Penjadwalan kunci AES

AES menggunakan penjadwalan kunci untuk memperluas sebuah kunci pendek menjadi beberapa kunci ronde. Tiga variasi AES memiliki jumlah ronde yang berbeda. Tiap variasi membutuhkan kunci ronde 128 bit untuk tiap ronde ditambah satu.^{[catatan 1]} Penjadwalan kunci ini menghasilkan kunci-kunci ronde yang dibutuhkan dari kunci asal.

Tetapan ronde[sunting | sunting sumber]

Nilai $rc i$ dalam heksadesimal
$i$	1	2	3	4	5	6	7	8	9	10
$rc i$	01	02	04	08	10	20	40	80	1B	36

Tetapan ronde $rcon i$ untuk ronde ke- $i$ perluasan kunci adalah kata (word) 32 bit berikut:^{[catatan 2]}

rcon_{i}={\begin{bmatrix}rc_{i}&00_{16}&00_{16}&00_{16}\end{bmatrix}}

dengan $rc i$ adalah nilai 8 bit yang didefinisikan sebagai berikut:

rc_{i}={\begin{cases}1&{\text{jika }}i=1\\2\cdot rc_{i-1}&{\text{jika }}i>1{\text{ dan }}rc_{i-1}<80_{16}\\(2\cdot rc_{i-1})\oplus {\text{11B}}_{16}&{\text{jika }}i>1{\text{ dan }}rc_{i-1}\geq 80_{16}\end{cases}}

dengan $\oplus$ adalah operator XOR dan bilangan yang diakhiri angka 16 seperti $0016$ dan $11B 16$ adalah bilangan heksadesimal.

AES menggunakan hingga $rcon 10$ untuk AES-128 (karena butuh 11 kunci ronde), hingga $rcon 8$ untuk AES-192, dan hingga $rcon 7$ untuk AES-256.^{[catatan 3]}

Penjadwalan kunci[sunting | sunting sumber]

Definisikan:

$N$ sebagai panjang kunci dalam kelompok kata (word) 32 bit: 4 kata untuk AES-128, 6 kata untuk AES-192, dan 8 kata untuk AES-256
$K 0$ , $K 1$ , ... $K N -1$ sebagai kelompok kata 32 bit dari kunci asli
$R$ sebagai jumlah kunci ronde yang dibutuhkan: 11 kunci ronde untuk AES-128, 13 kunci ronde untuk AES-192, dan 15 kunci ronde untuk AES-256^{[catatan 4]}
$W 0$ , $W 1$ , ... $W 4 R -1$ sebagai kelompok kata 32 bit dari kunci yang telah diperluas/kunci ronde^{[catatan 5]}

Definisikan pula $RotWord$ sebagai suatu geseran melingkar kiri satu bita:^{[catatan 6]}

\operatorname {RotWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}b_{1}&b_{2}&b_{3}&b_{0}\end{bmatrix}}

dan $SubWord$ sebagai penerapan kotak-S AES (substitusi) kepada tiap bita dari kata empat bita:

\operatorname {SubWord} ({\begin{bmatrix}b_{0}&b_{1}&b_{2}&b_{3}\end{bmatrix}})={\begin{bmatrix}\operatorname {S} (b_{0})&\operatorname {S} (b_{1})&\operatorname {S} (b_{2})&\operatorname {S} (b_{3})\end{bmatrix}}

Lalu, untuk $i=0\ldots 4R-1$ ,

W_{i}={\begin{cases}K_{i}&{\text{jika }}i<N\\W_{i-N}\oplus \operatorname {SubWord} (\operatorname {RotWord} (W_{i-1}))\oplus rcon_{i/N}&{\text{jika }}i\geq N{\text{ dan }}i\equiv 0{\pmod {N}}\\W_{i-N}\oplus \operatorname {SubWord} (W_{i-1})&{\text{jika }}i\geq N{\text{, }}N>6{\text{, dan }}i\equiv 4{\pmod {N}}\\W_{i-N}\oplus W_{i-1}&{\text{lainnya.}}\\\end{cases}}

Catatan kaki[sunting | sunting sumber]

^ Variasi Rijndael non-AES membutuhkan kunci ronde hingga 256 bit per ronde.
^ Dalam FIPS-197, nilai $rc_{i}$ adalah bita dengan nilai tempat terkecil pada indeks ke-0
^ Variasi-variasi Rijndael dengan ukuran blok besar membutuhkan lebih banyak tetapan-tetapan ini, yaitu hingga $rcon 29$ untuk kunci 128 bit dan ukuran blok 256 bit (butuh 15 kunci ronde 256 bit). Tetapan-tetapan lain untuk $i \geq 11$ adalah 6C, D8, AB, 4D, 9A, 2F, 5E, BC, 63, C6, 97, 35, 6A, D4, B3, 7D, FA, EF, dan C5.
^ Variasi Rijndael lain membutuhkan $max(N, B) + 7$ kunci ronde dengan $B$ adalah ukuran blok dalam kata
^ Variasi Rijndael lain membutuhkan $BR$ kata dari kunci yang telah diperluas dengan $B$ adalah ukuran blok dalam kata
^ Rotasi tersebut adalah kebalikan dari urutan bita. Alamat bita FIPS-197 dalam larik bertambah dari kiri ke kanan^[1] dalam little endian sehingga rotasinya dari kanan ke kiri. Dalam AES-NI^[2] dan dalam lib/crypto/aes.c kernel Linux,^[3] alamat bitanya dalam larik bertambah dari kanan ke kiri dalam little endian sehingga rotasinya dari kiri ke kanan.