標準ではありません。レビューに公開中。

XAES-512 は、2007 年に初めて公開された Protectstar Extended AES を基礎としています。標準 AES で使用される 4×4 行列 (128 ビット) ではなく、4×16 状態行列 (512 ビット) を使用し、Rijndael の AddRoundKey、MixColumns、SubBytes S-box は変更せず保持します。一方で、ShiftRows オフセット、ラウンド数、鍵拡張は拡張されています。

現在、この名称は “Extended Algorithm, Enhanced Security.” を意味します。XAES-512 は FIPS 197 で定義される AES ではなく、その代替でもありません。

XAES-512 は、自由に選択できる複数の動作モードではなく、単一の認証付き構成を提供します。機密性は Counter mode (CTR) により提供され、完全性と真正性は Bellare–Namprempre に従う汎用合成としての Encrypt-then-MAC 方式で HMAC-SHA-512 により提供されます。認証タグは各復号の前に検証されます。

メッセージ形式は Wire Format v1 (プロファイル 0x02) として定義されています。関連データ (Associated Data) は認証に含まれます。

鍵は PBKDF2-HMAC-SHA-512 によりパスワードから導出されます。各メッセージにはランダム salt を使用し、220,000 回の反復を行います (プロファイル 0x02)。その後、HKDF-SHA-512 が暗号化用と認証用の鍵を分離します。パスワードは UTF-8 でエンコードされ Unicode NFC 正規化されるため、同一入力はプラットフォームをまたいで同じ鍵を生成します。

ヘッダーで送信される反復回数フィールドには上限があります (実装上の制限)。そのため、メッセージがタグ検証前に過剰な計算を強制することはできません。

ラウンド数は、文書に記載された Rijndael 由来の導出に従います。ブロックサイズと鍵サイズから得られる語数のうち大きい方が決定的です。512 ビットブロックでは 16 語 → 22 ラウンドとなり、プロファイル 0x02 は拡張 ShiftRows 構造に関連してさらに 2 ラウンドを追加し、合計 24 ラウンド になります。

Rijndael 仕様に基づく拡張 KeyExpansion プロセス:

KeyExpansion(byte Key[4*Nk], word W[Nb*(Nr+1)])
{
  for (i = 0; i < Nk; i++)
    W[i] = (Key[4*i], Key[4*i+1], Key[4*i+2], Key[4*i+3]);

  for (i = Nk; i < Nb*(Nr+1); i++) {
    temp = W[i-1];
    if (i % Nk == 0 || (i % Nk == 4 && Nk > 6))
      temp = SubByte(RotByte(temp)) ^ Rcon[i / Nk];
    else if ((i % Nk == 8 || i % Nk == 12) && Nk > 6)
      temp = SubByte(temp);
    W[i] = W[i-Nk] ^ temp;
  }
}

標準オフセット {0,1,2,3} では、512 ビット版は同梱の構造的拡散測定において 6 ラウンド後に初めて完全拡散に到達します。選択されたオフセット {0,1,4,5} は、この測定で 4 ラウンド後に到達します。

拡散に関する記述は、バンドル内の diffusion_check.py ツールで再現できます。core-kats.json ファイルには、core cipher 用の追加の既知解テストが含まれます。