專利名稱:一種適用于硬件實現的s盒及其電路實現方法
技術領域:
本發明屬于信息安全領域,具體涉及到分組密碼算法中一種適用于硬件實現的非 線性變換——S盒的構造,及其高效的硬件實現方法,該方法不涉及任何查表操作。
背景技術:
一般地,分組密碼包含混淆層與擴散層,混淆層可用若干并置且獨立的代換函 數一S盒構成。S盒本質上都可以看作一個多輸出的向量值布爾函數
S (if) =-V2,…’而), 4_2 (xs_lt …,X0),…,J0 (Xp1,…,X0))
并稱為《〃《的S盒,它將一個《比特的數據映射為一個《比特的數據。作為提供混淆 作用的核心部件,S盒多數使用隨機置換或有限域上的非線性函數。目前,S盒已經成為了 許多分組密碼算法唯一的非線性模塊,它的密碼強度也將直接影響整個分組密碼算法的安 全強度。作為分組密碼的典型代表,高級加密標準(AES)使用了 8X8的S盒,它是用有限 域GF(28)上的求乘法逆和GF(2)上的仿射變換復合而成。此外,中國自主研發了一套無線 局域網數據密碼算法SMS4,其8X8的S盒同樣由有限域上的逆函數與仿射變換的復合而 成。從密碼學的角度來看,這兩個S盒都具備比較理想的非線性度、差分均勻度和代數復雜 性等密碼學性能。S盒的設計,除了要考慮其密碼學性質,更要注重實現性能。硬件實現因為具備更 高的速度和更強的物理安全性,其實用價值更強。然而,除了實現的速度與內存消耗,硬件 實現的總體代價也是必須考慮的。AES的S盒的軟件實現一般采用查表的方式,8X8的S 盒的存儲量為28X8比特,但查表操作不適用于硬件實現,如果表的規模太大,查表操作的 效率偏低,而表的存儲量對于芯片面積有著嚴格要求的嵌入式系統是難以接受的。針對S盒的硬件實現,目前比較流行的技術是引入元素的同構表示,其基本思 想是通過一個可逆的線性變換Γ將域GF(28)上的元素映射到復合域GF(24)2)或塔域 GF(((22)2)2)上同構的元素,并在相應的域中求乘法逆。這種轉化方法選取了實現代價相 對較小的域,無需借助查表操作,對于硬件實現來說即減少開銷,又避免了內存讀寫數據產 生的延遲。不過原域與復合域之間的兩次轉化,以及復合域求逆引入的一系列GF(24)或 GF ((22)2)上的運算,也在一定程度上提高了 S盒運算的復雜度。為此,對于S盒的設計,有必 要應當在滿足安全性需求的前提下對運算做適當的改進,使其硬件實現具備更高的效率。
發明內容
本發明的目的在于提供一種適用于硬件實現的8X8的S盒,在滿足安全性需求的 前提下,適當改變S盒傳統的運算方式,使其硬件實現無需查表,使用復合域方法將具備更 高的效率。本發明給出的S盒將采用有限域上的逆函數與仿射變換的復合,其中的有限域的 選取將使其逆函數的復合域硬件實現的代價相對較小。
4
本發明的技術方案概述如下
一種應用于分組密碼的S盒,其特征在于,
-所述S盒為8X8的S盒;
-所述S盒選自于有限域GF&22
K、
GF
/
.、-/
2_
Xt~( .
2
2 2 Zrnl-
T -■■ i ι.
/_\
中的任一元素
α均可看作一個8比特的數據,記為α = {α ,α6,-,α ) , € GF(2),0 < <7 ,分別代表《不同的比特位,在有限域意義下用多項式的形式表示為 -=[(a7z + a6 P + + )]χ + (α3ζ + %)7 + (a^ +氣),這里的λ.、少和ζ都是多項式表示的 不定元;
- 所述有限域 GF
GF〔(( 22 f )*) = GF ((22
GF((22f) = GF(22)/(e(,]
i
下 如 構 結 體 具 的
χ)) P (χ) = χ2 4-χ 4-/1
! Q(>') = y2+y+Φ
R(z) = z2 +ζ +
;其中,對應二進制表示
Λ = (ζ + Γ
l^eGF((22f),對應二進制表示{ll00j2
所述S盒的運算為
^ GF
((22f)X((22f
“ /
■α =巧 ν(以
上的仿射變換,符號表示異或;函數表示GF
mv
函數 是向量空間 Aff
Λ \
中的乘法逆函數
mv GF
GF
Ml
(1)
al·-^· b = a'"
本發明同時提供了所述S盒的電路實現方法,技術方案如下 在S盒硬件電路的設計中,因為不采用查表操作,所以必須將(1)式分解為若干個域
GFibD上的運算(即復合域方法)“力eGFii(22r
項式α = S1X+ α0 , b = bxK+b(i,ai'ao A-bo € GF|
可以表示成GF(P)2)的一次多 1 右 ^τ+ 1。= J v((3jX I- a0) ’ 貝丨J 有
k = X (ιX^12 + ο X (^1 + O0 ))
-1
1—1
(2)
5由上式可見,電路中必須嵌入實現GF((22f)的加法、乘法、常量,乘法和平方等運算 的子模塊。
‘丨2)f上的仿射變換,符號@表示異或(模2力口) 1 1 0 0 0" 函數Jff是向量空間I
權利要求
一種應用于分組密碼的S盒,其特征在于,所述S盒為為8×8的S盒;所述S盒選自于有限域;具體結構如下 ;所述S盒的運算為 函數是向量空間為上的仿射變換,符號表示異或; 函數表示中的乘法逆函數。577167dest_path_image001.jpg,416947dest_path_image002.jpg,959924dest_path_image003.jpg,517944dest_path_image004.jpg,673244dest_path_image005.jpg,633110dest_path_image006.jpg,284671dest_path_image007.jpg,126725dest_path_image001.jpg
2.如權利要求1所述的S盒,其特征在于,所述#=2e GF (2”,對應二進制表示f 10;)3
3.如權利要求1所述的S盒,其特征在于,所述+,對應二進制表 示(IlOO)2 。
4.權利要求1所述S盒的電路實現方法,其特征在于,整個電結構路按S盒的運算順序 分成兩個部分,分別用于計算函數wv和# -函數只包含一個仿射變換模塊,實現下面公式中輸入8比特和輸出8比特數據之間的關系,用比特的異或與取反操作來對應實現; 將8比特數據分成高4位和低4位,然后按公式 所示分兩路并聯,一路按順序計算 、^X(約,另一路按順序計算巧2、 ,并在GF((22)2)中求逆,再分別與<,接著兩路匯合相加,得到Λχ彳+ ο + fa, +a0)相乘,就得到了函數7 的高4位和低4位t訪V,2 ,
5.如權利要求4所述的電路實現方法,其特征在于,所述電路中包括實現GFff)j的加法、乘法、常量 乘法和平方等運算的子模塊。
6.如權利要求5所述的電路實現方法,其特征在于,所述乘法的實現電路對應的公式[C3 = α-p^ αφ2@α3 0 ^ij ⑩以為Φ^1A2 φβ^^i1 a2b0為c = αχ I — ‘C1 = αφ2 a A α2厶2 alh 0 = a-p2 a~sh2 @a2i 3 a^
7.如權利要求5所述的電路實現方法,其特征在于,所述常量Λ乘法的實現電路對應的公式為e =IC3 =α2 !0 IC2 =a3<IcO = 2
8.如權利要求5所述的電路實現方法,其特征在于,所述平方的實現電路對應的公式為c = a<h = <hC、— ιt 0
9.如權利要求5所述的電路實現方法,其特征在于,所述求逆的實現電路對應的公式 ic3 = ^2α α al α0ι C2 一以3以1以0j C1 = a2axa0 α2 Qa1Qa0°I C0 = chaia0 a^iaIaQ a2ai α2α \ α2 αχ為c = α~ι ◎
全文摘要
本發明提供了一種適用于硬件實現的8×8的S盒及其電路實現方法,該S盒使用有限域GF(((22)2)2)上的求逆運算和GF(2)8的仿射變換復合而成,具備較強的非線性度,差分傳播概率,雪崩性能和代數復雜度等密碼學性質。相比于其它含28個元素的伽羅華域,本發明所選取的域GF(((22)2)2)可降低求逆運算的復雜性,各級域擴張生成多項式的選取進一步減少了子域運算的開銷。本發明還給出了該S盒的一種硬件實現方式,整個S盒的計算過程完全可以轉化為比特的異或、與和取反操作,使用簡單的邏輯門電路即可實現。整個過程無需查表,減少了硬件總體實現的開銷。
文檔編號H04L9/00GK101938349SQ20101029841
公開日2011年1月5日 申請日期2010年10月1日 優先權日2010年10月1日
發明者劉建偉, 張筱, 王文華, 王釗, 邱望潔, 鄭志明, 高瑩 申請人:北京航空航天大學