摘要：AES（The Advanced Encryption Standard）是美国国家标准与技术研究所用于加密电子数据的规范。它被预期能成为人们公认的加密包括金融、电信和政府数字信息的方法。本文展示了AES的概貌并解析了它使用的算法。包括一个完整的C#实现和加密.NET数据的举例。在读完本文后你将能用AES加密、测试 基于AES的软件并能在你的系统中使用AES加密。

第1页:利用高级数据加密标准(AES)保障数据安全 1 第2页:利用高级数据加密标准(AES)保障数据安全 2

　　该规范文档一般用字节作为基本储存单元而不是用4字节的字作为两个重要数据成员的长度。这两个成员 Nb 和 Nk 代表 以字为单位的块长以及以字为单位的密钥长度。Nr代表轮数。块长度总是16字节(或这说是 128 位，即为 AES 的 4个字)，因此它可以被声明为一个常量。密钥长度 依照枚举参数 KeySize 的值被赋值为 4、6 或 8。AES 算法强调通过大量轮数来增加加密数据的复杂性。轮数是10、12或14中的任意一个并且是基于密码分析学理论的。它直接取决于密钥长度。

　　当设计一个类接口时，我喜欢向后来做。我设想从应用程序中调用构造函数和方法。使用这个办法，我决定象下面这样来实例化一个 AES 对象：

 

该构造函数首先调用一个辅助方法　SetNbNkNr 给 Nb、Nk 和 Nr 赋值，如 Figure 8 所示。如果考虑到效率，你可能将这些代码直接放入构造函数 以避免方法调用的开销。

　　接下来，你必须将传入构造函数的字节拷贝到类域变量中。密钥用其它的类域声明，并且用如下方法获得它的值：

 

　　我决定在构造函数中调用私有辅助方法 BuildSbox 和 BuildInvSbox 来初始化替换表 Sbox[] 和 iSbox[] 。现在密钥扩展例程 、Cipher 方法和 InvCipher 方法各自都需要 Sbox[] 和 iSbox[]，因此我本来可以在 Cipher 和 InvCipher 两个方法中初始化 Sbox[] 并调用 KeyExpansion 方法，但是将它们放入构造函数会代码结构更加清晰。在 Figure 9 中 sBox[] 被填充。填充 iSbox[] 代码 类似。为了可读性对代码进行了结构化处理。正如后面你将看到的，还有另外一个可供选择的令人惊讶的方法为 Sbox 和 iSbox 表提供值。

　　在构造函数中声明密钥调度表 w[]、轮常数表 Rcon[] 和状态矩阵 State[]，并用私有辅助方法来给 Rcon[] 和 w[] 赋值在我看来似乎是组织它们的最好办法，但那主要还是个风格问题。置换轮常数表 Rcon 的赋值代码参见 Figure 7。

　　回想一下，GF(28)中，Rcon[] 每一行左边的字节都 2 的幂，因此这个表可用下面的方法建立：

 

　　AES 构造函数在建立完密钥调度表 w[] 后结束，而 w[] 是在 KeyExpansion 方法中完成的(参见 Figure 10)。 其代码相当简单。规范文档使用一个假设的 4-字节的字数据类型。因为 C# 没有那样的类型，但可以用一个4个字节的数组来模拟。在用 new 操作符为密钥调度 表 w[] 分配空间后，w[] 最初的 Nk(4, 6, 或 8) 行从被传递到构造函数的种子密钥 key[] 数组中获值。

 

　　两个字节相互的异或操作在这个代码中频频发生。它需要一些从 byte 到 int 的强制类型转换并转回到 byte，因为异或操作“^”是不能定义在 C# 的 byte 类型上，例如：

 
KeyExpansion 方法有条件地调用私有方法 SubWord 和 RotWord 以保持同规范命名的一致性。此外，因为在C#中没有 word类型，我用 4字节数组实现了一个字。SubWord 和 RotWord 的代码是相当简单，参见本文附带的 AesLib 源代码，它应该很容易理解。

　　稍微具备有些技巧的部分是在 SubWord 中查找替代值。回想一下，为了寻找代替值，你将输入字节分成最左边的4位比特和最右边的4位比特。对于一个给定字节，用 >> 操作符右移 4 位将得到 x 索引，并且与 0000 1111 进行逻辑与得到 y 值。虽然有些长，但比实际代码更可读，我可以象下面这样：

 

　　总的来说，AES 构造函数接受一个密钥的长度为128，192 或 256 位和一个字节数组种子密钥值。构造函数为输入块长度，种子密钥长度 以及加密算法的轮数赋值，并将种子密钥拷贝到一个名为 key 的数据成员中。构造函数还创建了四个表：两个由加密和解密方法使用的替换表，一个轮常数表，和一个轮密钥的密钥调度表。

　　用C#编写的 AES Cipher 方法

　　Cipher方法如 Figure 11 所示。它真的非常简单，因为它分出了大部分的工作给私有方法AddRoundKey, SubBytes, ShiftRows 和 MixColumns。

　　Cipher 方法以拷贝明文输入数组到状态矩阵 State[] 为开始。最初调用 AddRoundKey 之后，Cipher 方法比总轮数少迭代一次。在最后一轮时，正如规范中所说的那样，MixColumns 调用被省略了。

　　AddRoundKey 和 SubBytes 私有方法的代码如 Figure 12 所示。AddRoundKey 方法需要知道它处在那一轮，以便它正确引用4行密钥调度数组 w[]。请注意 State[r,c] 是用 w[c,r] 来异或并不是w[r,c]。SubBytes 方法从输入字节中提取索引，与 KeyExpansion 方法中所用的右移4位和 0x0f 屏蔽技术相同。

　　ShiftRows 方法的代码如 Figure 13 所示。回想一下，ShiftRows(可能叫做 RotateRows 更好)将 row[0] 向左旋转 0 个位置，将 row[1] 向左旋转 1 位置等等。

　　把 State[] 拷贝到 temp[] 矩阵之后，然后用下面的这行代码实现转换：

 

　　这里利用%操作符的优点抱合一行。

　　MixColumns 方法(Figure 14)用GF(28)加和乘，以字节列中所有其它值的线性组合对每一个字节进行替换。

　　乘法所用的常量系数基于域论的，并且是0x01, 0x02或 0x03中的任意一个值。给定某一列 c ，其替代式如下：

 

　　这些表达式稍微有些长，因此我决定编写返回 GF(28)与 0x01,0x02 和 0x03 之乘积的私有辅助函数。这些辅助函数非常短。例如，一个字节 b 被 0x03 域乘的代码如下：

 

　　正如我前面讨论的，被 0x02 乘是所有 GF(28) 乘法的基本操作。我调用了我的 gfmultby02 方法，我改变了使用与规范相同的方法命名惯例，规范上称此例程为 xtime。

　　Cipher 方法其输入反复应用四个操作来产生加密的输出。AddRoundKey 用源于单个原始种子密钥的多重轮密钥来替代字节。SubBytes 用某个替换表中的值替代字节。ShiftRows 用移动字节行置换字节，而 MixColumns 用某一列的域加和乘法值来替代字节。

　　用C#编写 AES InvCipher 方法

　　AES 解密算法背后的基本原则很简单：解密一个加密块，也就是以反向顺序还原(Undo)每个操作。尽管这是基本概念，但仍有几个细节要处理。

　　AES规范称解密例程为 InvCipher，而不是 Decipher 或 Decrypt 中的一个。这是 AES 背后的数学基础的反映，它基于可逆的数学操作。

　　如果你将这个代码和 Cipher 代码比较的话，你会看到它比你预期的漂亮很多，但是有两点例外。首先，在 InvCipher 方法中逆方法调用(如 InvSubBytes)顺序并不完全与在 Cipher 方法中相应调用(如 SubBytes)的逆向顺序正好相同。其次，InvCipher 调用的是一个 AddRoundKey 方法而不是 InvAddRoundKey 方法。值得注意的是 InvCipher 算法用密钥调度表并不是从较高编号的索引处开始向下处理至第0行。

　　InvSubBytes，InvShiftRows 和 InvMixColumns 方法的代码和与之有关的 SubBytes，ShiftRows和 MixColumns 方法的代码非常接近。InvSubBytes 方法几乎就是 SubBytes 方法，只是它用逆替换表 iSbox[] 而不是 Sbox[] 表。

　　正如你可能猜测到的，iSbox[] 就是还原任何被 Sbox[] 处理的对应操作。比如，如果你有字节 b 等于 0x20，并在 Sbox[] 中找到其代替值，你得到 0xb7。如果你在 iSbox[] 中找到 0xb7的替代值，你便可得到 0x20。

　　相似地，InvShiftRows 方法还原 ShiftRows 方法―― row[0] 被右移了 0 个位置，row[1] 被右移了 1个位置，row[2] 被右移了 2 个位置，而 row[3] 被右移了 3个位置。

　　InvMixColumns 方法还原 MixColumns 的工作，但没有用显而易见的方法。回想一下，MixColumns 用原始字节列中的字节线性组合替换状态矩阵中的每个字节，并且系数是 0x01，0x02，和 0x03，域论再一次得到应用。它证明逆运算是相似的，只是被 0x09，0x0b，0x0d 和 0x0e 乘，如下所示：

 

　　对于 MixColumns 方法，我决定专门写一个辅助函数，而不是内联展开已经较长的表达式或写一个普通的乘法辅助函数。让我向你展示一下我示如何编写这个任何字节 b 被常数 0x0e (在10进制中的14)乘的函数，像任何数字一样，数字 14 可以被表示成 2 的幂的和，因此，14 等于 2 + 4 + 8。并且 4 等于 2 的平方，8 等于 2 的立方，你可以将14表示为 2 + 22 + 23。记住加法就是 GF(28)中上的异或(^)，既然我已经有了 gfmultby02 函数，我可以用它得到我的结果

 

　　用于 AES 加密算法的所有的操作都是可逆的，因此解密算法本质上是加密的所有操作的倒转。

　　使用 AES 类

　　用C#实现 AES 的特色之一就简单。看看 Figure 15，它是我用来生成输出 Figure 1 的代码。声明了 16 字节 明文输入硬代码值和 24 字节(192位)的种子密钥后，一个 AES 对象被初始化，加密 Cipher 方法 将明文加密成为密文，然后再用 InvCipher 将密文解密。非常清楚和简单。

　　因为 AES 对象针对字节数组进行处理，你可以轻松地用它处理.NET的其它数据类型。我创建了一个基于 Windows 的小Demo程序，它接受一个 单纯的字符串――有 8 个字符 (16-byte) ，对它进行加密和解密处理。运行画面如 Figure 16。

 

　　Figure 16 加密 Demo 程序

　　因为加密和解密例程都需要知道用户定义的密钥长度，我把它当作一个类范围的变量来声明，像这样：

 

　　注意种子密钥并不是由用户定义的。这个 demo 程序用一个“空密钥”(null key)作为种子密钥，通过为构造函数提供一个哑参数 new byte[16] 使得它全部由零字节组成。哑参数的长度是不相关的，因为种子密钥还是要被初始化为零。空密钥加密和解密是一个容易和有效的办法来阻止外界对数据偶然的检查。在 System.Text 中的 Encoding.Unicode.GetBytes和Encoding.Unicode.GetString 方法使得将一个.NET 字符串转换成一个字节数组变得非常容易，反之亦然。

　　实现选择

　　现在让我们看看本文 AES 实现中出现的一些重要的变量，本文提供的代码可能出现的扩展，以及针对 AES 的密码分析学攻击。

　　和我曾经处理的任何代码一样，AES 算法也可以用其它可选的途径来实现。为什么这很重要呢?AES 被试图广泛应用于各种系统，从只有很少内存容量的智能卡(smart cards)到大型的多处理器主机系统。在许多情况下，性能是关键因素，并且有时内存或处理器资源是有限的。事实上，AES 的每个例程都能针对非常昂贵的内存资源进行性能优化，反之亦然。比如，为替换表Sbox[] 分配 256 个值看起来好像很简单直白。但是，这些值是基于 GF(28) 理论的，它们都可以用编程方式来生成。逆向替换表和轮常数表也是如此。

　　可选实现另外一个有趣的可能性是 Cipher 和 InvCipher 方法所用的 GF(28) 乘法。我的实现代码是一个被 0x02 乘的基本函数，而后是六个调用 gfmultby02 的附加函数。另一个可能性应该是写一个一般的乘法函数，并用它代替我目前实现的七个单独函数。另一个极端是你可以用被 0x01, 0x02, 0x03, 0x09, 0x0b, 0x0d 和 0x0e 乘好的所有 256 个可能的字节值构成的一个完整乘积表。此外，实现 GF(28) 乘法另一途径是通过在两个 256 个字节的数组里查找，通常称为 alog[] 和 log[]，因为它们在 GF(28)中基于某些类似对数的方法。

　　虽然这里给出的 AES 类完全能用于加密任何形式的.NET数据，你可能考虑想用各种方法扩展它。首先，因为本文的重点在于清楚地解释 AES，所有 错误检查被剥离掉，以我的经验，为某个象 AES 这样的类添加合理数量的错误检查将会产生三倍的代码量膨胀。因为 AES 使用了这么多的数组，需要做很多索引 边界检查。例如，所给出的构造函数甚至都不检查种子密钥参数的长度。

　　你可能还考虑通过添加更多的特性来扩展 AES 类。最明显的一个地方是添加加密和解密.NET基本数据类型的方法，比如：System.String 和 System.Int32。更加雄心勃勃的扩展可能会是实现一个 流数据加密类。

　　AES 的安全性怎样呢?这是一个很难回答的问题，但是一般多数人的意见是：它是目前可获得的最安全的加密算法。AES 已被列为比任何现今其它加密算法更 安全的一种算法。在理论和实践基础上，AES 被认为是“安全的”，因为要破解它的话，唯一有效的方法是强行(brute-force)生成所有可能的密钥。 如果密钥长度为 256 位，还没有已知的攻击可以在一个可接受的时间内破解 AES(即便在当今最快的系统上，它也要花费数年时间)。

　　注意针对 AES 密码最可能成功的攻击来自一个允许时间选择攻击的弱实现。攻击者用不同的密钥并精确地测量出加密例程所需的时间。如果加密例程被粗心编码 ，因此执行时间便依赖于密钥值，它就有可能推导出有关密钥的信息。在 AES 中，这种事情最可能发生在 MixColumns 例程中，因为有域乘。 针对这种攻击的两个安全措施是加入虚指令，以便所以所有乘法都需要相同数量的指令，或者将域乘实现为一个查询表，就象我前面描述的那样。

　　AES 有许多种可能的实现，尤其是是使用查询表而不是计算。本文提供的 AES 基本类可以被用于加解密任何形式的.NET数据或 被扩展成一个具有更多功能的类。

　　结束语

　　新的 AES 将无疑成为加密所有形式电子信息的事实上的标准，取代 DES。AES 加密的数据在某种意义上是牢不可破的，因为没有已知的密码分析攻击可以解密 AES 密文，除非强行遍历搜索所有可能的 256 位密钥。

　　我发现在 Microsoft .NET Framework 上实现 AES 类的主要的障碍是官方文档是以一个数学家的观点，而不是以一个软件开发者的观点来写的。尤其是该规范假定读者十分熟悉 GF(28) 域，并省略了几个正确实现 AES 所必需的关于 GF(28) 乘法的关键事实。我在本文中试图努力去掉 AES 的神秘面纱，特别是围绕在 GF(28) 域乘法部分的。

　　以 .NET Framework 库的形式从 Microsoft 以及第三方供应商处获得对 AES 的广泛支持只是一个时间问题。然而，处于种种理由，让本文代码作为你的技能储备仍然是有价值的。这个实现尤其简单，并且是低资源开销。另外，阅读并理解源代码将使你能定制 AES 类且更有效地使用它的任何实现。

　　在任何软件设计过程中安全已不再是后顾之忧。AES 是一个重大进步，使用并理解它将大大增加软件系统的可靠性和安全性。

　　相关文章 Security: Protect Private Data with the Cryptography Namespaces of the .NET Framework

　　Exploring Kerberos, the Protocol for Distributed Security in Windows 2000

　　背景信息

　　The Design of Rijndael: AES - The Advanced Encryption Standard by Joan Daemen and Vincent Rijmen. (Springer-Verlag, 2002)

　　Announcing the Advanced Encryption Standard (AES): Federal Information Processing Standards Pub 197

　　作者简介

　　James McCaffrey 在Volt Information Sciences Inc公司工作，在那里他管理为 Microsoft 的软件工程师技术培训。他作为一些 Microsoft 产品的承包人工作包括 Internet Explorer 和 MSN Search。

　　责任编辑：scarlett

　　更多内容请关注机房360，www.jifang360.com，中国绿色数据中心