Cryptography Reference
In-Depth Information
Tab elle 4.2 Substitutionstabelle für die S-Box
S
von AES
0123456789ABCDEF
0
63
7C
77
7B
F2
6B
6F
C5
30
01
67
2B
FE
D7
AB
76
1
CA
82
C9
7D
FA
59
47
F0
AD
D4
A2
AF
9C
A4
72
C0
2
B7
FD
93
26
36
3F
F7
CC
34
A5
E5
F1
71
D8
31
15
3
04
C7
23
C3
18
96
05
9A
07
12
80
E2
EB
27
B2
75
4
09
83
2C
1A
1B
6E
5A
A0
52
3B
D6
B3
29
E3
2F
84
5
53
D1
00
ED
20
FC
B1
5B
6A
CB
BE
39
4A
4C
58
CF
6
D0
EF
AA
FB
43
4D
33
85
45
F9
02
7F
50
3C
9F
A8
7
51
A3
40
8F
92
9D
38
F5
BC
B6
DA
21
10
FF
F3
D2
8
CD
0C
13
EC
5F
97
44
17
C4
A7
7E
3D
64
5D
19
73
9
60
81
4F
DC
22
2A
90
88
46
EE
B8
14
DE
5E
0B
DB
A
E0
32
3A
0A
49
06
24
5C
C2
D3
AC
62
91
95
E4
79
B
E7
C8
37
6D
8D
D5
4E
A9
6C
56
F4
EA
65
7A
AE
08
C
BA
78
25
2E
1C
A6
B4
C6
E8
DD
74
1F
4B
BD
8B
8A
D
70
3E
B5
66
48
03
F6
0E
61
35
57
B9
86
C1
1D
9E
E
E1
F8
98
11
69
D9
8E
94
9B
1E
87
E9
CE
55
28
DF
F
8C
A1
89
0D
BF
E6
42
68
41
99
2D
0F
B0
54
BB
16
Der erste Rundenschlüssel,
K
(
k,
0)
, ist der in eine
(4
×
4)
-Matrix umgewandelte eigentliche
Schlüssel. Jeder weitere Rundenschlüssel,
K
(
k,r
+1)
, ergibt sich aus dem vorherigen
gemäß Algorithmus 4.3, in dem die Rotation von Spaltenvektoren um eine Position nach
oben benutzt wird: Dort bezeichnet rotUp
1
(
U
)
für einen Spaltenvektor
U
die Rotation
um eins nach oben, also rotUp
1
(
U
)=
rotLeft
1
(
U
T
)
T
.
Es sei bemerkt, dass man die Dechiffrierfunktion für AES, ähnlich wie für die SPKS
aus Abschnitt 4.2, als (leicht) modifizierte Chiffrierfunktion beschreiben kann. Auf die
Angabe von Details verzichten wir an dieser Stelle, verweisen aber auf Abschnitt 4.10.
Damit ist die Beschreibung von AES abgeschlossen. Wir erläutern allerdings noch, dass
in AES sowohl die verwendete S-Box als auch die Spaltendurchmischung algebraische
Interpretationen besitzen.
Die Substitutionstabelle für die AES S-Box ergibt sich aus der folgenden geschlossenen
Formel:
S
(
x
)=
h
(
x
−
1
)+
63
(in
F
2
8
)
,
(4.5.4)
wobei
h
eine noch zu spezifizierende Hilfsfunktion ist und
00
−
1
=
00
gesetzt wird. Es
wird also zunächst
x
invertiert (in
F
2
8
), dann wird
h
auf das Ergebnis angewendet und
schließlich
63
addiert (in
F
2
8
). Die Hilfsfunktion
h
ist eine lineare Funktion auf Elementen
von
F
2
8
, wobei ein Element von
F
2
8
als Element eines achtdimensionalen Vektorraums
über
Z
2
interpretiert wird. Genauer sei im Folgenden conv
V
(
b
)
der zu
b
∈
F
2
8
korrespon-
dierende Spaltenvektor über
Z
2
,d.h.,
+
b
(7)) =
b
(0)
b
(1)
b
(7)
T
conv
V
(
b
(0)
x
7
+
···
···
.
(4.5.5)
Umgekehrt sei conv
B
(
s
)
für jeden Spaltenvektor
s
über
Z
2
das korrespondierende Element
