SM4国密算法

差分攻击2

要补一下之前巅峰极客SM4那题的坑。我们先来看SM4算法

SM4

SM4密码算法是我国自主设计的分组对称密码算法，用于实现数据的加密/解密运算，以保证数据和信息的机密性。

该算法的分组长度为128位（即16字节，4字），密钥长度为128位（即16字节，4字）。
加密算法与密钥扩展算法都采用32轮非线性迭代结构。
密钥扩展算法：将加密密钥变换为轮密钥的运算单元。
数据解密和数据加密的算法结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。

加密过程图

SM4的分组长度为4字，因此，其输入的是4字明文 $(X_0,X_1,X_2,X_3)$ ，加密后输出4字密文 $(Y_0,Y_1,Y_2,Y_3)$ 。加密过程分为两步，由32次轮迭代和1次反序变换组成。

32次轮迭代

我们现在给了4字明文 $(X_0,X_1,X_2,X_3)$ ，第一轮迭代就是使用前4字明文和第一轮的轮密钥计算第5个字： $X_4=F(X_0,X_1,X_2,X_3,rk_0)$ ，第二轮迭代就是计算第6个字 $X_5=F(X_1,X_2,X_3,X_4,rk_1)$ ，以此类推。最终我们得到了36个字。

F函数

$F(X_i,X_{i+1},X_{i+2},X_{i+3},rk_i)=X_i\bigoplus T(X_{i+1}\bigoplus X_{i+2}\bigoplus X_{i+3}\bigoplus rk_i)$ ， $T$ 为合成置换。

合成置换 $T$ :

合成置换 $T$ 接受1字的输入 $A$ ，得到1字的输出 $C$ 。它包含非线性变换 $\tau$ 和线性变换 $L$ ，即 $C=T(A)=L(\tau(A))$ 。
1. 非线性变换 $\tau$ ：
  
  非线性变换接受1字的输入，记为 $A=(a_0,a_1,a_2,a_3)$ ，输出为1字的结果，记为 $B=(b_0,b_1,b_2,b_3)$ 。
  
  非线性变换就是对输入参数的每个字节进行S盒变换，得到输出结果。S盒作用和AES中的类似，就是替换字节。
2. 线性变换 $L$ :
  
  运算公式如下
  
  其中<<<为循环位移

经过这两种变换，就完成了一次轮迭代，计算出了下一个字的内容。

反序变换

加密过程的第二步是一次简单的反序变换。将迭代最后得到的四个字 $(X_{32},X_{33},X_{34},X_{35})$ 进行反序，得到最终的密文 $(Y_0,Y_1,Y_2,Y_3)=(X_{35},X_{34},X_{33},X_{32})$ .

SM4密钥扩展算法

SM4的密钥为128位(4字)，经过密钥扩展，获得32个1字的轮密钥。记原密钥为 $MK=(MK_0,MK_1,MK_2,MK_3)$ 。

Step1：与系统参数异或——初始化密钥

首先需要让原始密钥的每个字 $MK_i$ 与系统参数 $FK_i$ 异或，得到四个新的字 $(K_0,K_1,K_2,K_3)$ 。

系统参数取值如下：

Step2：轮迭代生成轮密钥

迭代方法

和加密过程类似，需要进行32次轮迭代，生成32个轮密钥。

第一轮迭代：

这里， $T'$ 类似于之前的 $T$ ， $CK_0$ 是固定参数。

第二轮迭代和第一轮类似，下面我们给出迭代的通式

置换T'

其中 $\tau()$ 函数和加密过程中的是一样的。

$L'$ 是个线性变换函数：

$CK_i$ 的取值

一共有32个 $CK_i$ ，即计算每一轮的轮密钥均需要不同的 $CK_i$ 。

$CK_i$ 的长为1字，即4字节，记为 $CK_i=(ck_{i,0},ck_{i,1},ck_{i,2},ck_{i,3})$ 。其中 $ck_{i,j}=7(4i+j)\quad(mod \ \ 256)$ 。

于是我们得到 $CK_i$ 的具体值：

00070E15	1C232A31	383F464D	545B6269
70777E85	8C939AA1	A8AFB6BD	C4CBD2D9
E0E7EEF5	FC030A11	181F262D	343B4249
50575E65	6C737A81	888F969D	A4ABB2B9
C0C7CED5	DCE3EAF1	F8FF060D	141B2229
30373E45	4C535A61	686F767D	848B9299
A0A7AEB5	BCC3CAD1	D8DFE6ED	F4FB0209
10171E25	2C333A41	484F565D	646B7279