Principe de "Key Schedule"

Les clés de l'AES font 128,192 ou 256 bits. Chacune correspondant à un nombre de répétition du chiffrement.
Or pour éviter certaines attaques issues de la cryptanalyse, ces clés sont étendues.
Cela veut simplement signifier que d'autres clés sont créées à partir de la clé initiale.
Ainsi le Key schedule va permettre de créer une clé différente par tour de chiffrement, chacune de ces clés sous-clé faisant 128 bits.
On peut donc se demander deux choses :

• Pourquoi n'utilise t-on pas alors que des clés de 128 bits ? (Pourquoi en utiliser 256 si c'est pour retomber à 128 ?)
• Pourquoi n'utilise t'on pas une clé qui serait de la taille du bloc de donnée multipliée par le nombre de tours ?

Les clés de 128 bits sont plus faibles que celles de 192, qui sont elles-même plus faibles que celle de 256 bits.
Cela est justement dû au Key schedule, il permet de contrer certaines attaques, et sa construction implique qu'une clé de plus grande taille est plus sûre.
Ensuite, une seule grande clé serait aussi dangereux.
Tout d'abord à retenir. Il y aurait le risque que les gens choississent une clé facile à retenir, et donc plus facile à trouver.
Et finalement L'utilisation d'une seule grande clé est en fait ce que fait l'AES via le Key Schedule.
Cela permet d'avoir une clé complexe lors du chiffrement, mais suffisamment courte initialement pour être retenue.

Algorithme de Key Schedule

Nous allons nous concentrer ici sur le Key Schedule des clés de 128 bits. Il n'y a qu'une légère altération pour les clés de plus grandes tailles.
Les clés faisant 128 bits, cela correspond à 16 octets. Par la suite, ils seront compactés par groupe de 4, tel que : $\begin{array}{cccl}Soit K& \iff & b_0{b}_1\dots b_{126}{b}_{127}& Avec b_i\in \left\{0;1\right\}\\ & \iff & V_0{V}_1\dots V_{14}{V}_{15}& Avec V_i=\left\{b_{8i} b_{8i+1} b_{8i+2} b_{8i+3} b_{8i+4} b_{8i+5} b_{8i+6} b_{8i+7} \right\}\\ & \iff & W_0{W}_1{W}_2{W}_3& Avec W_i=\{V_{4i} V_{4i+1} V_{4i+2} V_{4i+3}\}\end{array}$
Dans le cas d'une clé de 128 bits, il y a 10 répétitions de l'algorithme. Il faut donc générer 10 clés supplémentaires (une clé étant utilisée avant le début des répétitions).
Le Key schedule se répète à chaque nouvelle clé. Ainsi la i^éme clé est calculée à partir de la clé i+1.
on a : $keySchedule\left(K_i\right)=K_{i+1}$

L'opération d'extension de la clé consiste donc à produire 128 bits. On a ainsi le format suivant :
$\left\{\begin{array}{clc}{W}_4=& W_0+g\left(W_3\right)& Avec g\left(\right) fonction non linéaire\\ W_5=& W_4+W_1& \\ W_6=& W_5+W_2& \\ W_7=& W_6+W_3& \end{array}\right.$

Le système ici est assez simple et se répétera à chaque itération de Key Schedule. (Pour la répétition suivante, W4 devient W0 et ainsi de de suite).
La somme se fait selon le schéma habituel, il s'agit d'une opération XOR (bit à bit) sur les deux blocs de 128 bits (somme dans GF(2)).
Le point important ici est la fonction g(). Elle s'applique donc sur un bloc de 4 octets et se décompose en 3 étapes
ici $g_1,g_2,g_3$ représente les 3 étapes de la fonction g() :

1. un décalage (similaire à un ShiftColumn) de 3 :
   $g_1\left(W_3\right)=g_1\left(V_{12}{V}_{13}{V}_{14}{V}_{15}\right)=V_{13}{V}_{14}{V}_{15}{V}_{12}$
   


2. On applique ensuite à chaque octet la transformation SubByte :
   $g_2\left(V_{13}{V}_{14}{V}_{15}{V}_{12}\right)=S\left(V_{13}\right)S\left(V_{14}\right)S\left(V_{15}\right)S\left(V_{12}\right)=V_{13}^{\text{'}}{V}_{14}^{\text{'}}{V}_{15}^{\text{'}}{V}_{12}^{\text{'}}$
   


3. On somme sur le premier octet un coefficient (puissance de 2 dans GF(2⁸) qui va dépendre de l'indice j de la répétition.
   $\begin{array}{rl}{g}_3\left(V_{13}^{\text{'}}{V}_{14}^{\text{'}}{V}_{15}^{\text{'}}{V}_{12}^{\text{'}}\right)=& V_{13}^{\text{'}}+R^{j-1} V_{14}^{\text{'}} V_{15}^{\text{'}} V_{12}^{\text{'}}\\ Avec R=& 0*X^7+0*X^6+0*X^5+0*X^4+0*X^3+0*X^2+1*X^1+0*X^0\end{array}$
   

Comme nous sommes toujours dans GF(2⁸), les puissances de ce polynôme sont restreintes par le polynôme caractéristique de l'AES, P (voir section Maths).
Ainsi on a :

Pour résumer on a donc les 128 bits qui sont réunis par groupe de 4 octets, le premier est sommé avec le troisième, modifié par g().
Tout les autres sont ensuite sommés avec l'élément précédent et l'élément équivalent dans la clé précédente.
Cela donne le schéma suivant :

Clés de 192 bits

le schéma pour la création des sous-clés de 192 bits est presque similaire :

Il y a cependant un élément à prendre en compte, il y a besoin d'aller jusqu'a $W_{51}$. Or, on créé a chaque fois 6 nouveaux éléments $(W_5\to W_{11})$.
On arrive donc à $W_{47}$, il ne faut donc que 4 élements supplémentaires $(W_{48}\to W_{51})$.
Pour la fonction g(), il s'agit toujours du dernier élement de la ligne précédente (le 6^ème parmis 6).
(Il serait possible de créer encore 6 éléments, mais 2 ne seraient jamais utilisés.)

Clés de 256 bits

le schéma pour la création des sous-clés de 256 bits est presque similaire :

De même que pour les clés de 192 bits, lors de la dernière itération il n'est nécessaire de créer que 4 éléments $(W_{56}\to W_{59})$.
On peut voir un ajout ici, il s'agit de la deuxième étape de la fonction g(), l'opération SubByte.

Réversibilité

L'AES étant symétrique, la même clé est utilisée pour le déchiffrement. Les mêmes Round Key (clé par itération) sont donc utilisées.
La différence va résider dans la création des clés, en effet, il y a deux manières de faire :

• Toutes les créer avant le chiffrement, ce qui peut prendre du temps (selon la taille de la clé)
• Les créer au fur et à mesure des itérations

Or, dans le cas du déchiffrement, on commence par utiliser la clé de la derniére itération.
En effet, on déchiffre dans l'ordre des couches, or la dernière itération utilisant la dernière clé, on est obligé de créer toutes les clés avant de pouvoir déchiffrer.