SM4

SM4 (SMS4)
Опубликован	2006 г. (рассекречен)
Размер ключа	128 бит
Размер блока	128 бит
Число раундов	32
Тип	Сеть Фейстеля

SM4 — алгоритм блочного шифрования используемый в Китае как национальный стандарт для беспроводных локальных сетей (WLAN Authentication and Privacy Infrastructure (WAPI)).

Первоначально алгоритм назывался SMS4, однако в тексте стандарта GM/T 0002-2012 SM4 Block Cipher Algorithm от 21 марта 2012 года был официально переименован в SM4.^[1]

SM4 был предложен как шифр используемый в стандарте IEEE 802.11i, но был быстро заменён ISO. Одной из причин этого была оппозиция WAPI fast-track продвигаемая IEEE.

Алгоритм SM4 был разработан профессором Лю Шу-ваном (LU Shu-wang(???)). Алгоритм был рассекречен в январе 2006. Несколько характеристик SM4:

• Размер блока составляет 128 бит.
• Используется 8 — битный S-box
• Размер ключа 128 бит.
• Используются только операции типа XOR, кругового сдвига и приложения S-Box
• Выполняется 32 раунда для обработки одного блока
• Каждый раунд обновляет четверть (32 бита) внутреннего состояния.
• Используется не линейное составление ключа (key schedule) для создания раундовых ключей.
• При расшифровке используются те же ключи что и при шифровании, но в обратном порядке.

Множество ${\displaystyle Z_{2}^{e}}$ определено как вектор из e бит.

${\displaystyle Z_{2}^{32}}$ это слово.

${\displaystyle Z_{2}^{8}}$ это байт.

S-box фиксируется 8 — битами на входе и 8 — битами на выходе, записывается как Sbox().

Длина шифрованного ключа составляет 128-бит, и представлена как ${\displaystyle MK=(MK_{0},\ MK_{1},\ MK_{2},\ MK_{3})}$, в каждой ${\displaystyle MK_{i}\ (i=0,\ 1,\ 2,\ 3)}$ содержится слово.

Раундовый ключ представлен как ${\displaystyle (rk_{0},\ rk_{1},\ \ldots ,\ rk_{31})}$. Он создаётся ключом шифрования.

${\displaystyle FK=(FK_{0},\ FK_{1},\ FK_{2},\ FK_{3})}$ это система параметров.

${\displaystyle CK=(CK_{0},\ CK_{1},\ \ldots ,\ CK_{31})}$ фиксированный параметр.

${\displaystyle FK_{i}}$ и ${\displaystyle CK_{i}}$ это слова, используемые для расширения алгоритма.

SM4 использует нелинейную структуру подстановки, за раз шифруется 32 бита. Это так называемая однораундовая замена. Для наглядного примера рассмотрим однораундовую подстановку: Представим 128-битный входной блок как четыре 32-битных элемента
${\displaystyle (X_{0},X_{1},X_{2},X_{3})\in (Z_{2}^{32})^{4}}$, с ${\displaystyle rk\in Z_{2}^{32}}$, тогда ${\displaystyle F}$ имеет вид:
${\displaystyle F(X_{0},X_{1},X_{2},X_{3},rk)=X_{0}\oplus T(X_{1}\oplus X_{2}\oplus X_{3}\oplus rk)}$

${\displaystyle T}$ это подстановка которая создаёт 32 бита из 32 бит ${\displaystyle T:Z_{2}^{32}\to Z_{2}^{32}.}$ Эта подстановка обратима, и содержит в себе нелинейную подстановку, τ, и линейную подстановку L, то есть ${\displaystyle T(.)=L(\tau (.))}$

${\displaystyle \tau }$ обрабатывает параллельно четыре S-box.

Пусть 32-битным входным словом будет ${\displaystyle A=(a_{0},a_{1},a_{2},a_{3})\in (Z_{2}^{32})^{4}}$, где каждая ${\displaystyle a_{i}}$ это 8-битный символ. Пусть 32-битным выходным словом будет ${\displaystyle B=(b_{0},b_{1},b_{2},b_{3})\in (Z_{2}^{32})^{4}}$), имеет вид
${\displaystyle (b_{0},b_{1},b_{2},b_{3})=\tau (A)}$ = (Sbox(${\displaystyle a_{0}}$), Sbox(${\displaystyle a_{1}}$), Sbox(${\displaystyle a_{2}}$), Sbox(${\displaystyle a_{3}}$))

${\displaystyle B\in Z_{2}^{32}}$, 32-битное слово нелинейной подстановки ${\displaystyle \tau }$ будет выводить слово линейной подстановки L. Пусть ${\displaystyle C\in Z_{2}^{32}}$ будет 32-битным выходным словом создаваемым L. Тогда
${\displaystyle C=L(B)=B\oplus (B<<<2)\oplus (B<<<10)\oplus (B<<<18)\oplus (B<<<24)}$

Все Sbox числа в шестнадцатеричной записи.

Например, если на входе Sbox принимает значение «ef», тогда найдя строку «e» и столбец «f», получаем Sbox(«ef») = «84».

Пусть обратной подстановкой ${\displaystyle R}$ будет:
${\displaystyle R(A_{0},A_{1},A_{2},A_{3})=(A_{3},A_{2},A_{1},A_{0}),A_{i}\in Z_{2}^{32},i=0,1,2,3.}$
Пусть текст, который подается на входе будет
${\displaystyle (X_{0},X_{1},X_{2},X_{3})\in (Z_{2}^{32})^{4}}$,
на выходе зашифрованный текст будет
${\displaystyle (Y_{0},Y_{1},Y_{2},Y_{3})\in (Z_{2}^{32})^{4}}$,
и ключ шифрования будет
${\displaystyle rk_{i},i=0,1,2,\ldots ,31.}$
Тогда шифрование будет происходить следующим образом:
${\displaystyle X_{i+4}=F(X_{i},X_{i+1},X_{i+2},X_{i+3},rk_{i})=X_{i}\oplus T(X_{i+1}\oplus X_{i+2}\oplus X_{i+3}\oplus rk_{i}),i=0,1,2,\ldots ,31}$
${\displaystyle (Y_{0},Y_{1},Y_{2},Y_{3})=R(X_{32},X_{33},X_{34},X_{35})=(X_{35},X_{34},X_{33},X_{32})}$
Алгоритм шифрования и расшифрования имеют одну и ту же структуру, за исключением того что порядок, в котором используются раундовые ключи обратный.
Порядок ключа при шифровании:${\displaystyle (rk_{0},rk_{1},\ldots ,rk_{31}).}$
Порядок ключа при расшифровании: ${\displaystyle (rk_{31},rk_{3}0,\ldots ,rk_{0}).}$

Раундовый ключ ${\displaystyle rk_{i}}$ используемый для шифрования, получается из ключа шифрования MK.
Пусть ${\displaystyle MK=(MK_{0},MK_{1},MK_{2},MK_{3}),MK_{i}\in Z_{2}^{32},i-0,1,2,3;K_{i}\in Z_{2}^{32},i=0,1,\ldots ,31;rk_{i}\in Z_{2}^{32},i=0,1,\ldots ,31}$: вывод следующий:
Во-первых,

${\displaystyle (K_{0},K_{1},K_{2},K_{3})=(MK_{0}\oplus FK_{0},MK_{1}\oplus FK_{1},MK_{2}\oplus FK_{2},MK_{3}\oplus FK_{3})}$

Тогда для ${\displaystyle i=0,1,2,\ldots ,31}$: ${\displaystyle rk_{i}=K_{i+4}=K_{i}\oplus T'(K_{i+1}\oplus K_{i+2}\oplus K_{i+3}\oplus CK_{i})}$
Записи:
(1) ${\displaystyle T'}$ подстановка использует ту же ${\displaystyle T}$ что и при шифровании, за исключением линейной подстановки L, она заменена на ${\displaystyle L'}$:
${\displaystyle L'(B)=B\oplus (B<<<13)\oplus (B<<<23);}$
(2) Система параметров ${\displaystyle FK}$, приведена в шестнадцатеричной записи
${\displaystyle FK_{0}=(a3b1bac6),FK_{1}=(56aa3350),FK_{2}=(677d9197),FK_{3}=(b27022dc)}$
(3) Параметр константа ${\displaystyle CK}$ получается:
Пусть ${\displaystyle ck_{i,0},ck_{i,1},ck_{i,2},ck_{i,3})\in (Z_{2}^{32})^{4},}$ тогда ${\displaystyle ck_{i,j}=(4i+j)*7(mod256).}$ 32 константы ${\displaystyle CK_{i}}$ в шестнадцатеричной записи представлены ниже:

Ниже представлен пример шифрования. Мы используем его для проверки правильности шифрования. Числа проверяются в шестнадцатеричной записи.

${\displaystyle rk}$ и выходная информация в каждом раунде:

Шифр текст: 68 1e df 34 d2 06 96 5e 86 b3 e9 4f 53 6e 42 46

• Chinese document describing the SMS4 cipher Архивная копия от 10 июля 2007 на Wayback Machine
• English translation of the Chinese document Архивная копия от 9 апреля 2016 на Wayback Machine
• Linear and Differential Cryptanalysis of Reduced SMS4 Block Cipher Архивная копия от 18 февраля 2012 на Wayback Machine
• Example of SMS4 implemented as a Spreadsheet
• Page of Prof. LU Shu-wang(???) in Chinese
• Example of SMS4 implemented in ANSI C Архивная копия от 22 февраля 2012 на Wayback Machine

В статье не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок. (28 августа 2018)