[发明专利]基于分组密码算法和比特切片的GCM优化方法及系统

说明书

本发明公开了基于分组密码算法和比特切片的GCM优化方法及系统，涉及密码算法技术领域。将输入序列通过数据形式转换算法，从标准分组形式转换为比特切片形式。比特切片形式的数据作为分组密码算法的输入，经过多轮函数的迭代运算后，得到仍然是比特切片形式的输出序列。本发明提出的友好变体省略了在并行分组密码算法输出处的数据形式转换(即后向转换)，直接将标准形式下的明文分组与比特切片形式的输出序列进行异或操作，得到密文输出。在保证安全性的前提下，将GCM优化后得到基于比特切片实现的GCM模式的友好变体GCMsupgt;+/supgt;，从而减小了数据形式转换在整个认证加密过程中的开销。

技术领域

本发明涉及密码算法技术领域，尤其涉及一种基于分组密码算法和比特切片的GCM优化方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

对于密码算法而言，快速软件实现的策略有很多，最简洁高效的是使用自定义指令集扩展，其中典型的实例是AES的扩展指令集(Advanced Encryption Standard NewInstructions，AES-NI)。AES-NI已经被嵌入到许多Intel和AMD的处理器中，显著提高了应用程序在使用AES完成加解密时的速度。对于缺少指令集扩展的密码算法而言，比特切片(bitslicing)技术被认为是快速软件实现的有效策略，它涉及到将密码算法转换成一系列的逻辑比特操作，从而使得n比特的处理器可以同时完成对n个分组的并行加密处理。因此，当目标密码算法的硬件实现复杂度较小且底层处理器有数量较充足的长寄存器时，应用比特切片技术的软件实现能够更高效地完成。

图1中GCM(Galois/Counter Mode)是由McGrew和Viega设计的一种应用最广泛的认证加密方案，根据分组长度为128比特的分组密码算法构造，例如AES(AdvancedEncryption Standard)。它采用Encrypt-then-MAC的模式，即将计数器(CTR)模式与基于分组密码的Wegman-Carter消息认证码(Message Authentication Code，MAC)相结合，其中，MAC采用的是定义在二进制伽罗瓦域的通用散列函数。

然而发明人发现，传统的基于比特切片实现的GCM仍存在不足：对于使用比特切片策略的加密算法而言，执行速度或吞吐量在很大程度上取决于实现加密算法所需的逻辑门的数量，通过最小化逻辑门数对加密算法的比特切片实现进行优化也顺理成章。但是借助比特切片策略时数据在标准分组形式和比特切片形式之间的转换过程中产生的开销同样不可忽略。传统的基于分组密码算法和比特切片的GCM实现经历两次数据形式转换：一次在加密开始前从标准分组形式转换为比特切片形式，一次在加密完成后从比特切片形式转换回标准分组形式。对于加密完成后的转换，由于密文输出总是随机均匀无规律分布的，因此很难进行有针对性的优化。所以说，能够在保证安全性不发生改变的前提下降低两次数据形式转换过程的代价，成为现有技术亟待解决的技术问题。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种基于分组密码算法和比特切片的GCM优化方法及系统，在保证安全性的前提下，提供了基于比特切片实现的GCM模式的友好变体GCM⁺，从而减小了数据形式转换在整个认证加密过程中的开销。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明第一方面提供了一种基于分组密码算法和比特切片的GCM优化方法，包括以下步骤：

对待加密的计数器分组进行数据形式转换；由标准分组形式转换为比特切片形式；

基于分组密码算法对比特切片形式的计数器分组进行计算；

计算结果与标准形式下的明文分组进行异或操作，得到密文输出。

进一步的，将“nonce”部分的长度固定为96比特，将“counter”部分的长度固定为32比特。