在看这篇文章之前,请先看以下几篇
白盒AES算法详解: https://bbs.kanxue.com/thread-280335.htm
差分故障分析: dacK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3k6Y4g2^5N6i4q4A6j5h3&6F1K9h3q4F1i4K6u0r3M7q4)9J5c8U0p5%4y4U0M7&6x3o6f1^5i4K6u0W2K9s2c8E0L8l9`.`.
python实现的AES算法: dd2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3K9$3g2F1N6r3I4W2i4K6u0r3M7q4)9J5c8U0p5#2x3o6f1%4z5o6b7@1i4K6u0W2K9s2c8E0L8l9`.`.
C0 = S(2A + 3B + C + D + K9) + K10
C0' = S(2X + 3B + C + D + K9) + K10
如果您仔细阅读了上面的文章,相信对这个两个式子不会陌生,这是AES-128在倒数第二轮列混淆之前注入故障后,到结尾的计算过程。
C0 = S(2A + 3B + C + D + K13) + K14
C0' = S(2X + 3B + C + D + K13) + K14
AES-256的加密轮数会变成14轮,但是加密流程没变,最后一轮加密任然没有列混淆,所以我们可以通过获取AES-128最后一轮轮密钥的方式,来获取AES-256的最后一轮轮密钥。具体操作参看第二篇文章。
由于密钥扩展算法的差别,AES-256不能只通过一个轮密钥就算出原始密钥。在AES-128里,将第十个轮密钥分割为W40 W41 W42 W43,当W的下标 % 4不等于0时,Wn = W(n-1) ^ W(n-4),例如W43, 43 % 4 != 0,W43 = W42 ^ W39。而在AES-256中,这个4变成了8,所以密钥扩展算法也变成了,Wn = W(n-1) ^ W(n-8),当最后一轮轮密钥已知时,也就是W56 W57 W58 W59 已知,我们可以往前推算:
W56 = g(W55) ^ W48 --------> W48 = g(W55) ^ W56
W57 = W56 ^ W49
W58 = W57 ^ W50
W59 = W58 ^ W51
但根据这个算法,我们是得不到W1~W8的,而W1~W8就是原始密钥。所以我们还需要一个轮密钥,还得和第十四轮相邻,所以就必须是第十三轮的轮密钥。
之前在第十三轮的列混淆之前注入故障,从而得到最后一轮的轮密钥。在注入故障后,数据需要经过以下步骤:
列混淆-----> 轮密钥加(13轮) ------> S盒字节替换 ------> 行移位 -------> 轮密钥加(14轮)
现在我们不需要注入故障,但需要拿到13轮列混淆之后、轮密钥加之前的状态(列混淆之后的结果),也就是数据要经过以下步骤:
轮密钥加(13轮) ------> S盒字节替换 ------> 行移位 -------> 轮密钥加(14轮)
现在得到的结果的第一个字节: C0 = S(A + k13(0)) + K14(0),如果我们已经拿到了列混淆之后的值,也就是A的值,那么这个式子中就只有一个未知数K13(0)了,那么根据这个式子,就可以拿到第13轮轮密钥了。 这是第一个字节的计算过程,但要注意的是,由于行移位的关系,密文、K14、K13在计算过程中的索引并不完全对应。
在拿到第14轮轮密钥、正确密文、第13轮列混淆之后的状态,就可以得到原始密钥,以下是代码实现
SBox = [0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B,
0xFE, 0xD7, 0xAB, 0x76, 0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0,
0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0, 0xB7, 0xFD, 0x93, 0x26,
0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15,
0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2,
0xEB, 0x27, 0xB2, 0x75, 0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0,
0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84, 0x53, 0xD1, 0x00, 0xED,
0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF,
0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F,
0x50, 0x3C, 0x9F, 0xA8, 0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5,
0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2, 0xCD, 0x0C, 0x13, 0xEC,
0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73,
0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14,
0xDE, 0x5E, 0x0B, 0xDB, 0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C,
0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79, 0xE7, 0xC8, 0x37, 0x6D,
0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08,
0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F,
0x4B, 0xBD, 0x8B, 0x8A, 0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E,
0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E, 0xE1, 0xF8, 0x98, 0x11,
0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF,
0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F,
0xB0, 0x54, 0xBB, 0x16]
def _split_int(n: int) -> list:
"""拆分 32bit 成 4x8bit"""
return [(n >> 24) & 0xFF, (n >> 16) & 0xFF, (n >> 8) & 0xFF, n & 0xFF]
def _joint_int(b: list) -> int:
"""合并 4x8bit 成 32bit"""
return (b[0] << 24) | (b[1] << 16) | (b[2] << 8) | b[3]
def arr_split(round_key):
arr_hex_2 = []
for i in range(0, 32, 2):
arr_hex_2.append(int(round_key[i:i + 2], 16))
big_num = []
for j in range(4):
big_num.append(_joint_int(arr_hex_2[j*4:j*4+4]))
# print(big_num)
return big_num
def generate_key(key13: str, key14: str):
round_key = arr_split(key13) + arr_split(key14)
"""密钥扩展"""
Rcon = [0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36] # 轮常数
Nk = 8
w = [0 for _ in range(4 * (14 + 1))] # 轮密钥
for i in range(52, 60):
w[i] = round_key[i - 52]
for i in range(51, -1, -1):
temp = w[i + 8 - 1]
k = i + 8
if k % Nk == 0:
temp = _split_int(temp) # 拆分成 4x8bit
temp = [SBox[temp[1]] ^ Rcon[k // Nk - 1], SBox[temp[2]],
SBox[temp[3]], SBox[temp[0]]]
temp = _joint_int(temp) # 合并回 32bit
elif Nk > 6 and k % Nk == 4:
temp = _split_int(temp) # 拆分成 4x8bit
temp = [SBox[temp[0]], SBox[temp[1]],
SBox[temp[2]], SBox[temp[3]]]
temp = _joint_int(temp) # 合并回 32bit
w[i] = w[k] ^ temp
# print(w)
key = w[:8]
# print(key)
hex_str = ""
for i in key:
result = _split_int(i)
hex_str += "".join("{:02x}".format(s) for s in result)
# print(hex_str)
# 把16进制字符串转为4x4的矩阵
def hex_to_arr(q):
r = []
for i in range(0, 32, 8):
r.append(q[i:i+8])
res = [[], [], [], []]
for i in range(4):
for j in range(4):
res[j].append(int(r[i][2*j:2*j+2], 16))
# print(res)
return res
def shift_row(state):
state[1] = [state[1][3], state[1][0], state[1][1], state[1][2]]
state[2] = [state[2][2], state[2][3], state[2][0], state[2][1]]
state[3] = [state[3][1], state[3][2], state[3][3], state[3][0]]
return state
# C0 = S(A + k13) + k14 C0' = S(X + k13) + k14
def get_round_key_13(state: list, k14: str, res: str):
k14 = hex_to_arr(k14)
res = hex_to_arr(res)
result = [[[] for _ in range(4)] for _ in range(4)]
k14 = shift_row(k14)
res = shift_row(res)
for i in range(4):
for j in range(4):
for x in range(256):
if SBox[state[i][j] ^ x] ^ k14[i][j] == res[i][j]:
result[i][j] = x
break
# print(result)
ciphertext = bytearray(16)
for i in range(4):
for j in range(4):
ciphertext[4 * j + i] = result[i][j]
k13_hex_str = bytes(ciphertext).hex()
# print(k13_hex_str)
return k13_hex_str
if __name__ == '__main__':
k14 = "b7cd0963853dcadf2b883c1977e418ff" # 第十四轮轮密钥
result = "d0faf1cff5c57ea32a075f99e8cb81eb" # 正确的密文结果
s = [[102, 146, 86, 203], [10, 186, 227, 53], [210, 205, 162, 205], [29, 109, 246, 142]] # 第十三轮列混淆后的状态
k13 = get_round_key_13(s, k14, result)
generate_key(k13, k14)在第13轮列混淆之后注入故障,然后根据故障密文,也是能拿到原始密钥的。
最后,笔者也不知道这篇文章有没有什意义,因为我在还原某个支付加密参数的密钥时失败了,不知道是改了S盒还是什么原因,只是在找DFA还原密钥的资料时,只有关于AES-128的文章。
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
