AES算法标准：NIST的选择与评估过程

"AES的评估准则-密码学课件(5)_USTC" 高级数据加密标准（AES）是现代密码学中的一个重要组成部分，它被设计用于替代DES作为商业应用的标准加密算法。AES的诞生源于DES的安全性问题，DES虽然可以通过三重DES（3DES）来增强安全性，但其较长的密钥（168位）和较短的分组大小（64位）在软件实现中速度较慢。因此，美国国家标准技术协会（NIST）在1997年启动了一个新标准的征集过程，旨在寻找一种分组长度为128位、支持128、192或256位密钥的加密算法。 在经过多轮严格的评估后，NIST在2000年选择了由比利时密码学家Joan Daemen和Vincent Rijmen共同设计的Rijndael算法作为AES。这一决定是在1998年15种候选算法的第一轮评估和1999年5个候选算法的第二轮评估之后做出的。最终，NIST在2001年11月发布了正式的AES标准——FIPS PUB 197。 AES的设计与DES有很大不同，它并未采用Feistel结构。相反，AES的每一轮操作包括四个独立的步骤：字节替换，这是一个非线性的函数；列置换，改变输入块的内部排列；有限域算术运算，通常涉及到加法和乘法；以及与密钥的异或，这是线性操作。这些操作的组合使得AES具有较高的安全性，同时在软件和硬件上都有高效实现的可能性。 AES的评估准则主要分为三个类别：安全性、成本和算法及执行特征。安全性是指算法能抵御密码分析攻击的能力，这依赖于密码学社区的公开分析。成本则关注AES在各种实际应用中的广泛采用，要求算法在计算效率上要高。算法和执行特征涉及其灵活性，适应于多种硬件和软件实现，以及算法本身的简洁性，以便进行安全性分析。 在评估AES的安全性时，考虑了多种场景，包括在不受限制的计算环境下软件的实现，以及在有限资源设备如智能卡上的应用。此外，硬件实现也是一个关键因素，因为高速硬件可以显著提高加密和解密的速度，同时需要防止针对硬件执行的攻击。AES的设计和评估确保了它能够在不同的环境和平台上有效地工作，满足了现代社会对数据安全和隐私保护的需求。