Расписание ключей AES

Стандарт расширенного шифрования использует расписание ключей для расширения короткого ключа на несколько отдельных раундовых ключей. Три варианта AES имеют разное количество раундов. Для каждого варианта требуется отдельный 128-битный раундовый ключ для каждого раунда плюс еще один. ^{[примечание 1]} Расписание ключей производит необходимые раундовые ключи из исходного ключа.

Константа раунда rcon _i для раунда i расширения ключа представляет собой 32-битное слово: ^{[примечание 2]}

${\displaystyle rcon_{i}={\begin{bmatrix}rc_{i}&00_{16}&00_{16}&00_{16}\end{bmatrix}}}$

где rc _i — восьмибитное значение, определяемое как:

${\displaystyle rc_{i}={\begin{cases}1&{\text{if }}i=1\\2\cdot rc_{i-1}&{\text{if }}i>1{\text{ and }}rc_{i-1}<80_{16}\\(2\cdot rc_{i-1})\oplus {\text{11B}}_{16}&{\text{if }}i>1{\text{ and }}rc_{i-1}\geq 80_{16}\end{cases}}}$

где ${\displaystyle \oplus }$ — это побитовый оператор XOR , а константы, такие как 00 ₁₆ и 11B _16, задаются в шестнадцатеричном формате . Эквивалентно:

${\displaystyle rc_{i}=x^{i-1}}$

где биты rc _i рассматриваются как коэффициенты элемента конечного поля ${\displaystyle {\rm {{GF}(2)[x]/(x^{8}+x^{4}+x^{3}+x+1)}}}$, так что, например, ${\displaystyle rc_{10}=36_{16}=00110110_{2}}$ представляет полином ${\displaystyle x^{5}+x^{4}+x^{2}+x}$.

AES использует до rcon ₁₀ для AES-128 (поскольку требуется 11 раундовых ключей), до для ₂₅₆ AES - _{8 для AES-192 и до 7} . ^{[примечание 3]}

Определять:

• N — длина ключа в 32-битных словах: 4 слова для AES-128, 6 слов для AES-192 и 8 слов для AES-256.
• K ₀ , K ₁ , ... K _{N -1} как 32-битные слова исходного ключа.
• R — необходимое количество раундовых ключей: 11 раундовых ключей для AES-128, 13 ключей для AES-192 и 15 ключей для AES-256. ^{[примечание 4]}
• W ₀ , W ₁ , ... W _{4 R -1} как 32-битные слова расширенного ключа. ^{[примечание 5]}

Также определите RotWord как однобайтовый круговой сдвиг влево : ^{[примечание 6]}

${\displaystyle \operatorname {RotWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}b_{1}&b_{2}&b_{3}&b_{0}\end{bmatrix}}}$

и SubWord как применение S-блока AES к каждому из четырех байтов слова:

${\displaystyle \operatorname {SubWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}\operatorname {S} (b_{0})&\operatorname {S} (b_{1})&\operatorname {S} (b_{2})&\operatorname {S} (b_{3})\end{bmatrix}}}$

Тогда для ${\displaystyle i=0\ldots 4R-1}$:

${\displaystyle W_{i}={\begin{cases}K_{i}&{\text{if }}i<N\\W_{i-N}\oplus \operatorname {SubWord} (\operatorname {RotWord} (W_{i-1}))\oplus rcon_{i/N}&{\text{if }}i\geq N{\text{ and }}i\equiv 0{\pmod {N}}\\W_{i-N}\oplus \operatorname {SubWord} (W_{i-1})&{\text{if }}i\geq N{\text{, }}N>6{\text{, and }}i\equiv 4{\pmod {N}}\\W_{i-N}\oplus W_{i-1}&{\text{otherwise.}}\\\end{cases}}}$

• FIPS PUB 197: официальный стандарт AES ( файл PDF )

• Описание ключевого расписания Рейндала
• Схематическое изображение расписания ключей для 128- и 256-битных ключей для 160-битных ключей на Cryptography Stack Exchange