AES白盒加密解读与实现(Chow方案)

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6

文章目录

前言

近日开始学白盒密码没有技巧全靠头发特此记录.
在这里插入图片描述

一丶AES基本加密流程

在AES加密中通常分以下四个模块
设中间值变量为state它通常被描述为一个二维的字节数组即一个4×4数组。

  • 轮密钥加AddRoundKey中间值state与16字节轮密钥进行异或。
  • 字节替换SubBytes通过S盒完成一个字节到另一个字节的映射
  • 行位移ShiftRows中间值state矩阵内部字节之间进行置换
  • 列混淆MixColumns中间值state左乘一个在GF(256)上面的可逆矩阵每次更新只影响中间值state的一列4个字节。

加密中每轮的密钥 k i k_i ki分别由种子密钥经过密钥扩展算法得到具体加密流程如下
图1AES加密流程
具体细节不再赘述具体请查阅AES加密详细流程。

二、基于表实现的AES算法

1.调整轮函数结构

为了方便基于查表法的AES实现原来的轮函数结构将会适当做出调整。

1重新定义for循环将 A d d R o u n d K e y ( s t a t e , k 0 ) AddRoundKey(state,k_0) AddRoundKey(state,k0)加入循环中并将 A d d R o u n d K e y ( s t a t e , k 9 ) AddRoundKey(state,k_9) AddRoundKey(state,k9)移出循环具体加密流程如下

2将for循环内中ShiftRows移至于第一其次为AddRoundKey,SubBytes,MixColumns.
交换ShiftRows与SubBytes位置
这里需要注意的是ShiftRows是一个线性变化SubBytes是通过S盒完成一个字节到另一个字节的映射所以无论ShiftRows与SubBytes相互之间的位置发生什么样的变化都不影响加密结果。
设输入为 x 0 , x 1 . . . . . x 15 x_0,x_1.....x_{15} x0,x1.....x15 S ( x ) S(x) S(x)为字节替换操作根据下图大家自行脑补ShiftRows与SubBytes位置发生变化时结果是否会发生改变。

在这里插入图片描述

交换ShiftRows与AddRoundkey位置
中间值状态 S t a t e State State每次应于相应的 轮密钥 k k k做异或运算因此如需要交换ShiftRows与AddRoundkey位置可以对轮密钥 k k k做同样的置换运算然后交换行移位和轮密钥加进行一个交换这里的原理和上面的类似主要是因为轮密钥加并不改变位置行移位不改变值。
最终加密流程如下
在这里插入图片描述
经过以上处理后我们可以开始构造相应查找表T-boxTy_tablesXOR tables,Tyiboxs

2.T-boxs

在每一轮中AddRoundKey和SubBytes可以组合成16个将字节映射到字节的查找表8bit进8bit出。T-boxs定义如下
T i r ( x ) = S ( x ⊕ k ^ r − 1 [ i ] ) ,  for  i = 0 … 15  and  r = 1 … 9 , T i 10 ( x ) = S ( x ⊕ k ^ 9 [ i ] ) ⊕ k 10 [ i ] ,  for  i = 0 … 15. \begin{array}{rlrl} T_{i}^{r}(x) & =S\left(x \oplus \widehat{k}_{r-1}[i]\right), & \text { for } i & =0 \ldots 15 \text { and } r=1 \ldots 9, \\ T_{i}^{10}(x) & =S\left(x \oplus \widehat{k}_{9}[i]\right) \oplus k_{10}[i], & \text { for } i=0 \ldots 15 . \end{array} Tir(x)Ti10(x)=S(xk r1[i]),=S(xk 9[i])k10[i], for i for i=015.=015 and r=19,
注意第10轮的t-box包含了两个轮密钥k9和k10的字节总共有160个T-boxs盒。
因此我们定义T-box[10][16][256],其中10为轮数16为字节个数256是字节值C语言实现如下

u8 TBoxes[10][16][256];
void GetTbox(u8 key[176]) {
	for (int r = 0; r <= 9; r++) {//轮数
		shiftRows (key + 16*r);
		for (int index = 0; index < 16; index++)//字节数
		{
			for (int x = 0; x < 256; x++) {//0-255
				TBoxes[r][index][x] = SBox[x^key[16 * r + index]];
				if (r == 9) {
					TBoxes[r][index][x] = TBoxes[r][index][x]^ key[16 * (r + 1) + index];
				}
			}
		}
	}
}

3.Tyi_tables

在第1轮到第9轮中在每个字节通过T-box进行映射后然后将其输入到一个混合列转换中。在第1轮中 T 0 1 , T 1 1 , T 2 1 , T 3 1 T_0^1,T_1^1,T_2^1,T_3^1 T01,T11,T21,T31的输出被解释为列向量然后与矩阵MC相乘。该计算可以使用表来实现。
因MixColumns 每次作用在一列可由32×32的矩阵 MC 乘32比特的列向量表示在白盒实现中加密时的 MixColumns 与解密时的 MixColumns 逆操作都可通过四个较小规模的8bit输入到32bit输出的查找表操作后再通过异或的方式完成。查找表 T y i Ty_i Tyi构造方式如下
T y 0 ( x ) = x ⋅ [ 2 , 1 , 1 , 3 ] T T y 1 ( x ) = x ⋅ [ 3 , 2 , 1 , 1 ] T T y 2 ( x ) = x ⋅ [ 1 , 3 , 2 , 1 ] T T y 3 ( x ) = x ⋅ [ 1 , 1 , 3 , 2 ] T Ty_0(x)=x \cdot [2,1,1,3]^T\\ Ty_1(x)=x \cdot [3,2,1,1]^T\\ Ty_2(x)=x \cdot [1,3,2,1]^T\\ Ty_3(x)=x \cdot [1,1,3,2]^T Ty0(x)=x[2,1,1,3]TTy1(x)=x[3,2,1,1]TTy2(x)=x[1,3,2,1]TTy3(x)=x[1,1,3,2]T
最后MixColumns可表示为4次查表于3次异或操作(异或需要借助XOR tables)
M i x C o l u m n s : T y 0 ( x ) ⊕ T y 1 ( x ) ⊕ T y 2 ( x ) ⊕ T y 3 ( x ) MixColumns:Ty_0(x)\oplus Ty_1(x)\oplus Ty_2(x)\oplus Ty_3(x) MixColumns:Ty0(x)Ty1(x)Ty2(x)Ty3(x)

u32 TyiTables[4][256];
void GetTyiTable() {
	for (int i = 0; i < 4; i++) {
		for (int x = 0; x < 256; x++) {
			TyiTables[0][x] = (gMul(2, x) << 24) | (x << 16) | (x << 8) | gMul(3, x);
			TyiTables[1][x] = (gMul(3, x) << 24) | (gMul(2, x) << 16) | (x << 8) | x;
			TyiTables[2][x] = (x << 24) | (gMul(3, x) << 16) | (gMul(2, x) << 8) | x;
			TyiTables[3][x] = (x << 24) | (x << 16) | (gMul(3, x) << 8) | gMul(2, x);
		}
	}
}

4.XOR tables

Xor tables用于对于每轮当中的两个半字节进行一个查表的异或运算因此我们定义数组为
Xor tables[9][96][16][16]其中9为轮数96为一轮所需的异或次数16,16为4bit数所有可能值。

u8 xorTable[9][96][16][16]
void GetxorTable() {
	for (int i = 0; i < 9; i++) {
		for (int j = 0; j < 96; j++) {
			for (int x = 0; x < 16; x++) { //2的4次方=16
				for (int y = 0; y < 16; y++) {
					xorTable[i][j][x][y] = x^y;
				}
			}
		}
	}
}

5.表合并

T-boxs表于Tyi_tables实际上可以进行合并成为新的表Tyiboxs,组合查找表可以减少执行加密所需的单个表的访问次数。合并方法如下所示
T y 0 ∘ T 0 1 ( x ) = T y 0 ( T 0 1 ( x ) ) T y_{0} \circ T_{0}^{1}(x)=T y_{0}\left(T_{0}^{1}(x)\right) Ty0T01(x)=Ty0(T01(x))

u32 TyiBoxes[9][16][256];
void GetTyiBoxs() {
	for (int r = 0; r < 9; r++) {
		for (int  index = 0; index < 16; index++)
		{
			for (int x = 0; x < 256; x++)
			{
				u8 t = TBoxes[r][index][x];
				TyiBoxes[r][index][x] = TyiTables[index % 4][t];
			}
		}
	}
}

注意TyiBoxes仅用于前9轮加密第10轮加密中仍需要用到TBoxes。

6.总结

最终整个AES加密流程可以通过Tyiboxs,XORTables,TBoxes三个表实现参考[2]中的流程图如下
在这里插入图片描述
代码实现如下

void Table_encrypt(u8 input[16], u8 output[16]) {
	u32 a, b, c, d, aa, bb, cc, dd;
	for (int i = 0; i < 9; i++) {
		shiftRows(input);
		for (int j = 0; j < 4; j++) {
			a = TyiBoxes[i][4 * j + 0][input[4 * j + 0]];
			b = TyiBoxes[i][4 * j + 1][input[4 * j + 1]];
			c = TyiBoxes[i][4 * j + 2][input[4 * j + 2]];
			d = TyiBoxes[i][4 * j + 3][input[4 * j + 3]];
			aa = xorTable[i][24 * j + 0][(a >> 28) & 0xf][(b >> 28) & 0xf];
			bb = xorTable[i][24 * j + 1][(c >> 28) & 0xf][(d >> 28) & 0xf];
			cc = xorTable[i][24 * j + 2][(a >> 24) & 0xf][(b >> 24) & 0xf];
			dd = xorTable[i][24 * j + 3][(c >> 24) & 0xf][(d >> 24) & 0xf];
			input[4 * j + 0] = xorTable[i][24 * j + 4][aa][bb] << 4 | xorTable[i][24 * j + 5][cc][dd];
			aa = xorTable[i][24 * j + 6][(a >> 20) & 0xf][(b >> 20) & 0xf];
			bb = xorTable[i][24 * j + 7][(c >> 20) & 0xf][(d >> 20) & 0xf];
			cc = xorTable[i][24 * j + 8][(a >> 16) & 0xf][(b >> 16) & 0xf];
			dd = xorTable[i][24 * j + 9][(c >> 16) & 0xf][(d >> 16) & 0xf];
			input[4 * j + 1] = xorTable[i][24 * j + 10][aa][bb] << 4 | xorTable[i][24 * j + 11][cc][dd];
			aa = xorTable[i][24 * j + 12][(a >> 12) & 0xf][(b >> 12) & 0xf];
			bb = xorTable[i][24 * j + 13][(c >> 12) & 0xf][(d >> 12) & 0xf];
			cc = xorTable[i][24 * j + 14][(a >> 8) & 0xf][(b >> 8) & 0xf];
			dd = xorTable[i][24 * j + 15][(c >> 8) & 0xf][(d >> 8) & 0xf];
			input[4 * j + 2] = xorTable[i][24 * j + 16][aa][bb] << 4 | xorTable[i][24 * j + 17][cc][dd];
			aa = xorTable[i][24 * j + 18][(a >> 4) & 0xf][(b >> 4) & 0xf];
			bb = xorTable[i][24 * j + 19][(c >> 4) & 0xf][(d >> 4) & 0xf];
			cc = xorTable[i][24 * j + 20][(a >> 0) & 0xf][(b >> 0) & 0xf];
			dd = xorTable[i][24 * j + 21][(c >> 0) & 0xf][(d >> 0) & 0xf];
			input[4 * j + 3] = xorTable[i][24 * j + 22][aa][bb] << 4 | xorTable[i][24 * j + 23][cc][dd];
		}
	}
	//第十轮
	shiftRows(input);
	for (int j = 0; j < 16; j++) {
		input[j] = TBoxes[9][j][input[j]];
	}
	for (int i = 0; i < 16; i++)
    output[i] = input[i];
}

加密结果
在这里插入图片描述
AES算法的查表实现至此结束而实际上Tboxes/TyiTables是存有密钥在文献[1]中提到破解过程如下
a = S − 1 ∘ T y 0 − 1 ∘ ( T y 0 ∘ T 0 1 ) a=S^{-1}\circ Ty_0^{-1}\circ(Ty_0 \circ T^1_0) a=S1Ty01(Ty0T01)
既只需要构造一个逆TyiTable,根据逆S盒与逆TyiTable恢复AddRoundKey操作的中间值并穷举可能密钥获取正确密钥。

三、AES算法白盒加密实现

待续

参考

博客与代码
[1]https://developer.aliyun.com/article/952800
[2]https://github.com/balena/aes-whitebox
论文
[1]CHOW S, EISEN P A, JOHNSON H, et al. White-box cryptography and an AES implementation[C]. In: Selected Areas in Cryptography—SAC 2002. Springer Berlin Heidelberg, 2003: 250–270
[2]Muir J A. A tutorial on white-box AES[J]. Advances in network analysis and its applications, 2013: 209-229.

阿里云国内75折 回扣 微信号:monov8
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6