分組密碼（三）《現(xiàn)代密碼學》第四講12/13/20221北郵現(xiàn)代密碼學分組密碼（三）《現(xiàn)代密碼學》第四講12/11/20221北郵上講內(nèi)容回顧DES算法的整體結(jié)構(gòu)——Feistel結(jié)構(gòu)DES算法的輪函數(shù)DES算法的密鑰編排算法DES的解密變換12/13/20222北郵現(xiàn)代密碼學上講內(nèi)容回顧DES算法的整體結(jié)構(gòu)——Feistel結(jié)構(gòu)12/本節(jié)主要內(nèi)容AES算法的整體結(jié)構(gòu)AES算法的輪函數(shù)AES算法的密鑰編排算法AES的解密變換DES的擴散和AES的擴散12/13/20223北郵現(xiàn)代密碼學本節(jié)主要內(nèi)容AES算法的整體結(jié)構(gòu)12/11/20223北郵現(xiàn)現(xiàn)代密碼學第四講：分組密碼3-課件現(xiàn)代密碼學第四講：分組密碼3-課件AES算法的輪函數(shù)Rijndael的輪函數(shù)由4個變換組成，依次為：1）字節(jié)代換（SubByte）2）行移位（ShiftRow）3）列混合（MixColumn）4）密鑰加（AddRoundKey）12/13/20226北郵現(xiàn)代密碼學AES算法的輪函數(shù)Rijndael的輪函數(shù)由4個變換組成，依1)字節(jié)代換（ByteSub）字節(jié)代換是非線形變換，獨立地對狀態(tài)的每個字節(jié)進行，代換表（即S-盒）是可逆的.AES算法的輪函數(shù)12/13/20227北郵現(xiàn)代密碼學1)字節(jié)代換（ByteSub）AES算法的輪函數(shù)12/11AES算法的輪函數(shù)12/13/20228北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/20228北郵現(xiàn)代密碼學AES算法的輪函數(shù)例：字節(jié)代換(128比特分組)12/13/20229北郵現(xiàn)代密碼學AES算法的輪函數(shù)例：字節(jié)代換(128比特分組)12/11/AES算法的輪函數(shù)上述S-盒由以下兩個變換的合成得到：約化多項式：m(x)=x8+x4+x3+x+1首先，將字節(jié)看作GF(28)上的元素:b7b6b5b4b3b2b1b0

|b(x)，b(x)=b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0然后，映射到自己的乘法逆元，‘00’映射到‘00’.b(x)|b(x)-1最后，對字節(jié)做如下的（GF(2)上的，可逆的）仿射變換：

12/13/202210北郵現(xiàn)代密碼學AES算法的輪函數(shù)上述S-盒由以下兩個變換的合成得到：12/AES算法的輪函數(shù)12/13/202211北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/202211北郵現(xiàn)代密碼學2)行移位（ShiftRow）行移位是將狀態(tài)陣列的各行進行循環(huán)移位，不同狀態(tài)行的位移量不同：第0行不移動，第1行循環(huán)左移C1個字節(jié)，第2行循環(huán)左移C2個字節(jié)，第3行循環(huán)左移C3個字節(jié)。位移量C1、C2、C3的取值與Nb有關(guān)，由下表給出：AES算法的輪函數(shù)12/13/202212北郵現(xiàn)代密碼學2)行移位（ShiftRow）AES算法的輪函數(shù)12/11例：當Nb=4時，具體的操作如下：AES算法的輪函數(shù)12/13/202213北郵現(xiàn)代密碼學例：當Nb=4時，具體的操作如下：AES算法的輪函數(shù)12/13）列混合（MixColumn）列混合變換中，將狀態(tài)陣列的每列視為GF((28)4)上的多項式，再與一個固定的多項式c(x)進行模x4+1乘法.Rijndael的設(shè)計者給出的c(x)為（系數(shù)用十六進制數(shù)表示）：c(x)=‘03’x3+‘01’x2+‘01’x+‘02’AES算法的輪函數(shù)12/13/202214北郵現(xiàn)代密碼學3）列混合（MixColumn）AES算法的輪函數(shù)12/11列混合運算示意圖AES算法的輪函數(shù)12/13/202215北郵現(xiàn)代密碼學列混合運算示意圖AES算法的輪函數(shù)12/11/202215北列混合運算也可寫為矩陣乘法.設(shè)b(x)=c(x)a(x)，則AES算法的輪函數(shù)12/13/202216北郵現(xiàn)代密碼學列混合運算也可寫為矩陣乘法.AES算法的輪函數(shù)12/11/AES算法的輪函數(shù)12/13/202217北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/202217北郵現(xiàn)代密碼學AES算法的輪函數(shù)GF(28)的多項式乘法，約化多項式為m(x)=x8+x4+x3+x+1例：57x乘以83x(x6+x4+x2+x+1)×(x7+x+1)=(x13+x11+x9+x8+x7)^(x7+x5+x3+x2+x)^(x6+x4+x2+x+1)=x13+x11+x9+x8+x6+x5+x4+x3+1=x7+x6+1modm(x)12/13/202218北郵現(xiàn)代密碼學AES算法的輪函數(shù)GF(28)的多項式乘法，約化多項式為12AES算法的輪函數(shù)課堂練習：列混合運算(128比特分組)12/13/202219北郵現(xiàn)代密碼學AES算法的輪函數(shù)課堂練習：列混合運算(128比特分組)124)密鑰加（AddRoundKey）密鑰加是將輪密鑰簡單地與狀態(tài)進行逐比特異或.輪密鑰由種子密鑰通過密鑰編排算法得到，輪密鑰長度等于分組長度Nb.AES算法的輪函數(shù)12/13/202220北郵現(xiàn)代密碼學4)密鑰加（AddRoundKey）AES算法的輪函數(shù)1注.結(jié)尾輪的輪函數(shù)與前面各輪不同,將MixColumn這一步去掉.AES算法的輪函數(shù)12/13/202221北郵現(xiàn)代密碼學注.結(jié)尾輪的輪函數(shù)與前面各輪不同,將MixColumn這一密鑰編排指從種子密鑰得到輪密鑰的過程，AES的密鑰編排由密鑰擴展和輪密鑰選取兩部分組成，其基本原則如下：

1）輪密鑰的總比特數(shù)等于輪數(shù)加1再乘以分組長度；如128比特的明文經(jīng)過10輪的加密，則總共需要（10+1）*128=1408比特的密鑰.2）種子密鑰被擴展成為擴展密鑰；3）輪密鑰從擴展密鑰中取，其中第1輪輪密鑰取擴展密鑰的前Nb個字，第2輪輪密鑰取接下來的Nb個字，依次類推.AES算法的密鑰編排算法12/13/202222北郵現(xiàn)代密碼學密鑰編排指從種子密鑰得到輪密鑰的過程，AES的密鑰編排由密鑰1)密鑰擴展擴展密鑰是以4字節(jié)字為元素的一維陣列，表示為W[Nb*(Nr+1)]，其中前Nk個字取為種子密鑰，以后每個字按遞歸方式定義.擴展算法根據(jù)Nk≤6和Nk>6有所不同。AES算法的密鑰編排算法12/13/202223北郵現(xiàn)代密碼學1)密鑰擴展AES算法的密鑰編排算法12/11/20222當Nk≤6時，擴展算法如下:

KeyExpansion(byteKey[4*Nk],W[Nb*(Nr+1)]){for(i=0;i<Nk;i++) W[i]=(Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]);for(i=Nk;i<Nb*(Nr+1);i++){ temp=W[i-1]; if(i%Nk==0) temp=SubByte(RotByte(temp))^Rcon[i/Nk]; W[i]=W[i-Nk]^temp;}}AES算法的密鑰編排算法12/13/202224北郵現(xiàn)代密碼學當Nk≤6時，擴展算法如下:AES算法的密鑰編排算法12/1Key[4*Nk]為種子密鑰，看作以字為元素的一維陣列;函數(shù)SubByte()返回4字節(jié)字，其中每一個字節(jié)都是用Rijndael的S盒作用到輸入字對應(yīng)的字節(jié)得到;函數(shù)RotByte()也返回4字節(jié)字，該字由輸入的字循環(huán)移位得到，即當輸入字為(a,b,c,d)時，輸出字為(b,c,d,a).AES算法的密鑰編排算法12/13/202225北郵現(xiàn)代密碼學Key[4*Nk]為種子密鑰，看作以字為元素的一維陣列;A當Nk>6時，擴展算法如下：KeyExpansion(byteKey[4*Nk],W[Nb*(Nr+1)]){ for(i=0;i<Nk;i++) W[i]=(Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]);for(i=Nk;i<Nb*(Nr+1);i++){ temp=W[i-1]; if(i%Nk==0) temp=SubByte(RotByte(temp))^Rcon[i/Nk];elseif(i%Nk==4)temp=SubByte(temp);W[i]=W[i-Nk]^temp;}}AES算法的密鑰編排算法12/13/202226北郵現(xiàn)代密碼學當Nk>6時，擴展算法如下：AES算法的密鑰編排算法12/Rcon[i/Nk]為輪常數(shù)，其值與Nk無關(guān)，定義為（字節(jié)用十六進制表示，同時理解為GF(28)上的元素）：Rcon[i]=(RC[i],‘00’,‘00’,‘00’)其中RC[i]是GF(28)中值為xi-1的元素，因此RC[1]=1(即‘01’) RC[2]=x(即‘02’)RC[i]=x·RC[i-1]=xi-1AES算法的密鑰編排算法12/13/202227北郵現(xiàn)代密碼學Rcon[i/Nk]為輪常數(shù)，其值與Nk無關(guān)，定義為（字節(jié)2)輪密鑰選取輪密鑰i（即第i個輪密鑰）由輪密鑰緩沖字W[Nb*i]到W[Nb*(i+1)]給出:AES算法的密鑰編排算法Nb=4及Nk=4時的密鑰擴展與輪密鑰選取12/13/202228北郵現(xiàn)代密碼學2)輪密鑰選取AES算法的密鑰編排算法Nb=4及Nk=4時AES算法的密鑰編排算法Nb=4及Nk=6時的密鑰擴展與輪密鑰選取Nb=4及Nk=8時的密鑰擴展與輪密鑰選取12/13/202229北郵現(xiàn)代密碼學AES算法的密鑰編排算法Nb=4及Nk=6時的密鑰擴展與輪密AES解密運算是加密運算的逆運算，其中輪函數(shù)的逆為：1）ByteSub的逆變換由代換表的逆表做字節(jié)代換，可通過如下兩步實現(xiàn):首先進行仿射變換的逆變換，再求每一字節(jié)在GF(28)上逆元.2)行移位運算的逆變換是循環(huán)右移，位移量與左移時相同.AES的解密變換12/13/202230北郵現(xiàn)代密碼學AES解密運算是加密運算的逆運算，其中輪函數(shù)的逆為：AES3)

列混合運算的逆運算是類似的，即每列都用一個特定的多項式d(x)相乘,d(x)滿足(‘03’x3+‘01’x2+‘01’x+‘02’)d(x)=‘01’由此可得d(x)=‘0B’x3+‘0D’x2+‘09’x+‘0E’.4)密鑰加運算的逆運算是其自身.

AES的解密變換12/13/202231北郵現(xiàn)代密碼學3)列混合運算的逆運算是類似的，即每列都用一個特定的多項第一輪擴散12/13/202232北郵現(xiàn)代密碼學第一輪擴散12/11/202232北郵現(xiàn)代密碼學第一輪擴散12/13/202233北郵現(xiàn)代密碼學第一輪擴散12/11/202233北郵現(xiàn)代密碼學第二輪擴散12/13/202234北郵現(xiàn)代密碼學第二輪擴散12/11/202234北郵現(xiàn)代密碼學第二輪擴散12/13/202235北郵現(xiàn)代密碼學第二輪擴散12/11/202235北郵現(xiàn)代密碼學DES擴散12/13/202236北郵現(xiàn)代密碼學DES擴散12/11/202236北郵現(xiàn)代密碼學DES擴散思考：L0的一塊數(shù)據(jù)（4比特）要幾輪才能影響所有的數(shù)據(jù)塊？S盒的擴散和混淆情況如何？12/13/202237北郵現(xiàn)代密碼學DES擴散思考：L0的一塊數(shù)據(jù)（4比特）要幾輪才能影響所有的第一輪擴散12/13/202238北郵現(xiàn)代密碼學第一輪擴散12/11/202238北郵現(xiàn)代密碼學第二輪擴散12/13/202239北郵現(xiàn)代密碼學第二輪擴散12/11/202239北郵現(xiàn)代密碼學AES擴散輪函數(shù)輪函數(shù)12/13/202240北郵現(xiàn)代密碼學AES擴散輪函數(shù)輪函數(shù)12/11/202240北郵現(xiàn)代密碼學AES擴散思考：字節(jié)代換的擴散和混淆作用？12/13/202241北郵現(xiàn)代密碼學AES擴散思考：字節(jié)代換的擴散和混淆作用？12/11/202主要知識點小結(jié)AES算法的整體結(jié)構(gòu)AES算法的輪函數(shù)12/13/202242北郵現(xiàn)代密碼學主要知識點小結(jié)AES算法的整體結(jié)構(gòu)12/11/202242北作業(yè)1對于分組長度128比特，密鑰長度128比特的AES算法，若已知明文：0x3243f6a8885a308d313198a2e0370734;密文：0x2b7e151628aed2a6abf7158809cf4f3c.求第一輪字節(jié)代換、行移變換和列變換的輸出.12/13/202243北郵現(xiàn)代密碼學作業(yè)1對于分組長度128比特，密鑰長度128比特的AES算思考題根據(jù)AES的設(shè)計原理，設(shè)計一個分組長度為32比特，密鑰長度為32比特的分組密碼算法。注：輪函數(shù)包含“4比特字”代換，行移位，列混合12/13/202244北郵現(xiàn)代密碼學思考題根據(jù)AES的設(shè)計原理，設(shè)計一個分組長度為32比特，密THEEND！12/13/202245北郵現(xiàn)代密碼學THEEND！12/11/202245北郵現(xiàn)代密碼學分組密碼（三）《現(xiàn)代密碼學》第四講12/13/202246北郵現(xiàn)代密碼學分組密碼（三）《現(xiàn)代密碼學》第四講12/11/20221北郵上講內(nèi)容回顧DES算法的整體結(jié)構(gòu)——Feistel結(jié)構(gòu)DES算法的輪函數(shù)DES算法的密鑰編排算法DES的解密變換12/13/202247北郵現(xiàn)代密碼學上講內(nèi)容回顧DES算法的整體結(jié)構(gòu)——Feistel結(jié)構(gòu)12/本節(jié)主要內(nèi)容AES算法的整體結(jié)構(gòu)AES算法的輪函數(shù)AES算法的密鑰編排算法AES的解密變換DES的擴散和AES的擴散12/13/202248北郵現(xiàn)代密碼學本節(jié)主要內(nèi)容AES算法的整體結(jié)構(gòu)12/11/20223北郵現(xiàn)現(xiàn)代密碼學第四講：分組密碼3-課件現(xiàn)代密碼學第四講：分組密碼3-課件AES算法的輪函數(shù)Rijndael的輪函數(shù)由4個變換組成，依次為：1）字節(jié)代換（SubByte）2）行移位（ShiftRow）3）列混合（MixColumn）4）密鑰加（AddRoundKey）12/13/202251北郵現(xiàn)代密碼學AES算法的輪函數(shù)Rijndael的輪函數(shù)由4個變換組成，依1)字節(jié)代換（ByteSub）字節(jié)代換是非線形變換，獨立地對狀態(tài)的每個字節(jié)進行，代換表（即S-盒）是可逆的.AES算法的輪函數(shù)12/13/202252北郵現(xiàn)代密碼學1)字節(jié)代換（ByteSub）AES算法的輪函數(shù)12/11AES算法的輪函數(shù)12/13/202253北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/20228北郵現(xiàn)代密碼學AES算法的輪函數(shù)例：字節(jié)代換(128比特分組)12/13/202254北郵現(xiàn)代密碼學AES算法的輪函數(shù)例：字節(jié)代換(128比特分組)12/11/AES算法的輪函數(shù)上述S-盒由以下兩個變換的合成得到：約化多項式：m(x)=x8+x4+x3+x+1首先，將字節(jié)看作GF(28)上的元素:b7b6b5b4b3b2b1b0

|b(x)，b(x)=b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0然后，映射到自己的乘法逆元，‘00’映射到‘00’.b(x)|b(x)-1最后，對字節(jié)做如下的（GF(2)上的，可逆的）仿射變換：

12/13/202255北郵現(xiàn)代密碼學AES算法的輪函數(shù)上述S-盒由以下兩個變換的合成得到：12/AES算法的輪函數(shù)12/13/202256北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/202211北郵現(xiàn)代密碼學2)行移位（ShiftRow）行移位是將狀態(tài)陣列的各行進行循環(huán)移位，不同狀態(tài)行的位移量不同：第0行不移動，第1行循環(huán)左移C1個字節(jié)，第2行循環(huán)左移C2個字節(jié)，第3行循環(huán)左移C3個字節(jié)。位移量C1、C2、C3的取值與Nb有關(guān)，由下表給出：AES算法的輪函數(shù)12/13/202257北郵現(xiàn)代密碼學2)行移位（ShiftRow）AES算法的輪函數(shù)12/11例：當Nb=4時，具體的操作如下：AES算法的輪函數(shù)12/13/202258北郵現(xiàn)代密碼學例：當Nb=4時，具體的操作如下：AES算法的輪函數(shù)12/13）列混合（MixColumn）列混合變換中，將狀態(tài)陣列的每列視為GF((28)4)上的多項式，再與一個固定的多項式c(x)進行模x4+1乘法.Rijndael的設(shè)計者給出的c(x)為（系數(shù)用十六進制數(shù)表示）：c(x)=‘03’x3+‘01’x2+‘01’x+‘02’AES算法的輪函數(shù)12/13/202259北郵現(xiàn)代密碼學3）列混合（MixColumn）AES算法的輪函數(shù)12/11列混合運算示意圖AES算法的輪函數(shù)12/13/202260北郵現(xiàn)代密碼學列混合運算示意圖AES算法的輪函數(shù)12/11/202215北列混合運算也可寫為矩陣乘法.設(shè)b(x)=c(x)a(x)，則AES算法的輪函數(shù)12/13/202261北郵現(xiàn)代密碼學列混合運算也可寫為矩陣乘法.AES算法的輪函數(shù)12/11/AES算法的輪函數(shù)12/13/202262北郵現(xiàn)代密碼學AES算法的輪函數(shù)12/11/202217北郵現(xiàn)代密碼學AES算法的輪函數(shù)GF(28)的多項式乘法，約化多項式為m(x)=x8+x4+x3+x+1例：57x乘以83x(x6+x4+x2+x+1)×(x7+x+1)=(x13+x11+x9+x8+x7)^(x7+x5+x3+x2+x)^(x6+x4+x2+x+1)=x13+x11+x9+x8+x6+x5+x4+x3+1=x7+x6+1modm(x)12/13/202263北郵現(xiàn)代密碼學AES算法的輪函數(shù)GF(28)的多項式乘法，約化多項式為12AES算法的輪函數(shù)課堂練習：列混合運算(128比特分組)12/13/202264北郵現(xiàn)代密碼學AES算法的輪函數(shù)課堂練習：列混合運算(128比特分組)124)密鑰加（AddRoundKey）密鑰加是將輪密鑰簡單地與狀態(tài)進行逐比特異或.輪密鑰由種子密鑰通過密鑰編排算法得到，輪密鑰長度等于分組長度Nb.AES算法的輪函數(shù)12/13/202265北郵現(xiàn)代密碼學4)密鑰加（AddRoundKey）AES算法的輪函數(shù)1注.結(jié)尾輪的輪函數(shù)與前面各輪不同,將MixColumn這一步去掉.AES算法的輪函數(shù)12/13/202266北郵現(xiàn)代密碼學注.結(jié)尾輪的輪函數(shù)與前面各輪不同,將MixColumn這一密鑰編排指從種子密鑰得到輪密鑰的過程，AES的密鑰編排由密鑰擴展和輪密鑰選取兩部分組成，其基本原則如下：

1）輪密鑰的總比特數(shù)等于輪數(shù)加1再乘以分組長度；如128比特的明文經(jīng)過10輪的加密，則總共需要（10+1）*128=1408比特的密鑰.2）種子密鑰被擴展成為擴展密鑰；3）輪密鑰從擴展密鑰中取，其中第1輪輪密鑰取擴展密鑰的前Nb個字，第2輪輪密鑰取接下來的Nb個字，依次類推.AES算法的密鑰編排算法12/13/202267北郵現(xiàn)代密碼學密鑰編排指從種子密鑰得到輪密鑰的過程，AES的密鑰編排由密鑰1)密鑰擴展擴展密鑰是以4字節(jié)字為元素的一維陣列，表示為W[Nb*(Nr+1)]，其中前Nk個字取為種子密鑰，以后每個字按遞歸方式定義.擴展算法根據(jù)Nk≤6和Nk>6有所不同。AES算法的密鑰編排算法12/13/202268北郵現(xiàn)代密碼學1)密鑰擴展AES算法的密鑰編排算法12/11/20222當Nk≤6時，擴展算法如下:

KeyExpansion(byteKey[4*Nk],W[Nb*(Nr+1)]){for(i=0;i<Nk;i++) W[i]=(Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]);for(i=Nk;i<Nb*(Nr+1);i++){ temp=W[i-1]; if(i%Nk==0) temp=SubByte(RotByte(temp))^Rcon[i/Nk]; W[i]=W[i-Nk]^temp;}}AES算法的密鑰編排算法12/13/202269北郵現(xiàn)代密碼學當Nk≤6時，擴展算法如下:AES算法的密鑰編排算法12/1Key[4*Nk]為種子密鑰，看作以字為元素的一維陣列;函數(shù)SubByte()返回4字節(jié)字，其中每一個字節(jié)都是用Rijndael的S盒作用到輸入字對應(yīng)的字節(jié)得到;函數(shù)RotByte()也返回4字節(jié)字，該字由輸入的字循環(huán)移位得到，即當輸入字為(a,b,c,d)時，輸出字為(b,c,d,a).AES算法的密鑰編排算法12/13/202270北郵現(xiàn)代密碼學Key[4*Nk]為種子密鑰，看作以字為元素的一維陣列;A當Nk>6時，擴展算法如下：KeyExpansion(byteKey[4*Nk],W[Nb*(Nr+1)]){ for(i=0;i<Nk;i++) W[i]=(Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]);for(i=Nk;i<Nb*(Nr+1);i++){ temp=W[i-1]; if(i%Nk==0) temp=SubByte(RotByte(temp))^Rcon[i/Nk];elseif(i%Nk==4)temp=SubByte(temp);W[i]=W[i-Nk]^temp;}}AES算法的密鑰編排算法12/13/202271北郵現(xiàn)代密碼學當Nk>6時，擴展算法如下：AES算法的密鑰編排算法12/Rcon[i/Nk]為輪常數(shù)，其值與Nk無關(guān)，定義為（字節(jié)用十六進制表示，同時理解為GF(28)上的元素）：Rcon[i]=(RC[i],‘00’,‘00’,‘00’)其中RC[i]是GF(28)中值為xi-1的元素，因此RC[1]=1(即‘01’) RC[2]=x(即‘02’)RC[i]=x·RC[i-1]=xi-1AES算法的密鑰編排算法12/13/202272北郵現(xiàn)代密碼學Rcon[i/Nk]為輪常數(shù)，其值與Nk無關(guān)，定義為（字節(jié)2)輪密鑰選取輪密鑰i（即第i個輪密鑰）由輪密鑰緩沖字W[Nb*i]到W[Nb*(i+1)]給出:AES算法的密鑰編排算法Nb=4及Nk=4時的密鑰擴展與輪密鑰選取12/13/202273北郵現(xiàn)代密碼學2)輪密鑰選取AES算法的密鑰編排算法Nb=4及Nk=4時AES算法的密鑰編排算法Nb=4及Nk=6時的密鑰擴展與輪密鑰選取Nb=4及Nk=8時的密鑰擴展與輪密鑰選取12/13/202274北郵現(xiàn)代密碼學AES算法的密鑰編排算法Nb=4及Nk=6時的密鑰擴展與輪密AES解密運算是加密運算的逆運算，其中輪函數(shù)的逆為：1）ByteSub的逆變換由代換表的逆表做字節(jié)代換，可通過如下兩步實現(xiàn):首先進行仿射變換的逆變換，再求每一字節(jié)在GF(28)上逆元.2)行移位運算的逆變換是循環(huán)右移，位移量與左移時相同.AES的解密變換12/13/202275北郵現(xiàn)代密碼學AES解密運算是加密運算的逆運算，其中輪函數(shù)的逆為：AES3)

列混合運算的逆運算是類似的，即每列都用一個特定的多項式d(x)相乘,d(x)滿足(‘03’x3+‘01’x2+‘01’x+‘02’)d(x)=‘01’