碼體制簡介n對于一個密碼體制（M，C，K，E，D）中的K，若加密密鑰Ke與解密密鑰Kd相同或者二者之間很容易互相推出，由于加密密鑰和解密密鑰地位是對等的，因此稱其為對稱密碼體制。n而在實際應(yīng)用中，往往加密密鑰和解密密鑰都是相同的，即只有一個密鑰，既作為加密密鑰又作為解密密鑰，因此又稱為單鑰體制。而且一般加密算法和解密算法也

2、是一樣的。第第8章章 對稱密碼體制對稱密碼體制4對稱密碼體制簡介對稱密碼體制簡介n對稱密碼體制是歷史最為悠久的密碼體制，古代和近代使用的都是這種體制。n根據(jù)對明文的加密方式不同，對稱密碼算法又分為分組加密算法（Block Cipher）和流密碼算法。n分組加密算法將明文分為一組一組的固定長度進行加密。n流密碼算法則將明文按字符逐位加密。n二者之間也不是有著不可逾越的鴻溝，很多時候，分組加密算法也可以用于構(gòu)建流密碼算法。 第第8章章 對稱密碼體制對稱密碼體制5分組密碼概述分組密碼概述 明文序列明文序列 x1, x2, xi, 將明文劃分為m比特長的組 加密函數(shù)加密函數(shù)E: VmKVn各組分別在密

3、鑰K的控制下變換成等長的輸出 這種密碼實質(zhì)上是字長為這種密碼實質(zhì)上是字長為m的數(shù)字序列的代換密碼的數(shù)字序列的代換密碼。 解密算法加密算法密鑰k=(k0, k1, kt-1 )密鑰k=(k0, k1, kt-1 )明文明文x=(x0, x1, xm-1)明文明文x=(x0, x1, xm-1)密文密文x=(y0, y1, yn-1)第第8章章 對稱密碼體制對稱密碼體制6分組密碼設(shè)計問題分組密碼設(shè)計問題 分組密碼的設(shè)計問題在于找到一種算法，分組密碼的設(shè)計問題在于找到一種算法，能在密鑰控制下從一個足夠大且足夠好的置能在密鑰控制下從一個足夠大且足夠好的置換子集中，簡單而迅速地選出一個置換，用換子集中，

4、簡單而迅速地選出一個置換，用來對當前輸入的明文的數(shù)字組進行加密變換。來對當前輸入的明文的數(shù)字組進行加密變換。第第8章章 對稱密碼體制對稱密碼體制7分組密碼設(shè)計準則n混淆混淆：盡可能使密文和加密密鑰間的統(tǒng)計關(guān)系更加復(fù)雜，以阻止攻擊者發(fā)現(xiàn)密鑰。n擴散擴散：明文的統(tǒng)計特征消散在密文中，可以讓每個明文數(shù)字盡可能地影響多個密文數(shù)字，等價于說每個密文數(shù)字被許多明文數(shù)字影響。 第第8章章 對稱密碼體制對稱密碼體制8分組密碼算法應(yīng)滿足的要求分組密碼算法應(yīng)滿足的要求n分組長度分組長度n要足夠大：要足夠大： 防止明文窮舉攻擊法奏效。防止明文窮舉攻擊法奏效。n密鑰量要足夠大：密鑰量要足夠大： 盡可能消除弱密鑰并使所

5、有密鑰同等地位，以防止密盡可能消除弱密鑰并使所有密鑰同等地位，以防止密鑰窮舉攻擊奏效鑰窮舉攻擊奏效。n由密鑰確定置換的算法要足夠復(fù)雜：由密鑰確定置換的算法要足夠復(fù)雜： 充分實現(xiàn)明文與密鑰的擴散和混淆，沒有簡單的關(guān)系充分實現(xiàn)明文與密鑰的擴散和混淆，沒有簡單的關(guān)系可循可循，要能抗擊各種已知的攻擊。要能抗擊各種已知的攻擊。 n加密和解密運算簡單加密和解密運算簡單： 易于軟件和硬件高速實現(xiàn)易于軟件和硬件高速實現(xiàn)。 98.2 美國數(shù)據(jù)加密標準美國數(shù)據(jù)加密標準DES（Data Encryption Standard）第第8章章 對稱密碼體制對稱密碼體制10美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況n

6、目的目的 通信與計算機相結(jié)合是人類步入信息社會的一個階梯，通信與計算機相結(jié)合是人類步入信息社會的一個階梯，它始于六十年代末，完成于它始于六十年代末，完成于90年代初。計算機通信網(wǎng)的形年代初。計算機通信網(wǎng)的形成與發(fā)展，要求信息作業(yè)標準化，安全保密亦不例外。成與發(fā)展，要求信息作業(yè)標準化，安全保密亦不例外。只只有標準化，才能真正實現(xiàn)網(wǎng)的安全有標準化，才能真正實現(xiàn)網(wǎng)的安全，才能推廣使用加密手，才能推廣使用加密手段，以便于訓練、生產(chǎn)和降低成本。段，以便于訓練、生產(chǎn)和降低成本。 第第8章章 對稱密碼體制對稱密碼體制11美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況n美國美國NBS在在1973年年5月月1

7、5公布了征求建議。公布了征求建議。1974年年8月月27日日NBS再次出公告征求建議，對建議方案提出如下再次出公告征求建議，對建議方案提出如下要求：要求：(1)算法必須提供高度的安全性算法必須提供高度的安全性(2)算法必須有詳細的說明算法必須有詳細的說明,并易于理解并易于理解(3)算法的安全性取決于密鑰算法的安全性取決于密鑰,不依賴于算法不依賴于算法(4)算法適用于所有用戶算法適用于所有用戶(5)算法適用于不同應(yīng)用場合算法適用于不同應(yīng)用場合(6)算法必須高效、經(jīng)濟算法必須高效、經(jīng)濟(7)算法必須能被證實有效算法必須能被證實有效(8)算法必須是可出口的算法必須是可出口的第第8章章 對稱密碼體制對

8、稱密碼體制12美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況nIBM公司在公司在1971年完成的年完成的LUCIFER密碼密碼 (64 bit分組，分組，代換代換-置換，置換，128 bit密鑰密鑰)的基礎(chǔ)上，改進成為建議的的基礎(chǔ)上，改進成為建議的DES體制體制n1975年年3月月17日日NBS（美國國家標準局）公布了這個算（美國國家標準局）公布了這個算法，并說明要以它作為聯(lián)邦信息處理標準，征求各方法，并說明要以它作為聯(lián)邦信息處理標準，征求各方意見。意見。n1977年年1月月15日建議被批準為聯(lián)邦標準日建議被批準為聯(lián)邦標準FIPS PUB 46，并設(shè)計推出并設(shè)計推出DES芯片。芯片。n198

9、1年美國年美國ANSI（美國國家標準協(xié)會）將其作為標準，（美國國家標準協(xié)會）將其作為標準，稱之為稱之為DEAANSI X3.92n1983年國際標準化組織年國際標準化組織(ISO)采用它作為標準，稱作采用它作為標準，稱作DEA-1 第第8章章 對稱密碼體制對稱密碼體制13美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況nNSA（美國國家安全局）宣布每隔（美國國家安全局）宣布每隔5年重新審議年重新審議DES是否繼是否繼續(xù)作為聯(lián)邦標準，續(xù)作為聯(lián)邦標準，1988年（年（FIPS46-1）、）、1993年年（FIPS46-2），），1998年不再重新批準年不再重新批準DES為聯(lián)邦標準。為聯(lián)邦標準。n雖

10、然雖然DES已有替代的數(shù)據(jù)加密標準算法已有替代的數(shù)據(jù)加密標準算法，但它仍是迄今為止，但它仍是迄今為止得到最廣泛應(yīng)用的一種算法，也是一種最有代表性的分組加得到最廣泛應(yīng)用的一種算法，也是一種最有代表性的分組加密體制。密體制。n1993年年4月，月，Clinton政府公布了一項建議的加密技術(shù)標準，政府公布了一項建議的加密技術(shù)標準，稱作密鑰托管加密技術(shù)標準稱作密鑰托管加密技術(shù)標準EES(Escrowed Encryption Standard)。算法屬美國政府。算法屬美國政府SECRET密級。密級。第第8章章 對稱密碼體制對稱密碼體制14美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況nDES發(fā)展史確

11、定了發(fā)展公用標準算法模式，而發(fā)展史確定了發(fā)展公用標準算法模式，而EES的制定的制定路線與路線與DES的背道而馳。人們懷疑有陷門和政府部門肆意的背道而馳。人們懷疑有陷門和政府部門肆意侵犯公民權(quán)利。此舉遭到廣為反對。侵犯公民權(quán)利。此舉遭到廣為反對。n1995年年5月月AT&T Bell Lab的的M. Blaze博士在博士在PC機上用機上用45分分鐘時間使鐘時間使SKIPJACK的的 LEAF協(xié)議失敗，偽造協(xié)議失敗，偽造ID碼獲得成碼獲得成功。功。1995年年7月美國政府宣布放棄用月美國政府宣布放棄用DES來加密數(shù)據(jù)，只將來加密數(shù)據(jù)，只將它用于語音通信。它用于語音通信。n1997年年1月美

12、國月美國NIST著手進行著手進行AES（Advanced Encryption Standard）的研究，成立了標準工作室。）的研究，成立了標準工作室。2001年年Rijndael被批準為被批準為AES標準。標準。第第8章章 對稱密碼體制對稱密碼體制15nDES（Data Encryption Standard）算法于1977年得到美國政府的正式許可，是一種用56位密鑰來加密64位數(shù)據(jù)的方法。這是IBM的研究成果。nDES是第一代公開的、完全說明細節(jié)的商業(yè)級現(xiàn)代算法，并被世界公認。美國制定數(shù)據(jù)加密標準簡況美國制定數(shù)據(jù)加密標準簡況第第8章章 對稱密碼體制對稱密碼體制16DES 算法算法n分組長度

13、為分組長度為64 bits (8 bytes)n密文分組長度也是密文分組長度也是64 bits。n密鑰長度為密鑰長度為64 bits，有，有8 bits奇偶校驗，有效密鑰長奇偶校驗，有效密鑰長度為度為56 bits。n算法主要包括：初始置換算法主要包括：初始置換IP、16輪迭代的乘積變換、輪迭代的乘積變換、逆初始置換逆初始置換IP-1以及以及16個子密鑰產(chǎn)生器。個子密鑰產(chǎn)生器。 第第8章章 對稱密碼體制對稱密碼體制17DES算法框圖算法框圖 輸入 64 bit明文數(shù)據(jù) 初始置換IP 乘積變換 （16輪迭代） 逆初始置換IP-1 64 bit密文數(shù)據(jù) 輸出 標準數(shù)據(jù)加密算法第第8章章 對稱密碼體

14、制對稱密碼體制18 Li-1(32bit) Ri-1(32bit) 選擇擴展運算 E 48 bit寄存器 按bit模2加密 48 bit寄存器 選擇壓縮運算 S 32 bit寄存器 置換運算 P 按bit模2和 Li (32bit) Ri (32bit)DES算法一輪迭代過程算法一輪迭代過程密鑰產(chǎn)生器第第8章章 對稱密碼體制對稱密碼體制19Feistel網(wǎng)絡(luò)示意圖網(wǎng)絡(luò)示意圖第第8章章 對稱密碼體制對稱密碼體制20 FeistelFeistel加解密過程加解密過程第第8章章 對稱密碼體制對稱密碼體制21Feistel密碼結(jié)構(gòu)密碼結(jié)構(gòu)Feistel還提出了實現(xiàn)代換和置換的方法。還提出了實現(xiàn)代換和置

15、換的方法。代換代換作用在數(shù)據(jù)的作用在數(shù)據(jù)的左半部分。它通過用輪函數(shù)左半部分。它通過用輪函數(shù)F F作用數(shù)據(jù)的右半部分后，與左作用數(shù)據(jù)的右半部分后，與左半部分進行異或來完成。每輪迭代的輪函數(shù)是相同的，但是半部分進行異或來完成。每輪迭代的輪函數(shù)是相同的，但是輸入的子密鑰輸入的子密鑰KiKi不同。不同。代換之后代換之后，交換數(shù)據(jù)的左右兩部分完，交換數(shù)據(jù)的左右兩部分完成成置換置換。這種結(jié)構(gòu)是。這種結(jié)構(gòu)是Shannon提出的代換置換網(wǎng)絡(luò)提出的代換置換網(wǎng)絡(luò)（SPNSPN，substitution-permutation networkssubstitution-permutation networks）的一

16、種特別形式）的一種特別形式。第第8章章 對稱密碼體制對稱密碼體制22SPNnS-P networks are based on the two primitive cryptographic operations we have seen before: nsubstitution (S-box)npermutation (P-box)常見結(jié)構(gòu)及代表算法nSPN網(wǎng)絡(luò)（例如 AES、Serpent）nFeistel結(jié)構(gòu)（例如DES、 CAST、Skipjack）n其他結(jié)構(gòu)（例如Frog和HPC） 第第8章章 對稱密碼體制對稱密碼體制23DES的的安全性安全性S S盒設(shè)計盒設(shè)計。 DES靠靠S盒實

17、現(xiàn)非線性變換。盒實現(xiàn)非線性變換。密鑰搜索機密鑰搜索機。 對對DES安全性批評意見中，較為一致的看法是安全性批評意見中，較為一致的看法是DES的的密鑰短了些。密鑰短了些。IBM最初向最初向NBS提交的建議方案采用提交的建議方案采用112 bits密鑰，但公布的密鑰，但公布的DES標準采用標準采用64 bits密鑰。有人認密鑰。有人認為為NSA故意限制故意限制DES的密鑰長度。采用窮搜索對已經(jīng)的密鑰長度。采用窮搜索對已經(jīng)對對DES構(gòu)成了威脅構(gòu)成了威脅第第8章章 對稱密碼體制對稱密碼體制24DES算法的安全性 nDES算法正式公開發(fā)表以后，引起了一場激烈的爭論。1977年Diffie和Hellman

18、提出了制造一個每秒能測試106個密鑰的大規(guī)模芯片，這種芯片的機器大約一天就可以搜索DES算法的整個密鑰空間，制造這樣的機器需要兩千萬美元。第第8章章 對稱密碼體制對稱密碼體制25n1993年R.Session和M.Wiener給出了一個非常詳細的密鑰搜索機器的設(shè)計方案，它基于并行的密鑰搜索芯片，此芯片每秒測試5107個密鑰，當時這種芯片的造價是10.5美元，5760個這樣的芯片組成的系統(tǒng)需要10萬美元，這一系統(tǒng)平均1.5天即可找到密鑰，如果利用10個這樣的系統(tǒng)，費用是100萬美元，但搜索時間可以降到2.5小時?？梢娺@種機制是不安全的。第第8章章 對稱密碼體制對稱密碼體制26nDES的56位短密

19、鑰面臨的另外一個嚴峻而現(xiàn)實的問題是：國際互聯(lián)網(wǎng)Internet的超級計算能力。1997年1月28日，美國的RSA數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開展了一項名為“密鑰挑戰(zhàn)”的競賽，懸賞一萬美元，破解一段用56位密鑰加密的DES密文。第第8章章 對稱密碼體制對稱密碼體制27n一位名叫Rocke Verser的程序員設(shè)計了一個可以通過互聯(lián)網(wǎng)分段運行的密鑰窮舉搜索程序，組織實施了一個稱為DESHALL的搜索行動，成千上萬的志愿者加入到計劃中，在計劃實施的第96天，即挑戰(zhàn)賽計劃公布的第140天，1997年6月17日晚上10點39分，美國鹽湖城Inetz公司的職員Michael Sanders成功地找到了密鑰，在計

20、算機上顯示了明文：“The unknown message is: Strong cryptography makes the world a safer place”。第第8章章 對稱密碼體制對稱密碼體制28n1998年7月電子前沿基金會（EFF）使用一臺25萬美圓的電腦在56小時內(nèi)破譯了56比特密鑰的DES。n1999年1月RSA數(shù)據(jù)安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。n盡管DES有這樣那樣的不足，但是作為第一個公開密碼算法的密碼體制成功地完成了它的使命，它在密碼學發(fā)展歷史上具有重要的地位。298.3 高級加密標準高級加密標準 AES第第8章章 對稱

21、密碼體制對稱密碼體制30 AES提出提出n1997年年1月，美國月，美國NIST向全世界密碼學界向全世界密碼學界發(fā)出征集發(fā)出征集21世紀高級加密標準（世紀高級加密標準（AESAdvanced Encryption Standard）算法的）算法的公告，并成立了公告，并成立了AES標準工作研究室，標準工作研究室，1997年年4月月15日的例會制定了對日的例會制定了對AES的評的評估標準。估標準。第第8章章 對稱密碼體制對稱密碼體制31AES的要求（1）AES是公開的；是公開的；（2）AES為單鑰體制分組密碼；為單鑰體制分組密碼；（3）AES的密鑰長度可變，可按需要增大；的密鑰長度可變，可按需要增

22、大；（4）AES適于用軟件和硬件實現(xiàn)；適于用軟件和硬件實現(xiàn)；（5）AES可以自由地使用，或按符合美國國家可以自由地使用，或按符合美國國家標準（標準（ANST）策略的條件使用；）策略的條件使用；第第8章章 對稱密碼體制對稱密碼體制32算法衡量條件n滿足以上要求的滿足以上要求的AES算法，需按下述條算法，需按下述條件判斷優(yōu)劣件判斷優(yōu)劣na. 安全性安全性nb. 計算計算效率效率nc. 內(nèi)內(nèi)存要求存要求nd. 使用使用簡便性簡便性ne. 靈活性。靈活性。第第8章章 對稱密碼體制對稱密碼體制33AES的評審的評審n 1998年年4月月15日全面征集日全面征集AES算法的工作結(jié)束。算法的工作結(jié)束。199

23、8年年8月月20日舉行了首屆日舉行了首屆AES討論會，對涉及討論會，對涉及14個國家的密碼個國家的密碼學家所提出的候選學家所提出的候選AES算法進行了評估和測試，初選并算法進行了評估和測試，初選并公布了公布了15個被選方案，供大家公開討論。個被選方案，供大家公開討論。 CAST-256， RC-6， CRYPTON-128，DEAL-128， FROG， DFC， LOKI-97， MAGENTA， MARS， HPC, RIJNDAEL， SAFER+， SERPENT， E-2， TWOFISH。n這些算法設(shè)計思想新穎，技術(shù)水平先進，算法的強度都這些算法設(shè)計思想新穎，技術(shù)水平先進，算法的強

24、度都超過超過3-DES，實現(xiàn)速度快于，實現(xiàn)速度快于3-DES。 第第8章章 對稱密碼體制對稱密碼體制34AES的評審的評審n1999年年8月月9日日NIST宣布第二輪篩選出的宣布第二輪篩選出的5個個候選算法為：候選算法為： MARS(C.Burwick等等,IBM）， RC6TM（R. Rivest等等,RSA Lab.)， RIJNDEAL(J. Daemen,比比)， SERPENT(R. Anderson等，等，英、以、挪威英、以、挪威)， TWOFISH(B. Schiener)。n2000年年10月月2日，日，NIST宣布宣布Rijndael作為新的作為新的AES第第8章章 對稱密碼

25、體制對稱密碼體制35AES算法設(shè)計思想n抵抗所有已知的攻擊；n在多個平臺上速度快，編碼緊湊；n設(shè)計簡單。nRijndael沒有采用Feistel結(jié)構(gòu)，輪函數(shù)由3個不同的可逆均勻變換構(gòu)成的，稱為3個層n均勻變換是指state的每個bit都用類似的方法處理第第8章章 對稱密碼體制對稱密碼體制36算法說明算法說明n分組和密鑰長度可變，各自可獨立指定為分組和密鑰長度可變，各自可獨立指定為128、192、256比特。比特。nstaten算法中間的結(jié)果也需要分組，稱之為算法中間的結(jié)果也需要分組，稱之為state，state可以用以字節(jié)為元素的矩陣陣列表示，該陣列有可以用以字節(jié)為元素的矩陣陣列表示，該陣列有

26、4行，列數(shù)行，列數(shù)Nb為分組長度除為分組長度除32n種子密鑰種子密鑰n以字節(jié)為元素的矩陣陣列描述，陣列為以字節(jié)為元素的矩陣陣列描述，陣列為4行，列數(shù)行，列數(shù)Nk為密鑰長度除為密鑰長度除32第第8章章 對稱密碼體制對稱密碼體制37主要指標主要指標n速度 3DES, 安全 =3DES n塊長 128 BitnKey 長 128，192， 256 Bit 第第8章章 對稱密碼體制對稱密碼體制38第第8章章 對稱密碼體制對稱密碼體制39第第8章章 對稱密碼體制對稱密碼體制40第第8章章 對稱密碼體制對稱密碼體制41每輪由四個不同階段組成每輪由四個不同階段組成n字節(jié)代換字節(jié)代換n行移位行移位n列混合列混

27、合n輪密鑰加輪密鑰加第第8章章 對稱密碼體制對稱密碼體制42字節(jié)代換字節(jié)代換n正向和逆向變換正向和逆向變換n簡單的查表操作：定義了一個簡單的查表操作：定義了一個S S盒，由盒，由1616* *1616字節(jié)組成的矩陣，包含了字節(jié)組成的矩陣，包含了8 8位所能表示的位所能表示的256256個數(shù)的一個置換。個數(shù)的一個置換。nStateState中每個字節(jié)按照如下方式映射為一個新中每個字節(jié)按照如下方式映射為一個新的字節(jié)：把該字節(jié)高四位作為行值，低四位的字節(jié)：把該字節(jié)高四位作為行值，低四位作為列值，從作為列值，從S S盒相應(yīng)位置取出元素作為輸出。盒相應(yīng)位置取出元素作為輸出。43圖5.5 字節(jié)代換示意圖第

28、第8章章 對稱密碼體制對稱密碼體制44字節(jié)代換的一個例子第第8章章 對稱密碼體制對稱密碼體制45S盒的構(gòu)造方法盒的構(gòu)造方法n按字節(jié)的升序逐行初始化按字節(jié)的升序逐行初始化S S盒，第一行盒，第一行0000，010F010F，第二行，第二行1010，111F111F，所以行，所以行y y列列x x的字節(jié)值為的字節(jié)值為yxyxn將每個字節(jié)映射為它在將每個字節(jié)映射為它在GF(2GF(28 8) )中的逆，中的逆，0000被映被映射為射為0000n將每個字節(jié)做如下的將每個字節(jié)做如下的GF(2)GF(2)上變換上變換第第8章章 對稱密碼體制對稱密碼體制46字節(jié)代換字節(jié)代換01100011111110000

29、11111000011111000011111100011111100011111100011111100017654321076543210 xxxxxxxxyyyyyyyy第第8章章 對稱密碼體制對稱密碼體制47AES的的S盒盒y0123456789abcdefx0637c777bf26b6fc53001672bfed7ab761ca82c97dfa5947f0add4a2af9ca472c02b7fd9326363ff7cc34a5e5f171d83115304c723c31896059a071280e2eb27b275409832c1a1b6e5aa0523bd6b329e32f845

30、53d100ed20fcb15b6acbbe394a4c58cf6d0efaafb434d338545f9027f503c9fa8751a3408f929d38f5bcb6da2110fff3d28cd0c13ec5f974417c4a77e3d645d1973960814fdc222a908846eeb814de5e0bdbae0323a0a4906245cc2d3ac629195e479be7c8376d8dd54ea96c56f4ea657aae08cba78252e1ca6b4c6e8dd741f4bbd8b8ad703eB5664803f60e613557b986c11d9eee1f

31、8981169d98e949b1e87e9ce5528dff8ca1890dbfe6426841992d0fB054bb16第第8章章 對稱密碼體制對稱密碼體制48逆字節(jié)代換逆字節(jié)代換InvSubBytes()n逆字節(jié)替代變換是字節(jié)第替代變換的逆變換，在state的每個字節(jié)上應(yīng)用逆S盒。這是通過應(yīng)用字節(jié)替代變換中的仿射變換的逆變換，再對所得結(jié)果應(yīng)用有限域的乘法逆運算得到的。 第第8章章 對稱密碼體制對稱密碼體制49AES的逆的逆S盒盒y0123456789abcdefx052096ad53036a538bf40a39e81f3d7fb17ce339829b2fff87348e4344c4dee

32、9cb2547b9432a6c2233dee4c950b42fac34e3082eA16628d924b2765ba2496d8bd125472f8f66486689816d4a45ccc5d65B69256c704850fdedb9da5e154657a78d9d84690d8ab008cbcd30af7e45805b8b345067d02c1e8fca3f0f02c1afbd0301138a6b83a9111414f67dcea97f2cfcef0b4e673996ac7422e7ad3585e2f937e81c75df6ea47f11a711d29c5896fb7620eaa18be1b

33、bfc563e4bc6d279209adbc0fe78cd5af4c1fdda8338807c731b11210592780ec5fd60517fa919b54a0d2de57a9f93c99cefea0e03b4dae2af5b0c8ebbb3c83539961f172b047eba77d626e169146355210c7d第第8章章 對稱密碼體制對稱密碼體制50行移位行移位n將state陣列的各行進行循環(huán)移位，不同行的移位量不同n0行：不動n1行：循環(huán)左移C1字節(jié)n2行：循環(huán)左移C2字節(jié)n3行：循環(huán)左移C3字節(jié)n記為：ShiftRow(State)51圖3.20 行移位示意圖第第8章章 對稱密碼體制對稱密碼體制5