Das National Institute of Standards and Technology der USA hat 1997 einen Wettbewerb ausgeschrieben, um einen Nachfolger für den damaligen Verschlüsselungsstandard DES zu finden. Dieser Wettbewerb endete am 2.10.2000 damit, dass das Verfahren Rijndael zum Sieger und damit zum neuen Verschlüsselungsstandard erklärt wurde.

Verschlüsselung/Entschlüsselung

Eingabe für das Verfahren ist ein 128 Bit langer Klartext $\text{[math]}$ , der als Bytefolge

dargestellt werden kann. Diese Bytefolge wird State genannt und ist durch folgende Matrix repräsentiert, die als Grundlage für die Operationen verwendet wird.


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

Im Gegensatz zur obigen Beschreibung werden die Bits $\text{[math]}$ eines einzelnen Bytes $\text{[math]}$ im Folgenden aufsteigend von rechts nach links indiziert:

Die Verschlüsselung erfolgt in mehreren Runden, wobei die Anzahl der Runden von der Blocklänge $\text{[math]}$ und von der Schlüssellänge $\text{[math]}$ abhängig ist, wobei gilt:

Jede außer der letzten Runde besteht aus den $\text{[math]}$ einzelnen Operationen

Die letzte Runde verzichtet auf die MixColumns-Operation. Sämtliche durchgeführten Transformationen sind umkehrbar, so dass die Entschlüsselung lediglich die entsprechende Umkehroperationen aufrufen muss (in umgekehrter Reihenfolge). Dabei kommen die inversen Operationen InvSubBytes, InvShiftRows, InvMixColumns und AddRoundKey (diese Transformation ist selbstinvers) zum Einsatz, in der ersten Runde fehlt entsprechend der Aufruf von InvMixColumns.

1. Die SubBytes-Transformation

Die SubBytes-Transformation, eine nichtlineare Bytesubstitution, wird auf jedes einzelne Byte eines State angewendet, wobei das Ergebnis dieser Transformation unabhängig von den anderen Bytes ist. Es sei

die Hexadezimaldarstellung des Bytes $\text{[math]}$ . Dann wird das Byte $\text{[math]}$ transformiert zu dem Hexadezimalwert, der in der folgenden Tabelle in Zeile $\text{[math]}$ und Spalte $\text{[math]}$ enthalten ist.

Für diese SubBytes-Transformation gibt es auch eine explizite Berechnungsvorschrift, die aus zwei einzelnen Transformationen besteht:

1. Transformation.
Gegeben sei ein Byte $\text{[math]}$ , welches als Polynom die Darstellung $\text{[math]}$ hat. Die einzelnen Bits dienen jetzt als Koeffizienten. Ein wichtiger Aspekt dieser Interpretation besteht darin, dass $\text{[math]}$ ein Polynom über $\text{[math]}$ darstellt; $\text{[math]}$ kann also nur die Werte Null oder Eins annehmen. Weiterhin sind an dieser Stelle nur Polynome mit einem Grad von höchstens sieben zulässig - bei der Multiplikation kann jedoch ein Polynom höheren Grades auftreten, welches nicht mehr durch ein Byte darstellbar ist. Dieses Problem kann man dadurch lösen, dass man in Restklassenringen modulo eines Reduktionspolynoms rechnet - im hier diskutierten Zusammenhang ist dies

Wie funktioniert nun das Rechnen unter diesen Voraussetzungen? Polynome mit einem Grad kleiner als acht bedürfen keiner Anpassung, ihre Koeffizienten sind offenbar durch ein Byte kodierbar. Anders liegen die Dinge, wenn wir beispielsweise die Polynome

Um den Rest modulo $\text{[math]}$ zu bestimmen, führen wir eine schriftliche Division durch, interessieren uns dabei aber nicht für den Quotienten, sondern den entstehenden Rest. Die erste Division ( $\text{[math]}$ ) liefert $\text{[math]}$ , wir subtrahieren also $\text{[math]}$ von $\text{[math]}$ und erhalten

Der nächste Divisionsschritt ( $\text{[math]}$ ) ergibt $\text{[math]}$ , wir subtrahieren jetzt $\text{[math]}$ . Das Resultat, $\text{[math]}$ , kann wieder durch ein Byte dargestellt werden. Wir sind an dieser Stelle fertig und erhalten als Rest $\text{[math]}$ .

Auf eine Besonderheit muss jedoch hingewiesen werden: $\text{[math]}$ ist irreduzibel, das heißt, es ist nur in triviale Faktoren zerlegbar. Da wir eben die mod-Operation für Polynome beschrieben haben, ist nun auch die Anwendung des erweiterten Euklidischen Algorithmus und infolgedessen die Bestimmung des Inversen möglich - es ist lediglich zu beachten, dass das Polynom $\text{[math]}$ das neutrale Element bezüglich der Multiplikation darstellt (in Bytedarstellung: $\text{[math]}$ ) und dass $\text{[math]}$ (wie gesagt) irreduzibel, also nur in triviale Faktoren $\text{[math]}$ und $\text{[math]}$ zerlegbar ist (um Nullteilerfreiheit zu gewährleisten). Jedes Polynom $\text{[math]}$ mit Höchstgrad sieben hat demnach nur $\text{[math]}$ als gemeinsamen Teiler mit $\text{[math]}$ . Damit sind wir in der Lage, den erweiterten Euklidischen Algorithmus anzuwenden, der Polynome $\text{[math]}$ und $\text{[math]}$ mit der Eigenschaft

bestimmt. Um zur SubBytes-Transformation zurückzukommen: Wir wollen ein Byte $\text{[math]}$ , das mit dem Polynom $\text{[math]}$ korrespondiert, verarbeiten und bestimmen das inverse Polynom $\text{[math]}$ . Als Ergebnis der 1. Transformation erhalten wir das Byte

Lediglich der Sonderfall $\text{[math]}$ ist zu beachten, hier setzen wir $\text{[math]}$ .

2. Transformation.
Hier interpretieren wir das Byte nicht mehr als Polynom, sondern als Vektor über $\text{[math]}$ . Auf das Ergebnis der ersten Transformation wenden wir die affine Transformation

ab und erhalten das Byte $\text{[math]}$ , welches das Ergebnis der SubBytes Transformation ist. Beide Umwandlungen sind invertierbar, folglich kann man die Umkehroperation InvSubBytes definieren.

2. Die ShiftRows-Transformation

Bei der ShiftRows Transformation wird die $\text{[math]}$ -te Zeile des State um $\text{[math]}$ , Positionen zyklisch nach links verschoben. Im Detail ändert sich der State wie folgt


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

Offensichtlich ist ShiftRows ebenfalls invertierbar, InvShiftRows muss die zyklischen Rotationen nur in die andere Richtung durchführen.

3. Die MixColumns-Transformation

Bei der MixColumns-Transformation wird jeder Spalte eines State eine neue Spalte zugeordnet, wobei diese Zuordnung unabhängig von den anderen Spalten erfolgt. Genauer gesagt, stellen die Spalten des State jetzt Polynome dar, mit den einzelnen Einträgen als Koeffizienten:

Im Gegensatz zur SubBytes-Transformation, bei denen die Koeffizienten und die Variable $\text{[math]}$ einzelnen Bits entsprachen, haben wir es hier mit Polynomen vom Höchstgrad drei auf $\text{[math]}$ zu tun. Um zu vermeiden, dass Polynome vom Grad vier (oder höher) auftreten, erfolgen sämtliche Berechnungen modulo des Reduktionspolynoms $\text{[math]}$ . Im Zuge der MixColumns-Operation wird jede Spalte (also jedes der vier Polynome eines State) mit $\text{[math]}$ multipliziert. Dabei entspricht die Multiplikation einzelner Zahlen (Bytes) der schon bei SubBytes besprochenen Polynommultiplikation - wir gehen wieder von Polynomen auf $\text{[math]}$ mit Grad sieben aus.


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

Die Umkehroperation InvMixColumns multipliziert entsprechend jede Spalte des State mit dem zu $\text{[math]}$ inversen Polynom.

4. Die AddRoundKey-Transformation

Bei dieser Operation wird der Rundenschlüssel mit dem State bitweise per XOR verknüpft.


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$


$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

$\text{[math]}$	$\text{[math]}$	$\text{[math]}$	$\text{[math]}$

Die Länge des Rundenschlüssels entspricht der verwendeten Blocklänge. Die Umkehroperation entspricht einfach der erneuten Anwendung der Schlüsseladdition, denn für zwei Bits $\text{[math]}$ und $\text{[math]}$ gilt $\text{[math]}$ ; bei der Entschlüsselung werden die Rundenschlüssel einfach in umgekehrter Reihenfolge angewendet. Die Bestimmung dieser round keys werden wir im Folgenden kennenlernen.

Schlüsselerweiterung

Die einzelnen Rundenschlüssel werden aus dem expandierten Eingangsschlüssel abgeleitet, schließlich muss der jeweilige State in jeder Runde eine Schlüsseladdition erfahren (Round Key Addition). Dabei soll immer ein anderer Rundenschlüssel zum Einsatz kommen. Wir müssen also unseren Ursprungsschlüssel um soviele Spalten erweitern, wie nötig sind, um $\text{[math]}$ Schlüsseladditionen durchzuführen. Der erweiterte Eingangsschlüssel ist also letztlich ein eindimensionales Feld, dessen Länge (das heißt, die Anzahl seiner Bits) sich berechnet durch

Legen wir die beiden Werte $\text{[math]}$ und $\text{[math]}$ zugrunde, dann besteht der erweiterte Eingangsschlüssel aus

Worten mit je vier Byte. Die Betrachtung von jeweils 32 Bit, welche in einem Wort zusammengefasst sind, erweist sich bei der Beschreibung der Schlüsselerweiterung als günstiger. Die ersten $\text{[math]}$ Worte des erweiterten Schlüssels sind dabei die Worte des gegebenen Schlüssels, die ersten $\text{[math]}$ Spalten werden also einfach kopiert. Alle weiteren Worte $\text{[math]}$ berechnen sich rekursiv durch

Die RotWord-Transformation.
Bei der RotWord-Transformation werden die 4 Bytes eines Wortes $\text{[math]}$ zyklisch um eine Position nach links verschoben: $\text{[math]}$ .

Die SubWord-Transformation.
Bei der SubWord-Transformation wird auf jedes der 4 Bytes eines Wortes die Transformation SubBytes angewendet.

Die Rundenkonstante Rcon $\text{[math]}$ .
Für die Rundenkonstante Rcon $\text{[math]}$ gilt Rcon $\text{[math]}$ , wobei $\text{[math]}$ die $\text{[math]}$ -te Potenz von $\text{[math]}$ (in anderen Worten, des Polynoms $\text{[math]}$ ) und $\text{[math]}$ das Nullbyte ist.

Übungen

Aufgabe 1
Wir wollen modulo bestimmter Polynome wie in Restklassenringen $\text{[math]}$ rechnen.

Bestimmen Sie alle Polynome modulo des Polynoms $\text{[math]}$ mit Koeffizienten aus $\text{[math]}$ , also alle Polynome $\text{[math]}$ .

AES - Advanced Encryption Standard (Rijndael)

Verschlüsselung/Entschlüsselung

1. Die SubBytes-Transformation

2. Die ShiftRows-Transformation

3. Die MixColumns-Transformation

4. Die AddRoundKey-Transformation

Schlüsselerweiterung

Übungen