前沿技术｜高安全的SM4新型白盒实现方案

背景

白盒密码用于保护密码算法在各类应用环境中的运行安全，特别是在不可控环境中保护密钥等敏感信息的安全。

关于商密SM4算法，目前已有多个白盒实现方案。这些方案大多基于CEJO框架，通过将算法分解再使用网络化编码解码的方式实现对密钥的隐藏，并且通过级联编码的方式分解查找表以降低方案所需的存储空间。随着对攻击方法的深入研究，这些方案的安全强度远低于预期，无法满足更高安全需求的应用场景。

方案介绍

海泰方圆对SM4白盒实现技术进行了一次重要的创新，提出的新方案核心在于将SM4算法的关键组成部分——逆函数、S盒和轮函数转换为隐式方程组的形式，通过求解这些隐式方程来完成算法的运算过程。

该方案基于Adrián等在CRYPTO 2022提出的隐式白盒思想，并使用冗余编码技术对其进一步丰富扩展。通过在数据的输入输出阶段引入冗余编码，并在算法执行过程中适当地消除这些编码，实现在不改变标准输入输出接口的同时，增加了对中间状态的混淆程度，从而显著提高整个方案的安全性。

具体地，本方案在白盒初始化阶段，首先根据密钥计算轮密钥，然后对每轮运算进行隐式转化，生成一组组的隐式方程组，即对每轮运算，根据轮密钥rk_i，寻找方程组Func_i (X_i,X_i+1,X_i+2,X_i+3,X_i+4 )=0，使之与轮变换X_i+4=X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)等价。可通过依次寻找逆函数、S盒、轮函数的隐式方程，来获得与轮函数等价的隐式方程组。S盒中逆函数y=x^-1的隐式方程示例如下：

其中，

在白盒加密阶段，轮函数的运算过程被转换成隐式方程组求解的问题，即轮运算变为由输入信息X_i,X_i+1,X_i+2,X_i+3求解隐式方程组Func_i得到输出值X_i+4，通过每轮隐式方程求解实现加密。同时，由于所转换的隐式方程组是半仿射方程，因此可直接使用仿射变换对方程组的输入变量与输出变量进行编码变换，以及引入冗余的随机方程混淆方程组信息。且仿射编码变换的规模与方程组的个数相同，不需要使用传统的方式通过较小规模变换进行级联，此增大了攻击者恢复编码变换的难度。其中的冗余方程产生的冗余编码，进一步导致即使攻击者能够获取到部分中间状态信息，也难以从中恢复出真实的密钥信息。

安全性分析表明，当引入的冗余比特数不少于11比特时，攻击者从中恢复所有轮密钥的复杂度不低于2¹²⁸，这为SM4算法在白盒环境中的安全运行提供了强有力的保障。此外，方案还具有良好的效率和实用性，适用于金融、电信、医疗等对安全性要求极高的行业。

技术优势

高安全性：冗余编码技术有效提升了攻击者恢复中间状态信息的复杂度，攻击复杂度不低于2¹²⁸。

标准接口：通过冗余编码的引入与消除，方案能够实现与标准SM4算法一致的输入输出接口，便于与现有系统集成。

抗通用攻击：方案通过随机仿射编码及大规模隐式方程组，增加了抵抗差分计算分析（DCA）等自动化攻击的能力。

应用场景分析

本方案应用场景广泛，特别是在那些对安全性要求极高的环境中，其价值尤为显著。以下是该技术可以发挥作用的一些关键领域：

金融服务：用于确保交易过程中使用的加密密钥不因恶意软件或黑客攻击所泄露，也可以用于保护自动取款机和其他金融服务终端的密钥，防止金融欺诈和数据泄露。

移动支付：可以在移动钱包和支付应用中使用，确保即使在设备被恶意软件感染的情况下，用户的敏感信息和交易密钥也能得到保护。

云计算：用于云服务，确保存储在云服务器上的加密密钥不被未授权的用户访问。

车联网：用于确保车辆通信、远程诊断和自动驾驶技术中的密钥不被攻击者窃取。

版权保护：用于保护数字版权管理系统中的密钥，确保只有授权用户才能访问受版权保护的内容。

方案通过结合隐式变换与冗余编码技术，有效克服了传统SM4白盒密码方案在安全性和标准接口兼容性方面的局限性。这种新型实现方式显著提升了SM4白盒方案的整体安全性，使其能够满足金融、移动应用、物联网设备等高安全需求场景的加密要求。

海泰方圆深入研究白盒密码技术，拥有SM4白盒加解密、SM2/9白盒签名/解密、HMAC-SM3等商密SM2/3/4/9全系列算法的白盒解决方案。同时，海泰方圆紧跟白盒密码技术研究学术前沿，并积极参与国内相关标准制定，为白盒密码技术研究与应用贡献海泰力量。