Kryptographie. Vorlesung 5 und 6: Der AES Algorithmus. Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca

Transkript

1 Kryptographie Vorlesung 5 und 6: Der AES Algorithmus Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca csacarea@cs.ubbcluj.ro 1/68

2 AES Im September 1997 veröffentlichte das NIST eine Ausschreibung für den AES, in der eine Blocklänge von 128 Bit und variable Schlüssellängen von 128, 192 und 256 Bit gefordert wurden. Einreichungsschluss war der 15. Juni Von den 21 Einreichungen erfüllten 15 die geforderten Kriterien. Diese stammten aus den Ländern Australien, Belgien, Costa Rica, Deutschland, Frankreich, Grobritannien, Israel, Japan, Korea, Norwegen sowie den USA und wurden auf der 1. AES-Konferenz am 20. August 1998 als AES-Kandidaten akzeptiert. Im August 1999 wählte NIST auf der 2. AES-Konferenz in Rom die Finalisten MARS, RC6, Rijndael, Serpent und Twofish aus. Im April 2000 wurde der Rijndael-Algorithmus auf der 3. AES-Konferenz zum Sieger erklärt und im November 2001 als AES genormt. 2/68

3 AES Die wichtigsten Entscheidungskriterien waren Sicherheit, Kosten (Effizienz bei Software-, Hardware- und Smartcard-Implementationen) sowie Algorithmen- und Implementations-Charakeristika (unter anderem Flexibilität und Einfachheit des Designs). 3/68

4 AES AES ist eine sogenannte iterierte Blockchiffre. Mögliche Blocklänge: 128, 192, 256 Mögliche Schlüssellänge: 128, 192, 256 (unabhängig voneinander) Anzahl der Runden (abhängig von gewählten Block- und Schlüssellängen): 10, 12, 14 4/68

5 AES ARBEITSWEISE IN KÜRZE Erzeugt aus dem 128-Bit-Key wiederum 10 Keys mit 128 Bit. Diese werden in 4 4 Tabellen abgelegt. Der Klartext wird ebenfalls in 4 4 Tabellen (in jeweils 128-Bit-Stücken) aufgeteilt. Jedes der 128-Bit-Klartextstücke wird in einem Verfahren zu je 10 Runden (10 Runden bei 128-Bit-Schlüssel, 11 bei 192, 13 bei 256) bearbeitet. Somit wird nach der 10. Runde der Schlüsseltext erzeugt. Jedes einzelne Byte wird in einer S-Box substituiert und durch das Reziproke über GF(2 8 ) ersetzt. 5/68

6 AES ARBEITSWEISE IN KÜRZE Anschließend wird bitweise eine Modulo-2-Matrix angewandt und eine XOR-Verknüpfung mit 63 durchgeführt. Die Zeilen der Matrizen werden nun zyklisch durchsortiert. Dann werden die Spalten per Matrizenmultiplikation über ein Galois-Feld GF(2 8 ) durchgetauscht. Auf den Teilschlüssel für die jeweilige Runde wird eine XOR-Verknüpfung angewendet. 6/68

7 KONSTRUKTION ENDLICHER KÖRPER Wir beschreiben, wie man zu jeder Primzahl p und jeder natürlichen Zahl n einen endlichen Körper mit p n Elementen konstruieren kann. Dieser Körper ist bis auf Isomorphie eindeutig bestimmt und wird mit GF(p n ) bezeichnet. Die Abkürzung GF steht für galois field. Das ist die englische Bezeichnung für endliche Körper. 7/68

8 KONSTRUKTION ENDLICHER KÖRPER Wir wissen, dass Z p = Z/pZ ein Körper mit p Elementen ist. Er wird mit GF(p) bezeichnet. Die Primzahl p heißt Charakteristik des Körpers GF(p). Der Körper GF(p) heißt Primkörper. Dieser Körper läßt sich für jede Zahl n 1 zu einem Körper der Größe p n erweitern. Da bis auf Isomorphie nur ein Körper dieser Größe existiert, wird er einfach mit GF(p n ) bezeichnet. Um diesen Körper zu konstruieren, betrachten wir zunächst den Polynomring Z p [x] über Z p. 8/68

9 POLYNOMRING Definition Sei p eine Primzahl. Dann enthält Z p [x] alle Polynome f (x) = a n x n + + a 1 x + a 0 in den Variablen x mit Koeffizienten a i Z p, a n 0. Die Zahl n heißt Grad von f (deg(f ) = n). Die Polynommenge Z p [x] bildet mit der ublichen Polynomaddition und Polynommultiplikation einen Ring. Ein Polynom m(x) teilt ein Polynom g(x) (kurz: m(x) g(x)), falls ein Polynom d(x) Z p [x] existiert mit g(x) = d(x)m(x). Teil m(x) die Differenz f (x) g(x) zweier Polynome, so schreiben wir hierfür f (x) m(x) g(x) und sagen, f (x) ist kongruent zu g(x) modulo m(x). 9/68

10 POLYNOMRING Definition Weiterhin bezeichne f (x) mod m(x) den bei der Polynomdivision von f (x) durch m(x) auftretenden Rest, also dasjenige Polynom r(x) vom Grad deg(r) < deg(m), für das ein Polynom d(x) Z p [x] existiert mit f (x) = d(x)m(x) + r(x). 10/68

11 POLYNOMRING Ähnlich wie beim Übergang von Z zu Z m können wir für ein fest gewähltes Polynom m(x) vom Grad deg(m) = n jedem Polynom p(x) Z p [x] mittels p(x) p(x) mod m(x) eindeutig ein Polynom vom Grad höchstens n 1 zuordnen. Auf diese Weise erhalten wir den Restklassenpolynomring Z p [x]/m(x) aller Polynome vom Grad höchstens n 1, wobei die Addition und Multiplikation wie in Z p [x], gefolgt von einer Reduktion modulo m(x), definiert ist. Und wie Z m ist Z p [x]/m(x) genau dann ein Körper, wenn m(x) nur triviale Teiler besitzt. 11/68

12 IRREDUZIBEL Definition Ein Polynom m(x) Z p [x] heißt irreduzibel, falls keine Polynome p(x), q(x) Z p [x] vom Grad deg(p), deg(q) 1 existieren mit m(x) = p(x)q(x). 12/68

13 BEISPIEL Das Polynom f (X) = X 2 + X + 1 ist irreduzibel in (Z 2 )[X]. Wäre f reduzibel, müsste f Produkt von zwei Polynomen vom Grad eins aus (Z 2 )[X] sein. Dann hätte f also eine Nullstelle in Z 2. Es ist aber f (0)f (1)1 mod 2. Also ist f irreduzibel. Das Polynom f (X) = X ist reduzibel in (Z 2 )[X], denn es gilt X (X + 1) 2 mod 2. 13/68

14 Satz Der Restklassenpolynomring Z p [x]/m(x) ist genau dann ein Körper, wenn m(x) in Z p [x] irreduzibel ist. 14/68

15 KONSTRUKTION ENDLICHER KÖRPER Für jede Zahl n 1 existiert ein irreduzibles Polynom m(x) = x n + n 1 i=0 m ix i Z p [x] vom Grad n. Auf diese Weise läßt sich für jede Primzahlpotenz p n ein Körper der Größe p n konstruieren. Hierbei können wir jedes Körperelement n 1 a(x) = a i x i GF(p n ) i=0 durch den Koeffizientenvektor (a n 1,..., a 0 ) GF(p n ) darstellen. Die Addition zweier Polynome a(x) = n 1 i=0 a ix i und b(x) = n 1 i=0 b ix i in GF(2 n ) entspricht dann der üblichen Vektoraddition (komponentenweisen Addition modulo p): (a n 1,..., a 0 )+(b n 1,..., b 0 ) = (c n 1,..., c 0 ) mit c i = a i +b i für i = 0,.. 15/68

16 KONSTRUKTION ENDLICHER KÖRPER 16/68

17 KONSTRUKTION ENDLICHER KÖRPER 17/68

18 KONSTRUKTION ENDLICHER KÖRPER 18/68

19 BEISPIEL Sei p = 2 und n = 3. Zunächst benötigen wir ein irreduzibles Polynom m(x) Z 2 [x] vom Grad 3, m(x) = a 3 x 3 + a 2 x 2 + a 1 x + a 0. Da m(x) im Fall a 0 = 0 den nichttrivialen Teiler p(x) = x hat und im Fall a 3 = 0 nicht den Grad 3 hat, genügt es, die 4 Kandidaten m 1 (x) = x m 2 (x) = x 3 + x + 1 m 3 (x) = x 3 + x m 4 (x) = x 3 + x 2 + x + 1 zu betrachten. 19/68

20 BEISPIEL Da nun aber und x = (x + 1)(x 2 + x + 1) x 3 + x 2 + x + 1 = (x + 1)(x 2 + 1) ist, gibt es in Z 2 [x] nur zwei irreduzible Polynome vom Grad 3: x 3 + x + 1 und x 3 + x /68

21 BEISPIEL 21/68

22 Wie das folgende Beispiel zeigt, lässt sich das multiplikative Inverse eines Polynoms p(x) 0 in GF(p n ) mit dem erweiterten Euklidschen Algorithmus berechnen. 22/68

23 BEISPIEL Sei p = 2 und seien m(x) = x 8 + x 4 + x 3 + x + 1 und a(x) = x 6 + x 4 + x + 1 zwei Polynome. Dann können wir mit dem Euklidschen Algorithmus den (in Bezug auf den Grad) größten gemeinsamen Teiler g(x) von m(x) und a(x) berechnen: 23/68

24 BEISPIEL 24/68

25 BEISPIEL 25/68

26 BEISPIEL 26/68

27 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Wir wissen, dass es ganze Zahlen x und y gibt, so dass ggt(a, b) = ax + by. Wir erweitern den euklidischen Algorithmus, so dass es die Koeffizienten x und y berechnet. Wir bezeichnen mit r 0,..., r n+1 die Restefolge und mit q 1,..., q n die Folge der Quotienten, die bei der Anwendung des euklidischen Algorithmus auf a, b entstehen. Wir konstruieren zwei Folgen (x k ) und (y k ), für die x = ( 1) n x n und y = ( 1) n+1 y n die gewünschte Eigenschaft haben. 27/68

28 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Wir setzen x 0 = 1, x 1 = 0, y 0 = 0, y 1 = 1. Ferner setzen wir x k+1 = q k x k + x k 1, y k+1 = q k y k + y k 1, 1 k n. Wir nehmen an, dass a und b nicht negativ sind. 28/68

29 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Theorem Es gilt r k = ( 1) k x k a + ( 1) k+1 y k b für 0 k n + 1. Man sieht, dass insbesondere r n = ( 1) n x n a + ( 1) n + 1y n b ist. Damit ist also der größte gemeinsame Teiler von a und b als Linearkombination von a und b dargestellt. 29/68

30 BEISPIEL Wähle a = 100 und b = 35. Dann kann man die Werte r k, q k, x k und y k aus folgender Tabelle entnehmen. k r k q k x k y k Damit ist n = 3 und ggt(100, 35) = 5 = Der erweiterte euklidische Algorithmus berechnet neben ggt(a, b) auch die Koeffizienten x = ( 1) n x n, y = ( 1) n+1 y n 30/68

31 BEISPIEL Sei p = 2 und sei f (X) = x 8 + x 4 + x 3 + x + 1. Dieses Polynom ist irreduzibel in Z 2 [X]. Sei α die Restklasse von X mod f. Wir bestimmen das Inverse von α + 1. Hierzu wenden wir den erweiterten euklidischen Algorithmus an. Es gilt f (X) = (X + 1)q(X) + 1 mit q(x) = X 7 + X 6 + X 5 + X 4 + X 2 + X. 31/68

32 BEISPIEL Wie für den erweiterten euklidischen Algorithmus erläutert, bekommt man folgende Tabelle k r k f X q k q(x) X + 1 x k X 8 + X 4 + X 3 y k 0 1 q(x) X q(x) Daher ist die Restklasse von q(x), also α 7 + α 6 + α 5 + α 4 + α 2 + α, das Inverse von α /68

33 KONSTRUKTION ENDLICHER KÖRPER Konstruiert man auf diese Weise Körper für verschiedene Polynome vom Grad n, so sind diese Körper isomorph, also nicht wirklich verschieden. Da es für jede natürliche Zahl n ein irreduzibles Polynom in Z p [X] vom Grad n gibt, existiert auch der Körper GF(p n ) für alle p und n. 33/68

34 DER AES-ALGORITHMUS Nb Die Klartext- und Chiffretextblöcke bestehen aus Nb vielen 32-Bit Wörtern, 4 Nb 8. Die Rijndael-Blocklänge ist also 32 Nb. Für AES ist Nb = 4. Die AES-Blocklänge ist also 128. Nk Die Schlüssel bestehen aus Nk vielen 32-Bit Wörtern, 4 Nk 8. Der Rijndael-Schlüsselraum ist also Z 32 Nk. Für 2 AES ist Nk = 4,6 oder 8. Der AES-Schlüsselraum ist also Z 128, Z 192 oder Z Nr Anzahl der Runden. Für AES ist 10 für Nk = 4, Nr = 12 für Nk = 6, 14 für Nk = 8. 34/68

35 DER AES-ALGORITHMUS Datentypen byte und word Ein byte ist ein Bitvektor der Länge 8. Ein word ist ein Bitvektor der Länge 32. Klartext und Chiffretext werden als zweidimensionale byte-arrays dargestellt. Diese Arrays haben vier Zeilen und Nb Spalten. 35/68

36 KLARTEXT/CHIFFRETEXT IM AES-ALGRITHMUS s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 Die Rijndael-Schlüssel sind word-arrays der Länge Nk. Die Rijndael- Chiffre expandiert einen Schlüssel key mit der Funktion KeyExpansion zu dem expandierten Schlüssel w. Danach verschlüsselt sie einen Klartextblock in mit dem expandierten Schlüssel w zu dem Schlüsseltextblock out. Hierzu wird Cipher verwendet. 36/68

37 CIPHER Eingabe ist der Klartextblock byte in[4,nb] und der expandierte Schlüssel word w[nb*(nr+1)]. Ausgabe ist der Chiffretextblock byte out[4,nb]. Zuerst wird der Klartext in in das byte-array state kopiert. Nach einer initialen Transformation durchläuft state Nr Runden und wird dann als Chiffretext zurückgegeben. In den ersten Nr-1 Runden werden nacheinander die Transformationen SubBytes, ShiftRows, MixColumns und AddRoundKey angewendet. In der letzten Runde werden nur noch die Transformationen SubBytes, ShiftRows und AddRoundKey angewendet. AddRoundKey ist auch die initiale Transformation. 37/68

38 CIPHER 38/68

39 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Bytes spielen eine zentrale Rolle in der Rijndael-Chiffre. Sie können auch als ein Paar von Hexadezimalzahlen geschrieben werden. Das Paar {2F} von Hexadezimalzahlen entspricht dem Paar von Bitvektoren der Länge vier, also dem Byte Das Paar {A1} von Hexadezimalzahlen entspricht dem Paar von Bitvektoren, also dem Byte /68

40 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Bytes werden in der Rijndael-Chiffre mit Elementen des endlichen Körpers GF(2 8 ) identifiziert. Als erzeugendes Polynom wird das über GF(2) irreduzible Polynom m(x) = X 8 + X 4 + X 3 + X + 1 gewählt. Damit ist GF(2 8 ) = GF(2)(α) wobei α der Gleichung α 8 + α 4 + α 3 + α + 1 = 0 genügt. Ein Byte (b 7, b 6, b 5, b 4, b 3, b 2, b 1, b 0 ) entspricht also dem Element 7 i=0 b iα i. 40/68

41 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Damit können Bytes multipliziert und addiert werden. Falls sie von Null verschieden sind, können sie auch invertiert werden. Für das Inverse von b wird b 1 geschrieben. Wir definieren auch 0 1 = 0. Beispiel: Das Byte b = (0, 0, 0, 0, 0, 0, 1, 1) entspricht dem Körperelement α + 1. Dann ist (α + 1) 1 = α 7 + α 6 + α 5 + α 4 + α 2 + α. Daher ist b 1 = (1, 1, 1, 1, 0, 1, 1, 0). 41/68

42 SUBBYTES SubBytes(state) ist eine nicht-lineare Funktion. Sie transformiert die einzelnen Bytes. Die Transformation wird S-Box genannt. Aus jedem Byte b von state macht die S-Box das neue Byte b Ab 1 c 42/68

43 SUBBYTES A = , c = /68

44 BEMERKUNG Diese S-Box kann tabelliert werden, weil sie nur 2 8 mögliche Argumente hat. Dann kann die Anwendung von SubBytes durch Table-Lookups realisiert werden. Beispiel: Wir berechnen welches Byte die S-Box aus dem Vektor b = (0, 0, 0, 0, 0, 0, 1, 1) macht. Nach dem obigen Beispiel ist b 1 = (1, 1, 1, 1, 0, 1, 1, 0). Damit gilt Ab 1 + c = (0, 1, 1, 0, 0, 1, 1, 1). Die S-Box garantiert die Nicht-Linearität von AES. 44/68

45 SUBBYTES 45/68

46 SUBBYTES 46/68

47 BEISPIEL Wir berechnen π SubBytes ( ). Die Funktion BinaryToField liefert das zugehörige Polynom z = BinaryToField( ) = x 6 + x 4 + x + 1. Das multiplikative Inverse von z in GF(2 8 ) ist x 7 + x 6 + x 3 + x. Die Funktion FieldToBinary liefert die zugehörige Koeffizientendarstellung FieldToBinary(x 7 + x 6 + x 3 + x) = /68

48 SUBBYTES 48/68

49 AES S-BOX Wir können die AES S-Box in Form einer Matrix angeben, wobei der Eintrag in Zeile X und Spalte Y den Wert π SubBytes (XY) enthält: 49/68

50 SHIFTROWS Sei s ein state, also ein durch AES teiltransformierter Klartext. Schreibe s als Matrix. Die Einträge sind Bytes. Die Matrix hat 4 Zeilen und Nb Spalten. Im Fall von AES ist diese Matrix s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 50/68

51 SHIFTROWS ShiftRows wendet auf die Zeilen dieser Matrix einen zyklischen Linksshift an. Genauer: ShiftRows hat folgende Wirkung: s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 s 0,0 s 0,1 s 0,2 s 0,3 s 1,1 s 1,2 s 1,3 s 1,0 s 2,2 s 2,3 s 2,0 s 2,1 s 3,3 s 3,0 s 3,1 s 3,2 51/68

52 SHIFTROWS Im allgemeinen wird die i-te Zeile um c i Positionen nach links verschoben, wobei c i in der unteren Tabelle zu finden ist. Diese Transformation sorgt bei Anwendung in mehreren Runden für hohe Diffusion. Abbildung 1: Zyklischer Linksshift in ShiftRows 52/68

53 MIXCOLUMNS Für 0 j < Nb wird die Spalte s j = (s 0,j, s 1,j, s 2,j, s 3,j ) von state mit dem Polynom s 0,j + s 1,j x + s 2,j x 2 + s 3,j x 3 GF(2 8 )[x] identifiziert. Die Transformation MixColumns setzt sj (sj a(x)) mod (x 4 + 1), 0 j < Nb, wobei a(x) = {03} x 3 + {01} x 2 + {01} x + {02}. 53/68

54 MIXCOLUMNS Das kann auch als lineare Transformation in GF(2 8 ) 4 beschrieben werden. MixColumns setzt nämlich {02} {03} {01} {01} {01} {02} {03} {01} s j s {01} {01} {02} {03} j, 0 j < Nb. {03} {01} {01} {02} Diese Transformation sorgt für eine Diffusion innerhalb der Spalten von state. 54/68

55 SCHLÜSSELGENERIERUNG Beim 10-Runden AES mit Block- und Schlüssellänge l = k = 128 werden 11 Rundenschlüssel K 0,..., K 10 der Länge 128 benutzt. Jedes K i besteht also aus 16 Bytes bzw. 4 Worten mit jeweils 4 Bytes. Bei der Berechnung der Rundenschlüssel werden (Wort-)Konstanten RCon[1],..., RCon[10] mit RCon[i] = FieldToBinary(x i 1 )0 24 {0, 1} 32 benutzt. In Hexadezimal-Darstellung ergeben sich folgende Werte: 55/68

56 SCHLÜSSELGENERIERUNG 56/68

57 ADDROUNDKEY Sind s 0,..., s Nb 1 die Spalten von state, dann setzt der Aufruf der Funktion AddRoundKey(state, w[l*nb, (l+1)*nb-1]) sj s j w[l Nb + j], 0 j < Nb, wobei das bitweise XOR ist. Die Wörter des Rundenschlüssels werden also mod 2 zu den Spalten von state addiert. Dies ist eine sehr einfache und effiziente Transformation, die die Transformation einer Runde schlüsselabhängig macht. 57/68

58 KEYEXPANSION Der Algorithmus KeyExpansion macht aus dem x Rijndael-Schlüssel key, der ein byte-array der Länge 4*Nk ist, einen expandierten Schlüssel w, der ein word-array der Länge Nb*(Nr+1) ist. Die Verwendung des expandierten Schlüssels wurde vorhin erklärt. Zuerst werden die ersten Nk Wörter im expandierten Schlüssel w mit den Bytes des Schlüssels key gefüllt. Die folgenden Wörter in w werden erzeugt, wie es im Pseudocode von KeyExpansion beschrieben ist. Die Funktion word schreibt die Bytes einfach hintereinander. 58/68

59 KEYEXPANSION Abbildung 2: Die AES-Funktion KeyExpansion 59/68

60 KEYEXPANSION: SUBWORD SubWord bekommt als Eingabe ein Wort. Dieses Wort kann als Folge (b 0, b 1, b 2, b 3 ) von Bytes dargestellt werden. Auf jedes dieser Bytes wird die Funktion SubBytes angewendet. Jedes dieser Bytes wird transformiert. Die Folge (b 0, b 1, b 2, b 3 ) (Ab c, Ab c, Ab c, Ab c) der transformierten Bytes wird zurückgegeben. 60/68

61 KEYEXPANSION: ROTWORD Die Funktion RotWord erhält als Eingabe ebenfalls ein Wort (b 0, b 1, b 2, b 3 ). Die Ausgabe ist Außerdem ist (b 0, b 1, b 2, b 3 ) (b 1, b 2, b 3, b 0 ). Rcon[n] = ({02} n, {00}, {00}, {00}). 61/68

62 BEISPIEL input - Klartext k sch - Rundenschlüssel für Runde r start - state zu Beginn von Runde r s box - state nach Anwendung der S-Box SubBytes s row - state nach Anwendung von ShiftRows m col - state nach Anwendung von MixColumns output - Schlüsseltext 62/68

63 BEISPIEL 63/68

64 BEISPIEL 64/68

65 INVCIPHER Die Entschlüsselung der Rijndael-Chiffre wird von der Funktion InvCipher besorgt. Die Spezifikation der Funktionen InvShiftRows und InvSubBytes ergibt sich aus der Spezifikation von ShiftRows und SubBytes. 65/68

66 INVCIPHER Abbildung 3: Die AES-Funktion InvCipher 66/68

67 AES ANIMATION AES Animation 67/68

68 WEITERE BLOCKSCHLÜSSELVERFAHREN IDEA MARS 68/68