CN114553397B

CN114553397B - 一种国密sm4分组密码算法的加密优化方法及装置

Info

Publication number: CN114553397B
Application number: CN202210134014.7A
Authority: CN
Inventors: 王美琴; 孙宇阳; 刘群; 张际福
Original assignee: Shandong University
Current assignee: Shandong University
Priority date: 2022-02-14
Filing date: 2022-02-14
Publication date: 2024-04-12
Anticipated expiration: 2042-02-14
Also published as: CN114553397A

Abstract

本发明提供了一种国密SM4分组密码算法的加密优化方法及装置，本发明采用了普及率最高的姚氏乱码电路协议作为安全多方计算协议，利用姚氏乱码电路协议的优化和SM4算法门电路实现的优化，能够实现SM4算法的安全多方加密，且减少线上交互规模，进而加快了运算速度，降低了运算成本。

Description

一种国密SM4分组密码算法的加密优化方法及装置

技术领域

本发明属于加密优化技术领域，具体涉及一种国密SM4分组密码算法的加密优化方法及装置。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着计算机网络和通信的高速发展，安全多方计算使用场景日益丰富，在电子选举、门限签名、电子拍卖等众多场景下都需要用到安全多方计算。SM4算法是商用分组密码算法标准，应用范围十分广泛。因此，利用安全多方计算高效地实现SM4算法加密不仅用途广泛，也是生产生活中的迫切需求。

但据发明人了解，目前互不信任的双方在不知道对方所掌握的消息下获得SM4加密后的密文过程较为复杂，具有较大的线上交互规模，运算速度低，运算成本高，且双方各自所持有的消息容易泄露。

发明内容

本发明为了解决上述问题，提出了一种国密SM4分组密码算法的加密优化方法及装置，本发明采用了普及率最高的姚氏乱码电路协议作为安全多方计算协议，利用姚氏乱码电路协议的优化和SM4算法门电路实现的优化，能够实现SM4算法的安全多方加密，且减少线上交互规模，进而加快了运算速度，降低了运算成本。

根据一些实施例，本发明采用如下技术方案：

一种国密SM4分组密码算法的加密优化方法，包括以下步骤：

每一轮加密过程中，对轮函数进行以下优化：

复用AES的S盒中的非线性变换部分作为SM4算法的S盒的非线性变换部分；

将非线性变换之前的仿射变换和线性变换合成一个仿射变换，将非线性变换之后的线性变换和仿射变换合成一个仿射变换；

通过启发式算法减少两个新的仿射变换所需的异或门个数；

将线性层部分转换为矩阵，并通过启发式算法减少门电路所需异或门个数。

作为可选择的实施方式，还包括利用ABY库作为姚氏乱码电路实现的平台，利用乱码行缩减技术、FreeXOR技术或半门技术对姚氏乱码电路进行优化的步骤。

作为进一步的限定，所述步骤与每一轮加密过程中，对轮函数进行的优化步骤并行。

作为可选择的实施方式，复用AES的S盒中的非线性变换部分作为SM4算法的S盒的非线性变换部分的具体过程包括：先对SM4算法的S盒的输入进行仿射变换，然后进入AES算法的S盒，再对AES算法的S盒的输出进行仿射变换，得到SM4算法的S盒的输出。

作为进一步的限定，对于AES算法的S盒，将求逆部分分解成一个顶层线性变换、非线性变换和一个底层线性变换的组合。

作为进一步的限定，所述启发式算法为启发式的贪心算法。

作为可选择的实施方式，将线性层部分转换为矩阵的具体过程包括，将线性变换用矩阵表示，使用启发式的贪心算法，找到减少异或门数量以实现线性变换的电路。

一种国密SM4分组密码算法的加密优化装置，包括：

非线性层优化模块，被配置为复用AES的S盒中的非线性变换部分作为SM4算法的S盒的非线性变换部分；将非线性变换之前的仿射变换和线性变换合成一个仿射变换，将非线性变换之后的线性变换和仿射变换合成一个仿射变换；通过启发式算法减少两个新的仿射变换所需的异或门个数；

线性层优化模块，被配置为将线性层部分转换为矩阵，并通过启发式算法减少门电路所需异或门个数。

一种电子设备，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成上述方法中的步骤。

一种计算机可读存储介质，用于存储计算机指令，所述计算机指令被处理器执行时，完成上述方法中的步骤。

与现有技术相比，本发明的有益效果为：

本发明采用了普及率最高的姚氏乱码电路协议作为安全多方计算协议。和传统的SM4算法的安全多方计算相比，本发明从两个方向进行优化，使得计算更加高效。

本发明采用ABY库方案，可以轻松的实现乱码行缩减、FreeXOR和Half Gate等目前对姚氏乱码电路优化的主流方案，不断降低查找表规模，把大量的线上交互运算转移到本地计算，大大减少了安全多方计算两方互相通信的消息量，从而提高了计算速度。

本发明通过对SM4算法门电路非线性层和线性层的优化，可以减少SM4算法电路实现中与门的数量，并减少其他门(异或门)数量。

本发明能够实现互不信任的双方在不知道对方所掌握的消息下获得SM4加密后的密文。不仅保证了SM4算法加密的正确性，也确保通信双方各自所持有的消息没有被泄露。因安全多方计算的高速发展和国密对称密码算法SM4算法的快速普及，新型SM4算法的姚氏乱码电路实现适用于科学研究和工商业等多种环境和场合。本发明不仅实现了SM4算法的安全多方加密，与传统实现方法相比，通过多种优化方式减少线上交互规模，进而加快了运算速度，降低了运算成本。

此外，本发明对电路的实现和优化方法具有简洁化、模块化、独立化等特征，密码技术人员能够快速了解本发明工作原理并熟练使用该工具。同时，本发明对电路的实现和优化方法对目前几乎所有的对称加密算法适用，可以将本发明的实现和优化方法移植到其他密码算法的安全多方计算和电路优化过程中。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本实施例的优化步骤示意图；

图2为本实施例的效果图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

首先进行术语解释，以使得本领域技术人员能够了解本发明的技术方案。

术语解释：

国密：SM4分组密码算法是我国政府采用的一种分组密码算法标准，由国家密码管理局发布，相关标准为GM/T 0002-2012《SM4分组密码算法》，已成为中国国家密码标准GB/T32907-2016。

分组密码：加密方与解密方有相同密钥的一种加密体制，同一个密钥可以同时用作消息的加密和解密。

姚氏乱码电路：安全多方计算允许一个群组在不披露任意参与方私有输入的条件下实现联合计算。姚氏乱码电路协议是众多安全多方计算协议中普及率最高的协议。

另外，介绍一下必要背景技术：

在密码学中，分组密码是一种对固定长度的比特组进行加密的确定性算法，也是许多密码算法协议设计中的基本组件，并被广泛地应用于加密大量数据。分组密码采用单个密钥，即同一个密钥可以同时用于加密和解密，加密方和解密方持有同一个密钥。

SM4算法分组长度为128比特，密钥长度为128比特，加密算法与密钥扩展算法均采用了非线性迭代结构，运算轮数为32轮。数据解密和数据加密的算法结构相同，只是轮密钥使用顺序相反，解密轮密钥是加密轮密钥的逆序。

设输入为X₀，X₁，X₂，X₃，每个X_i(i＝0,1,2,3)都是32比特，轮密钥rk为32比特，则轮函数F可表示为：

其中表示32比特异或。T是一个可逆变换，由非线性变换τ和线性变换L复合而成。

非线性变换τ由4个并行的S盒组成。S盒为固定的8比特输入8比特输出的置换，记为Sbox(·)。设输入为A＝(a₀，a₁，a₂，a₃)，每个a_i(i＝0，1，2，3)为8比特，输出为B＝(b₀，b₁，b₂，b₃)，每个b_i(i＝0，1，2，3)为8比特，则：

(b₀，b₁，b₂，b₃)＝τ(A)＝(Sbox(a₀)，Sbox(a₁)，Sbox(a₂)，Sbox(a₃))

Sbox数据为：

线性变换L的输入是非线性变换τ的输出。设输入B为32比特，输出C为32比特，则：

其中＜＜＜代表左循环移位。

加密算法：

设明文输入为(X₀，X₁，X₂，X₃)，密文输出为(Y₀，Y₁，Y₂，Y₃)，轮密钥为rk_i，i＝0，1，2，...，31，则加密算法运算过程如下：

X_i+4＝F(X_i，X_i+1，X_i+2，X_i+3，rk_i)，i＝0，1，2，...，31

然后再经过反序变换得到密文：

(Y₀，Y₁，Y₂，Y₃)＝(X₃₅，X₃₄，X₃₃，X₃₂)

解密算法：

解密算法与加密算法结构相同，不同的是轮密钥使用顺序反序。

密钥扩展算法：

设初始密钥为MK＝(MK₀，MK₁，MK₂，MK₃)，MK_i(i＝0，1，2，3)为32比特，初始密钥异或系统参数后，进入轮函数。轮函数与加密算法轮函数类似，但线性变换稍有不同。

安全多方计算允许一个群组在不披露任意参与方私有输入的条件下实现联合计算。参与方约定一个待计算的函数，随后应用安全多方计算协议，将每个人的秘密输入协议中，联合计算得到函数的输出，同时不泄露私有输入。安全多方计算最早由姚期智教授于20世纪80年代提出，并同时提出了姚氏乱码电路(GC)协议。姚氏乱码电路是最基础和广为人知的安全多方计算协议。姚氏乱码电路协议将函数表示为查找表，假设电路生成方和电路计算方各拥有一个门的一个输入，对于一个门的两个输入比特，电路生成方随机选择两个密钥，并用这两个密钥加密这个门的输出比特，生成一个查找表，再经过随机置换后发送给电路计算方。电路计算方通过不经意传输获得对应密钥完成解密从而进行解密获得这个门输出的真实值，且电路计算方无法获得电路生成方的输入值。

下面介绍本发明的主要内容：

第一个方向是姚氏乱码电路协议的优化。本发明采用ABY库方案，可以轻松的实现乱码行缩减、FreeXOR和Half Gate等目前对姚氏乱码电路优化的主流方案，不断降低查找表规模，把大量的线上交互运算转移到本地计算，大大减少了安全多方计算两方互相通信的消息量，从而提高了计算速度。

第二个方向是SM4算法门电路实现的优化。姚氏乱码电路协议的运行时间主要受电路中门的数量的影响，特别是与门数量。因此本发明着重减少SM4算法电路实现中与门的数量，然后减少其他门(异或门)数量。对于SM4算法轮函数中的非线性层部分，本发明利用高级加密标准AES算法的S盒和SM4算法S盒结构相似这一特点，将SM4算法的S盒表示成：对输入进行仿射变换，经过AES的S盒，再进行仿射变换的形式，最终可以使用116个门(包含与门、异或门、非门，其中32个为与门，84个为异或门，非门不计数)实现SM4算法的S盒门电路。AES的S盒可以表示成线性变换+非线性变换+线性变换的形式。因此，本发明选择复用AES的S盒中的非线性变换部分，然后将非线性变换之前的仿射变换和线性变换合成一个仿射变换，将非线性变换之后的线性变换和仿射变换合成一个仿射变换，再通过启发式算法减少实现这两个新的仿射变换所需的异或门个数。对于SM4算法轮函数中的线性层部分，本发明将其转换成矩阵之后，通过启发式算法减少实现其门电路所需异或门个数，从原来所需128个异或门减少到88个。

具体实现过程如图1所示：

在第一个方向，即姚氏乱码电路协议的优化上，在姚氏乱码电路中，电路生成方对每一条导线w_i指定两个密钥和/>分别代表真实值为0和1时的密钥。而对整个布尔电路，每个门的输入导线w_i，w_j,输出w_t,电路生成方构建加密查找表：

G表示相应门输出的真实值，目前一般采用哈希函数实现加密算法Enc。为了便捷的采用目前对姚氏乱码电路优化的多种方法，本实施例采用ABY库作为姚氏乱码电路实现的基本框架，并简单介绍采用的三种目前主流的对姚氏乱码电路的优化方法。

第一种为乱码行缩减技术，将查找表中的加密算法替换为对输入导线的级联求哈希值，再异或输出导线的密钥，即：

然后适当的选择k_t的值，使得乱码表四个密文中的第一个密文(经过标志置换排序后的第一个密文)永远为0，因此电路生成方不再需要向电路计算方发送第一个密文。

第二种为FreeXOR技术，该技术要求姚氏乱码电路生成所有导线的两个密钥时，这两个密钥的偏移量(异或值)相等。对于一个异或门，异或门的输出导线的密钥分别为两个输入导线的密钥的异或值。因此，电路计算方获得一个异或门的两个输入的密钥后，可以不需任何加解密处理直接获得输出导线的密钥。FreeXOR技术使得所有异或门的查找表规模降为0，大大减少了线上交互信息量，显著提高计算速度。

第三种为半门技术，为对与门优化的一个技术，且与FreeXOR技术兼容。半门技术将每个与门表示成两个半门的异或的结果。每个半门都是一个与门，且参与方之一已知此半门的一个输入。半门的乱码表包含2个密文，应用乱码行缩减技术可减少为1个，因此可以使用两个密文表示与门的查找表。

考虑到如果安全多方计算中的一方知道SM4算法加密的密钥，那么他可以在本地计算所有的轮密钥，而不需要与其他方进行线上交互，从而大大减少线上交互成本和计算时间，所以我们以此作为安全多方计算的场景，这也是实际中最常见的场景，即：电路生成方拥有明文，电路计算方拥有密钥，电路计算方在不知道明文的情况下获得SM4算法加密之后的密文。因此，在本发明中，电路计算方拥有密钥，并在本地运行密钥扩展算法获得轮密钥，再通过不经意传输(Oblivious Transfer)协议获得对应的密钥(导线标签)值。

SM4算法采用了广义Feistel结构，每一轮加密都是对自身状态的一个迭代变化，所以我们考虑轮函数中各组件的优化情况。在轮函数中，我们主要针对S盒(非线性层τ)和线性层进行优化。

在第二个方向，即SM4算法门电路实现的优化上：

SM4算法采用了广义Feistel结构，每一轮加密都是对自身状态的一个迭代变化，所以我们考虑轮函数中各组件的优化情况。在轮函数中，本实施例主要针对S盒(非线性层τ)和线性层进行优化。

首先，优化S盒：

SM4算法的S盒，是对输入进行一个仿射变换，然后对结果在不可约多项式上求逆，再进行仿射变换。而AES算法的S盒是对输入在不可约多项式上求逆再进行仿射变换。因此两个算法S盒的构造方式非常相似。因此，可以利用AES算法的S盒的门电路实现方式，进行改造，以获得SM4算法的S盒的电路实现。具体来说，先对SM4算法的S盒的输入进行仿射变换，然后进入AES算法的S盒，再对AES算法的S盒的输出进行仿射变换，即可得到SM4算法的S盒的输出。即：

S_sm4(x)＝M₂·S_aes(M₁.x+C₁)+C₂

M₁和M₂是在F(2)上8×8的矩阵，x、C₁和C₂是在F(2)上的列向量。具体值如下：

对于AES算法的S盒，可以将求逆部分分解成一个顶层线性变换、非线性变换、一个底层线性变换的组合。具体结构如下：

S_aes(x)＝B·F(U·x)+T

其中，U为顶层线性变换，可以表示成一个F(2)上22×8的矩阵。F为非线性变换，输入为22比特，输出为18比特，包含了32个与门和30个异或门。B为底层线性变换，可以表示成一个F(2)上8×18的矩阵。T＝[11000110]^T。U和B的具体值如下：

将AES算法的S盒的表达式带入到SM4算法的S盒中，可以得到：

S_sm4(x)＝(M₂·B)·F·((U·M₁)·x+U·C₁)+M₂·T+C₂

我们可以将M₂·B合成一个F(2)上8×18矩阵，将U·M₁合成一个F(2)上22×8的矩阵。具体值如下：

U·C₁＝[1 1 1 1 1 1 0 1 0 0 1 0 0 0 0 1 0 1 0 1 0 0]^T

M₂·T+C₂＝[1 1 0 1 0 0 1 1]^T

然后我们寻找实现U·M₁和M₂·B这两个线性变换的异或门尽可能少的电路。使用启发式的贪心算法，我们寻找到一个23个异或门实现U·M₁的电路和一个31个异或门实现M₂·B的电路。因此使用116个门(其中32个与门，84个异或门)可实现SM4算法的S盒的电路。

线性层的优化：

线性变换L的输入是非线性变换τ的输出。设输入B为32比特,输出C为32比特，则:

其中<<<代表左循环移位。因此，原始的一次轮函数的线性变换需要128个异或门。为了尽可能的减少异或门的个数，提高协议运行速度，我们把线性变换用矩阵表示，然后使用与上一节相同的启发式的贪心算法，找到了一条88个异或门实现线性变换的电路。线性变换的矩阵表示如下：

指定交互的两方分别为电路生成方SERVER和电路计算方CLIENT。电路生成方拥有SM4加密的明文，电路计算方拥有SM4加密的密钥，并在本地计算出轮密钥。对于轮密钥所对应的比特，电路计算方CLIENT通过不经意传输协议获得电路生成方SERVER产生的密钥。分别在程序中输入明文和密钥，将自动完成CLIENT和SERVER两方的交互并得到密文。

如图2所示，左边终端作为电路生成方SERVER，右边终端作为电路计算方CLIENT。为了尽可能避免网络时延的影响，在本实施例中，使用localhost(127.0.0.1)，端口7766实现双方通信。我们采用国家标准GB/T39207-2016提供的SM4算法的运算示例，电路生成方拥有128比特明文0x0123456789abcdeffedcba9876543210，电路计算方拥有128比特密钥0x0123456789abcdeffedcba9876543210，电路生成方和电路计算方分别经过1.01秒和0.97秒获得密文0x681edf34d206965e86b3e94f536e4246。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims

1.一种国密SM4分组密码算法的加密优化方法，其特征是，包括以下步骤：

每一轮加密过程中，对轮函数进行以下优化：

通过启发式算法减少两个新的仿射变换所需的异或门个数；

将线性层部分转换为矩阵，并通过启发式算法减少门电路所需异或门个数；

以及，利用ABY库作为姚氏乱码电路实现的平台，利用乱码行缩减技术、Free XOR技术或半门技术对姚氏乱码电路进行优化的步骤；

复用AES的S盒中的非线性变换部分作为SM4算法的S盒的非线性变换部分的具体过程包括：先对SM4算法的S盒的输入进行仿射变换，然后进入AES算法的S盒，再对AES算法的S盒的输出进行仿射变换，得到SM4算法的S盒的输出；

对于AES算法的S盒，将求逆部分分解成一个顶层线性变换、非线性变换和一个底层线性变换的组合；

将线性层部分转换为矩阵的具体过程包括，将线性变换用矩阵表示，使用启发式的贪心算法，找到减少异或门数量以实现线性变换的电路。

2.如权利要求1所述的一种国密SM4分组密码算法的加密优化方法，其特征是，所述步骤与每一轮加密过程中，对轮函数进行的优化步骤并行。

3.一种国密SM4分组密码算法的加密优化装置，其特征是，包括：

线性层优化模块，被配置为将线性层部分转换为矩阵，并通过启发式算法减少门电路所需异或门个数，将线性层部分转换为矩阵的具体过程包括，将线性变换用矩阵表示，使用启发式的贪心算法，找到减少异或门数量以实现线性变换的电路；

以及，姚氏乱码电路优化模块，被配置为利用ABY库作为姚氏乱码电路实现的平台，利用乱码行缩减技术、Free XOR技术或半门技术对姚氏乱码电路进行优化。

4.一种电子设备，其特征是，包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令，所述计算机指令被处理器运行时，完成权利要求1-2中任一项所述的方法中的步骤。

5.一种计算机可读存储介质，其特征是，用于存储计算机指令，所述计算机指令被处理器执行时，完成权利要求1-2中任一项所述的方法中的步骤。