AES-Mathematik

Für das symmetrische Verschlüsselungsverfahren AES wird der Erweiterungskörper 𝔽_2⁸ gebraucht.

Eine andere Bezeichnung für 𝔽_2⁸ ist GF(2⁸). Der Buchstabe 𝔽 ist die Abkürzung für field, die englische Bezeichnung für Körper, GF bedeutet Galois field.

Ein Erweiterungskörper kommt dadurch zustande, dass ein vorhandener Körper K zu einem größeren Körper erweitert wird.

Die Elemente des Erweiterungskörpers lassen sich auffassen als Polynome mit Koeffizienten aus dem Körper K. Dabei entsprechen die Polynome vom Grad 0 den Elementen des ursprünglichen Körpers K; dieser bildet somit einen Teilkörper des Erweiterungskörpers.

Beispiel: Ist beispielsweise der Körper K der endliche Körper mit zwei Elementen ℤ₂ = {0,1}, dann besteht der Erweiterungskörper 𝔽_2⁸ aus allen Polynomen vom Grad kleiner als 8 der Form

p(x) = a₇ x⁷ + a₆ x⁶ + ... + a₁ x + a₀ mit a_i ∈ ℤ₂

Beispielsweise ist x⁴ + x³ + 1 ein Polynom mit Koeffizienten aus ℤ₂.

Bemerkung: Beachten Sie, dass die in den Polynomen auftretenden Zeichen + und · sich auf den zugrunde liegenden Körper beziehen – in dem Beispiel mit dem zugrunde liegenden Körper ℤ₂ sind dies also Addition modulo 2 und Multiplikation modulo 2.

Die Darstellung als Polynom ist lediglich erforderlich, um in sinnvoller Weise die Addition und Multiplikation von Elementen des Erweiterungskörpers zu ermöglichen. Es geht also jetzt darum, Polynome so zu addieren und Polynome so miteinander zu multiplizieren, dass wieder Elemente des Erweiterungskörpers herauskommen.

Addition

Die Addition zweier Polynome führen Sie durch, indem Sie die Koeffizienten gleicher Potenzen von x addieren. Die Addition der Koeffizienten erfolgt in ℤ₂, also modulo 2, das heißt 1 + 1 = 0.

Beispiel: Beispielsweise ist

(x⁷ + x³ + x + 1) + (x³ + x²) = x⁷ + x² + x + 1

Multiplikation

Die Multiplikation führen Sie durch, indem Sie die Polynome zunächst in gewohnter Weise miteinander multiplizieren. Beachten Sie dabei aber, dass sich zwei gleiche Potenzen von x gegenseitig aufheben, wegen 1 + 1 = 0 in ℤ₂.

Beispiel: Beispielsweise ist

(x⁷ + x³ + x + 1) · (x³ + x²) = x¹⁰ + x⁶ + x⁴ + x³ + x⁹ + x⁵ + x³ + x²

= x¹⁰ + x⁹ + x⁶ + x⁵ + x⁴ + x²

In diesem Beispiel haben Sie ein Polynom vom Grad ≥ 8 erhalten. Das Ergebnis der Multiplikation liegt außerhalb des Erweiterungskörpers 𝔽_2⁸. Um dies zu vermeiden, reduzieren Sie das Produkt noch modulo eines festgelegten Polynoms z vom Grad 8, beispielsweise

z = x⁸ + x⁴ + x³ + x + 1

Mittels einer Polynomdivision ermitteln Sie also den Rest, der sich bei Division des Produktes durch das Polynom z ergibt. Dies geht bei Polynomen über dem Körper ℤ₂ am besten mit Bitvektoren – warten Sie noch zwei, drei Absätze ...

Das Polynom z ist irreduzibel, es lässt sich nicht in Faktoren zerlegen. Dagegen können Sie beispielsweise das Polynom x⁵ + x über ℤ₂ folgendermaßen in Faktoren zerlegen, daher ist dieses Polynom nicht irreduzibel:

x⁵ + x = (x³ + x) · (x² + 1)

Das oben genannte Polynom z ist dagegen irreduzibel.

Definition: Die Multiplikation • in dem Erweiterungskörper 𝔽_2⁸ ist somit folgendermaßen definiert:

Für alle Polynome p, q ∈ 𝔽_2⁸ gilt

p • q = p · q mod z

wobei z das festgelegte irreduzible Polynom vom Grad 8 ist.

Körpereigenschaften

Es fehlt noch der Beweis, dass der gebildete Erweiterungskörper mit den so definierten Verknüpfungen Addition und Multiplikation tatsächlich die Körperaxiome erfüllt. Die meisten dieser Axiome folgen aus den Axiomen des zugrunde liegenden Körpers ℤ₂.

Dass es zu jedem Polynom p ∈ 𝔽_2⁸ ein multiplikativ inverses Element gibt, können Sie sich überlegen, wenn Sie gelesen haben, wie Sie mit dem erweiterten euklidischen Algorithmus inverse Elemente in der Gruppe ℤ_n* berechnen. In der multiplikativen Gruppe von 𝔽_2⁸ funktioniert dies ähnlich. Hier nur so viel:

Da z irreduzibel ist, gilt ggt(p, z) = 1. Den größten gemeinsamen Teiler, hier 1, können Sie darstellen als Linearkombination

1 = u·p + v·z

Modulo z gerechnet erhalten Sie

1 ≡ u·p (mod z)

Damit ist u mod z das inverse Element zu p. Mithilfe des erweiterten euklidischen Algorithmus können Sie es auch ausrechnen.

Das Rechnen im Erweiterungskörper 𝔽_2⁸ ist einfacher, wenn Sie die Elemente von 𝔽_2⁸, also Polynome über ℤ₂, als Bitvektoren darstellen.

Ein Polynom aus 𝔽_2⁸ können Sie einfach durch Angabe der Koeffizienten darstellen, also durch einen Bitvektor der Länge 8.

So stellen Sie etwa das Polynom

p = x⁴ + x³ + 1

durch den Bitvektor

P = 0 0 0 1 1 0 0 1

dar.

Ob Sie die Elemente des Körpers 𝔽_2⁸ als Polynome oder als Bitvektoren ansehen, ist eben tatsächlich Ansichtssache. Sie können die beiden Darstellungen miteinander austauschen. Mit Polynomen sind Sie eher gewohnt zu rechnen, mit Bitvektoren kann der Computer leichter rechnen.

Bitvektoren addieren

Die Addition von Elementen aus 𝔽_2⁸ in Darstellung als Bitvektoren ist besonders einfach: Sie addieren die Bitvektoren komponentenweise modulo 2, beispielsweise

	1	0	0	0	1	1	1	0
+	1	1	0	0	1	1	0	1

=	0	1	0	0	0	0	1	1

Bitvektoren multiplizieren

Die Multiplikation von Elementen aus 𝔽_2⁸ in Darstellung als Bitvektoren ist etwas komplizierter – aber Sie können sie schrittweise leicht nachvollziehen.

Eine Multiplikation eines Polynoms p mit dem Polynom q = x¹ hat ja zur Folge, dass alle Potenzen von p um 1 erhöht werden. In der Darstellung des Polynoms p als Bitvektor P hat dies zu Folge, dass P um eine Position nach links geschoben wird, wobei rechts eine 0 nachgezogen wird.

Wird dabei links eine 1 herausgeschoben, so muss das Ergebnis modulo des festgelegten Polynoms z = x⁸ + x⁴ + x³ + x + 1 reduziert werden. Dies kommt einer Addition modulo 2 des Bitvektors Z' = 0 0 0 1 1 0 1 1 gleich.
Wird links eine 0 herausgeschoben, ist nichts weiter zu tun.

Die links herausgeschobene Stelle fällt weg, sodass der Bitvektor die Länge 8 behält.

Um die Schiebeoperation darzustellen und um festzustellen, ob links eine 1 oder eine 0 herausgeschoben wird, benutzen Sie am besten die folgenden kurzen Definitionen:

Wenn P ein Bitvektor der Länge 8 ist, dann bedeutet P≪, dass der Bitvektor um eine Stelle nach links geschoben wird, wobei rechts eine Null nachgezogen wird. Die links herausgeschobene Stelle fällt weg, sodass der Bitvektor die Länge 8 behält.
Wenn P ein Bitvektor der Länge 8 ist, dann bedeutet P = 0X, dass das erste Bit des Bitvektors eine 0 ist. Entsprechend bedeutet P = 1X, dass das erste Bit eine 1 ist.

Mithilfe dieser Definitionen können Sie jetzt ausdrücken, was einem Bitvektor P aus 𝔽_2⁸ widerfährt, wenn er mit dem Polynom x multipliziert wird:

x • P =

`P`≪	falls `P` = 0`X`
`P`≪ + `Z'`	falls `P` = 1`X`

Es ist Zeit für ein Beispiel. Der Bitvektor P = 1 0 0 0 1 1 1 0 wird mit dem Polynom x multipliziert. Er wird nach links geschoben, rechts wird eine 0 nachgezogen, links wird eine 1 herausgeschoben:

Das herausgeschobene Bit fällt weg; es ist aber eine 1, daher ist eine Reduktion modulo z erforderlich und darum wird noch Z' addiert:

	0	0	0	1	1	1	0	0
+	0	0	0	1	1	0	1	1

=	0	0	0	0	0	1	1	1

Jetzt sind Sie in der Lage, einen Bitvektor P mit x zu multiplizieren – und damit auch mit x². Denn Sie brauchen ihn lediglich ein weiteres Mal mit x zu multiplizieren: x² • P = x • (x • P).

Können Sie auch mit x⁰ = 1 multiplizieren? Na klar. Aber dann können Sie auch mit x +1 multiplizieren, denn (x+1) • P = x • P + P.

Und Sie können mit x·(x +1) multiplizieren, mit x² + 1 usw.

Um die Notation noch weiter zu vereinfachen, stellen Sie Polynome aus 𝔽_2⁸ wie x, x², x+1 usw. als Bitvektoren dar und diese wiederum noch kürzer als Bytes in hexadezimaler Darstellung, also als zweistellige Hexadezimalzahlen.

Aus dem Polynom x und damit dem Bitvektor 0 0 0 0 0 0 1 0 wird das Byte 02. Aus dem Polynom 1 wird 01, aus dem Polynom x+1 wird 03, aus x² wird 04.

Die folgenden Produkte kommen bei der Ver- und Entschlüsselung mit dem AES-Verschlüsselungsverfahren vor:

01 • `P`	=	`P`
02 • `P`	=	die oben angegebene Multiplikation `x` • `P`
03 • `P`	=	02 • `P` + `P`
04 • `P`	=	02 • (02 • `P`)
08 • `P`	=	02 • (04 • `P`)
09 • `P`	=	08 • `P` + `P`
0B • `P`	=	08 • `P` + 03 • `P`
0D • `P`	=	08 • `P` + 04 • `P` + `P`
0E • `P`	=	08 • `P` + 04 • `P` + 02 • `P`

Wenn Sie Produkte in dieser Notation darstellen, geben Sie zugleich auch den Gang der Berechnung wieder: Bei jeder Multiplikation mit 02 nehmen Sie ja, wenn nötig, eine Reduktion modulo z vor. Multiplikationen und Reduktionen modulo z verlaufen also ineinander verschränkt.

Die so dargestellten Berechnungen werden im Computer sehr schnell durch Schiebeoperationen (bei der Multiplikation mit 02) und bitweise Exklusiv-Oder-Operationen (bei Additionen) durchgeführt.

Sie haben jetzt drei Darstellungen der Elemente des Körpers 𝔽_2⁸ zur Verfügung:

als Polynom, wie etwa x + 1,
als Bitvektor, wie etwa 00000011,
als Byte in Hexadezimaldarstellung, wie etwa 03.

Sie müssen sich nicht für eine Darstellung entscheiden, sondern Sie dürfen je nach Anwendungsfall die Darstellungen auch vermischen, so etwa wie oben 02 • P oder x • P.

Berechnen Sie 03 • C4 auf zwei Arten:

Überführen Sie zunächst die Bytes in die entsprechenden Polynome und multiplizieren Sie diese modulo des festgelegten Polynoms z. Überführen Sie dann das Ergebnis wieder zurück in die Byte-Darstellung.

Multiplizieren Sie 03 und C4 nach der Methode

03 • P = 02 • P + P

wobei P = C4 ist.

H.W. Lang mail@hwlang.de Impressum Datenschutz
Diese Webseiten sind größtenteils während meiner Lehrtätigkeit an der Hochschule Flensburg entstanden

AES-Mathematik

Erweiterungskörper 𝔽_2⁸

Addition und Multiplikation im Erweiterungskörper 𝔽_2⁸

Addition

Multiplikation

Körpereigenschaften

Polynome aus 𝔽_2⁸ als Bitvektoren darstellen

Bitvektoren addieren

Bitvektoren multiplizieren

Bitvektoren als Bytes hexadezimal darstellen

Aufgaben

AES-Mathematik

Erweiterungskörper 𝔽28

Addition und Multiplikation im Erweiterungskörper 𝔽28

Addition

Multi­plikation

Körpereigenschaften

Polynome aus 𝔽28 als Bitvektoren darstellen

Bitvektoren addieren

Bitvektoren multi­plizieren

Bitvektoren als Bytes hexadezimal darstellen

Aufgaben

Erweiterungskörper 𝔽_2⁸

Addition und Multiplikation im Erweiterungskörper 𝔽_2⁸

Multiplikation

Polynome aus 𝔽_2⁸ als Bitvektoren darstellen

Bitvektoren multiplizieren