Penjadwalan kunci AES

AES menggunakan penjadwalan kunci untuk memperluas sebuah kunci pendek menjadi beberapa kunci ronde. Tiga variasi AES memiliki jumlah ronde yang berbeda. Tiap variasi membutuhkan kunci ronde 128 bit untuk tiap ronde ditambah satu.^{[catatan 1]} Penjadwalan kunci ini menghasilkan kunci-kunci ronde yang dibutuhkan dari kunci asal.

Tetapan ronde

Tetapan ronde rcon_i untuk ronde ke-i perluasan kunci adalah kata (word) 32 bit berikut:^{[catatan 2]}

${\displaystyle rcon_{i}={\begin{bmatrix}rc_{i}&00_{16}&00_{16}&00_{16}\end{bmatrix}}}$

dengan rc_i adalah nilai 8 bit yang didefinisikan sebagai berikut:

${\displaystyle rc_{i}={\begin{cases}1&{\text{jika }}i=1\\2\cdot rc_{i-1}&{\text{jika }}i>1{\text{ dan }}rc_{i-1}<80_{16}\\(2\cdot rc_{i-1})\oplus {\text{11B}}_{16}&{\text{jika }}i>1{\text{ dan }}rc_{i-1}\geq 80_{16}\end{cases}}}$

dengan ${\displaystyle \oplus }$ adalah operator XOR dan bilangan yang diakhiri angka 16 seperti 00₁₆ dan 11B₁₆ adalah bilangan heksadesimal.

AES menggunakan hingga rcon₁₀ untuk AES-128 (karena butuh 11 kunci ronde), hingga rcon₈ untuk AES-192, dan hingga rcon₇ untuk AES-256.^{[catatan 3]}

Penjadwalan kunci

Definisikan:

• N sebagai panjang kunci dalam kelompok kata (word) 32 bit: 4 kata untuk AES-128, 6 kata untuk AES-192, dan 8 kata untuk AES-256
• K₀, K₁, ... K_N-1 sebagai kelompok kata 32 bit dari kunci asli
• R sebagai jumlah kunci ronde yang dibutuhkan: 11 kunci ronde untuk AES-128, 13 kunci ronde untuk AES-192, dan 15 kunci ronde untuk AES-256^{[catatan 4]}
• W₀, W₁, ... W_4R-1 sebagai kelompok kata 32 bit dari kunci yang telah diperluas/kunci ronde^{[catatan 5]}

Definisikan pula RotWord sebagai suatu geseran melingkar kiri satu bita:^{[catatan 6]}

${\displaystyle \operatorname {RotWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}b_{1}&b_{2}&b_{3}&b_{0}\end{bmatrix}}}$

dan SubWord sebagai penerapan kotak-S AES (substitusi) kepada tiap bita dari kata empat bita:

${\displaystyle \operatorname {SubWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}\operatorname {S} (b_{0})&\operatorname {S} (b_{1})&\operatorname {S} (b_{2})&\operatorname {S} (b_{3})\end{bmatrix}}}$

Lalu, untuk ${\displaystyle i=0\ldots 4R-1}$,

${\displaystyle W_{i}={\begin{cases}K_{i}&{\text{jika }}i<N\\W_{i-N}\oplus \operatorname {SubWord} (\operatorname {RotWord} (W_{i-1}))\oplus rcon_{i/N}&{\text{jika }}i\geq N{\text{ dan }}i\equiv 0{\pmod {N}}\\W_{i-N}\oplus \operatorname {SubWord} (W_{i-1})&{\text{jika }}i\geq N{\text{, }}N>6{\text{, dan }}i\equiv 4{\pmod {N}}\\W_{i-N}\oplus W_{i-1}&{\text{lainnya.}}\\\end{cases}}}$

Catatan kaki

1. ↑ Variasi Rijndael non-AES membutuhkan kunci ronde hingga 256 bit per ronde.
2. ↑ Dalam FIPS-197, nilai ${\displaystyle rc_{i}}$ adalah bita dengan nilai tempat terkecil pada indeks ke-0
3. ↑ Variasi-variasi Rijndael dengan ukuran blok besar membutuhkan lebih banyak tetapan-tetapan ini, yaitu hingga rcon₂₉ untuk kunci 128 bit dan ukuran blok 256 bit (butuh 15 kunci ronde 256 bit). Tetapan-tetapan lain untuk i ≥ 11 adalah 6C, D8, AB, 4D, 9A, 2F, 5E, BC, 63, C6, 97, 35, 6A, D4, B3, 7D, FA, EF, dan C5.
4. ↑ Variasi Rijndael lain membutuhkan max(N, B) + 7 kunci ronde dengan B adalah ukuran blok dalam kata
5. ↑ Variasi Rijndael lain membutuhkan BR kata dari kunci yang telah diperluas dengan B adalah ukuran blok dalam kata
6. ↑ Rotasi tersebut adalah kebalikan dari urutan bita. Alamat bita FIPS-197 dalam larik bertambah dari kiri ke kanan^[1] dalam little endian sehingga rotasinya dari kanan ke kiri. Dalam AES-NI^[2] dan dalam lib/crypto/aes.c kernel Linux,^[3] alamat bitanya dalam larik bertambah dari kanan ke kiri dalam little endian sehingga rotasinya dari kiri ke kanan.

Referensi

Daftar pustaka

• FIPS PUB 197: the official AES standard (PDF)

Pranala luar

• (Inggris) Penjelasan penjadwalan kunci Rijndael
• (Inggris) Bagan penjadwalan kunci untuk kunci 128 dan 256 bit serta kunci 160 bit di Cryptography Stack Exchange