SM4 分组密码算法简介

SM4 算法是我国商用分组密码算法，被广泛用于无线网络数据加密传输中。SM4 算法的密钥长度和分组长度均为 128 比特，解密算法是加密算法的逆运算，只需将轮密钥逆序输入即可得到明文。SM4 与 AES 算法的比较如表 1 所示。

表 1 SM4 与 AES 算法比较

算法	加密轮数	密钥长度（比特）	分组长度（比特）
SM4	32	128	128
AES-128	10	128	128
AES-192	12	192	128
AES-256	14	256	128

SM4 加密算法

为了方便说明，本文定义 $Z_{2}^{m}$ 表示 $m$ 比特向量，符号 $\oplus$ 表示异或运算。设明文输入为 $X = (X_{0}, X_{1}, X_{2}, X_{3}) \in {(Z_{2}^{32})}^{4}$ ，密文输出为 $Y = (Y_{0}, Y_{1}, Y_{2}, Y_{3}) \in {(Z_{2}^{32})}^{4}$ ，轮密钥为 $r k_{i} \in Z_{2}^{32}, i = 0, 1, \dots, 31$ ，则 SM4 加密算法表示为：

\begin{aligned} X_{i + 4} & = F (X_{i}, X_{i + 1}, X_{i + 2}, X_{i + 3}, r k_{i}) \\ = X_{i} \oplus T (X_{i + 1} \oplus X_{i + 2} \oplus X_{i + 3} \oplus r k_{i}) i = 0, 1, \dots, 31 \\ Y & = (Y_{0}, Y_{1}, Y_{2}, Y_{3}) = (X_{35}, X_{34}, X_{33}, X_{32}) \end{aligned}

其中， $T$ 是一个 $Z_{2}^{32} \to Z_{2}^{32}$ 的合成变换，包含线性变换 $L$ 和非线性变换 $τ$ ，即： $T (x) = L (τ (x))$ 。

非线性变换 $τ$ 由 4 个并行的 8 进 8 出的 S 盒查表组成，设输入为 $x = (x_{0}, x_{1}, x_{2}, x_{3}) \in (Z_{2}^{8})^{4}$ ，输出为 $y = (y_{0}, y_{1}, y_{2}, y_{3}) \in (Z_{2}^{8})^{4}$ ，则：
$(y_{0}, y_{1}, y_{2}, y_{3}) = τ (x) = (S (x_{0}), S (x_{1}), S (x_{2}), S (x_{3}))$
对于 S 盒的 8 位输入，将前 4 位作为行，后 4 位作为列，输出即为查找表中对应行列所对应的值。S 盒如图 1 所示：

图 1 S 盒
线性变换 $L$ 接收非线性变换 $τ$ 的输出作为输入，设线性变换 $L$ 的输出为 $z \in Z_{2}^{32}$ ，则：
$z = L (y) = y \oplus (y ⋘ 2) \oplus (y ⋘ 10) \oplus (y ⋘ 18) \oplus (y ⋘ 24)$
其中， $⋘$ 表示循环左移，如 $y ⋘ 2$ 表示将 $y$ 循环左移 2 位。

SM4 密钥扩展算法

SM4 算法使用密钥扩展算法对初始密钥进行扩展生成各轮子密钥。令初始密钥表示为 $M K = (M K_{0}, M K_{1}, M K_{2}, M K_{3}) \in (Z_{2}^{32})^{4}$ ，则按如下方式生成 32 轮子密钥：

\begin{aligned} (K_{0}, K_{1}, K_{2}, K_{3}) & = (M K_{0} \oplus F K_{0}, M K_{1} \oplus F K_{1}, M K_{2} \oplus F K_{2}, M K_{3} \oplus F K_{3}) \\ r k_{i} = K_{i + 4} & = K_{i} \oplus T^{'} (K_{i + 1} \oplus K_{i + 2} \oplus K_{i + 3} \oplus C K_{i}) i = 0, 1, \dots, 31 \end{aligned}

其中：

$T^{'} = L^{'} (τ (\cdot))$ ， $L^{'}$ 表示为：
$L^{'} (B) = B \oplus (B ⋘ 13) \oplus (B ⋘ 23)$
$F K$ 是系统参数，取值为：
$F K_{0} = (A 3 B 1 B A C 6), F K_{1} = (56 A A 3350)$ $F K_{2} = (677 D 9197), F K_{3} = (B 27022 D C)$
$C K$ 是固定参数，其构造方法为：

设 $C K_{i}$ 的第 $j$ 个字节为 $c k_{i, j} i = 0, 1, \dots, 31; j = 0, 1, 2, 3$ ，即 $C K_{i} = (c k_{i, 0}, c k_{i, 1}, c k_{i, 2}, c k_{i, 3}) \in (Z_{2}^{8})^{4}$ ，那么有：
$c k_{i, j} = (4 * i + j) * 7 (m o d 256)$
根据此计算方法，可以计算出所有的 $C K$ 值，即：

00070E15, 1C232A31, 383F464D, 545B6269,

70777E85, 8C939AA1, A8AFB6BD, C4CBD2D9,

E0E7EEF5, FC030A11, 181F262D, 343B4249,

50575E65, 6C737A81, 888F969D, A4ABB2B9,

C0C7CED5, DCE3EAF1, F8FF060D, 141B2229,

30373E45, 4C535A61, 686F767D, 848B9299,

A0A7AEB5, BCC3CAD1, D8DFE6ED, F4FB0209,

10171E25, 2C333A41, 484F565D, 646B7279

参考文献

[1] SM4 分组密码算法