[发明专利]一种标准密文输出格式的商密SM4算法的白盒软件实现方法

权利要求书

1.一种标准密文输出格式的商密SM4算法的白盒软件实现方法，其特征在于，包括如下步骤：

步骤一：产生一组128bit的字符串作为根密钥；

步骤二：将128bit的根密钥按照标准SM4密钥扩展算法扩展为32个32bit的轮密钥，设为rk₀，rk₁，...，rk₃₁，分别用于第1轮到第32轮的计算，第33、34、35、36轮计算的密钥分别为r₂₈，r₂₉，r₃₀，r₃₁；

步骤三：随机生成420个8×8的可逆矩阵，分别记为M_i，i＝1，...，420；

步骤四：定义四类矩阵，分别为P、E_i、Q_j、R_k；令：

P＝diag(P_1，1，P_1，2，P_1，3，P_1，4)，

E_i＝diag(E_i，1，E_i，2，E_i，3，E_i，4)，(i＝1、2、3......36)；

Q_j＝diag(Q_j，1，Q_j，2，Q_j，3，Q_j，4)，(j＝1、2、3......36)；

R_k＝diag(R_k，1，R_k，2，R_k，3，R_k，4)，(k＝1、2、3......32)；

其中P_1，1＝M₁，P_1，2＝M₂，P_1，3＝M₃，P_1，4＝M₄，E_i，l＝M_4(i+1)+l，Q_j，l＝M_4(j+37)+l，R_k，l＝M_4(k+73)+l，i＝1，...，36，j＝1，...，36，k＝1，...，32，l＝1，...，4；

步骤五：产生复合线性变化A_i，j，i＝1，...，36，j＝1，2，3；

步骤六：构造第一个查找表，具体方法为：

步骤6.1：设在第i轮计算中，第一个查找表的输入为y_i＝(y_i，1，y_i，2，y_i，3，y_i，4)^T；

第一个查找表的构建方法如下：

首先，y_i经过线性变换作用，输出为：

其中

步骤6.2：将本轮计算的密钥rk_i隐藏在S盒中，

设经过S盒作用后的输出为：

步骤6.3：计算Q_i*P*L*(z_i，1，z_i，2，z_i，3，z_i，4)^T；

记H_i＝Q_iPL＝(H_i，1H_i，2H_i，3H_i，4)，H_i，j为32*8的矩阵，则：

据上，可获得4个8bit到32bit的查找表：y_i，j(→z_i，j)→v_i，j，j＝1，2，3，4；

第一个查找表其中H_i＝Q_iPL＝(H_i，1H_i，2H_i，3H_i，4)，H_i，j为32*8的矩阵，i＝1，...36，j＝1，...，4；

步骤七：构造第二个查找表，具体方法为：

设在第i轮中，第二个查找表的输入为s_i＝(s_i，1，s_i，2，s_i，3，s_i，4)和t_i＝(t_i，1，t_i，2，t_i，3，t_i，4)；

对于第1轮到第4轮计算，第二个查找表的构建方法如下：

步骤7.1：计算R_iP(s_i)和

R_iP(s_i)＝(R_i，1P_1，1s_i，1，R_i，2P_1，2s_i，2，R_i，3P_1，3s_i，3，R_i，4P_1，4s_i，4)；

步骤7.2：计算

对于第5轮到第32轮，第二个查找表的构建方法如下：

步骤7.1：计算和

步骤7.2：计算

对于第33轮到第36轮，第二个查找表的构建方法如下：

步骤7.1：计算和

步骤7.2：计算

据上，得到第二个查找表的构造为

步骤八：设明文输入为(x₀，x₁，x₂，x₃)，经过36轮运算，最后输出的密文为(x₃₉，x₃₈，x₃₇，x₃₆)，每一轮根据已经建立的复合线性变化A_i，j，第一个查找表及第二个查找表按如下步骤进行加密运算：

设第i轮的输入为(x_i-1，x_i，x_i+1，x_i+2)，其中x_i-1，x_i，x_i+1，x_i+2都为32bit；

步骤8.1：利用复合线性变换A_i，1，A_i，2，A_i，3分别左乘x_i，x_i+1，x_i+2，然后将结果进行异或，即：

步骤8.2：计算y_i＝(y_i，1，y_i，2，y_i，3，y_i，4)^T经过查找表一变换后的结果，即：

步骤8.3：计算s_i＝x_i-1＝(s_i，1，s_i，2，s_i，3，s_i，4)^T和t_i＝(t_i，1，t_i，2，t_i，3，t_i，4)^T经过查找表二变换后的结果，即：

经过上述3步变换后，第i轮的输出为x_i+3＝(x_i+3，1，x_i+3，2，x_i+3，3，x_i+4，4)。