差分密碼分析的演算法

1. 差分隱私中的staircase mechanism是怎麼想到的

差分分析（differential cryptanalysis）是一種選擇明文攻擊，其基本思想是：通過分析特定明文差分對相對應密文差分影響來獲得盡可能大的密鑰。它可以用來攻擊任何由迭代一個固定的輪函數的結構的密碼以及很多分組密碼（包括DES），它是由Biham和Shamir於1991年提出的選擇明文攻擊。

差分分析涉及帶有某種特性的密文對和明文對比較，其中分析者尋找明文有某種差分的密文對。這些差分中有一些有較高的重現概率，差分分析用這些特徵來計算可能密鑰的概率，最後定為最可能的密鑰。據說這種攻擊很大程度上依賴於S-盒的結構，然而DES的S-盒被優化可以抗擊差分分析。

另外，分組加密的輪數對差分分析的影響比較大。如果DES只是使用8輪的話，則在個人計算機上只需要幾分鍾就可以破譯。但要是在完全的16輪情況下，差分分析僅比窮盡密鑰搜索稍微有效。然而如果增加到17或者18輪，則差分分析和窮盡密鑰搜索攻擊花費同樣的時間。如果再把輪數增加到19輪的話，則用窮盡搜索攻擊比差分分析更容易了。

盡管差分分析是理論可破的，但因為需要花費大量的時間和數據支持，所以並不實用。
————————————————

2. 分組密碼的設計分析

分組密碼的設計與分析是兩個既相互對立又相互依存的研究方向，正是由於這種對立促進了分組密碼的飛速發展。早期的研究基本上是圍繞DES進行，推出了許多類似於DES的密碼，例如，LOKI、FEAL、GOST等。進入90年代，人們對DES類密碼的研究更加深入，特別是差分密碼分析（differential cryptanalysis）和線性密碼分析（linear cryptanalysis）的提出，迫使人們不得不研究新的密碼結構。IDEA密碼的出現打破了DES類密碼的壟斷局面，IDEA密碼的設計思想是混合使用來自不同代數群中的運算。隨後出現的Square、Shark和Safer-64都採用了結構非常清晰的代替-置換（SP）網路，每一輪由混淆層和擴散層組成。這種結構的最大優點是能夠從理論上給出最大差分特徵概率和最佳線性逼近優勢的界，也就是密碼對差分密碼分析和線性密碼分析是可證明安全的。

3. 關於加密、解密演算法、密鑰，哪位能給我舉個形象的例子

加密就像你鑰匙深進鑰匙孔，逆時針轉一下
解密就像你鑰匙深進鑰匙孔，順時針轉一下
密鑰就像你那把鑰匙上面的齒
暴力破解就像做了世界上所有可能的齒的鑰匙，一把一把試。不可以理解為直接砸開。
就像商場裡衣服上有個鎖，如果沒有鑰匙，就算怎麼弄開，那件衣服都沒法穿了。所以就一定要有鑰匙。
所以密鑰叫作key（鑰匙）

應該很形象了吧。

加密從數學角度就是一個像函數c=E(m,k)
輸入：m是消息明文，k是密鑰，
輸出：c是消息密文

D是E的反函數，m'=D(c',k')
輸入：c'是消息密文，k'是密鑰，
輸出：m'是消息明文

當c=c', k=k'時，一定有m=m'

c，m，k可以看成一個個大整數，比如c=394783579347293479382。
最簡單的一個加密就是
E(m,k)=m+k
D(c,k)=c-k

4. 差分密碼分析和線性密碼分析的區別是什麼

如上圖，步驟二中的選擇結構數是怎麼計算的？這篇論文是7輪ARIA_256的不可能差分新攻擊_蘇崇茂。希望熱心大神幫忙解答.

5. AES加密演算法怎樣進行改進

AES(Advanced Encryption Standard)：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高。

用AES加密2000年10月，NIST（美國國家標准和技術協會）宣布通過從15種候選演算法中選出的一項新的密匙加密標准。Rijndael被選中成為將來的AES。Rijndael是在1999年下半年，由研究員Joan Daemen 和 Vincent Rijmen 創建的。AES正日益成為加密各種形式的電子數據的實際標准。

美國標准與技術研究院（NIST）於2002年5月26日制定了新的高級加密標准（AES）規范。

演算法原理 AES演算法基於排列和置換運算。排列是對數據重新進行安排，置換是將一個數據單元替換為另一個。AES使用幾種不同的方法來執行排列和置換運算。AES是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192和256位密鑰，並且用128位（16位元組）分組加密和解密數據。與公共密鑰加密使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個循環結構，在該循環中重復置換和替換輸入數據。密碼學簡介據記載，公元前400年，古希臘人發明了置換密碼。1881年世界上的第一個電話保密專利出現。在第二次世界大戰期間，德國軍方啟用「恩尼格瑪」密碼機，密碼學在戰爭中起著非常重要的作用。

隨著信息化和數字化社會的發展，人們對信息安全和保密的重要性認識不斷提高，於是在1997年，美國國家保准局公布實施了「美國數據加密標准（DES）」，民間力量開始全面介入密碼學的研究和應用中，採用的加密演算法有DES、RSA、SHA等。隨著對加密強度的不斷提高，近期又出現了AES、ECC等。

使用密碼學可以達到以下目的：保密性：防止用戶的標識或數據被讀取。數據完整性：防止數據被更改。身份驗證：確保數據發自特定的一方。

6. 「DES」和「AES」演算法的比較，各自優缺點有哪些

DES演算法優點：DES演算法具有極高安全性，到目前為止，除了用窮舉搜索法對DES演算法進行攻擊外，還沒有發現更有效的辦法。

DES演算法缺點：

1、分組比較短。

2、密鑰太短。

3、密碼生命周期短。

4、運算速度較慢。

AES演算法優點：

1、運算速度快。

2、對內存的需求非常低，適合於受限環境。

3、分組長度和密鑰長度設計靈活。

4、 AES標准支持可變分組長度，分組長度可設定為32比特的任意倍數，最小值為128比特，最大值為256比特。

5、 AES的密鑰長度比DES大，它也可設定為32比特的任意倍數，最小值為128比特，最大值為256比特，所以用窮舉法是不可能破解的。

6、很好的抵抗差分密碼分析及線性密碼分析的能力。

AES演算法缺點：目前尚未存在對AES 演算法完整版的成功攻擊，但已經提出對其簡化演算法的攻擊。

(6)差分密碼分析的演算法擴展閱讀：

高級加密標准（英語：Advanced Encryption Standard，縮寫：AES），在密碼學中又稱Rijndael加密法，是美國聯邦政府採用的一種區塊加密標准。

這個標准用來替代原先的DES，已經被多方分析且廣為全世界所使用。經過五年的甄選流程，高級加密標准由美國國家標准與技術研究院（NIST）於2001年11月26日發布於FIPS PUB 197，並在2002年5月26日成為有效的標准。2006年，高級加密標准已然成為對稱密鑰加密中最流行的演算法之一。

7. 誰幫我介紹下加密對稱演算法

A．對稱加密技術 a. 描述 對稱演算法（symmetric algorithm），有時又叫傳統密碼演算法，就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來。而在大多數的對稱演算法中，加密密鑰和解密密鑰是相同的。所以也稱這種加密演算法為秘密密鑰演算法或單密鑰演算法。它要求發送方和接收方在安全通信之前，商定一個密鑰。對稱演算法的安全性依賴於密鑰，泄漏密鑰就意味著任何人都可以對他們發送或接收的消息解密，所以密鑰的保密性對通信性至關重要。 b．特點分析 對稱加密的優點在於演算法實現後的效率高、速度快。 對稱加密的缺點在於密鑰的管理過於復雜。如果任何一對發送方和接收方都有他們各自商議的密鑰的話，那麼很明顯，假設有N個用戶進行對稱加密通信，如果按照上述方法，則他們要產生N(N-1)把密鑰，每一個用戶要記住或保留N-1把密鑰，當N很大時，記住是不可能的，而保留起來又會引起密鑰泄漏可能性的增加。常用的對稱加密演算法有DES，DEA等。 B．非對稱加密技術 a.描述 非對稱加密（dissymmetrical encryption），有時又叫公開密鑰演算法（public key algorithm）。這種加密演算法是這樣設計的：用作加密的密鑰不同於用作解密的密鑰，而且解密密鑰不能根據加密密鑰計算出來（至少在合理假定的長時間內）。之所以又叫做公開密鑰演算法是由於加密密鑰可以公開，即陌生人可以得到它並用來加密信息，但只有用相應的解密密鑰才能解密信息。在這種加密演算法中，加密密鑰被叫做公開密鑰（public key）,而解密密鑰被叫做私有密鑰（private key）。 b.特點分析 非對稱加密的缺點在於演算法實現後的效率低、速度慢。 非對稱加密的優點在於用戶不必記憶大量的提前商定好的密鑰，因為發送方和接收方事先根本不必商定密鑰，發放方只要可以得到可靠的接收方的公開密鑰就可以給他發送信息了，而且即使雙方根本互不相識。但為了保證可靠性，非對稱加密演算法需要一種與之相配合使用的公開密鑰管理機制，這種公開密鑰管理機制還要解決其他一些公開密鑰所帶來的問題。常用的非對稱加密演算法有RSA等。 (3) 關於密碼技術 密碼技術包括加密技術和密碼分析技術，也即加密和解密技術兩個方面。在一個新的加密演算法的研發需要有相應的數學理論證明，證明這個演算法的安全性有多高，同時還要從密碼分析的角度對這個演算法進行安全證明，說明這個演算法對於所知的分析方法來說是有防範作用的。 三、對稱加密演算法分析 對稱加密演算法的分類 對稱加密演算法可以分成兩類：一類為序列演算法（stream algorithm）：一次只對明文中單個位（有時為位元組）加密或解密運算。另一類為分組演算法（block algorithm）：一次明文的一組固定長度的位元組加密或解密運算。 現代計算機密碼演算法一般採用的都是分組演算法，而且一般分組的長度為64位，之所以如此是由於這個長度大到足以防止分析破譯，但又小到足以方便使用。 1．DES加密演算法 （Data Encryption Standard ）
(1) 演算法簡介
1973 年 5 月 15 日，美國國家標准局 (NBS) 在「聯邦注冊」上發布了一條通知，徵求密碼演算法，用於在傳輸和存儲期間保護數據。IBM 提交了一個候選演算法，它是 IBM 內部開發的，名為 LUCIFER。在美國國家安全局 (NSA) 的「指導」下完成了演算法評估之後，在 1977 年 7 月 15 日，NBS 採納了 LUCIFER 演算法的修正版作為新的數據加密標准。
原先規定使用10年，但由於新的加密標准還沒有完成，所以DES演算法及其的變形演算法一直廣泛的應用於信息加密方面。 (2) 演算法描述 (包括加密和解密)
Feistel結構（畫圖說明）。

DES 的工作方式：可怕的細節
DES 將消息分成 64 位（即 16 個十六進制數）一組進行加密。DES 使用「密鑰」進行加密，從符號的角度來看，「密鑰」的長度是 16 個十六進制數（或 64 位）。但是，由於某些原因（可能是因為 NSA 給 NBS 的「指引」），DES 演算法中每逢第 8 位就被忽略。這造成密鑰的實際大小變成 56 位。編碼系統對「強行」或「野蠻」攻擊的抵抗力與其密鑰空間或者系統可能有多少密鑰有直接關系。使用的位數越多轉換出的密鑰也越多。密鑰越多，就意味著強行攻擊中計算密鑰空間中可能的密鑰范圍所需的時間就越長。從總長度中切除 8 位就會在很大程度上限制了密鑰空間，這樣系統就更容易受到破壞。
DES 是塊加密演算法。這表示它處理特定大小的純文本塊（通常是 64 位），然後返回相同大小的密碼塊。這樣，64 位（每位不是 0 就是 1）有 264 種可能排列，DES 將生成其中的一種排列。每個 64 位的塊都被分成 L、R 左右兩塊，每塊 32 位。
DES 演算法使用以下步驟：
1. 創建 16 個子密鑰，每個長度是 48 位。根據指定的順序或「表」置換 64 位的密鑰。如果表中的第一項是 "27"，這表示原始密鑰 K 中的第 27 位將變成置換後的密鑰 K+ 的第一位。如果表的第二項是 36，則這表示原始密鑰中的第 36 位將變成置換後密鑰的第二位，以此類推。這是一個線性替換方法，它創建了一種線性排列。置換後的密鑰中只出現了原始密鑰中的 56 位。
2. 接著，將這個密鑰分成左右兩半，C0 和 D0，每一半 28 位。定義了 C0 和 D0 之後，創建 16 個 Cn 和 Dn 塊，其中 1<=n<=16。每一對 Cn 和 Dn 塊都通過使用標識「左移位」的表分別從前一對 Cn-1 和 Dn-1 形成，n = 1, 2, ..., 16，而「左移位」表說明了要對哪一位進行操作。在所有情況下，單一左移位表示這些位輪流向左移動一個位置。在一次左移位之後，28 個位置中的這些位分別是以前的第 2、3……28 位。
通過將另一個置換表應用於每一個 CnDn 連接對，從而形成密鑰 Kn，1<=n<=16。每一對有 56 位，而置換表只使用其中的 48 位，因為每逢第 8 位都將被忽略。
3. 編碼每個 64 位的數據塊。
64 位的消息數據 M 有一個初始置換 IP。這將根據置換表重新排列這些位，置換表中的項按這些位的初始順序描述了它們新的排列。我們以前見過這種線性表結構。
使用函數 f 來生成一個 32 位的塊，函數 f 對兩個塊進行操作，一個是 32 位的數據塊，一個是 48 位的密鑰 Kn，連續迭代 16 次，其中 1<=n<=16。用 + 表示 XOR 加法（逐位相加，模除 2）。然後，n 從 1 到 16，計算 Ln = Rn-1 Rn = Ln-1 + f(Rn-1,Kn)。即在每次迭代中，我們用前一結果的右邊 32 位，並使它們成為當前步驟中的左邊 32 位。對於當前步驟中的右邊 32 位，我們用演算法 f XOR 前一步驟中的左邊 32 位。
要計算 f，首先將每一塊 Rn-1 從 32 位擴展到 48 位。可以使用選擇表來重復 Rn-1 中的一些位來完成這一操作。這個選擇表的使用就成了函數 f。因此 f(Rn-1) 的輸入塊是 32 位，輸出塊是 48 位。f 的輸出是 48 位，寫成 8 塊，每塊 6 位，這是通過根據已知表按順序選擇輸入中的位來實現的。
我們已經使用選擇表將 Rn-1 從 32 位擴展成 48 位，並將結果 XOR 密鑰 Kn。現在有 48 位，或者是 8 組，每組 6 位。每組中的 6 位現在將經歷一次變換，該變換是演算法的核心部分：在叫做「S 盒」的表中，我們將這些位當作地址使用。每組 6 位在不同的 S 盒中表示不同的地址。該地址中是一個 4 位數字，它將替換原來的 6 位。最終結果是 8 組，每組 6 位變換成 8 組，每組 4 位（S 盒的 4 位輸出），總共 32 位。
f 計算的最後階段是對 S 盒輸出執行置換 P，以得到 f 的最終值。f 的形式是 f = P(S1(B1)S2(B2)...S8(B8))。置換 P 根據 32 位輸入，在以上的過程中通過置換輸入塊中的位，生成 32 位輸出。

解密只是加密的逆過程，使用以上相同的步驟，但要逆轉應用子密鑰的順序。DES 演算法是可逆的
(2) 演算法的安全性分析
在知道一些明文和密文分組的條件下，從理論上講很容易知道對DES進行一次窮舉攻擊的復雜程度：密鑰的長度是56位，所以會有 種的可能的密鑰。
在1993年的一年一度的世界密碼大會上，加拿大北方電信公司貝爾實驗室的 Michael Wiener 描述了如何構造一台專用的機器破譯DES，該機器利用一種每秒能搜索5000萬個密鑰的專用晶元。而且此機器的擴展性很好，投入的經費越多則效率越高。用100萬美元構造的機器平均3.5小時就可以破譯密碼。
如果不用專用的機器，破譯DES也有其他的方法。在1994年的世界密碼大會上，M.Matsui 提出一種攻克DES的新方法--"線性密碼分析"法。它可使用平均 個明文及其密文，在12台HP9000/735工作站上用此方法的軟體實現，花費50天時間完成對DES的攻擊。
如前所述DES作為加密演算法的標准已經二十多年了，可以說是一個很老的演算法，而在新的加密演算法的國際標准出現之前，許多DES的加固性改進演算法仍有實用價值，在本文的3.4節詳細的描述，同時考慮的以上所述DES的安全性已受到了威脅。
(4) 演算法的變體 三重DES（TDEA），使用3個密鑰，執行3次DES演算法：
加密：C = Ek3[Dk2[Ek1[P]]] 解密：P = Dk1[Ek2[Dk3[C]]]
特點：安全性得到增強，但是速度變慢。
2.AES
自 20 世紀 70 年代以來一直廣泛使用的「數據加密標准」(DES) 日益顯出衰老的痕跡，而一種新的演算法 -- Rijndael -- 正順利地逐漸變成新標准。這里，Larry Loeb 詳細說明了每一種演算法，並提供了關於為什麼會發生這種變化的內幕信息。
DES 演算法是全世界最廣泛使用的加密演算法。最近，就在 2000 年 10 月，它在其初期就取得的硬體方面的優勢已經阻礙了其發展，作為政府加密技術的基礎，它已由「高級加密標准」(AES) 中包含的另一種加密演算法代替了。AES 是指定的標准密碼系統，未來將由政府和銀行業用戶使用。AES 用來實際編碼數據的加密演算法與以前的 DES 標准不同。我們將討論這是如何發生的，以及 AES 中的 Rijndael 演算法是如何取代 DES 的演算法的。
「高級加密標准」成就
但直到 1997 年，美國國家標准技術局 (NIST) 才開始打著 AES 項目的旗幟徵集其接任者。1997 年 4 月的一個 AES 研討會宣布了以下 AES 成就的最初目標：
• 可供政府和商業使用的功能強大的加密演算法
• 支持標准密碼本方式
• 要明顯比 DES 3 有效
• 密鑰大小可變，這樣就可在必要時增加安全性
• 以公正和公開的方式進行選擇
• 可以公開定義
• 可以公開評估
AES 的草案中最低可接受要求和評估標準是：
A.1 AES 應該可以公開定義。
A.2 AES 應該是對稱的塊密碼。
A.3 AES 應該設計成密鑰長度可以根據需要增加。
A.4 AES 應該可以在硬體和軟體中實現。
A.5 AES 應該 a) 可免費獲得。
A.6 將根據以下要素評價符合上述要求的演算法：
1. 安全性（密碼分析所需的努力）
2. 計算效率
3. 內存需求
4. 硬體和軟體可適用性
5. 簡易性
6. 靈活性
7. 許可證需求（見上面的 A5）
Rijndael：AES 演算法獲勝者
1998年8月20日NIST召開了第一次AES侯選會議，並公布了15個AES侯選演算法。經過一年的考察，MARS，RC6，Rijndael，Serpent，Twofish共5種演算法通過了第二輪的選拔。2000 年 10 月，NIST 選擇 Rijndael（發音為 "Rhine dale"）作為 AES 演算法。它目前還不會代替 DES 3 成為政府日常加密的方法，因為它還須通過測試過程，「使用者」將在該測試過程後發表他們的看法。但相信它可以順利過關。
Rijndael 是帶有可變塊長和可變密鑰長度的迭代塊密碼。塊長和密鑰長度可以分別指定成 128、192 或 256 位。
Rijndael 中的某些操作是在位元組級上定義的，位元組表示有限欄位 GF(28) 中的元素，一個位元組中有 8 位。其它操作都根據 4 位元組字定義。
加法照例對應於位元組級的簡單逐位 EXOR。
在多項式表示中，GF(28) 的乘法對應於多項式乘法模除階數為 8 的不可約分二進制多項式。（如果一個多項式除了 1 和它本身之外沒有其它約數，則稱它為不可約分的。）對於 Rijndael，這個多項式叫做 m(x)，其中：m(x) = (x8 + x4 + x3 + x + 1) 或者十六進製表示為 '11B'。其結果是一個階數低於 8 的二進制多項式。不像加法，它沒有位元組級的簡單操作。
不使用 Feistel 結構！
在大多數加密演算法中，輪回變換都使用著名的 Feistel 結構。在這個結構中，中間 State 的位部分通常不做更改調換到另一個位置。（這種線性結構的示例是我們在 DES 部分中討論的那些表，即使用固定表的形式交換位。）Rijndael 的輪回變換不使用這個古老的 Feistel 結構。輪回變換由三個不同的可逆一致變換組成，叫做層。（「一致」在這里表示以類似方法處理 State 中的位。）
線性混合層保證了在多個輪回後的高度擴散。非線性層使用 S 盒的並行應用，該應用程序有期望的（因此是最佳的）最差非線性特性。S 盒是非線性的。依我看來，這就 DES 和 Rijndael 之間的密鑰概念差異。密鑰加法層是對中間 State 的輪回密鑰 (Round Key) 的簡單 EXOR，如以下所注。

Rijndael演算法

加密演算法
Rijndael演算法是一個由可變數據塊長和可變密鑰長的迭代分組加密演算法，數據塊長和密鑰長可分別為128，192或256比特。
數據塊要經過多次數據變換操作，每一次變換操作產生一個中間結果，這個中間結果叫做狀態。狀態可表示為二維位元組數組，它有4行，Nb列，且Nb等於數據塊長除32。如表2-3所示。

a0,0 a0,1 a0,2 a0,3 a0,4 a0,5
a1,0 a1,1 a1,2 a1,3 a1,4 a1,5
a2,0 a2,1 a2,2 a2,3 a2,4 a2,5
a3,0 a3,1 a3,2 a3,3 a3,4 a3,5

數據塊按a0,0 , a1,0 , a2,0 , a3,0 , a0,1 , a1,1 , a2,1 , a3,1 , a0,2…的順序映射為狀態中的位元組。在加密操作結束時，密文按同樣的順序從狀態中抽取。
密鑰也可類似地表示為二維位元組數組，它有4行，Nk列，且Nk等於密鑰塊長除32。演算法變換的圈數Nr由Nb和Nk共同決定，具體值列在表2-4中。
表3-2 Nb和Nk決定的Nr的值
Nr Nb = 4 Nb = 6 Nb = 8
Nk = 4 10 12 14
Nk = 6 12 12 14
Nk = 8 14 14 14

3.2.1圈變換
加密演算法的圈變換由4個不同的變換組成，定義成：
Round(State,RoundKey)
{
ByteSub(State);
ShiftRow(State);
MixColumn(State);
AddRoundKey(State,RoundKey); (EXORing a Round Key to the State)
}
加密演算法的最後一圈變換與上面的略有不同，定義如下：
FinalRound(State,RoundKey)
{
ByteSub(State);
ShiftRow(State);
AddRoundKey(State,RoundKey);
}

ByteSub變換
ByteSub變換是作用在狀態中每個位元組上的一種非線形位元組變換。這個S盒子是可逆的且由以下兩部分組成：
把位元組的值用它的乘法逆替代，其中『00』的逆就是它自己。
經（1）處理後的位元組值進行如下定義的仿射變換：

y0 1 1 1 1 1 0 0 0 x0 0
y1 0 1 1 1 1 1 0 0 x1 1
y2 0 0 1 1 1 1 1 0 x2 1
y3 0 0 0 1 1 1 1 1 x3 0
y4 = 1 0 0 0 1 1 1 1 x4 + 0
y5 1 1 0 0 0 1 1 1 x5 0
y6 1 1 1 0 0 0 1 1 x6 1
y7 1 1 1 1 0 0 0 1 x7 1

ShiftRow變換
在ShiftRow變換中，狀態的後3行以不同的移位值循環右移，行1移C1位元組，行2移C2位元組，行3移C3位元組。
移位值C1，C2和C3與加密塊長Nb有關，具體列在表2-5中：
表3-3 不同塊長的移位值
Nb C1 C2 C3
4 1 2 3

MixColumn變換
在MixColumn變換中，把狀態中的每一列看作GF（28）上的多項式與一固定多項式c(x)相乘然後模多項式x4+1，其中c(x)為：
c(x) =『03』x3 + 『01』x2 + 『01』x + 『02』
圈密鑰加法
在這個操作中，圈密鑰被簡單地使用異或操作按位應用到狀態中。圈密鑰通過密鑰編製得到，圈密鑰長等於數據塊長Nb。

在這個表示法中，「函數」(Round, ByteSub, ShiftRow,...) 對那些被提供指針 (State, RoundKey) 的數組進行操作。ByteSub 變換是非線性位元組交換，各自作用於每個 State 位元組上。在 ShiftRow 中，State 的行按不同的偏移量循環移位。在 MixColumn 中，將 State 的列視為 GF(28) 多項式，然後乘以固定多項式 c( x ) 並模除 x4 + 1，其中 c( x ) = '03' x3 + '01' x2+ '01' x + '02'。這個多項式與 x4 + 1 互質，因此是可逆的。
輪回密鑰通過密鑰計劃方式從密碼密鑰 (Cipher Key) 派生而出。它有兩個組件：密鑰擴展 (Key Expansion) 和輪回密鑰選擇 (Round Key Selection)。輪回密鑰的總位數等於塊長度乘以輪回次數加 1（例如，塊長度等於 128 位，10 次輪回，那麼就需要 1408 個輪回密鑰位）。
密碼密鑰擴充成擴展密鑰 (Expanded Key)。輪回密鑰是通過以下方法從這個擴展密鑰中派生的：第一個輪回密鑰由前 Nb（Nb = 塊長度）個字組成，第二個由接著的 Nb 個字組成，以此類推。
加密演算法由以下部分組成：初始輪回密鑰加法、Nr-1 個輪回和最後一個輪回。在偽 C 代碼中：
Rijndael(State,CipherKey)
{
KeyExpansion(CipherKey,ExpandedKey);
AddRoundKey(State,ExpandedKey);
For( i=1 ; i<Nr ; i++ ) Round(State,ExpandedKey + Nb*i);
FinalRound(State,ExpandedKey + Nb*Nr).
}
如果已經預先執行了密鑰擴展，則可以根據擴展密鑰指定加密演算法。
Rijndael(State,ExpandedKey)
{
AddRoundKey(State,ExpandedKey);
For( i=1 ; i<Nr ; i++ ) Round(State,ExpandedKey + Nb*i);
FinalRound(State,ExpandedKey + Nb*Nr);
}
由於 Rijndael 是可逆的，解密過程只是顛倒上述的步驟。
最後，開發者將仔細考慮如何集成這種安全性進展，使之成為繼 Rijndael 之後又一個得到廣泛使用的加密演算法。AES 將很快應一般商業團體的要求取代 DES 成為標准，而該領域的發展進步無疑將追隨其後。

3．IDEA加密演算法 (1) 演算法簡介 IDEA演算法是International Data Encryption Algorithmic 的縮寫，意為國際數據加密演算法。是由中國學者朱學嘉博士和著名密碼學家James Massey 於1990年聯合提出的，當時被叫作PES（Proposed Encryption Standard）演算法，後為了加強抵抗差分密碼分，經修改於1992年最後完成，並命名為IDEA演算法。 (2) 演算法描述 這個部分參見論文上的圖 (3) 演算法的安全性分析 安全性：IDEA的密鑰長度是128位，比DES長了2倍多。所以如果用窮舉強行攻擊的話， 么，為了獲得密鑰需要 次搜索，如果可以設計一種每秒能搜索十億把密鑰的晶元，並且 採用十億個晶元來並行處理的話，也要用上 年。而對於其他攻擊方式來說，由於此演算法 比較的新，在設計時已經考慮到了如差分攻擊等密碼分析的威脅，所以還未有關於有誰 發現了能比較成功的攻擊IDEA方法的結果。從這點來看，IDEA還是很安全的。
4．總結
幾種演算法的性能對比
演算法 密鑰長度 分組長度 循環次數
DES 56 64 16
三重DES 112、168 64 48
AES 128、192、256 128 10、12、14
IDEA 128 64 8

速度：在200MHz的奔騰機上的對比。
C＋＋ DJGP(++pgcc101)
AES 30.2Mbps 68.275Mbps
DES(RSAREF) 10.6Mbps 16.7Mbps
3DES 4.4Mbps 7.3Mbps

Celeron 1GHz的機器上AES的速度,加密內存中的數據
128bits密鑰：
C/C++ (Mbps) 匯編(Mbps)
Linux 2.4.7 93 170
Windows2K 107 154
256bits密鑰：
C/C++ (Mbps) 匯編(Mbps)
Linux 2.4.7 76 148
Windows2K 92 135

安全性
1990年以來，特製的"DES Cracker"的機器可在幾個小時內找出一個DES密鑰。換句話說，通過測試所有可能的密鑰值，此硬體可以確定用於加密信息的是哪個密鑰。假設一台一秒內可找出DES密鑰的機器(如，每秒試255個密鑰)，如果用它來找出128-bit AES的密鑰，大約需要149萬億年。

四、對稱加密應用 在保密通信中的應用。（保密電話） 附加內容
安全哈希演算法（SHA）
由NIST開發出來的。
此演算法以最大長度不超過264位的消息為輸入，生成160位的消息摘要輸出。主要步驟：
1． 附加填充位
2． 附加長度
3． 初始化MD緩沖區，為160位的數據
A=67452301
B=EFCDAB89
C=89BADCFE
D=10325476
E=C3D2E1F0
4． 處理512位消息塊，將緩沖虛數據和消息塊共同計算出下一個輸出
5． 輸出160位摘要
此外還有其他哈希演算法，如MD5（128位摘要），RIPEMD-160（160位摘要）等。

8. 什麼是分組密碼及密碼分析啊

美國早在1977年就制定了自己的數據加密標准:DES。隨著DES的出現,人們對分組密碼展開了深入的研究和討論。出現了各種各樣的分組密碼。用抽象的觀點來看,分組密碼就是一種滿足下列條件的映射E:Fm2×SK→Fm2對每個k∈SK,E(.,k是從Fm2到Fm2的一個置換。可見,設計分組密碼的問題在於找到一種演算法,能在密鑰控制下從一個足夠大且足夠「好」的置換子集合中,簡單而迅速地選出一個置換。一個好的分組密碼應該是既難破譯又容易實現,即加密函數E（.,k）和解密函數D(.,k)都必須容易計算,但是至少要從方程y=E(x,k)或x=D(y,k)中求出密鑰k應該是一個困難問題。 在分組密碼設計技術發展的同時,分組密碼分析技術也得到了空前的發展。已有很多分組密碼分析技術,如強力攻擊(包括窮盡密鑰搜索攻擊、字典攻擊、查表攻擊、時間—存儲權衡攻擊)、差分密碼分析、差分密碼分析的推廣(包括截段差分密碼分析、高階差分密碼分析、不可能差分密碼分析)、線性密碼分析、線性密碼分析的推廣(包括多重線性密碼分析、非線性密碼分析、劃分密碼分析)、差分—線性密碼分析、插值攻擊、密鑰相關攻擊、能量分析、錯誤攻擊、定時攻擊等等。

9. 截斷差分指的是什麼

截斷差分分析是差分分析的一個變形。為說明一個密碼演算法能夠抵抗截斷差分分析,需要給出截斷差分概率的上界。Masayuki Kanda等人就密碼演算法中S盒為GF(256)上的乘法逆變換和仿射雙射變換復合而成時,提出了截斷差分概率的上界一個猜想。該文就一般雙射S盒給出了該概率上界問題的一個估計,Masayuki Kanda的猜想是該估計所考慮問題的一個特例,在一些情況下,該估計給出的上界與Masayuki Kanda的猜想接近。利用該結論可以衡量密碼演算法截斷差分傳遞鏈概率的上界。

10. 什麼是線性密碼分析所使用的統計模型及機理

現代分組密碼的研究始於20世紀70年代中期，至今已有20餘年歷史，這期間人們在這一研究領域已經取得了豐碩的研究成果。大體上，分組密碼的研究包括三方面：分組密碼的設計原理，分組密碼的安全性分析和分組密碼的統計性能測試。
分組密碼的設計與分析是兩個既相互對立又相互依存的研究方向，正是由於這種對立促進了分組密碼的飛速發展。早期的研究基本上是圍繞DES進行，推出了許多類似於DES的密碼，例如，LOKI、FEAL、GOST等。進入90年代，人們對DES類密碼的研究更加深入，特別是差分密碼分析（differential cryptanalysis）和線性密碼分析（linear cryptanalysis）的提出，迫使人們不得不研究新的密碼結構。IDEA密碼的出現打破了DES類密碼的壟斷局面，IDEA密碼的設計思想是混合使用來自不同代數群中的運算。隨後出現的Square、Shark和Safer-64都採用了結構非常清晰的代替-置換（SP）網路，每一輪由混淆層和擴散層組成。這種結構的最大優點是能夠從理論上給出最大差分特徵概率和最佳線性逼近優勢的界，也就是密碼對差分密碼分析和線性密碼分析是可證明安全的。
AES的徵集掀起了分組密碼研究的新高潮，15個AES候選演算法反映了當前分組密碼設計的水平，可以說是近幾年研究成果的一個總匯。目前分組密碼所採用的整體結構可分為Feistel結構（如CAST-256、DEAL、DFC/E2等）、SP網路（如Safer+、Serpent等）及其他密碼結構（如Frog和HPC）。Feistel結構由於DES的公布而廣為人知，已被許多分組密碼所採用。Feistel結構的最大優點是容易保證加解密相似，這一點在實現中尤其重要。而SP網路比較難做到這一點，但是SP網路的擴散特性比較好。在現有的分組密碼中，所有的基本運算有異或、加、減、查表、乘及數據依賴循環等。查表運算提供了DES的安全基礎，仔細地選擇S-盒能較好地抗擊線性和差分密碼分析，提供好的數據及密鑰比特的雪崩特性。不過，S-盒需要一些存儲器，所以S-盒的規模不能太大。15個AES候選演算法所採用的S-盒規模有6種，分別是4×4、8×8、8×32、11×8、13×8、及8×32。