对两个SM4白盒方案的分析

摘要

传统密码算法在设计时并未考虑算法运行平台的安全风险.Chow等在2002年提出了白盒攻击模型,假定攻击者具有完全控制算法运行过程的能力,可以获取算法的运行状态、更改算法运行的中间值等.此模型更符合密码设备在失控环境下的应用情况,因为一个合法的用户也可能变为一个潜在的攻击者.在这种环境下,传统攻击模型中设计的密码算法将不再安全.如何保护密码算法在白盒环境下的安全性,在数字版权保护、移动终端安全等领域具有强烈的现实需求.Chow等使用混淆与查找表等方式设计了AES、DES白盒方案,肖雅莹等在2009年使用类似方法设计了SM4算法的白盒方案(肖-来方案),白鲲鹏等进一步通过复杂化内部解码编码过程以及引入更多随机数的方式设计了一个新的SM4白盒方案(白-武方案).本文分析了这两个SM4白盒方案.首先指出林婷婷等对肖-来方案分析的复杂度计算存在偏差(林-来分析).具体来讲,该分析中唯一确定了编码矩阵及仿射常数,而实质上根据该分析方法,编码矩阵与仿射常数存在215.9·232种可能取值.进一步地,改进了林-来的分析方法,通过调整仿射常数的恢复顺序,大幅降低了计算复杂度.如恢复查找表外部编码的仿射常数时,通过搜索等价密钥再确定仿射常数的方式只需不超过210次查表运算就可确定该仿射常数,而林-来分析中获取该仿射常数的计算复杂度为246.同时,提出了首个针对白-武方案的第三方分析,恢复其密钥的复杂度为215.9.2128.分析表明,肖-来、白-武方案的安全性主要依赖外部编码中仿射常数的安全性.两个方案的线性变换部分对安全性的影响有限,且复杂化内部编码解码过程并不能有效提高线性变换的安全性.另外,通过对仿射矩阵或仿射常数进行拆分来增大白盒多样性的策略只会增大白盒方案的实现难度,而对方案的安全性并无明显加强.这一系列发现将对白盒密码的分析与设计提供借鉴作用.