C++中四种加密算法之AES源代码

摘要：作为新一代的加密标准，AES 旨在取代 DES（请看《DES加密算法的C++实现》），以适应当今分布式开放网络对数据加密安全性的要求。本文在分析了 AES 加密原理的基础上着重说明了算法实现的具体步骤，并用 C++ 实现了对文件的加密和解密。

一、AES 介绍

AES（高级加密标准，Advanced Encryption Standard），在密码学中又称 Rijndael 加密法，是美国联邦政府采用的一种分组加密标准。这个标准用来替代原先的 DES，目前已经广为全世界所使用，成为对称密钥算法中最流行的算法之一。

在 AES 出现之前，最常用的对称密钥算法是 DES 加密算法，它在 1977 年被公布成为美国政府的商用加密标准。DES 的主要问题是密钥长度较短，渐渐不适合于分布式开放网络对数据加密安全性的要求。因此，1998年美国政府决定不再继续延用 DES 作为联邦加密标准，并发起了征集 AES 候选算法的活动。征集活动对 AES 的基本要求是： 比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。

经过三年多的甄选，比利时的密码学家所设计的 Rijndael 算法最终脱颖而出，成为新一代的高级加密标准，并于 2001 年由美国国家标准与技术研究院（NIST）发布于 FIPS PUB 197。

二、AES 算法原理

AES算法（即 Rijndael 算法）是一个对称分组密码算法。数据分组长度必须是 128 bits，使用的密钥长度为 128，192 或 256 bits。对于三种不同密钥长度的 AES 算法，分别称为“AES-128”、“AES-192”、“AES-256”。（Rijndael 的设计还可以处理其它的分组长度和密钥长度，但 AES 标准中没有采用）

下图是 AES 加密解密的整体流程图：

这里我们需要知道3个符号：Nb—— 状态 State 包含的列（32-bit 字）的个数，也就是说 Nb=4；Nk—— 密钥包含的 32-bit 字的个数，也就是说 Nk=4，6 或 8；Nr—— 加密的轮数，对于不同密钥长度，轮数不一样，具体如下图所示：

下面分为密钥扩展、分组加密、分组解密三个部分来讲 AES 算法，我会尽可能地简明扼要，若还有不懂的，请自行 Google。

1）密钥扩展

AES 算法通过密钥扩展程序（Key Expansion）将用户输入的密钥 K 扩展生成 Nb(Nr+1)个字，存放在一个线性数组w[Nb*(Nr+1)]中。具体如下：

• 位置变换函数RotWord()，接受一个字 [a0, a1, a2, a3] 作为输入，循环左移一个字节后输出 [a1, a2, a3, a0]。
• S盒变换函数SubWord()，接受一个字 [a0, a1, a2, a3] 作为输入。S盒是一个16x16的表，其中每一个元素是一个字节。对于输入的每一个字节，前四位组成十六进制数 x 作为行号，后四位组成的十六进制数 y 作为列号，查找表中对应的值。最后函数输出 4 个新字节组成的 32-bit 字。
• 轮常数Rcon[]，如何计算的就不说了，直接把它当做常量数组。
• 扩展密钥数组w[]的前 Nk 个元素就是外部密钥 K，以后的元素w[i]等于它前一个元素w[i-1]与前第 Nk 个元素w[i-Nk]的异或，即w[i] = w[i-1] XOR w[i-Nk]；但若 i 为 Nk 的倍数，则w[i] = w[i-Nk] XOR SubWord(RotWord(w[i-1])) XOR Rcon[i/Nk-1]。

注意，上面的第四步说明适合于 AES-128 和 AES-192，详细的伪代码如下：

密钥扩展程序的 C++ 代码（AES-128）：

#include <iostream> 
#include <bitset> 
using namespace std;  
typedef bitset<8> byte; 
typedef bitset<32> word; 
 
const int Nr = 10; // AES-128需要 10 轮加密 
const int Nk = 4;  // Nk 表示输入密钥的 word 个数 
 
byte S_Box[16][16] = { 
  {0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76}, 
  {0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0}, 
  {0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15}, 
  {0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75}, 
  {0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84}, 
  {0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF}, 
  {0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8}, 
  {0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2}, 
  {0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73}, 
  {0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB}, 
  {0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79}, 
  {0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08}, 
  {0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A}, 
  {0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E}, 
  {0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF}, 
  {0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F, 0xB0, 0x54, 0xBB, 0x16} 
}; 
 
// 轮常数，密钥扩展中用到。（AES-128只需要10轮） 
word Rcon[10] = {0x01000000, 0x02000000, 0x04000000, 0x08000000, 0x10000000,  
         0x20000000, 0x40000000, 0x80000000, 0x1b000000, 0x36000000}; 
 
/** 
 * 将4个 byte 转换为一个 word 
 */ 
word Word(byte& k1, byte& k2, byte& k3, byte& k4) 
{ 
  word result(0x00000000); 
  word temp; 
  temp = kto_ulong(); // K1 
  temp <<= 24; 
  result |= temp; 
  temp = kto_ulong(); // K2 
  temp <<= 16; 
  result |= temp; 
  temp = kto_ulong(); // K3 
  temp <<= 8; 
  result |= temp; 
  temp = kto_ulong(); // K4 
  result |= temp; 
  return result; 
} 
 
/** 
 * 按字节 循环左移一位 
 * 即把[a0, a1, a2, a3]变成[a1, a2, a3, a0] 
 */ 
word RotWord(word& rw) 
{ 
  word high = rw << 8; 
  word low = rw >> 24; 
  return high | low; 
} 
 
/** 
 * 对输入word中的每一个字节进行S-盒变换 
 */ 
word SubWord(word& sw) 
{ 
  word temp; 
  for(int i=0; i<32; i+=8) 
  { 
    int row = sw[i+7]*8 + sw[i+6]*4 + sw[i+5]*2 + sw[i+4]; 
    int col = sw[i+3]*8 + sw[i+2]*4 + sw[i+1]*2 + sw[i]; 
    byte val = S_Box[row][col]; 
    for(int j=0; j<8; ++j) 
      temp[i+j] = val[j]; 
  } 
  return temp; 
} 
 
/** 
 * 密钥扩展函数 - 对128位密钥进行扩展得到 w[4*(Nr+1)] 
 */  
void KeyExpansion(byte key[4*Nk], word w[4*(Nr+1)]) 
{ 
  word temp; 
  int i = 0; 
  // w[]的前4个就是输入的key 
  while(i < Nk)  
  { 
    w[i] = Word(key[4*i], key[4*i+1], key[4*i+2], key[4*i+3]); 
    ++i; 
  } 
 
  i = Nk; 
 
  while(i < 4*(Nr+1)) 
  { 
    temp = w[i-1]; // 记录前一个word 
    if(i % Nk == 0) 
      w[i] = w[i-Nk] ^ SubWord(RotWord(temp)) ^ Rcon[i/Nk-1]; 
    else  
      w[i] = w[i-Nk] ^ temp; 
    ++i; 
  } 
} 
 
int main() 
{ 
  byte key[16] = {0x2b, 0x7e, 0x15, 0x16,  
          0x28, 0xae, 0xd2, 0xa6,  
          0xab, 0xf7, 0x15, 0x88,  
          0x09, 0xcf, 0x4f, 0x3c}; 
 
  word w[4*(Nr+1)]; 
 
  cout << "KEY IS: "; 
  for(int i=0; i<16; ++i) 
    cout << hex << key[i]to_ulong() << " "; 
  cout << endl; 
 
  KeyExpansion(key, w); 
  // 测试 
  for(int i=0; i<4*(Nr+1); ++i) 
    cout << "w[" << dec << i << "] = " << hex << w[i]to_ulong() << endl; 
 
  return 0; 
} 

测试输出结果：

2）加密

根据 AES 加密的整体流程图（本文开头），伪代码如下：

从伪代码描述中可以看出，AES 加密时涉及到的子程序有SubBytes()、ShiftRows()、MixColumns()和AddRoundKey()。下面我们一个一个进行介绍：

① S盒变换-SubBytes()

在密钥扩展部分已经讲过了，S盒是一个 16 行 16 列的表，表中每个元素都是一个字节。S盒变换很简单：函数SubBytes()接受一个 4x4 的字节矩阵作为输入，对其中的每个字节，前四位组成