Kryptographie. Vorlesung 7: Der AES Algorithmus. Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca

Transkript

1 Kryptographie Vorlesung 7: Der AES Algorithmus Babeş-Bolyai Universität, Department für Informatik, Cluj-Napoca 1/48

2 KONSTRUKTION ENDLICHER KÖRPER Wir beschreiben, wie man zu jeder Primzahl p und jeder natürlichen Zahl n einen endlichen Körper mit p n Elementen konstruieren kann. Dieser Körper ist bis auf Isomorphie eindeutig bestimmt und wird mit GF(p n ) bezeichnet. Die Abkürzung GF steht für galois field. Das ist die englische Bezeichnung für endliche Körper. 2/48

3 KONSTRUKTION ENDLICHER KÖRPER Wir wissen, dass Z p = Z/pZ ein Körper mit p Elementen ist. Er wird mit GF(p) bezeichnet. Die Primzahl p heißt Charakteristik des Körpers GF(p n ). Der Körper GF(p) heißt Primk orper. Die Konstruktion ist mit der Konstruktion des Körpers Z/pZ für eine Primzahl p eng verwandt. Sei p eine Primzahl, sei n eine natürliche Zahl und sei f ein Polynom mit Koeffizienten in Z p vom Grad n. Das Polynom muss irreduzibel sein, d.h. es darf nicht als Produkt f = gh geschrieben werden können, wobei g und h Polynome in (Z p )[X] sind, deren Grad größer als Null ist. Polynome, die nicht irreduzibel sind heißen reduzibel. 3/48

4 BEISPIEL Das Polynom f (X) = X 2 + X + 1 ist irreduzibel in (Z 2 )[X]. Wäre f reduzibel, müsste f Produkt von zwei Polynomen vom Grad eins aus (Z 2 )[X] sein. Dann hätte f also eine Nullstelle in Z 2. Es ist aber f (0)f (1)1 mod 2. Also ist f irreduzibel. Das Polynom f (X) = X ist reduzibel in (Z 2 )[X], denn es gilt X (X + 1) 2 mod 2. 4/48

5 KONSTRUKTION ENDLICHER KÖRPER Die Elemente des endlichen Körpers, der nun konstruiert wird, sind Restklassen mod f. Die Konstruktion dieser Restklassen entspricht der Konstruktion von Restklassen in Z. Die Restklasse des Polynoms g Z p [X] besteht aus allen Polynomen h in Z p [X], die sich von g nur durch ein Vielfaches von f unterscheiden, für die also g h durch f teilbar ist. Wir schreiben g + f Z p [X] für diese Restklasse, denn es gilt g + f Z p [X] = {g + hf h Z p [X]}. 5/48

6 KONSTRUKTION ENDLICHER KÖRPER Die Anzahl der verschiedenen Restklassen mod f ist p n. Das liegt daran, dass die Restklassen aller Polynome, deren Grad kleiner n ist, paarweise verschieden sind und dass jede Restklasse mod f einen Vertreter enthält, dessen Grad kleiner als n ist. 6/48

7 BEISPIEL Die Restklassen in Z 2 [X] mod f (X) = X 2 + X + 1 sind f (Z 2 ), 1 + f (Z 2 ), X + f (Z 2 ), X f (Z 2 ). 7/48

8 KONSTRUKTION ENDLICHER KÖRPER Sind g, h Z p [X], dann ist die Summe der Restklassen von g und h mod f definiert als die Restklasse von g + h. Das Produkt der Restklassen von g und h ist die Restklasse des Produkts von g und h. Mit dieser Addition und Multiplikation ist die Menge der Restklassen mod f ein kommutativer Ring mit Einselement 1 + f Z p [X]. 8/48

9 BEISPIEL Sei p = 2 und f (X) = X 2 + X + 1. Die Restklassen mod f sind die Restklassen der Polynome 0, 1, X und X + 1 mod f. Sei α die Restklasse X + f Z 2 [X]. Man beachte, dass α eine Nullstelle von f in GF(4) ist, also α 2 + α + 1 = 0 gilt. 9/48

10 BEISPIEL Abbildung 1: Addition in GF(4) 10/48

11 BEISPIEL Abbildung 2: Multiplikation in GF(4) 11/48

12 KONSTRUKTION ENDLICHER KÖRPER Weil f irreduzibel ist, ist der Restklassenring ein Körper. mod f sogar Im obigen Beispiel sieht man, dass alle von Null verschiedenen Restklassen mod f ein multiplikatives Inverses besitzen. Das ist auch allgemein richtig. Soll die Restklasse eines Polynoms g Z p [X] invertiert werden, verwendet man ein Analogon des erweiterten euklidischen Algorithmus, um ein Polynom r Z p [X] zu bestimmen, das gr + fs = 1 für ein Polynom s Z p [X] erfüllt. 12/48

13 KONSTRUKTION ENDLICHER KÖRPER Dann ist die Restklasse von r das Inverse der Restklasse von g. Das geht also genauso, wie Invertieren in Z p. Ist f nicht irreduzibel, so kann man nicht alle von Null verschiedenen Restklassen invertieren. Man erhält dann durch die beschriebene Konstruktion einen Ring, der i.a. nicht nullteilerfrei ist. 13/48

14 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Wir wissen, dass es ganze Zahlen x und y gibt, so dass ggt(a, b) = ax + by. Wir erweitern den euklidischen Algorithmus, so dass es die Koeffizienten x und y berechnet. Wir bezeichnen mit r 0,..., r n+1 die Restefolge und mit q 1,..., q n die Folge der Quotienten, die bei der Anwendung des euklidischen Algorithmus auf a, b entstehen. Wir konstruieren zwei Folgen (x k ) und (y k ), für die x = ( 1) n x n und y = ( 1) n+1 y n die gewünschte Eigenschaft haben. 14/48

15 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Wir setzen x 0 = 1, x 1 = 0, y 0 = 0, y 1 = 1. Ferner setzen wir x k+1 = q k x k + x k 1, y k+1 = q k y k + y k 1, 1 k n. Wir nehmen an, dass a und b nicht negativ sind. 15/48

16 DER ERWEITERTE EUKLIDISCHE ALGORITHMUS Theorem Es gilt r k = ( 1) k x k a + ( 1) k+1 y k b für 0 k n + 1. Man sieht, dass insbesondere r n = ( 1) n x n a + ( 1) n + 1y n b ist. Damit ist also der größte gemeinsame Teiler von a und b als Linearkombination von a und b dargestellt. 16/48

17 BEISPIEL Wähle a = 100 und b = 35. Dann kann man die Werte r k, q k, x k und y k aus folgender Tabelle entnehmen. k r k q k x k y k Damit ist n = 3 und ggt(100, 35) = 5 = Der erweiterte euklidische Algorithmus berechnet neben ggt(a, b) auch die Koeffizienten x = ( 1) n x n, y = ( 1) n+1 y n 17/48

18 BEISPIEL Sei p = 2 und sei f (X) = x 8 + x 4 + x 3 + x + 1. Dieses Polynom ist irreduzibel in Z 2 [X]. Sei α die Restklasse von X mod f. Wir bestimmen das Inverse von α + 1. Hierzu wenden wir den erweiterten euklidischen Algorithmus an. Es gilt f (X) = (X + 1)q(X) + 1 mit q(x) = X 7 + X 6 + X 5 + X 4 + X 2 + X. 18/48

19 BEISPIEL Wie für den erweiterten euklidischen Algorithmus erläutert, bekommt man folgende Tabelle k r k f X q k q(x) X + 1 x k X 8 + X 4 + X 3 y k 0 1 q(x) X q(x) Daher ist die Restklasse von q(x), also α 7 + α 6 + α 5 + α 4 + α 2 + α, das Inverse von α /48

20 KONSTRUKTION ENDLICHER KÖRPER Konstruiert man auf diese Weise Körper für verschiedene Polynome vom Grad n, so sind diese Körper isomorph, also nicht wirklich verschieden. Da es für jede natürliche Zahl n ein irreduzibles Polynom in Z p [X] vom Grad n gibt, existiert auch der Körper GF(p n ) für alle p und n. 20/48

21 DER AES-ALGORITHMUS Nb Die Klartext- und Chiffretextblöcke bestehen aus Nb vielen 32-Bit Wörtern, 4 Nb 8. Die Rijndael-Blocklänge ist also 32 Nb. Für AES ist Nb = 4. Die AES-Blocklänge ist also 128. Nk Die Schlüssel bestehen aus Nk vielen 32-Bit Wörtern, 4 Nk 8. Der Rijndael-Schlüsselraum ist also Z 32 Nk. Für 2 AES ist Nk = 4,6 oder 8. Der AES-Schlüsselraum ist also Z 128, Z 192 oder Z Nr Anzahl der Runden. Für AES ist 10 für Nk = 4, Nr = 12 für Nk = 6, 14 für Nk = 8. 21/48

22 DER AES-ALGORITHMUS Datentypen byte und word Ein byte ist ein Bitvektor der Länge 8. Ein word ist ein Bitvektor der Länge 32. Klartext und Chiffretext werden als zweidimensionale byte-arrays dargestellt. Diese Arrays haben vier Zeilen und Nb Spalten. 22/48

23 KLARTEXT/CHIFFRETEXT IM AES-ALGRITHMUS s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 Die Rijndael-Schlüssel sind word-arrays der Länge Nk. Die Rijndael- Chiffre expandiert einen Schlüssel key mit der Funktion KeyExpansion zu dem expandierten Schlüssel w. Danach verschlüsselt sie einen Klartextblock in mit dem expandierten Schlüssel w zu dem Schlüsseltextblock out. Hierzu wird Cipher verwendet. 23/48

24 CIPHER Eingabe ist der Klartextblock byte in[4,nb] und der expandierte Schlüssel word w[nb*(nr+1)]. Ausgabe ist der Chiffretextblock byte out[4,nb]. Zuerst wird der Klartext in in das byte-array state kopiert. Nach einer initialen Transformation durchläuft state Nr Runden und wird dann als Chiffretext zurückgegeben. In den ersten Nr-1 Runden werden nacheinander die Transformationen SubBytes, ShiftRows, MixColumns und AddRoundKey angewendet. In der letzten Runde werden nur noch die Transformationen SubBytes, ShiftRows und AddRoundKey angewendet. AddRoundKey ist auch die initiale Transformation. 24/48

25 CIPHER 25/48

26 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Bytes spielen eine zentrale Rolle in der Rijndael-Chiffre. Sie können auch als ein Paar von Hexadezimalzahlen geschrieben werden. Das Paar {2F} von Hexadezimalzahlen entspricht dem Paar von Bitvektoren der Länge vier, also dem Byte Das Paar {A1} von Hexadezimalzahlen entspricht dem Paar von Bitvektoren, also dem Byte /48

27 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Bytes werden in der Rijndael-Chiffre mit Elementen des endlichen Körpers GF(2 8 ) identifiziert. Als erzeugendes Polynom wird das über GF(2) irreduzible Polynom m(x) = X 8 + X 4 + X 3 + X + 1 gewählt. Damit ist GF(2 8 ) = GF(2)(α) wobei α der Gleichung α 8 + α 4 + α 3 + α + 1 = 0 genügt. Ein Byte (b 7, b 6, b 5, b 4, b 3, b 2, b 1, b 0 ) entspricht also dem Element 7 i=0 b iα i. 27/48

28 IDENTIFIKATION DER BYTES MIT ELEMENTEN VON GF(2 8 ) Damit können Bytes multipliziert und addiert werden. Falls sie von Null verschieden sind, können sie auch invertiert werden. Für das Inverse von b wird b 1 geschrieben. Wir definieren auch 0 1 = 0. Beispiel: Das Byte b = (0, 0, 0, 0, 0, 0, 1, 1) entspricht dem Körperelement α + 1. Dann ist (α + 1) 1 = α 7 + α 6 + α 5 + α 4 + α 2 + α. Daher ist b 1 = (1, 1, 1, 1, 0, 1, 1, 0). 28/48

29 SUBBYTES SubBytes(state) ist eine nicht-lineare Funktion. Sie transformiert die einzelnen Bytes. Die Transformation wird S-Box genannt. Aus jedem Byte b von state macht die S-Box das neue Byte b Ab 1 c 29/48

30 SUBBYTES A = , c = /48

31 BEMERKUNG Diese S-Box kann tabelliert werden, weil sie nur 2 8 mögliche Argumente hat. Dann kann die Anwendung von SubBytes durch Table-Lookups realisiert werden. Beispiel: Wir berechnen welches Byte die S-Box aus dem Vektor b = (0, 0, 0, 0, 0, 0, 1, 1) macht. Nach dem obigen Beispiel ist b 1 = (1, 1, 1, 1, 0, 1, 1, 0). Damit gilt Ab 1 + c = (0, 1, 1, 0, 0, 1, 1, 1). Die S-Box garantiert die Nicht-Linearität von AES. 31/48

32 SHIFTROWS Sei s ein state, also ein durch AES teiltransformierter Klartext. Schreibe s als Matrix. Die Einträge sind Bytes. Die Matrix hat 4 Zeilen und Nb Spalten. Im Fall von AES ist diese Matrix s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 32/48

33 SHIFTROWS ShiftRows wendet auf die Zeilen dieser Matrix einen zyklischen Linksshift an. Genauer: ShiftRows hat folgende Wirkung: s 0,0 s 0,1 s 0,2 s 0,3 s 1,0 s 1,1 s 1,2 s 1,3 s 2,0 s 2,1 s 2,2 s 2,3 s 3,0 s 3,1 s 3,2 s 3,3 s 0,0 s 0,1 s 0,2 s 0,3 s 1,1 s 1,2 s 1,3 s 1,0 s 2,2 s 2,3 s 2,0 s 2,1 s 3,3 s 3,0 s 3,1 s 3,2 33/48

34 SHIFTROWS Im allgemeinen wird die i-te Zeile um c i Positionen nach links verschoben, wobei c i in der unteren Tabelle zu finden ist. Diese Transformation sorgt bei Anwendung in mehreren Runden für hohe Diffusion. Abbildung 3: Zyklischer Linksshift in ShiftRows 34/48

35 MIXCOLUMNS Für 0 j < Nb wird die Spalte s j = (s 0,j, s 1,j, s 2,j, s 3,j ) von state mit dem Polynom s 0,j + s 1,j x + s 2,j x 2 + s 3,j x 3 GF(2 8 )[x] identifiziert. Die Transformation MixColumns setzt sj (sj a(x)) mod (x 4 + 1), 0 j < Nb, wobei a(x) = {03} x 3 + {01} x 2 + {01} x + {02}. 35/48

36 MIXCOLUMNS Das kann auch als lineare Transformation in GF(2 8 ) 4 beschrieben werden. MixColumns setzt nämlich {02} {03} {01} {01} {01} {02} {03} {01} s j s {01} {01} {02} {03} j, 0 j < Nb. {03} {01} {01} {02} Diese Transformation sorgt für eine Diffusion innerhalb der Spalten von state. 36/48

37 ADDROUNDKEY Sind s 0,..., s Nb 1 die Spalten von state, dann setzt der Aufruf der Funktion AddRoundKey(state, w[l*nb, (l+1)*nb-1]) sj s j w[l Nb + j], 0 j < Nb, wobei das bitweise XOR ist. Die Wörter des Rundenschlüssels werden also mod 2 zu den Spalten von state addiert. Dies ist eine sehr einfache und effiziente Transformation, die die Transformation einer Runde schlüsselabhängig macht. 37/48

38 KEYEXPANSION Der Algorithmus KeyExpansion macht aus dem x Rijndael-Schlüssel key, der ein byte-array der Länge 4*Nk ist, einen expandierten Schlüssel w, der ein word-array der Länge Nb*(Nr+1) ist. Die Verwendung des expandierten Schlüssels wurde vorhin erklärt. Zuerst werden die ersten Nk Wörter im expandierten Schlüssel w mit den Bytes des Schlüssels key gefüllt. Die folgenden Wörter in w werden erzeugt, wie es im Pseudocode von KeyExpansion beschrieben ist. Die Funktion word schreibt die Bytes einfach hintereinander. 38/48

39 KEYEXPANSION Abbildung 4: Die AES-Funktion KeyExpansion 39/48

40 KEYEXPANSION: SUBWORD SubWord bekommt als Eingabe ein Wort. Dieses Wort kann als Folge (b 0, b 1, b 2, b 3 ) von Bytes dargestellt werden. Auf jedes dieser Bytes wird die Funktion SubBytes angewendet. Jedes dieser Bytes wird transformiert. Die Folge (b 0, b 1, b 2, b 3 ) (Ab c, Ab c, Ab c, Ab c) der transformierten Bytes wird zurückgegeben. 40/48

41 KETEXPANSION: ROTWORD Die Funktion RotWord erhält als Eingabe ebenfalls ein Wort (b 0, b 1, b 2, b 3 ). Die Ausgabe ist Außerdem ist (b 0, b 1, b 2, b 3 ) (b 1, b 2, b 3, b 0 ). Rcon[n] = ({02} n, {00}, {00}, {00}). 41/48

42 BEISPIEL input - Klartext k sch - Rundenschlüssel für Runde r start - state zu Beginn von Runde r s box - state nach Anwendung der S-Box SubBytes s row - state nach Anwendung von ShiftRows m col - state nach Anwendung von MixColumns output - Schlüsseltext 42/48

43 BEISPIEL 43/48

44 BEISPIEL 44/48

45 INVCIPHER Die Entschlüsselung der Rijndael-Chiffre wird von der Funktion InvCipher besorgt. Die Spezifikation der Funktionen InvShiftRows und InvSubBytes ergibt sich aus der Spezifikation von ShiftRows und SubBytes. 45/48

46 INVCIPHER Abbildung 5: Die AES-Funktion InvCipher 46/48

47 AES ANIMATION AES Animation 47/48

48 WEITERE BLOCKSCHLÜSSELVERFAHREN IDEA MARS 48/48