Monte Carlo 测试的 AES 验证标准伪代码缺少什么?
What is missing from the AES Validation Standard Pseudocode for the Monte Carlo Tests?
我正尝试在 CBC 模式下使用规定的 AES-128 验证程序,如 the NIST AESAVS standard 中所定义。测试套件中更重要的部分之一是 Monte Carlo 测试,它提供了一种算法来生成许多 10000 个伪随机测试用例,因此硬编码电路不太可能伪造 AES。其中的算法伪代码似乎对可变范围和定义采取了一些自由,所以我希望有人可以帮助我填写缺失的信息以正确解释这一点。
128位密钥大小写的逐字算法如下:
Key[0] = Key
IV[0] = IV
PT[0] = PT
For i = 0 to 99
Output Key[i]
Output IV[i]
Output PT[0]
For j = 0 to 999
If ( j=0 )
CT[j] = AES(Key[i], IV[i], PT[j])
PT[j+1] = IV[i]
Else
CT[j] = AES(Key[i], PT[j])
PT[j+1] = CT[j-1]
Output CT[j]
Key[i+1] = Key[i] xor CT[j]
IV[i+1] = CT[j]
PT[0] = CT[j-1]
对于上面的伪代码,从这些初始值开始:
Key = 9dc2c84a37850c11699818605f47958c
IV = 256953b2feab2a04ae0180d8335bbed6
PT = 2e586692e647f5028ec6fa47a55a2aab
外循环的前三个迭代应该输出:
KEY = 9dc2c84a37850c11699818605f47958c
IV = 256953b2feab2a04ae0180d8335bbed6
PLAINTEXT = 2e586692e647f5028ec6fa47a55a2aab
CIPHERTEXT = 1b1ebd1fc45ec43037fd4844241a437f
KEY = 86dc7555f3dbc8215e6550247b5dd6f3
IV = 1b1ebd1fc45ec43037fd4844241a437f
PLAINTEXT = c1b77ed52521525f0a4ba341bdaf51d9
CIPHERTEXT = bf43583a665fa45fdee831243a16ea8f
KEY = 399f2d6f95846c7e808d6100414b3c7c
IV = bf43583a665fa45fdee831243a16ea8f
PLAINTEXT = 7cbeea19157ec7bbf6289e2dff5e8ee4
CIPHERTEXT = 5464e1900f81e06f67139456da25fc09
看起来我们正在内部循环之外使用 j,我认为这是造成混乱的根源。我最初假设这意味着密文 CT 的最终值是 (CT[999]),这会让我相信下一个外层循环 PT[0] 的明文被初始化为 CT[998]。但是,这种解释与给定的预期输出不匹配。
我还以为括号在这里不是表示值的数组,而是表示相对于现在的时间步长。然而,这也使得在循环外引用 j 变得混乱。如果循环已经过期,那么i或者j是当前时间吗?
我是不是漏掉了一些关键步骤?有错字吗(文档中没有勘误)?
任何对此事有经验的人都可以对适当的解释发表评论吗?
几个月前,我试图在 Java 上获得 AES CBC MonteCarlo 运行ning。我遇到了同样的问题,但最终我找到了一个完整的 运行ning 解决方案,符合官方 NIST 矢量结果。
在我开始之前 - 你的初始测试向量似乎是一个自己的向量,而不是 NIST 提供的 - 这里是官方 NIST 网站的 link 所有 AES 测试向量:
NIST 网站:https://csrc.nist.gov/Projects/cryptographic-algorithm-validation-program/Block-Ciphers Montecarlo testvectors: https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/aes/aesmct.zip
我的测试将从这些数据开始:
[ENCRYPT]
COUNT = 0
KEY = 8809e7dd3a959ee5d8dbb13f501f2274
IV = e5c0bb535d7d54572ad06d170a0e58ae
PLAINTEXT = 1fd4ee65603e6130cfc2a82ab3d56c24
CIPHERTEXT = b127a5b4c4692d87483db0c3b0d11e64
并且该函数对内部和外部循环使用“双”字节数组。我没有在此处提供完整的源代码,但完整的代码可以在我的 GitHub 存储库 https://github.com/java-crypto/Known_Answer_Tests 中找到,还有许多其他测试和测试向量文件。 encryption/decryption 必须使用 NoPadding 完成 - 不要像大多数情况下那样在默认模式下使用 AES
在 PKCS#5/#7 填充的情况下 运行。
如果您愿意,可以在此处 运行 在线代码(简化为 AES CBC 128 MonteCarlo):https://repl.it/@javacrypto/AesCbcMonteCarloTest#Main.java
程序会运行完成加解密测试,并进行额外的交叉校验(即校验加密结果
通过解密,反之亦然)。
因为几个月前我已经解决了这个问题,所以我只是在 Java 代码中提供我的解决方案 - 希望它能帮助你
您对 NIST 测试程序的理解。
public static byte[] aes_cbc_mct_encrypt(byte[] PLAINTEXT, byte[] KEYinit, byte[] IVinit) throws Exception {
int i = 0; // outer loop
int j = 0; // inner loop
byte[][] KEY = new byte[101][128];
byte[][] IV = new byte[1001][128];
byte[][] PT = new byte[1001][128]; // plaintext
byte[][] CT = new byte[1001][128]; // ciphertext
byte[] CTsave = new byte[256]; // nimmt den letzten ct fuer nutzung als neuen iv auf
// init
int KEYLENGTH = KEYinit.length * 8;
KEY[0] = KEYinit;
IV[0] = IVinit;
PT[0] = PLAINTEXT;
for (i = 0; i < 100; i++) {
for (j = 0; j < 1000; j++) {
if (j == 0) {
CT[j] = aes_cbc_encrypt(PT[j], KEY[i], IV[i]);
CTsave = CT[j]; // sicherung fuer naechsten iv
PT[j + 1] = IV[i];
} else {
IV[i] = CTsave;
CT[j] = aes_cbc_encrypt(PT[j], KEY[i], IV[i]);
CTsave = CT[j];
PT[j + 1] = CT[j - 1];
}
}
j = j - 1; // correction of loop counter
if (KEYLENGTH == 128) {
KEY[i + 1] = xor(KEY[i], CT[j]);
}
if (KEYLENGTH == 192) {
KEY[i + 1] = xor192(KEY[i], CT[j - 1], CT[j]);
}
if (KEYLENGTH == 256) {
KEY[i + 1] = xor256(KEY[i], CT[j - 1], CT[j]);
}
IV[i + 1] = CT[j];
PT[0] = CT[j - 1];
ctCalculated[i] = CT[j].clone();
}
return CT[j];
}
public static byte[] xor(byte[] a, byte[] b) {
// nutzung in der mctCbcEncrypt und mctCbcDecrypt methode
byte[] result = new byte[Math.min(a.length, b.length)];
for (int i = 0; i < result.length; i++) {
result[i] = (byte) (((int) a[i]) ^ ((int) b[i]));
}
return result;
}
public static byte[] aes_cbc_encrypt(byte[] plaintextByte, byte[] keyByte, byte[] initvectorByte) throws NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException, InvalidAlgorithmParameterException, BadPaddingException, IllegalBlockSizeException {
byte[] ciphertextByte = null;
SecretKeySpec keySpec = new SecretKeySpec(keyByte, "AES");
IvParameterSpec ivKeySpec = new IvParameterSpec(initvectorByte);
Cipher aesCipherEnc = Cipher.getInstance("AES/CBC/NOPADDING");
aesCipherEnc.init(Cipher.ENCRYPT_MODE, keySpec, ivKeySpec);
ciphertextByte = aesCipherEnc.doFinal(plaintextByte);
return ciphertextByte;
}
我正尝试在 CBC 模式下使用规定的 AES-128 验证程序,如 the NIST AESAVS standard 中所定义。测试套件中更重要的部分之一是 Monte Carlo 测试,它提供了一种算法来生成许多 10000 个伪随机测试用例,因此硬编码电路不太可能伪造 AES。其中的算法伪代码似乎对可变范围和定义采取了一些自由,所以我希望有人可以帮助我填写缺失的信息以正确解释这一点。
128位密钥大小写的逐字算法如下:
Key[0] = Key
IV[0] = IV
PT[0] = PT
For i = 0 to 99
Output Key[i]
Output IV[i]
Output PT[0]
For j = 0 to 999
If ( j=0 )
CT[j] = AES(Key[i], IV[i], PT[j])
PT[j+1] = IV[i]
Else
CT[j] = AES(Key[i], PT[j])
PT[j+1] = CT[j-1]
Output CT[j]
Key[i+1] = Key[i] xor CT[j]
IV[i+1] = CT[j]
PT[0] = CT[j-1]
对于上面的伪代码,从这些初始值开始:
Key = 9dc2c84a37850c11699818605f47958c
IV = 256953b2feab2a04ae0180d8335bbed6
PT = 2e586692e647f5028ec6fa47a55a2aab
外循环的前三个迭代应该输出:
KEY = 9dc2c84a37850c11699818605f47958c
IV = 256953b2feab2a04ae0180d8335bbed6
PLAINTEXT = 2e586692e647f5028ec6fa47a55a2aab
CIPHERTEXT = 1b1ebd1fc45ec43037fd4844241a437f
KEY = 86dc7555f3dbc8215e6550247b5dd6f3
IV = 1b1ebd1fc45ec43037fd4844241a437f
PLAINTEXT = c1b77ed52521525f0a4ba341bdaf51d9
CIPHERTEXT = bf43583a665fa45fdee831243a16ea8f
KEY = 399f2d6f95846c7e808d6100414b3c7c
IV = bf43583a665fa45fdee831243a16ea8f
PLAINTEXT = 7cbeea19157ec7bbf6289e2dff5e8ee4
CIPHERTEXT = 5464e1900f81e06f67139456da25fc09
看起来我们正在内部循环之外使用 j,我认为这是造成混乱的根源。我最初假设这意味着密文 CT 的最终值是 (CT[999]),这会让我相信下一个外层循环 PT[0] 的明文被初始化为 CT[998]。但是,这种解释与给定的预期输出不匹配。
我还以为括号在这里不是表示值的数组,而是表示相对于现在的时间步长。然而,这也使得在循环外引用 j 变得混乱。如果循环已经过期,那么i或者j是当前时间吗?
我是不是漏掉了一些关键步骤?有错字吗(文档中没有勘误)?
任何对此事有经验的人都可以对适当的解释发表评论吗?
几个月前,我试图在 Java 上获得 AES CBC MonteCarlo 运行ning。我遇到了同样的问题,但最终我找到了一个完整的 运行ning 解决方案,符合官方 NIST 矢量结果。
在我开始之前 - 你的初始测试向量似乎是一个自己的向量,而不是 NIST 提供的 - 这里是官方 NIST 网站的 link 所有 AES 测试向量:
NIST 网站:https://csrc.nist.gov/Projects/cryptographic-algorithm-validation-program/Block-Ciphers Montecarlo testvectors: https://csrc.nist.gov/CSRC/media/Projects/Cryptographic-Algorithm-Validation-Program/documents/aes/aesmct.zip
我的测试将从这些数据开始:
[ENCRYPT]
COUNT = 0
KEY = 8809e7dd3a959ee5d8dbb13f501f2274
IV = e5c0bb535d7d54572ad06d170a0e58ae
PLAINTEXT = 1fd4ee65603e6130cfc2a82ab3d56c24
CIPHERTEXT = b127a5b4c4692d87483db0c3b0d11e64
并且该函数对内部和外部循环使用“双”字节数组。我没有在此处提供完整的源代码,但完整的代码可以在我的 GitHub 存储库 https://github.com/java-crypto/Known_Answer_Tests 中找到,还有许多其他测试和测试向量文件。 encryption/decryption 必须使用 NoPadding 完成 - 不要像大多数情况下那样在默认模式下使用 AES 在 PKCS#5/#7 填充的情况下 运行。
如果您愿意,可以在此处 运行 在线代码(简化为 AES CBC 128 MonteCarlo):https://repl.it/@javacrypto/AesCbcMonteCarloTest#Main.java
程序会运行完成加解密测试,并进行额外的交叉校验(即校验加密结果 通过解密,反之亦然)。
因为几个月前我已经解决了这个问题,所以我只是在 Java 代码中提供我的解决方案 - 希望它能帮助你 您对 NIST 测试程序的理解。
public static byte[] aes_cbc_mct_encrypt(byte[] PLAINTEXT, byte[] KEYinit, byte[] IVinit) throws Exception {
int i = 0; // outer loop
int j = 0; // inner loop
byte[][] KEY = new byte[101][128];
byte[][] IV = new byte[1001][128];
byte[][] PT = new byte[1001][128]; // plaintext
byte[][] CT = new byte[1001][128]; // ciphertext
byte[] CTsave = new byte[256]; // nimmt den letzten ct fuer nutzung als neuen iv auf
// init
int KEYLENGTH = KEYinit.length * 8;
KEY[0] = KEYinit;
IV[0] = IVinit;
PT[0] = PLAINTEXT;
for (i = 0; i < 100; i++) {
for (j = 0; j < 1000; j++) {
if (j == 0) {
CT[j] = aes_cbc_encrypt(PT[j], KEY[i], IV[i]);
CTsave = CT[j]; // sicherung fuer naechsten iv
PT[j + 1] = IV[i];
} else {
IV[i] = CTsave;
CT[j] = aes_cbc_encrypt(PT[j], KEY[i], IV[i]);
CTsave = CT[j];
PT[j + 1] = CT[j - 1];
}
}
j = j - 1; // correction of loop counter
if (KEYLENGTH == 128) {
KEY[i + 1] = xor(KEY[i], CT[j]);
}
if (KEYLENGTH == 192) {
KEY[i + 1] = xor192(KEY[i], CT[j - 1], CT[j]);
}
if (KEYLENGTH == 256) {
KEY[i + 1] = xor256(KEY[i], CT[j - 1], CT[j]);
}
IV[i + 1] = CT[j];
PT[0] = CT[j - 1];
ctCalculated[i] = CT[j].clone();
}
return CT[j];
}
public static byte[] xor(byte[] a, byte[] b) {
// nutzung in der mctCbcEncrypt und mctCbcDecrypt methode
byte[] result = new byte[Math.min(a.length, b.length)];
for (int i = 0; i < result.length; i++) {
result[i] = (byte) (((int) a[i]) ^ ((int) b[i]));
}
return result;
}
public static byte[] aes_cbc_encrypt(byte[] plaintextByte, byte[] keyByte, byte[] initvectorByte) throws NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException, InvalidAlgorithmParameterException, BadPaddingException, IllegalBlockSizeException {
byte[] ciphertextByte = null;
SecretKeySpec keySpec = new SecretKeySpec(keyByte, "AES");
IvParameterSpec ivKeySpec = new IvParameterSpec(initvectorByte);
Cipher aesCipherEnc = Cipher.getInstance("AES/CBC/NOPADDING");
aesCipherEnc.init(Cipher.ENCRYPT_MODE, keySpec, ivKeySpec);
ciphertextByte = aesCipherEnc.doFinal(plaintextByte);
return ciphertextByte;
}