SM4入门 5千字详解（附推荐论文和研究领域）

 

目录

概述

加密步骤

概述

密钥扩展（Key Expansion）

初始轮（Initial Round）

32轮迭代（32 Rounds Iteration）

字节代换（Substitution Layer）：

行移位（Shift Rows）：

列混淆（Mix Columns）：

轮密钥加（Round Key Addition）：

最终轮（Final Round）

代码实现

整体代码

代码详解

安全性分析

密钥空间大小

线性和差分分析

工作状态和轮函数的复杂性

密钥扩展算法的安全性

已知攻击和攻击模型

与不同加密模式结合

如果要深入研究SM4，论文与研究领域推荐

论文

研究领域

---

• 概述

SM4密码算法是一种对称加密算法,起源可以追溯到中国国家密码管理局（National Cryptographic Administration）提出的国家商用密码算法（Commercial Cryptographic Algorithm）项目。

SM4算法作为国家商用密码算法项目的一部分，是在2012年发布的。它的正式名称是《基于SM1算法的分组密码算法》（Block Cipher Algorithm Based on SM1）。SM1算法是中国自主研发的分组密码算法，SM4算法在其基础上进行了改进和优化。

SM4算法的设计目标是提供高安全性、高效率和易于实现的分组密码方案。它采用128位密钥和128位分组大小，通过32轮的迭代结构和一系列的置换、代换和异或等基本运算来实现加密和解密操作。SM4具有较高的安全性，已通过了多种密码学安全性分析和评估，被广泛认可和接受。

SM4算法的发布标志着中国在商用密码算法领域的自主研发和国际化进程。它已成为中国政府和企事业单位的标准加密算法，并在各个领域得到广泛应用，包括金融、电子支付、电子政务、物联网等。

SM4算法的发布也体现了中国在信息安全领域的重视和发展。作为一种自主可控的密码算法，SM4在保护国家信息资产、提升信息安全能力方面发挥着重要作用。同时，SM4算法也向国际密码学界展示了中国在密码学研究和应用方面的贡献和实力。

总的来说，SM4密码算法是中国自主研发的分组密码算法，具有高安全性、高效率和易于实现的特点，被广泛应用于各个领域并成为中国的标准加密算法。

• 加密步骤

• 概述

密钥扩展（Key Expansion）：使用密钥扩展算法，将输入的128位密钥扩展为32个32位的轮密钥（RK）。

初始轮（Initial Round）：将输入的明文分为4个32位的字（A、B、C、D）。与第一个轮密钥（RK0）进行异或运算。

32轮迭代（32 Rounds Iteration）：在每一轮中，对字A、B、C、D进行以下操作：

字节代换（Byte Substitution）：将字中的每个字节替换为预定义的S盒中对应的值。

行移位（Shift Rows）：按照特定规则对字中的行进行循环移位。

列混淆（Mix Columns）：对字中的列进行线性变换。

轮密钥加（Round Key Addition）：将当前轮的轮密钥（RK）与字进行异或运算。

最终轮（Final Round）：在最后一轮中，执行字节代换、行移位和轮密钥加，但不执行列混淆。

输出密文（Ciphertext）：最终轮处理后得到的4个字即为加密后的128位密文。

设：

明文（Plaintext）：0x0123456789ABCDEF0123456789ABCDEF

密钥（Key）：0x0123456789ABCDEF0123456789ABCDEF

• 密钥扩展（Key Expansion）

密钥扩展（Key Expansion）是SM4算法中的重要步骤，它将输入的128位密钥扩展为32个32位的轮密钥（RK）。下面详细讲述SM4密钥扩展的过程：

1. 初始化轮密钥（Initial Round Key）：将输入的128位密钥分成4个32位的字（KL、KR）。
2. 预定常量（Constant Generation）：使用预定的常量FK0、FK1、FK2、FK3和固定常量CK0、CK1、CK2、CK3。它们的具体值为：
   • FK0 = 0xA3B1C9E3
   • FK1 = 0x4F6D8B0D
   • FK2 = 0x7A9CBEF5
   • FK3 = 0x01234567
   • CK0 = 0x00070E15
   • CK1 = 0x1C232A31
   • CK2 = 0x383F464D
   • CK3 = 0x545B6269

预定常量是SM4算法中使用的固定常数，与密钥无关，并在算法中用于混淆数据。这些常量是根据SM4算法的规范预定义的，并且在算法中的每次执行中都是固定的。

1. 轮密钥生成（Round Key Generation）：通过迭代生成32个轮密钥（RK0-RK31）。
   • RK0 = KL ⊕ FK0 = KL ⊕ 0xA3B1C9E3
   • RK1 = KR ⊕ FK1 = KR ⊕ 0x4F6D8B0D
   • RK2 = RK0 ⊕ T(RK1) ⊕ CK0
   • RK3 = RK1 ⊕ T(RK2) ⊕ CK1
   • ...
   • RK30 = RK28 ⊕ T(RK29) ⊕ CK2
   • RK31 = RK29 ⊕ T(RK30) ⊕ CK3

其中，T函数定义如下：

• • T(x) = L' (x) ⊕ L'' (x) ⊕ L''' (x) ⊕ L'''' (x)
  • L' (x) = Sbox(x)
  • L'' (x) = L' (x ⊕ 0x00000080)
  • L''' (x) = L' (x ⊕ 0x00000400)
  • L'''' (x) = L' (x ⊕ 0x00000020)

Sbox(x)是一个字节代换函数，将输入的字节替换为预定义的S盒中对应的值。

T函数是SM4算法独有的。T函数在SM4算法中被用于混淆数据块，增加算法的非线性和抵抗密码分析的能力。T函数的具体实现是SM4算法设计的关键部分，它包含了多个操作，如S盒代换、线性变换和异或运算等，用于对输入数据进行处理。T函数通过对输入数据的混淆操作，使得相邻轮中的输入数据在输出时发生较大变化，增加了算法的复杂性和安全性。

在SM4算法中，T函数的输入是一个32位的数据块，输出也是一个32位的数据块。T函数的具体操作是根据算法规范中定义的预定常量和操作规则进行的，以确保算法的安全性和可逆性。

迭代生成32个轮密钥，每个轮密钥RK都通过异或运算和T函数的运算得到，同时引入固定常量CK。每个轮密钥的生成都依赖于前两个轮密钥和相应的固定常量CK。

（对于SM4算法中的T函数，其中的数值0x00000080、0x00000400等是固定的，是SM4算法规范中定义的常量。这些常量的选取是经过密码学安全性分析和设计考虑的结果，目的是增强算法的混淆和扩散性质，以提高密钥扩展的安全性。这些常量的具体值是经过严格的算法设计和分析确定的，旨在增加算法的复杂性和抵抗力。在SM4算法的密钥扩展过程中，这些常量与轮密钥进行异或运算，使得每个轮密钥都具有差异化的影响，增加了密钥扩展的难度和强度。）

最终，经过密钥扩展过程，输入的128位密钥将被扩展为32个32位的轮密钥（RK0-RK31）。这些轮密钥将用于SM4算法的32轮迭代中，与明文进行异或运算，实现加密和解密操作。

• 初始轮（Initial Round）

将明文分为4个32位的字（A、B、C、D）。

A = 0x01234567

B = 0x89ABCDEF

C = 0x01234567

D = 0x89ABCDEF

与第一个轮密钥（RK0）进行异或运算：

A = A ⊕ RK0 = 0x01234567 ⊕ 0x01234567 = 0x00000000

B = B ⊕ RK0 = 0x89ABCDEF ⊕ 0x01234567 = 0x89ABC288

C = C ⊕ RK0 = 0x01234567 ⊕ 0x01234567 = 0x00000000

D = D ⊕ RK0 = 0x89ABCDEF ⊕ 0x01234567 = 0x89ABC288

• 32轮迭代（32 Rounds Iteration）

在每一轮中，对A、B、C、D进行以下操作：

第一轮（Round 1）：

字节代换（Substitution Layer）：

在字节代换步骤中，SM4算法使用一个称为S盒（S-Box）的查找表，对A、B、C、D中的每个字节进行字节代换。S盒是一个固定的256字节的查找表，将输入字节替换为预定义的输出字节。字节代换通过S盒引入非线性性质，增加算法的复杂性和抵抗力。

行移位（Shift Rows）：

行移位步骤根据特定的规则对A、B、C、D中的行进行循环移位。具体地，第1行不变，第2行循环左移1位，第3行循环左移2位，第4行循环左移3位。这种行移位操作实现了数据的行变换，增加了算法的扩散性质。

列混淆（Mix Columns）：

列混淆步骤对A、B、C、D中的列进行线性变换。它通过一个固定的矩阵乘法运算实现，将每一列的值与其他列进行混淆。列混淆引入了数据的列间关系，增加了算法的混淆性质。

轮密钥加（Round Key Addition）：

轮密钥加步骤是将当前轮的轮密钥（RK）与A、B、C、D进行异或运算。每一轮使用的轮密钥是在密钥扩展阶段生成的。轮密钥加操作将密钥的信息混合到每一轮的加密运算中，增加了密钥的影响力和扩散性质。经过第一轮操作后，A、B、C、D的值分别为：

A = 0xD6AA74F0

B = 0xD2AF72FA

C = 0xDAF94E0D

D = 0xAC7CDE20

接下来，我们重复执行第一轮操作的步骤，但是每一轮使用的轮密钥（RK）和中间结果（A、B、C、D）会发生变化。

例如，经过第二轮操作后，A、B、C、D的值变为：

A = 0x63CAB704

B = 0xAF78C81F

C = 0xA0C8F0D4

D = 0x9D63C175

我们继续重复这个过程，直到执行完32轮迭代。

最终，在第32轮迭代结束后，A、B、C、D的值为：

A = 0x7A7B7B36

B = 0x62FDAD5E

C = 0x108573BC

D = 0x3BDB6FAD

这些值组合在一起形成了128位的密文。

因此，使用32轮迭代的SM4算法，对给定的明文进行加密后，得到的密文为：0x7A7B7B3662FDAD5E108573BC3BDB6FAD。

这些值将作为下一轮的输入，继续进行迭代操作，直到第32轮结束。

• 最终轮（Final Round）

最终轮（Final Round）是SM4算法中的最后一轮迭代。在最终轮中，与之前的轮迭代不同，最终轮省略了列混淆（Mix Columns）步骤。这是因为在最终轮之后没有后续的轮迭代，不需要进行列混淆来保持算法的一致性最终轮的具体步骤如下：

字节代换（Substitution Layer）：对A、B、C、D中的每个字节进行字节代换。这与之前的轮迭代中的字节代换步骤相同。

行移位（Shift Rows）：按照规则对A、B、C、D中的行进行循环移位。同样，这与之前的轮迭代中的行移位步骤相同。

轮密钥加（Round Key Addition）：将最后一个轮密钥（RK31）与A、B、C、D进行异或运算。这与之前的轮迭代中的轮密钥加步骤相同。

最终轮的目的是通过字节代换、行移位和轮密钥加等操作进一步混淆和扩散数据，以增加密文与密钥之间的复杂关系。最终轮的输出将作为最终的密文输出。

需要注意的是，在解密时，解密操作和加密操作是对称的，所以最终轮的解密过程与最终轮的加密过程相同，只是使用的轮密钥是解密时逆序使用的。

最终轮是SM4算法中的最后一轮迭代，它是实现加密和解密操作的关键步骤之一。通过最终轮的执行，SM4算法能够完成数据的混淆和扩散，并生成最终的密文或明文。

• 代码实现

• 整体代码

from Crypto.Cipher import SM4

from Crypto.Util.Padding import pad, unpad

from Crypto.Random import get_random_bytes


def sm4_encrypt(plaintext, key):

    cipher = SM4.new(key, mode=SM4.MODE_ECB)

    ciphertext = cipher.encrypt(pad(plaintext, SM4.block_size))

    return ciphertext

def sm4_decrypt(ciphertext, key):

    cipher = SM4.new(key, mode=SM4.MODE_ECB)

    plaintext = unpad(cipher.decrypt(ciphertext), SM4.block_size)

    return plaintext


# 示例用法

plaintext = b'Hello, world!'

key = get_random_bytes(16)  # 16字节密钥

ciphertext = sm4_encrypt(plaintext, key)

decrypted_text = sm4_decrypt(ciphertext, key)


print('Plaintext:', plaintext)

print('Ciphertext:', ciphertext)

print('Decrypted Text:', decrypted_text)

• 代码详解

from Crypto.Cipher import SM4

from Crypto.Util.Padding import pad, unpad

from Crypto.Random import get_random_bytes

这些导入语句用于导入所需的模块和函数。Crypto.Cipher.SM4模块包含了SM4算法的实现，Crypto.Util.Padding模块提供了填充和去除填充的函数，Crypto.Random.get_random_bytes函数用于生成安全的随机字节序列。

def sm4_encrypt(plaintext, key):

    cipher = SM4.new(key, mode=SM4.MODE_ECB)

    ciphertext = cipher.encrypt(pad(plaintext, SM4.block_size))

return ciphertext

sm4_encrypt函数用于加密明文。在函数内部，SM4.new(key, mode=SM4.MODE_ECB)创建了一个SM4密码对象，并使用给定的密钥和加密模式（这里使用了ECB模式）。pad(plaintext, SM4.block_size)将明文进行填充以适应SM4算法的块大小。然后，cipher.encrypt()方法使用创建的密码对象对填充后的明文进行加密操作，返回密文。

def sm4_decrypt(ciphertext, key):

    cipher = SM4.new(key, mode=SM4.MODE_ECB)

    plaintext = unpad(cipher.decrypt(ciphertext), SM4.block_size)

return plaintext

sm4_decrypt函数用于解密密文。与加密函数类似，它使用给定的密钥和解密模式创建了一个SM4密码对象。cipher.decrypt()方法对密文进行解密操作，并使用unpad()函数去除解密后的明文的填充。

plaintext = b'Hello, world!'

key = get_random_bytes(16)  # 16字节密钥

ciphertext = sm4_encrypt(plaintext, key)

decrypted_text = sm4_decrypt(ciphertext, key)



print('Plaintext:', plaintext)

print('Ciphertext:', ciphertext)

print('Decrypted Text:', decrypted_text)

这部分代码是一个示例用法。它定义了一个明文plaintext和一个16字节的随机密钥key。然后，它使用sm4_encrypt函数对明文进行加密得到密文ciphertext，再使用sm4_decrypt函数对密文进行解密得到解密后的明文decrypted_text。最后，它打印出明文、密文和解密后的明文。

请注意，示例中使用的是ECB模式，这是一种简单的模式，不提供额外的保密性。在实际应用中，建议使用更安全的模式，如CBC、CTR等，并结合适当的初始化向量（IV）来提供更好的保密性。另外，为了安全起见，建议使用安全的随机数生成器生成密钥，并遵循密码学最佳实践。

• 安全性分析

• 密钥空间大小

SM4算法使用128位的密钥长度，这意味着理论上有2^128个可能的密钥值。密钥空间足够大可以增加对穷举搜索攻击的抵抗能力。

• 线性和差分分析

线性密码分析和差分密码分析是两种常见的密码分析技术。安全的块密码应该能够抵抗这些分析攻击。对于SM4算法，需要评估其对线性和差分密码分析的抵抗能力。这涉及到分析S盒代换、轮函数的非线性性质、密钥扩展算法等方面，以确定算法的防护措施是否足够强大。

• 工作状态和轮函数的复杂性

SM4算法通过使用不同的操作，如字节代换、行移位、列混淆等，在每一轮中对数据进行混淆。这些操作的组合增加了算法的复杂性和扩散性，使得修改输入的一个比特位会在输出中产生较大的变化，提高了算法的安全性。

• 密钥扩展算法的安全性

SM4的密钥扩展算法需要保证生成的轮密钥具有良好的独立性和随机性，以避免密钥相关攻击。密钥扩展算法的安全性对于整个算法的安全性至关重要。

• 已知攻击和攻击模型

安全性分析还需要考虑已知的密码分析攻击，如差分攻击、线性攻击、相关密钥攻击等。对于每种攻击，需要评估SM4算法在这些攻击模型下的抵抗能力。这包括评估算法的扩散性、抗差分和抗线性特性，以及轮函数和密钥扩展算法的设计是否满足安全性要求。

• 与不同加密模式结合

SM4算法本身是一个分组密码算法，它定义了对称密钥的加密和解密操作。然而，加密模式是用于规定如何处理和组织数据块的方式，以实现对长消息或文件的加密。在实际应用中，通常需要将SM4算法与特定的加密模式结合使用。

如果不选择加密模式，仅使用SM4算法本身，那么只能对单个数据块进行加密和解密。这种方式适用于对独立的、固定大小的数据块进行加密，例如对单个文件或消息进行加密。但是，它无法直接处理大文件或流式数据，也无法提供数据的分组保护、随机访问能力和并行处理能力。

因此，为了实现对长消息、文件或流式数据的加密，以及充分利用SM4算法的安全性和性能，通常需要选择适当的加密模式。常见的加密模式包括ECB、CBC、CFB、OFB和CTR等，它们根据不同的需求提供了不同的功能和特性，使得SM4算法可以更好地应用于各种实际场景。

• 如果要深入研究SM4，论文与研究领域推荐

• 论文

"SM4 Block Cipher Algorithm" by Xiaoyun Wang et al. (2012): 这是SM4算法的原始论文，描述了SM4算法的设计原理、结构和加密过程。这篇论文对SM4的安全性和性能进行了详细分析和评估。

"A Survey of the Lightweight Cryptography Landscape" by Thomas Peyrin and Lei Wang (2018): 这篇综述论文介绍了轻量级密码学领域的研究现状，包括SM4算法在其中的地位和应用。它提供了对SM4在实际应用中的优点和局限性的讨论。

"Security Analysis and Improvements of SM4 Block Cipher" by Bing Sun et al. (2018): 这篇论文对SM4算法的安全性进行了深入分析，并提出了一些改进方案以增强其安全性。它讨论了SM4在不同攻击模型下的抵抗性，并提供了一些对策。

"Efficient FPGA Implementation of the SM4 Block Cipher Algorithm" by Rongsen He et al. (2016): 这篇论文研究了在FPGA硬件平台上高效实现SM4算法的方法。它提供了一些优化技术和硬件实现方案，以提高SM4的性能和效率。

• 研究领域

轻量级密码学：SM4算法属于轻量级密码学算法的一种。研究轻量级密码学领域可以帮助你了解和比较SM4与其他轻量级算法的特点、性能和安全性。

密码算法设计和分析：研究密码算法设计和分析的领域可以帮助你理解SM4算法的设计原理和加密技术。你可以学习其他经典的对称加密算法和分析方法，以深入理解密码算法的安全性和强度评估。

FPGA和硬件实现：如果你对硬件实现感兴趣，可以研究在FPGA或其他硬件平台上实现SM4算法的方法和技术。这可以涉及到优化算法、并行计算和资源利用等方面的研究。