CN104065473A - Sm4分组密码算法s盒的紧凑实现方法 - Google Patents

Abstract

SM4分组密码算法S盒的紧凑实现方法，涉及加密技术。本发明包括下述步骤：1)将有限域GF(2⁸)中的元素从标准表示转换为用复合域方法表示；2)将用复合域方法表示的有限域元素用复合域方法求其逆元；3)将所求出的逆元从复合域表示转换为有限域GF(2⁸)中的标准表示；4)将步骤3)的结果与一个常量进行异或运算。本发明的有益效果是，实现本发明的方法所需要的电路面积更小，在SMIC0.18um工艺下，用查找表方法实现SM4算法的S盒需要655个与非门，用文献1中的方法实现SM4算法的S盒需要402个与非门，用本发明的方法实现SM4算法的S盒需要278个与非门。根据现有文献记载，本发明是目前所需电路面积最小的实现方法。

Description

SM4分组密码算法S盒的紧凑实现方法

技术领域

本发明涉及加密技术。

技术背景

SM4算法是国家商用密码管理办公室于2006年公布的分组密码算法，是国内官方公布的第一个商用密码算法。

S盒是SM4算法中唯一的非线性运算部件，由于它作用于每一轮的加解密运算，也作用于密钥扩展，因此，S盒的硬件实现对整个SM4算法的硬件实现性能、电路面积、功耗等有一定的影响。

智能卡和RFID标签是资源十分有限的系统。因此，在智能卡和RFID标签上实现SM4算法时，应尽量减少的电路面积。因为，S盒的电路面积对整个SM4算法的电路面积影响比较大，所以，应该尽量较小S盒的电路面积。

到目前为止，只在参考文献1中，白雪飞等提出了一种适合于SM4算法S盒的硬件实现方法，但是该实现方法所选择的参数不是很优，因此需要的电路面积还是比较大。

参考文献1：徐艳华，白雪飞，郭立。适合SMS4算法硬件实现的S盒构造新方法，中国科学技术大学学报，第39卷第11期，2009年11月。

发明内容

本发明解决所述技术问题采用的技术方案是，SM4分组密码算法S盒的紧凑实现方法，其特征在于，包括下述步骤：

1)将有限域GF(2⁸)中的元素从标准表示转换为用复合域方法表示；

2)将用复合域方法表示的有限域元素用复合域方法求其逆元；

3)将所求出的逆元从复合域表示转换为有限域GF(2⁸)中的标准表示；

4)将步骤3)的结果与一个常量进行异或运算。

进一步的，所述步骤1)包括以下子步骤：

1.1)将有限域GF(2⁸)中用标准表示法表示的元素A乘以矩阵M1，其中A是GF(2)上长度为8的向量，M1是GF(2)上8行8列的矩阵；

1.2)将A乘以M1的积再与常量C1进行异或运算，其中C1是长度为8的GF(2)上的向量。

所述步骤2)包括以下子步骤：

2.1)利用布尔函数的性质优化运算(a*b)⊕(a*b)²*N，其中a表示求逆运算的8比特输入的高4比特，b表示求逆运算的8比特输入的低4比特，N是一个4比特的常数向量，⊕表示异或运算，*表示GF(16)的乘法运算，记c＝(a*b)⊕(a*b)²*N；

2.2)在GF(16)中计算c的逆元，记该逆元为d；

2.3)在GF(16)中计算b与d的乘积，将此乘积记为p；

2.4)在GF(16)中计算a与d的乘积，将此乘积记为q；

2.5)将p作为高4比特，将q作为低4比特，组合成一个8比特的向量Q，作为求逆运算的结果。

所述步骤3)为：

将求逆输出Q乘以一个GF(2)上的8行8列的矩阵M2。

所述步骤4)为：将步骤3)运算结果与一个GF(2)上的长度为8的向量C2进行异或运算。

本发明的有益效果是，实现本发明的方法所需要的电路面积更小，在SMIC0.18um工艺下，用查找表方法实现SM4算法的S盒需要655个与非门，用文献1中的方法实现SM4算法的S盒需要402个与非门，用本发明的方法实现SM4算法的S盒需要278个与非门。根据现有文献记载，本发明是目前所需电路面积最小的实现方法。

具体实施方式

S盒是SMS4算法中唯一的非线性运算，它一般的实现方法是用查找表的形式，S盒的代换规则如下：以输入的前半字节为行号，后半字节为列号，行列交叉点处的数据即为S盒的输出。假设输入为‘0x01’，则行号为0，列号为1，经过非线性变换S盒后的值为S盒第0行第1列的交叉点的值，即Sbox(0x01)＝0x90，如表1所示，表中数据均采用十六进制表示。

表1

采用查找表方法实现SM4算法的S盒在SMIC0.18um工艺库下需要665个逻辑门。本发明的实现方法不同于一般的实现方法，而是采用了有限域中的复合域计算方法，该实现方法在SMIC0.18um工艺库下只需要278个逻辑门，大约是采用查找表实现方法所需逻辑门的42％，大大减小了电路的面积。

具体的说，本发明提供SM4分组密码算法S盒的紧凑实现方法，包括下述步骤：

1、将有限域GF(2⁸)中的元素从标准表示转换为用复合域方法表示；

2、将用复合域方法表示的有限域元素用复合域方法求其逆元；

3、将所求出的逆元从复合域表示转换为有限域GF(2⁸)中的标准表示；

4、将步骤③的结果与一个常量进行异或运算。

所述步骤1进一步包括以下子步骤：

1.1将有限域GF(2⁸)中用标准表示法表示的元素A乘以矩阵M1，其中A是GF(2)上长度为8的向量，M1是GF(2)上8行8列的矩阵，矩阵M1具体表示为

$M1=\left(\begin{array}{cccccccc}0& 1& 0& 0& 0& 0& 0& 0\\ 1& 0& 1& 0& 1& 1& 0& 1\\ 1& 0& 1& 1& 0& 0& 1& 1\\ 0& 0& 1& 0& 1& 1& 1& 1\\ 1& 0& 0& 0& 0& 0& 0& 0\\ 0& 0& 0& 1& 1& 0& 0& 0\\ 1& 1& 1& 1& 0& 0& 1& 0\\ 0& 0& 0& 0& 1& 1& 0& 1\end{array}\right)$

A乘以M1的具体运算为

A*M1＝(0,a₆,0,0,0,0,0,0)⊕(a₇,0,a₅,0,a₃,a₂,0,a₀)⊕(a₇,0,a₅,a₄,0,0,a₁,a₀)⊕(0,0,a₅,0,a₃,a₂,a₁,a₀)⊕(a₇,0,0,0,0,0,0,0)⊕(a₇,a₆,0,a₄,a₃,0,0,0)⊕(a₇,a₆,a₅,a₄,0,0,a₁,0)⊕(0,0,0,0,a₃,a₂,0,a₀)，

其中A＝(a₇,a₆,a₅,a₄,a₃,a₂,a₁,a₀)，⊕表示异或运算。

1.2将A乘以M1的积再与常量C1进行异或运算，其中C1是长度为8的GF(2)上的向量，并且C1＝(0,0,1,0,1,0,0,0)。

所述步骤2进一步包括以下子步骤：

2.1利用布尔函数的性质优化运算(a*b)⊕(a*b)²*N，其中a表示求逆运算的8比特输入的高4比特，b表示求逆运算的8比特输入的低4比特，N是一个4比特的常数向量，⊕表示异或运算，*表示GF(16)的乘法运算，记c＝(a*b)⊕(a*b)²*N，c是一个长度为4的二元向量，可表示为c＝(c₃,c₂,c₁,c₀)，其具体的计算过程为：

$\begin{array}{c}{c}_3=\{~[(a_3\⊕a_2\⊕a_1\⊕a_0)\left|(b_3\⊕b_2\⊕b_1\⊕b_0)\right]\}\⊕\{~\left[(a_3\⊕a_1)\right|(b_3\⊕b_1)\left]\right\}\\ \⊕\{~[(a_3\⊕a_2)\left|(b_3\⊕b_2)\right]\}\⊕\{~(a_2\⊗b_2)\};\end{array}$

$\begin{array}{c}{c}_2=\{~[(a_3\⊕a_2\⊕a_1\⊕a_0)\left|(b_3\⊕b_2\⊕b_1\⊕b_0)\right]\}\⊕\{~\left[(a_2\⊕a_1)\right|(b_2\⊕b_0)\left]\right\}\\ \⊕\{~[\left(a_2\right|a_2)\left]\right\}\⊕\{~(a_3\⊗b_3)\};\end{array}$

$\begin{array}{c}{c}_1=\{~[(a_3\⊕a_1)\left|(b_3\⊕b_1)\right]\}\⊕\{~\left[a_0\right|b_0\left]\right\}\⊕\{~[(a_3\⊕a_2\⊕a_1\⊕a_0)\⊗(b_3\⊕b_2\⊕b_1\⊕b_0)\left]\right\}\\ \⊕\{~[\left(a_1{\⊕a}_0\right)\left](b_1\⊕b_0)\right\};\end{array}$

$\begin{array}{c}{c}_0=\{~[(a_3\⊕a_2\⊕a_1\⊕a_0)\left|(b_3\⊕b_2\⊕b_1\⊕b_0)\right]\}\⊕\{~\left(a_0\right|b_0)\}\\ \⊕\{~[(a_1\⊕b_1)\left]\right\}\⊕\{~(a_2\⊗a_0)\⊗(b_2\⊕b_0)\};\end{array}$

其中，～表示取反运算，⊕表示异或运算，表示与运算，|表示或运算；

2.2在GF(16)中计算①中c的逆元，记逆元为d，并记c＝(c₃,c₂,c₁,c₀)，

d＝(d₃,d₂,d₁,d₀)，则d的具体计算为：

t＝(t₁,t₀)，

其中， $t_1=\{~[(c_3\⊕c_2)\⊗(c_1\⊕c_0)\left]\right\}\⊕[~\left(c_2\right|c_0)],t_0=[~(c_2\⊗c_0)]\⊕[~\left(c_3\right|c_1)];$

$d_3=[(t_1\⊕t_0)\⊗c_0]\⊕[t_0\⊗(c_1\⊕c_0)],d_2=[(t_1\⊕t_0)\⊗c_0]\⊕[t_1\⊗c_1],$

$d_1=[(t_1\⊕t_0)\⊗c_2]\⊕[t_0\⊗(c_3\⊕c_2)],d_0=[(t_1\⊕t_0)\⊗c_2]\⊕[t_1\⊗c_3];$

2.3在GF(16)中计算①中b与②中d的乘积，将此乘积记为p，其具体计算为：

2.4在GF(16)中计算①中a与②中d的乘积，将此乘积记为q，具体计算为：

2.5将步骤2.3中的p作为高4比特，将步骤2.4中q作为低4比特，组合成一个8比特的向量Q，作为求逆运算的结果，求逆运算的具体结果为Q＝(p₃,p₂,p₁,p₀,q₃,q₂,q₁,q₀)。

所述步骤3为：将步骤2.5的求逆输出Q乘以一个GF(2)上的8行8列的矩阵M2，其中矩阵M2为：

$M2=\left(\begin{array}{cccccccc}1& 0& 1& 0& 1& 0& 0& 0\\ 1& 0& 0& 0& 1& 0& 1& 0\\ 1& 1& 1& 1& 1& 0& 0& 0\\ 0& 1& 0& 0& 1& 1& 0& 0\\ 0& 0& 0& 1& 1& 0& 0& 0\\ 0& 0& 0& 0& 1& 1& 1& 1\\ 1& 0& 1& 1& 1& 1& 0& 0\\ 0& 0& 0& 0& 0& 0& 1& 0\end{array}\right),$

Q乘以M2的具体计算为：

Q*M1＝(p₃,0,p₁,0,q₃,0,0,0)⊕(p₃,0,0,0,q₃,0,q₁,0)⊕(p₃,p₂,p₁,p₀,q₃,0,0,0)⊕(0,0,p₁,0,q₃,q₂,0,0)⊕(0,0,0,p₀,q₃,0,0,0)⊕(0,0,0,0,q₃,q₂,q₁,q₀)⊕(p₃,0,p₁,p₀,q₃,q₂,0,0)⊕(0,0,0,0,0,0,q₁,0)，

其中Q＝(p₃,p₂,p₁,p₀,q₃,q₂,q₁,q₀)，⊕表示异或运算。

所述步骤4为：将步骤3的运算结果与一个GF(2)上的长度为8的向量C2进行异或运算，其中向量C2＝(1,1,0,1,0,0,1,1)。

本发明属于对现有的加密算法的改进，其效果主要在于使实现电路紧凑化。说明书已经详细说明了本发明的原理和必要技术内容，普通技术人员能够依据说明书实施本发明，故不再赘述更具体的细节。

Claims (5)

1.SM4分组密码算法S盒的紧凑实现方法，其特征在于，包括下述步骤：

1)将有限域GF(2⁸)中的元素从标准表示转换为用复合域方法表示；

2)将用复合域方法表示的有限域元素用复合域方法求其逆元；

3)将所求出的逆元从复合域表示转换为有限域GF(2⁸)中的标准表示；

4)将步骤3)的结果与一个常量进行异或运算。

2.根据权利要求1所述的SM4算法S盒的紧凑实现方法，其特征在于，所述步骤1)包括以下子步骤：

1.1)将有限域GF(2⁸)中用标准表示法表示的元素A乘以矩阵M1，其中A是GF(2)上长度为8的向量，M1是GF(2)上8行8列的矩阵；

1.2)将A乘以M1的积再与常量C1进行异或运算，其中C1是长度为8的GF(2)上的向量。

3.如权利要求1所述的SM4分组密码算法S盒的紧凑实现方法，其特征在于：

所述步骤2)包括以下子步骤：

2.1)利用布尔函数的性质优化运算(a*b)⊕(a*b)²*N，其中a表示求逆运算的8比特输入的高4比特，b表示求逆运算的8比特输入的低4比特，N是一个4比特的常数向量，⊕表示异或运算，*表示GF(16)的乘法运算，记c＝(a*b)⊕(a*b)²*N；

2.2)在GF(16)中计算c的逆元，记该逆元为d；

2.3)在GF(16)中计算b与d的乘积，将此乘积记为p；

2.4)在GF(16)中计算a与d的乘积，将此乘积记为q；

2.5)将p作为高4比特，将q作为低4比特，组合成一个8比特的向量Q，作为求逆运算的结果。

4.如权利要求3所述的SM4分组密码算法S盒的紧凑实现方法，其特征在于：

所述步骤3)为：

将求逆输出Q乘以一个GF(2)上的8行8列的矩阵M2。

5.如权利要求4所述的SM4分组密码算法S盒的紧凑实现方法，其特征在于：

所述步骤4)为：将步骤3)运算结果与一个GF(2)上的长度为8的向量C2进行异或运算。