[发明专利]一种搜索密码算法线性层硬件实现优化的方法

说明书

本发明涉及一种搜索密码算法线性层硬件实现优化的方法，本发明的主要步骤为：首先将GF(2)中的n阶可逆矩阵进行矩阵分解，即将其分解成若干初等矩阵的乘积；其次，将给定矩阵的分解转化成矩阵的实现方案；最后，通过GF(2)中矩阵乘法的性质对矩阵分解进行简化从而达到矩阵实现优化的目的。本发明可以获得密码算法线性层具有更少异或操作的实现，可以减少算法实现的代价。

技术领域

本发明涉及密码系统领域，具体涉及一种搜索密码算法线性层硬件实现优化的方法。

背景技术

对称密码，特别是分组密码作为一种加解密速度快的密码体制在实际中有着广泛的应用。对称密码体制使用的加解密密钥相同，主要用于大量数据的加密。分组密码作为对称密码中的重要组成部分，它将需要加密的明文划分成n比特的数据块，然后明文块在k比特种子密钥的控制下将数据块转化成密文块。其中，n称为分组密码的分组长度，k称为分组密码的密钥长度，n和k均为正整数。

分组密码的设计一般遵循香农提出的混淆和扩散原则。混淆是为了保证密文和明文以及密钥之间的关系尽量复杂，而扩散是为了保证一个明文比特要影响尽量多的密文比特。在实际算法中，混淆一般通过非线性置换获得，而扩散一般通过线性变换实现。

分组密码加解密速度快的特性使其广泛应用于实际中大量数据的加解密。随着物联网和微型智能设备的普及，资源受限环境下的信息安全对密码算法提出了新的要求。优化密码算法的实现，使其具有更小的电路面积已经在学术界和工业界引起了广泛的兴趣。密码算法的实现优化一般和密码算法的设计流程相结合，即通过优化密码算法设计流程中的部件达到对整体算法进行优化的目的。

对密码算法中线性部件的实现进行优化可以从整体上节省算法的实现开销。密码算法所处理的数据为计算机二进制数据，将二进制数据中的0和1看成只包含两个元素有限域GF(2)中的元素，那么密码算法的线性变换即为定义在GF(2)上的n维向量空间中的线性变换。因此，密码算法的线性层可以用GF(2)上的n阶可逆矩阵表示，优化密码算法线性层的实现即为优化GF(2)上n阶可逆矩阵的实现。

给定GF(2)上的n阶可逆矩阵M和n维向量输入x，计算算法的输出y＝Mx等价于计算矩阵和向量的乘法。因为GF(2)中只包含0和1，因此输出y的计算过程只包含GF(2)上的一系列加法运算。GF(2)中的加法运算即为异或运算，对应于硬件实现中的异或门电路。因此，密码算法线性层的实现代价由实现对应矩阵的异或门电路数量决定，优化密码算法线性层的实现即为寻找异或门电路数量最少的矩阵实现。

例如，给定为GF(2)上的4阶方阵，x＝(x₀，x₁，x₂，x₃)^T表示算法的输入，算法的输出y为从输出表达式可以得到，无优化地实现该矩阵需要6个异或运算，即6个异或门电路。但是，通过对该矩阵进行优化，发现只需要如下5个异或门电路：

给定GF(2)上的n阶可逆矩阵，寻找该矩阵的最优实现已经被证明是一个NP-hard问题。因此，目前不存在高效的多项式时间算法搜索GF(2)上任意n阶可逆矩阵的最优实现。针对该问题，目前有两类启发式搜索算法用于优化GF(2)上的n阶可逆矩阵的实现。