SM4算法详解（2021-12-8）

原文链接1：https://www.cnblogs.com/kentle/p/14135865.html

原文链接2：https://www.cnblogs.com/kentle/p/14135865.html

国密局官方文档:http://www.gmbz.org.cn/main/viewfile/20180108015408199368.html

使用场景

• 无需进行密钥交换的场景，如内部系统，事先就可以直接确定密钥
• 防止明文传输数据被窃取的
• 加解密速度快，适合数据内容比较大的加密场景

SM4概述

补充：密码算法中常用的一些数据单位：
**位/比特/bit*：指一个二进制位***。
***字节/byte***： [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-frQl5jEG-1638947146609)(https://www.zhihu.com/equation?tex=1%5C+%E5%AD%97%E8%8A%82%3D8%5C+%E4%BD%8D)]
***字/word***： [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1C5vje0e-1638947146611)(https://www.zhihu.com/equation?tex=1%5C+%E5%AD%97%3D4%5C+%E5%AD%97%E8%8A%82%3D32%5C+%E4%BD%8D)]

SM4是一种分组密码算法，其分组长度为128位（即16字节，4字），密钥长度也为128位（即16字节，4字）。其加解密过程采用了32轮迭代机制（与DES、AES类似），每一轮需要一个轮密钥（与DES、AES类似）。

加密流程

1.加密过程概述：

SM4的分组长度为4字，因此，其输入是4字的明文 $(X_0,X_1,X_2,X_3)$（其中 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qMVnfPla-1638947146612)(https://www.zhihu.com/equation?tex=X_i)] 表示一个32位的字），经过加密后，得到的输出是4字的密文 $(Y_0,Y_1,Y_2,Y_3)$（其中 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GYYp2AOC-1638947146612)(https://www.zhihu.com/equation?tex=Y_i)] 表示一个32位的字)。

这个加密过程分为两步，由32次轮迭代和1次反序变换组成。

2.32次轮迭代

• 输入的明文为 128bit 的数据，将其按位拆分成 4 个 32bit 的数据 $x_0,x_1,x_2,x_3$

  当 i=0i=0 时为第一次轮变换，一直进行到 i=31i=31 结束

• $x_i$ 暂时不做处理，将 $x_{i+1},x_{i+2},x_{i+3}$ 和轮密钥 $rki$ 异或得到一个 32bit 的数据，作为盒变换的输入

  即 sbox-input$=x_{i+1}\oplus x_{i+2}\oplus x_{i+3}\oplus rki$，⊕符号代表异或运算

• 将 sbox_input拆分成 4 个 8bit 数据，分别进行盒变换，之后再将 4 个 8bit 输出合并成一个 32bit 的 sbox_output

• 将刚才获得的 sbox_output分别循环左移 2，10，18，24 位，得到 4 个 32bit 的结果，记移位结果为 y2,y10,y18,y24y2,y10,y18,y24

• 将移位的结果 y2,y10,y18,y24与盒变换输出 sbox_outputsbox_output 和 xixi 异或，得到 xi+4xi+4
  即 xi+4=sbox_output⊕y2⊕y10⊕y18⊕y24⊕xixi+4=sbox_output⊕y2⊕y10⊕y18⊕y24⊕xi

• 至此完成了一轮的加解密运算
  在实际加解密过程中，上述运算要执行 32 轮，同时使用 32 个不同的 rkirki，rkirki 由密钥拓展生成

• 最后将生成的最后 4 个 32bit 数据 x35,x34,x33,x32x35,x34,x33,x32 合并成一个 128bit 的数据 outputoutput，作为最后的输出结果

---

---

---

解密流程

密钥扩展算法

• 密钥拓展的过程和加解密大同小异
• 输入的原始密钥 keykey 为 128bit 的数据，将其按位拆分成 4 个 3232bit 的数据 K0,K1,K2,K3K0,K1,K2,K3
• 将初始密钥 K0,K1,K2,K3K0,K1,K2,K3 分别异或固定参数 FK0,FK1,FK2,FK3FK0,FK1,FK2,FK3 得到用于循环的密钥 k0,k1,k2,k3k0,k1,k2,k3
  即 k0=K0⊕FK0,k1=K1⊕FK1,k2=K2⊕FK2,k3=K3⊕FK3k0=K0⊕FK0,k1=K1⊕FK1,k2=K2⊕FK2,k3=K3⊕FK3
• 进入轮密钥 rkirki 的生成
  当 i=0i=0 时为第一次轮变换，一直进行到 i=31i=31 结束
• kiki 暂时不做处理，将 ki+1,ki+2,ki+3ki+1,ki+2,ki+3 和固定参数 CKiCKi 异或得到一个 32bit 的数据，作为盒变换的输入
  即 sbox_input=ki+1⊕ki+2⊕ki+3⊕ckisbox_input=ki+1⊕ki+2⊕ki+3⊕cki
• 将 sbox_inputsbox_input 拆分成 4 个 8bit 数据，分别进行盒变换，之后再将 4 个 8bit 输出合并成一个 32bit 的 sbox_outputsbox_output
• 将刚才获得的 sbox_outputsbox_output 分别循环左移 13，23 位，得到 2 个 32bit 的结果，记移位结果为 y13,y23y13,y23
• 将移位的结果 y13,y23y13,y23 与盒变换输出 sbox_outputsbox_output 和 kiki 异或，得到 ki+4ki+4
  即 rki=ki+4=sbox_output⊕y13⊕y23⊕kirki=ki+4=sbox_output⊕y13⊕y23⊕ki
• 至此完成了一轮的加解密运算
  在实际加解密过程中，上述运算要执行 32 轮，同时使用 32 个不同的 CKiCKi，CKiCKi 为固定参数
• 执行完 32 轮后，便可获得 32 个用于加解密的 rki

---

---