CN107800530B

CN107800530B - 一种sms4的s盒掩码方法

Info

Publication number: CN107800530B
Application number: CN201711248215.5A
Authority: CN
Inventors: 张宇
Original assignee: Giantec Semiconductor Corp
Current assignee: Giantec Semiconductor Corp
Priority date: 2017-11-28
Filing date: 2017-11-28
Publication date: 2020-09-18
Anticipated expiration: 2037-11-28
Also published as: CN107800530A

Abstract

本发明公开了一种SMS4的S盒掩码方法，其包含，设x为S盒的输入，为提高安全性加入随机掩码mask，所述的SMS4的S盒掩码方法包含以下步骤：S1、计算L₁(mask)，若为0，则重新选择掩码值mask直到L₁(mask)的计算结果不为0；S2、计算data1＝L₁(x+mask)+c₁；S3、对线性部分进行布尔掩码，对模逆部分I进行带假密钥的乘法掩码，计算I(data1)＝I(L₁(x)+L₁(mask))，得到data2＝I(L₁(x))+L₁(mask)；S4、计算Sbox(x)＝L₁(data2)+L₁(L₁(mask))+c₁。其优点是：可以实现SMS4的全掩码，并且比查表法所占面积较现有技术更小，而且也易于实现。

Description

一种SMS4的S盒掩码方法

技术领域

本发明涉及一种SMS4的S盒掩码方法。

背景技术

SMS4分组加密算法是中国无线标准中使用的分组加密算法，在2012年已经被国家商用密码管理局确定为国家密码行业标准。

SMS4的S盒是整个SMS4的非线性环节，S盒保证了整个算法的安全性，目前，在标准算法文档中只给出了S盒的查找表，并没有给出S盒的代数表达式，但是，已经有相关论文分析出了S盒在GF(2⁸)的代数表达式：

其中：L₁(x)＝A₁*x+c₁；I为在GF(2⁸)的模逆；

不可约多项式为：f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x²+1。

目前SMS4在S盒的实现上主要采用固定掩码方式，而固定掩码缺点是显而易见的：首先掩码值是固定的，因为一张表对应一个固定掩码值，所以采用全掩码方案时，查表法所占面积会很大。

发明内容

本发明的目的在于提供一种SMS4的S盒掩码方法，可以实现SMS4的全掩码，并且查表法所占面积较现有技术更小，而且也易于实现。

为了达到上述目的，本发明通过以下技术方案实现：

一种SMS4的S盒掩码方法，其特征是，设x为S盒的输入，为提高安全性加入随机掩码mask，所述的SMS4的S盒掩码方法包含以下步骤：

S1、计算L₁(mask)，若为0，则重新选择掩码值mask直到L₁(mask)的计算结果不为0；

S2、计算data1＝L₁(x+mask)+c₁；

S3、对线性部分进行布尔掩码，对模逆部分I进行带伪轮密钥FKEY的乘法掩码，计算I(data1)＝I(L₁(x)+L₁(mask))，得到data2＝I(L₁(x))+L₁(mask)；

S4、计算Sbox(x)＝L₁(data2)+L₁(L₁(mask))+c₁。

上述的SMS4的S盒掩码方法，其中，所述的步骤S3中通过乘法掩码与FKEY校验对于模逆部分I的掩码的过程具体包含：

S30、设计算模逆输入为x+rand，输出为x^-1+rand，rand＝L₁(mask)，rand为输入时加入的布尔掩码；

S31、计算(x+rand)×rand；

S32、计算(x+rand)×rand+rand²＝x×rand；

S33、向后级电路传递x^-1×rand^-1；

S34、计算x^-1×rand^-1+1；

S35、计算(x^-1×rand^-1+1)×rand＝x^-1+rand。

上述的SMS4的S盒掩码方法，其中：所述的步骤S33中向后级电路传递x^-1×rand^-1前还包含FKEY校验，具体的：

判断x是否为0，如果不为0，运算x×rand的模逆值，并校验，如果校验出错，则报警；如果x为0，运算伪轮密钥FKEY的模逆值，并校验，如果校验出错，则报警。

上述的SMS4的S盒掩码方法，其中：

所述步骤S3中所运算的模逆通过有限域降域运算，从而降低硬件设计复杂度。

上述的SMS4的S盒掩码方法，其中：

所述的有限域降域运算是通过GF(2⁸)转化为GF((2⁴)²)上运算，再通过GF(2⁴)转化为GF((2²)²)上运算来实现的。

上述的SMS4的S盒掩码方法，其中：所述S盒在GF(2⁸)的代数表达式为：

其中：

L₁(x)＝A₁*x+c₁；

I为在GF(2⁸)的模逆；

不可约多项式为：f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x²+1。

本发明与现有技术相比具有以下优点：

1、可以实现SMS4的全掩码，并且查表法所占面积较现有技术更小，而且也易于实现；

2、本发明中的乘法掩码可以抵御零值攻击。

附图说明

图1为本发明的方法流程图；

图2为本发明的方法中对模逆部分的掩码过程的流程图。

具体实施方式

以下结合附图，通过详细说明一个较佳的具体实施例，对本发明做进一步阐述。

已知S盒在GF(2⁸)的代数表达式为：

其中：L₁(x)＝A₁*x+c₁；I(inversion)为在GF(2⁸)的模逆；

不可约多项式为：f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x²+1。

从S盒的上述代数表达式来看，除模逆部分，其余S盒的都是线性部分，完全可以采取异或掩码。

如图1所示，基于上述条件，本发明提出一种SMS4的S盒掩码方法，设x为S盒的输入，为提高安全性加入随机掩码mask，所述的SMS4的S盒掩码方法包含以下步骤：

S2、计算data1＝L₁(x+mask)+c₁；

S3、对线性部分进行布尔掩码，对模逆部分I进行带伪轮密钥FKEY的乘法掩码，乘法掩码时同时可以进行FKEY校验，计算I(data1)＝I(L₁(x)+L₁(mask))，得到data2＝I(L₁(x))+L₁(mask)；

S4、计算Sbox(x)＝L₁(data2)+L₁(L₁(mask))+c₁。

如图2所示，所述的步骤S3中通过乘法掩码与FKEY校验对于模逆部分I的掩码的过程具体包含：

S30、设计算模逆输入为x+rand，输出为x^-1+rand，rand＝L₁(mask)，rand(randomnumber随机数)为输入时加入的布尔掩码；

S31、计算(x+rand)×rand；

S32、计算(x+rand)×rand+rand²＝x×rand；

S33、向后级电路传递x^-1×rand^-1；在这之前，本实施例中还设置了校验过程以抵御零值攻击，可以通过判断x是否为0，如果不为0，运算x×rand的模逆值，并校验，如果校验出错，则报警；如果x为0，运算伪轮密钥FKEY(fake key)的模逆值，并校验，如果校验出错，则报警；所述的校验方式可以采用计算2次来比较结果或者以正向算模逆得到结果再将模拟结果与此时的输入值模乘得1来进行校验等等；

S34、计算x^-1×rand^-1+1；

S35、计算(x^-1×rand^-1+1)×rand＝x^-1+rand。

上述乘法掩码之所以可以抵御零值攻击，是因为当x＝0时，rand为任何值其结果都为0，简单来讲，就是如果攻击者可以选择明文使x为0，那么可以根据明文来推取轮密钥，而加入伪轮密钥FKEY操作就可以避免攻击者在功耗分析上得到x为0的情况，而又由于伪轮密钥FKEY操作并不实际参与后级运算，那么为了防止攻击者通过注入故障(如果故障注入成功并且结果正确，那么就是伪轮密钥FKEY运算)来分析伪轮密钥FKEY运算，就要通过校验来抵御注入攻击分析。

所述步骤S3中所运算的模逆是先通过GF(2⁸)转化为GF((2⁴)²)上运算，再通过GF(2⁴)转化为GF((2²)²)上运算，即通过有限域降域运算从而降低硬件设计复杂度。

实施例

以S盒的输入x＝10101010b(0xaa)，掩码值mask＝01010101b(0x55)为例：

计算L₁(mask)＝01111001b(0x79)，此L₁(mask)即为S30的rand，此步骤为计算S1

计算data1＝L₁(x+mask)+c₁＝00101100b(0x2c)，此步骤为计算S2；

计算data1×L₁(mask)＝11111111b(0xff)，此步骤为计算S31；

计算(L₁(mask))^2＝01110010b(0x72)；

计算data1×L₁(mask)+(L₁(mask))^2＝11011100b(0xdc)，此步骤为计算S32；

计算(data1×L₁(mask)+(L₁(mask))^2)^(-1)＝10111111b(0xdf)，此步骤为S33，需判断L₁(x)是否为0，若为0则进行伪轮密钥FKEY操作来干扰功耗，同时本步骤结果直接输出L₁(mask)；

计算

(data1×L₁(mask)+(L₁(mask))^2)^(-1)+1＝10111110b(0xde)，此步骤为计算S34；

计算((data1×L₁(mask)+(L₁(mask))^2)^(-1)+1)×L₁(mask)，即data2＝00110010b(0x32)，此步骤为计算S35；

计算L₁(L₁(mask))＝01110001b(0x71)；

计算L₁(data2)＝10000001b(0x81)；

计算Sbox(x)＝L₁(L₁(mask))+L₁(data2)+c₁＝00100011b(0x23)，此步骤为计算S4.

可以得到，当输入x＝10101010b(0xaa)时，S盒的输出Sbox(x)＝00100011b(0x23)。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims

1.一种SMS4的S盒掩码方法，其特征在于，设x为S盒的输入，为提高安全性加入随机掩码mask，所述的SMS4的S盒掩码方法包含以下步骤：

S1、计算L₁(mask)，若为0，则重新选择掩码值mask直到L₁(mask)的计算结果不为0；其中：L₁(x)＝A₁*x+c₁；

S2、计算data1＝L₁(x+mask)+c₁；

S3、对线性部分进行布尔掩码；对模逆部分I进行带伪轮密钥FKEY的乘法掩码，具体包含：

S31、计算(x+rand)×rand；

S32、计算(x+rand)×rand+rand²＝x×rand；

S33、进行FKEY校验，具体的：

判断x是否为0，如果不为0，运算x×rand的模逆值，并校验，如果校验出错，则报警；如果x为0，运算伪轮密钥FKEY的模逆值，并校验，如果校验出错，则报警；

向后级电路传递x^-1×rand^-1；

S34、计算x^-1×rand^-1+1；

S35、计算(x^-1×rand^-1+1)×rand＝x^-1+rand；

计算I(data1)＝I(L₁(x)+L₁(mask))，得到data2＝I(L₁(x))+L₁(mask)；

I为在GF(2⁸)的模逆，不可约多项式为：f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x²+1；

S4、计算Sbox(x)＝L₁(data2)+L₁(L₁(mask))+c₁。

2.如权利要求1所述的SMS4的S盒掩码方法，其特征在于：

3.如权利要求2所述的SMS4的S盒掩码方法，其特征在于：

4.如权利要求1～3中任意一项所述的SMS4的S盒掩码方法，其特征在于：所述S盒在GF(2⁸)的代数表达式为：