因此,我们已经在更换Rijndael S-Box时遇到了问题。我的问题是-我们可以使用$ GF(2 ^ 8)$中$ x ^ 8 + x ^ 4 + x ^ 3 + x + 1 $给出的有限域之外的其他有限域吗?换句话说,该字段上的任何不可约多项式都可以解决问题吗?或者该特定约数多项式的特殊考虑和性质是什么?必须在ECC中使用它,然后我很高兴听到它。我要去了解的是关于操作的“随机性”是否有任何重要的属性-例如,是否有弱小的领域需要操作?例如,$ x ^ 8 + x ^ 3 + x + 1 $也应该是不可约的-那么是否合适?我之所以问这个问题,部分原因是短标签的伽罗瓦/计数器模式问题使我认为并非所有领域都拥有同等的实力。对?错误?无关紧要?

评论

$ x ^ 8 + x ^ 3 + x + 1 $并非不可约,因为它具有偶数个项(因此可以被$ x + 1 $整除)。

#1 楼

对于ECC的安全性,不可约多项式的选择并不重要,因为具有相同基数的所有有限域都是同构的(同构很容易计算)。这就是为什么我们可以说“有限域$ GF(2 ^ {163})$”,尽管在$ GF(2)$上有许多不可约的次数$ 163 $的多项式。因此,椭圆曲线的代数结构不受实际场选择的影响(当然,对于两个给定常数$ a,用等式$ Y ^ 2 + XY = X ^ 3 + aX ^ 2 + b $来描述曲线$和$ b $,以及这些常数用该字段的给定选择表示;但是使用另一个字段并在$ a $和$ b $上应用同构会产生具有相同结构的另一条​​曲线)。在实践中,我们使用多项式来提高实现效率,即具有很低汉明权重的多项式(如果可能,则为$ 3 $,否则为$ 5 $),并且其中非零系数的程度可能最小(以使乘法后模化归约)更简单)。

对于Rijndael S-Box来说,事情并不那么简单。在原始的Rijndael规范中,对设计原理有一些解释,但未复制到最终的FIPS 197标准中。请参见第26页的S-Box; $ GF(2 ^ 8)$中的逆的使用来自Nyberg在1994年的一篇文章中,因为它可以很好地防御差分密码分析。对于这个逆,Daemen和Rijmen添加了所谓的“仿射映射”,其意图是掩盖所述乘法逆的代数结构。没有给出所有细节,所以大概他们尝试了许多多项式(在$ GF(2)$上有30个不可约的8级多项式,其中16个是原始的)和许多可能的仿射映射,“测得的”对微分和线性密码分析的抵抗力,并保留了最佳人选。

Daemen和Rijmen出版了一本关于Rijndael设计的书(我没有看过)。

评论

$ \ begingroup $
我相信设计师会选择特定的多项式,因为它是他们引用的书中第一个满足标准的不可约的多项式。因此,他们选择了第一个,以消除其特殊性的疑问。
$ \ endgroup $
–杰夫·摩泽(Jeff Moser)
2011年8月2日在21:23
$ \ begingroup $
我只是看过本书(Rijndael的设计),并且SubBytes步骤的描述(第3.4.1节,第34-37页)所包含的信息并不比链接的规范中的信息多(但要多说)。
$ \ endgroup $
–PaŭloEbermann
2011年11月28日在16:53

#2 楼

实际上,在AES中,不可约多项式的选择并不重要。对于$ GF(2 ^ 8)$的任何多项式表示形式,您可以修改仿射变换(和MixCollumn)操作,以得出等效于AES的分组密码(这意味着可以将其破解为

此处的主要观察结果是,对于相同的$ GF(2 ^ N)$字段的任意两个多项式表示$ A $和$ B $,存在一个从表示形式$ A $的元素到表示形式$ B $的元素的按位线性同构$ L $,保留了字段加法和乘法运算:

$ L(X + _A Y)= L(X )+ _B L(Y)$

$ L(X \ times_A Y)= L(X)\ times_B L(Y)$

因此,如果$ A $是标准的AES多项式表示形式($ x ^ 8 + x ^ 4 + x ^ 3 + x + 1 $),而$ B $是您最喜欢的替代表示形式,您可以使用自己的表示形式来实现AES,每个内部值都将被映射与标准AES操作中的等效值相比,减少$ L $。仿射运算然后变为:

$ Affine'(X)= L(仿射(L ^ {-1}(X)))$

它也是仿射(因为L是线性的)。此外,在MixCollumn操作中,不要将元素乘以2和3(在$ A $表示中),而是将它们乘以$ L(2)$和$ L(3)$(在$ B $表示中) 。

所有这些操作的结果是一个替代密码,等效于标准AES,其中所有输入(明文,密钥)都通过线性运算进行转换,而其输出(密文)也通过a进行转换。线性操作。此线性运算可以公开计算,因此不会影响安全性。

另一方面,您指出$ x ^ 8 + x ^ 3 + x + 1 $应该是不可约的。好,因为$ x ^ 8 + x ^ 3 + x + 1 =(x + 1)\ times(x ^ 7 + x ^ 6 + x ^ 5 + x ^ 4 + x ^ 3 +1)$,即并非如此。

评论

$ \ begingroup $
仅对最后一段+1!带有偶数项的多项式在GF(2)上永远不可约。
$ \ endgroup $
–吉尔基·拉托宁(Jyrki Lahtonen)
2012年1月22日上午8:24
$ \ begingroup $
本原多项式和不可约多项式有什么区别?
$ \ endgroup $
– abraza
17年7月15日在18:49
$ \ begingroup $
@Raza:一个不可约多项式$ P $是不存在非平凡因式分解$ P = X \ times Y $的情况(其中因式分解$ P = 1 \ times P = P \ times 1 $被认为是微不足道的) 。基本多项式$ P $是一个多项式$ x ^ i \ bmod P $可以采用小于$ P $的次数的所有可能多项式(0除外)。如果多项式是原始的,则它也是不可约的(但不一定是相反的)
$ \ endgroup $
–雨披
17年7月15日在20:36