密码学题目 - AES子密钥计算

在AES算法中，设原始加密密钥为3CA1 0B21 57F0 1916 902E 1380 ACC1 07BD，试计算第1轮的子密钥。

原始加密密钥

原始加密密钥为：

$$\text{3CA1 0B21 57F0 1916 902E 1380 ACC1 07BD}$$

初始化密钥矩阵

将原始密钥分成四个32位的字（word），每个字由4个字节组成：

$$\begin{align*} W[0] &= \text{3C A1 0B 21} \\ W[1] &= \text{57 F0 19 16} \\ W[2] &= \text{90 2E 13 80} \\ W[3] &= \text{AC C1 07 BD} \end{align*}$$

计算第1轮子密钥

使用公式：

$$W[i] = W[i-4] \oplus T(W[i-1])$$

对于 $i$ 是4的倍数时，使用特定的函数 $T$ 进行计算。

计算 $W[4]$

因为4是4的倍数，所以：

$$W[4] = W[0] \oplus T(W[3])$$

函数 $T$ 的计算包括以下步骤：

1. RotWord：循环左移字节

   $$\text{RotWord}(W[3]) = \text{C1 07 BD AC}$$

2. SubWord：使用S盒替换每个字节

   $$\text{SubWord(C1 07 BD AC)} = \text{78 C5 7A 91}$$

   

3. Rcon：添加轮常数

   $$Rcon[1] = \text{01 00 00 00}$$

4. 计算 $T(W[3])$：

   $$T(W[3]) = \text{SubWord(RotWord(W[3]))} \oplus Rcon[1]$$ $$T(W[3]) = \text{78 C5 7A 91} \oplus \text{01 00 00 00} = \text{79 C5 7A 91}$$

5. 计算 $W[4]$：

   $$W[4] = W[0] \oplus T(W[3])$$ $$W[4] = \text{3C A1 0B 21} \oplus \text{79 C5 7A 91} = \text{45 64 71 B0}$$

计算 $W[5]$

使用公式：

$$W[5] = W[1] \oplus W[4]$$ $$W[5] = \text{57 F0 19 16} \oplus \text{45 64 71 B0} = \text{12 94 68 A6}$$

计算 $W[6]$

使用公式：

$$W[6] = W[2] \oplus W[5]$$ $$W[6] = \text{90 2E 13 80} \oplus \text{12 94 68 A6} = \text{82 BA 7B 26}$$

计算 $W[7]$

使用公式：

$$W[7] = W[3] \oplus W[6]$$ $$W[7] = \text{AC C1 07 BD} \oplus \text{82 BA 7B 26} = \text{2E 7B 7C 9B}$$

第1轮子密钥

将 $W[4], W[5], W[6], W[7]$ 组合起来，得到第1轮的子密钥：

$$\text{45 64 71 B0 12 94 68 A6 82 BA 7B 26 2E 7B 7C 9B}$$

详细步骤总结和解释

1. 初始化密钥矩阵：

   • 将原始密钥分成四个32位的字（word），每个字由4个字节组成。
   • 这是为了方便后续的密钥扩展计算。

2. 计算 $W[4]$：

   • $$W[4] = W[0] \oplus T(W[3])$$
   • RotWord：对 $W[3]$ 进行字节循环左移，增加混淆性。 $$\text{RotWord}(\text{AC C1 07 BD}) = \text{C1 07 BD AC}$$
   • SubWord：使用AES S盒对每个字节进行替换，增加非线性。 $$\text{SubWord(C1 07 BD AC)} = \text{78 C5 7A 91}$$
   • Rcon：添加轮常数，增加每一轮的唯一性。 $$Rcon[1] = \text{01 00 00 00}$$
   • 计算 $T(W[3])$： $$T(W[3]) = \text{SubWord(RotWord(W[3]))} \oplus Rcon[1]$$ $$T(W[3]) = \text{78 C5 7A 91} \oplus \text{01 00 00 00} = \text{79 C5 7A 91}$$
   • 计算 $W[4]$： $$W[4] = W[0] \oplus T(W[3])$$ $$W[4] = \text{3C A1 0B 21} \oplus \text{79 C5 7A 91} = \text{45 64 71 B0}$$

3. 计算 $W[5]$：

   • $$W[5] = W[1] \oplus W[4]$$ $$W[5] = \text{57 F0 19 16} \oplus \text{45 64 71 B0} = \text{12 94 68 A6}$$

4. 计算 $W[6]$：

   • $$W[6] = W[2] \oplus W[5]$$ $$W[6] = \text{90 2E 13 80} \oplus \text{12 94 68 A6} = \text{82 BA 7B 26}$$

5. 计算 $W[7]$：

   • $$W[7] = W[3] \oplus W[6]$$ $$W[7] = \text{AC C1 07 BD} \oplus \text{82 BA 7B 26} = \text{2E 7B 7C 9B}$$

最终结果

第1轮的密钥扩展结果为：

$$\text{45 64 71 B0 12 94 68 A6 82 BA 7B 26 2E 7B 7C 9B}$$

好的，我们来详细解释一下在不同的块密码模式（ECB、CBC、OFB）下，如果一个密文块在传输过程中出现错误，将会影响到多少个明文块的正确解密。

1. ECB模式 (Electronic Codebook Mode)

在ECB模式下，每个明文块独立地加密和解密。这意味着加密和解密过程如下：

加密过程：

$$c_i = E_k(m_i)$$

解密过程：

$$m_i = D_k(c_i)$$

如果某个密文块$c_i$ 出现错误，由于每个密文块的加密和解密是独立的，这个错误只会影响到对应的明文块$m_i$。其他明文块不会受到影响。因此，在ECB模式下，不能正确解密的明文块数目是 1。

2. CBC模式 (Cipher Block Chaining Mode)

在CBC模式下，每个明文块在加密前要与前一个密文块进行异或运算，加密和解密过程如下：

加密过程：

$$c_i = E_k(m_i \oplus c_{i-1})$$ $$c_0 = \text{IV} $$ （初始化向量） **解密过程**： $$ m_i = D_k(c_i) \oplus c_{i-1}$$

如果某个密文块$c_i$ 出现错误，该错误会影响到两个明文块：

1. 当前密文块$c_i$ 对应的明文块$m_i$ 会被错误的密文块解密为错误的明文。
2. 下一个密文块$c_{i+1}$ 对应的明文块$m_{i+1}$ 在解密时会用到错误的$c_i$ 进行异或操作，因此$m_{i+1}$ 也会受到影响。

所以，在CBC模式下，不能正确解密的明文块数目是 2。

3. OFB模式 (Output Feedback Mode)

在OFB模式下，加密和解密过程使用的是一个生成的伪随机流，该流与每个明文块进行异或操作：

加密过程：

$$o_i = E_k(o_{i-1})$$ $$c_i = m_i \oplus o_i$$ $$o_0 = \text{IV} $$ （初始化向量） **解密过程**： $$ m_i = c_i \oplus o_i$$

因为OFB模式下，密文块$c_i$ 的错误不会影响伪随机流的生成，只会影响当前密文块对应的明文块。因此，错误的密文块$c_i$ 只会影响到对应的明文块$m_i$。其他明文块不会受到影响。

所以，在OFB模式下，不能正确解密的明文块数目是 1。

总结

在上述解释中：

• ECB模式：一个密文块的错误只影响到对应的一个明文块，答案是 1。
• CBC模式：一个密文块的错误会影响到当前和下一个两个明文块，答案是 2。
• OFB模式：一个密文块的错误只影响到对应的一个明文块，答案是 1。

因此，对于ECB、CBC和OFB模式，如果一个密文块在传输过程中出现错误，不能正确解密的明文块数目分别是1、2和1。