分组密码和AES
分组密码在密钥控制下加密固定大小的数据块;高级加密标准(AES)是目前主流的分组密码,也是大多数已部署对称加密的基础。
Definition
分组密码是一种带密钥的可逆函数,它将固定长度的明文比特块映射到相同长度的密文比特块;AES是标准化的分组密码,对128比特块进行操作,密钥长度为128、192或256比特。
Scope
本主题涵盖分组密码的结构和安全性,包括替换-置换网络和Feistel结构,特别是AES算法,以及将固定块原语转换为任意长度消息方案的操作模式(如CBC、CTR和GCM)。它讨论了密码分析攻击(差分密码分析和线性密码分析)以及分组密码作为伪随机置换的概念。它不包括流密码和无密钥哈希函数,这些将在其他地方单独讨论。
Core questions
- 如何从简单、可分析的轮操作中构建一个大型块上的安全置换?
- 为什么AES被设计成替换-置换网络而不是Feistel网络?
- 操作模式如何安全地将分组密码扩展到任意长度的消息?
- 差分密码分析和线性密码分析揭示了密码对攻击的抵抗力如何?
- 将分组密码建模为伪随机置换意味着什么?
Key concepts
- 块大小和密钥大小
- 替换-置换网络
- Feistel网络
- S盒
- 轮和密钥编排
- 操作模式(ECB、CBC、CTR、GCM)
- 差分密码分析和线性密码分析
- 伪随机置换
Key theories
- 替换-置换网络
- AES迭代轮次,结合非线性字节替换(SubBytes)、线性混合(ShiftRows、MixColumns)和密钥加法;交替的替换和置换实现了Shannon的混淆和扩散目标,并能有效抵抗差分和线性攻击。
- 操作模式
- 单独的分组密码只能加密一个块;诸如CBC、CTR和认证模式GCM等模式规定了如何链接或计数块,以便安全地加密长消息,并在认证模式下确保完整性。
Mechanisms
AES通过10、12或14轮(分别对应128、192、256比特密钥)处理一个排列成4x4字节矩阵的128比特块。每一轮都应用SubBytes(一个固定的非线性S盒)、ShiftRows(字节置换)、MixColumns(有限域上的线性变换)和AddRoundKey(与密钥编排生成的轮密钥进行异或)。这种组合在几轮内提供了强大的扩散,并能抵抗已知的密码分析攻击。
Clinical relevance
AES在已部署的系统中无处不在:它保护TLS保护的网页流量、全盘加密(BitLocker、FileVault、LUKS)、Wi-Fi(WPA2/WPA3)、VPN和加密消息的批量数据。硬件AES指令(AES-NI)使其足够快,可以透明地加密高吞吐量链路。
Evidence & guidelines
AES在NIST FIPS 197中规定,并经NSA的商业国家安全算法套件批准,可用于保护最高机密(TOP SECRET)级别的分类信息(使用192或256比特密钥)。分组密码模式在NIST SP 800-38系列中进行了标准化。较旧的DES已被弃用;AES-GCM和AES-CCM是推荐的认证模式。
History
在DES(1977年)因其56比特密钥变得过于脆弱之后,NIST举办了一场公开的国际竞赛(1997-2000年)来选择其替代者。十五个候选算法被公开进行密码分析;比利时密码学家Joan Daemen和Vincent Rijmen设计的Rijndael被选中,并于2001年在FIPS 197中标准化为AES。针对DES开发的差分密码分析(Biham和Shamir)和线性密码分析(Matsui)塑造了AES的设计标准。
Key figures
- Joan Daemen
- Vincent Rijmen
- Horst Feistel
- Eli Biham
- Adi Shamir
- Mitsuru Matsui
Related topics
Seminal works
- daemen2002
- nist2001aes
- katz2020
Frequently asked questions
- 为什么应该避免使用ECB模式?
- 在电子密码本(ECB)模式中,相同的明文块会加密成相同的密文块,从而泄露数据中的结构(在加密图像时尤为明显)。安全的模式,如CTR、CBC或GCM,使用初始化向量或计数器,以便隐藏重复性。
- AES-256是否比AES-128更具意义上的安全性?
- 两者都被认为能抵抗经典攻击;AES-128已经超出了任何可行的暴力破解搜索范围。AES-256提供了更大的安全裕度,并受到长期保密性和后量子对冲的青睐,因为Grover算法只会将有效密钥长度减半。