[发明专利]一种抗功耗攻击的SM4算法掩码S盒的实现方法

权利要求书

1.一种抗功耗攻击的SM4算法掩码S盒的实现方法，其特征在于，包括如下步骤：

S1，获取S盒的代数表达式：S(x)＝I(xA₁+C₁)A₂+C₂；

式中，A₁，A₂为8x8矩阵；C₁，C₂为行向量；

C₁＝C₂＝(11001011)

I(x)表示在GF(2⁸)有限域上的求逆运算，所对应的8次不可约多项式为：

f(x)＝x⁸+x⁷+x⁶+x⁵+x⁴+x³+x²+1；

S2，利用同构映射矩阵进行同构映射，将有限域GF(2⁸)中的元素从标准表示转换为复合域GF((2²)²)²)的方法表示；

S3，将同构映射产生的数据，在GF((2²)²)²)域上进行求逆运算；

S4，利用S2中同构映射矩阵的逆矩阵进行逆同构映射，将S3中得到的逆元从复合域中的表示转换为有限域GF(2⁸)中的标准表示；

S5，将输出结果经过仿射变换，得到S(x)；

对数据进行掩码技术处理，利用随机数将数据掩藏起来，具体包括如下步骤：

S1’，对S盒的掩码输入A^M进行仿射变换，并利用第一修正单元的修正因子对仿射变换的结果进行修正，得到修正数据；

S2’，将得到的修正数据和掩码M均利用同构映射矩阵进行同构映射，将有限域GF(2⁸)中的元素从标准表示转换为用复合域GF((2²)²)²)的方法表示；

S3’，将同构映射产生的数据，在GF((2²)²)²)域上进行求逆运算；

S4’，利用S2’中同构映射矩阵的逆矩阵进行逆同构映射，将S3’中得到的逆元从复合域中的表示转换为有限域GF(2⁸)中的标准表示；

S5’，将输出结果和掩码M均经过仿射变换，并利用第二修正单元的修正因子对仿射变换的结果进行修正，得到修正数据和修正掩码M；

S6’，将得到的修正数据和修正掩码M异或，得到SBOX(A)^M；

S2中，所述同构映射矩阵为：

S2包括如下步骤：

S201，将GF(2⁸)的元素表示为GF(2⁴)上的一次线性多项式：g＝(a₁Y¹⁶+a₀Y)，其中，所有系数都属于GF(2⁴)；

则，乘法运算需要的模不可约多项式为：r(y)＝y²+τy+η，[Y¹⁶，Y]为该域下的一组正则基，[Y¹⁶，Y]为r(y)＝0的两个根；

S202，将GF(2⁴)的元素表示为GF(2²)上的一次线性多项式：a＝(b₁Z⁴+b₀Z)，其中，所有系数都属于GF(2²)；

则，乘法运算需要的模不可约多项式为：t(z)＝z²+μz+ρ，[Z⁴，Z]为该域下的一组正则基，[Z⁴，Z]为t(z)＝0的两个根；

S203，将GF(2²)的元素表示为GF(2)上的一次线性多项式：b＝(c₁W²+c₀W)，其中，所有系数都属于GF(2)；

则，乘法运算需要的模不可约多项式为：s(w)＝w²+w+1，[W²，W]为该域下的一组正则基，[W²，W]为s(w)＝0的两个根；

S3包括如下步骤：

S301，取τ＝μ＝1，设g＝(a₁Y¹⁶+a₀Y)的逆为h＝(d₁Y¹⁶+d₀Y)，根据乘法逆的定义：(a₁Y¹⁶+a₀Y)(d₁Y¹⁶+d₀Y)mod(y²+y+η)＝1，a₁ a₀ d₁ d₀∈GF(2⁴)，因[Y¹⁶，Y]为r(y)＝0的两个根，Y¹⁶+Y＝1，Y¹⁶ X Y＝η；可得出(d₁Y¹⁶+d₀Y)＝(θ^－1a₀)Y¹⁶+(θ^－1a₁)Y，θ＝(a₁a₀+(a₁²+a₀²)η)；

S302，设a＝(b₁Z⁴+b₀Z)的逆为(e₁Z⁴+e₀Z)，根据乘法逆的定义：(e₁Z⁴+e₀Z)(b₁Z⁴+b₀Z)modt(z)＝1，b₁ b₀ e₁ e₀∈GF(2²)，因[Z⁴，Z]为t(z)＝0的两个根，Z⁴+Z＝1，Z⁴ X Z＝ρ,可得出(e₁Z⁴+e₀Z)＝(σ^－1b₀)Z⁴+(σ^－1b₁)Z，σ＝(b₁b₀+(b₁²+b₀²)ρ)；

S303，设b＝(c₁W²+c₀W)的逆为(f₁W²+f₀W)，根据乘法逆的定义：(f₁W²+f₀W)(c₁W²+c₀W)mods(w)＝1，c₀ c₁ f₁ f₀∈GF(2)，[W²，W]为s(w)＝0的两个根，W²+W＝1，W²XW＝1,在GF(2²)上乘法求逆相当于平方运算，可得出(f₁W²+f₀W)＝(c₁W²+c₀W)²＝c₁²W⁴+c₀²W²+2c₁c₀W³,在GF(2)上，c₁²＝c₁,c₀²＝c₀,2c₀ c₁＝0，且W³＝1；由此可得(f₁W²+f₀W)＝(c₀W²+c₁W)；

所述第一修正单元为一异或单元，其中的所述修正因子为一固定参数，用于调整掩码后数据的正确性；

所述第二修正单元为一异或单元，其中的所述修正因子为一固定参数，用于调整掩码后数据的正确性。