【零依赖实现国密算法C语言版】国密SM4算法

国密SMS4是一个分组算法。该算法的分组长度为128比特,密钥长度为128比特。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。

需熟读对应的规范文档《无线局域网产品使用的SMS4密码算法》后，再阅读本文。

# 术语说明

# 字与字节

字节相信大家都比较清楚，一个字节是8比特，字即为32比特表示的元素，也就是说一个字等于4字节。

代码表示转换关系:

// 将const unsigned char *表示的数据转换为字
#ifndef GM_GET_UINT32_BE
#define GM_GET_UINT32_BE(n, b, i)                       \
{                                                       \
    (n) = ( (uint32_t) (b)[(i)    ] << 24 )             \
        | ( (uint32_t) (b)[(i) + 1] << 16 )             \
        | ( (uint32_t) (b)[(i) + 2] <<  8 )             \
        | ( (uint32_t) (b)[(i) + 3]       );            \
}
#endif

//将字转换为const unsigned char *表示的数据
#ifndef GM_PUT_UINT32_BE
#define GM_PUT_UINT32_BE(n, b ,i)                       \
{                                                       \
    (b)[(i)    ] = (unsigned char) ( (n) >> 24 );       \
    (b)[(i) + 1] = (unsigned char) ( (n) >> 16 );       \
    (b)[(i) + 2] = (unsigned char) ( (n) >>  8 );       \
    (b)[(i) + 3] = (unsigned char) ( (n)       );       \
}
#endif

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

# S盒

S 盒为固定的 8 比特输入 8 比特输出的置换,记为 Sbox(.)。

代码表示：

unsigned char SMS4_SBOX[256] ={
    0xd6, 0x90, 0xe9, 0xfe, 0xcc, 0xe1, 0x3d, 0xb7, 0x16, 0xb6, 0x14, 0xc2, 0x28, 0xfb, 0x2c, 0x05,
    0x2b, 0x67, 0x9a, 0x76, 0x2a, 0xbe, 0x04, 0xc3, 0xaa, 0x44, 0x13, 0x26, 0x49, 0x86, 0x06, 0x99,
    0x9c, 0x42, 0x50, 0xf4, 0x91, 0xef, 0x98, 0x7a, 0x33, 0x54, 0x0b, 0x43, 0xed, 0xcf, 0xac, 0x62,
    0xe4, 0xb3, 0x1c, 0xa9, 0xc9, 0x08, 0xe8, 0x95, 0x80, 0xdf, 0x94, 0xfa, 0x75, 0x8f, 0x3f, 0xa6,
    0x47, 0x07, 0xa7, 0xfc, 0xf3, 0x73, 0x17, 0xba, 0x83, 0x59, 0x3c, 0x19, 0xe6, 0x85, 0x4f, 0xa8,
    0x68, 0x6b, 0x81, 0xb2, 0x71, 0x64, 0xda, 0x8b, 0xf8, 0xeb, 0x0f, 0x4b, 0x70, 0x56, 0x9d, 0x35,
    0x1e, 0x24, 0x0e, 0x5e, 0x63, 0x58, 0xd1, 0xa2, 0x25, 0x22, 0x7c, 0x3b, 0x01, 0x21, 0x78, 0x87,
    0xd4, 0x00, 0x46, 0x57, 0x9f, 0xd3, 0x27, 0x52, 0x4c, 0x36, 0x02, 0xe7, 0xa0, 0xc4, 0xc8, 0x9e,
    0xea, 0xbf, 0x8a, 0xd2, 0x40, 0xc7, 0x38, 0xb5, 0xa3, 0xf7, 0xf2, 0xce, 0xf9, 0x61, 0x15, 0xa1,
    0xe0, 0xae, 0x5d, 0xa4, 0x9b, 0x34, 0x1a, 0x55, 0xad, 0x93, 0x32, 0x30, 0xf5, 0x8c, 0xb1, 0xe3,
    0x1d, 0xf6, 0xe2, 0x2e, 0x82, 0x66, 0xca, 0x60, 0xc0, 0x29, 0x23, 0xab, 0x0d, 0x53, 0x4e, 0x6f,
    0xd5, 0xdb, 0x37, 0x45, 0xde, 0xfd, 0x8e, 0x2f, 0x03, 0xff, 0x6a, 0x72, 0x6d, 0x6c, 0x5b, 0x51,
    0x8d, 0x1b, 0xaf, 0x92, 0xbb, 0xdd, 0xbc, 0x7f, 0x11, 0xd9, 0x5c, 0x41, 0x1f, 0x10, 0x5a, 0xd8,
    0x0a, 0xc1, 0x31, 0x88, 0xa5, 0xcd, 0x7b, 0xbd, 0x2d, 0x74, 0xd0, 0x12, 0xb8, 0xe5, 0xb4, 0xb0,
    0x89, 0x69, 0x97, 0x4a, 0x0c, 0x96, 0x77, 0x7e, 0x65, 0xb9, 0xf1, 0x09, 0xc5, 0x6e, 0xc6, 0x84,
    0x18, 0xf0, 0x7d, 0xec, 0x3a, 0xdc, 0x4d, 0x20, 0x79, 0xee, 0x5f, 0x3e, 0xd7, 0xcb, 0x39, 0x48
};

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

# 基本运算

算法中采用了以下基本运算:

⊕ 32比特异或
<<<i 32比特循环左移i位

1
2

代码表示循环左移

#define  GM_SHL(x,n) (((x) & 0xFFFFFFFF) << (n % 32))
#define GM_CROL(x, b) (GM_SHL((x),n) | ((x) >> (32 - (n % 32))))

1
2

# 合成置换T

是一个可逆变换，由非线性变换τ和线性变换L复合而成,即T(.)=L(τ(.))

# 非线性变换τ

τ由4个并行的S盒构成。

设输入为 , 输出为 ,则

$τ$

其实就是经过S盒变换，代码实现

#define GM_SM4_NON_LINEAR_OP(in, out) \
{                                                           \
    (out)  = ( GM_SM4_SBOX[ ((in) >> 24) & 0x0FF ] ) << 24; \
    (out) |= ( GM_SM4_SBOX[ ((in) >> 16) & 0x0FF ] ) << 16; \
    (out) |= ( GM_SM4_SBOX[ ((in) >> 8)  & 0x0FF ] ) << 8;  \
    (out) |= ( GM_SM4_SBOX[ (in)         & 0x0FF ] );       \
}

1
2
3
4
5
6
7

# 线性变换

非线性变换τ的输出是线性变换L的输入。设输入为B ，输出为C，则

# 加/解密运算

定义反序变换 R 为:
。

设明文输入为 , 密文输出为轮密钥为。

则加密变换为:
.
。

解密变换与加密变换结构相同, 不同的仅是轮密钥的使用顺序。
加密时轮密钥的使用顺序为:
解密时轮密钥的使用顺序为:

规范中的这段要折细来理解的话其实也很好理解，首先假定了输入是，这里的, i=0,1,2,3是字表示，也就是说一次加密变换只能操作4个字，也就是16个字节。通常的C/C++中我们都会用const unsigned char *来指向输入的数据，那么如何转换为呢，我们来逐步实现：

/**
 * 我们假定我们的加/解密变换的定义如下，这里不考虑in及out是否为空指针或内存会不会溢出，由业务层处理。
 * @param key 密钥
 * @param mode 0表示加密，1表示解密
 * @param in 表示输入数据
 * @param out 表示输出数据
 */
void gm_sm4_crypt(const unsigned char *key, int mode, const unsigned char *in, unsigned char *out)
{
    unsigned int X[36]; // 定义输入及变换过程暂存字缓冲区
    int i;
    // 将in转换为字，存入X缓冲区
    GM_GET_UINT32_BE( X[0], in, 0);
    GM_GET_UINT32_BE( X[1], in, 4);
    GM_GET_UINT32_BE( X[2], in, 8);
    GM_GET_UINT32_BE( X[3], in, 12);
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

加/解密运算后的结果用，而。那么完善我们的加密算法

void gm_sm4_crypt(const unsigned char *key, int mode, const unsigned char *in, unsigned char *out)
{
    unsigned int X[36]; // 定义输入及变换过程暂存字缓冲区
    int i;
    unsigned int * pout = (unsigned int *)out;
    
    // 将in转换为字，存入X缓冲区
    GM_GET_UINT32_BE( X[0], in, 0);
    GM_GET_UINT32_BE( X[1], in, 4);
    GM_GET_UINT32_BE( X[2], in, 8);
    GM_GET_UINT32_BE( X[3], in, 12);
    
    //将运算结果输出
    GM_PUT_UINT32_BE(X[35], out,  0);
    GM_PUT_UINT32_BE(X[34], out,  4);
    GM_PUT_UINT32_BE(X[33], out,  8);
    GM_PUT_UINT32_BE(X[32], out, 12);
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

接下来加密的过程就是如何一步步计算X4, X5, X6,...,X35

规范中的算法是
.

也即，都已经有了，剩下T变换和。

rk是轮密钥，规范中提到，如果是加密则i=0, 1,..., 31，反之解密为i=31, 30,..., 0。也就是：

加密： X4=X0 ^ T(X1 ^ X2 ^ X3 ^ rk0)
解密： X4=X0 ^ T(X1 ^ X2 ^ X3 ^ rk31)

以此类推计算X5,X6 ,..., X35，整个加/解密运算要经过32轮变换。

设: , tmp2为非线性变换后的结果，那么加/解密运算的代码实现如下：

void gm_sm4_crypt(const unsigned char *key, int mode, const unsigned char *in, unsigned char *out)
{
    unsigned int rk[32], X[36], tmp1, tmp2;
    int i;

    // 计算轮密钥rk，后面再讨论
    sm4_key_schedule(key, rk);

    GM_GET_UINT32_BE( X[0], in, 0);
    GM_GET_UINT32_BE( X[1], in, 4);
    GM_GET_UINT32_BE( X[2], in, 8);
    GM_GET_UINT32_BE( X[3], in, 12);

    for(i = 0; i < 32; i++)
    {
        tmp1 = X[i + 1] ^ X[i + 2] ^ X[i + 3] ^ rk[( (mode == GM_SM4_ENCRYPT) ? i : 31 - i )];

        // 非线性变换
        GM_SM4_NON_LINEAR_OP(tmp1, tmp2);

        // 线性变换
        unsigned int tt = (tmp2 ^ GM_CROL(tmp2, 2) ^ GM_CROL(tmp2, 10) ^ GM_CROL(tmp2, 18) ^ GM_CROL(tmp2, 24));

        X[i + 4] = X[i] ^ tt;
    }

    GM_PUT_UINT32_BE(X[35], out,  0);
    GM_PUT_UINT32_BE(X[34], out,  4);
    GM_PUT_UINT32_BE(X[33], out,  8);
    GM_PUT_UINT32_BE(X[32], out, 12);
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

# 轮密钥计算

设密钥，轮密钥

首先

是固定值，其值如下：

unsigned int GM_SM4_FK[4] = {0xA3B1BAC6, 0x56AA3350, 0x677D9197, 0xB27022DC};

那么K0-4的计算代码就出来了：

static void sm4_key_schedule(const unsigned char * key, unsigned int * rk)
{
    unsigned int tmp1, tmp2, K[36];
    int i;

    // K0, K1, K2, K3
    GM_GET_UINT32_BE( K[0], key, 0);
    GM_GET_UINT32_BE( K[1], key, 4);
    GM_GET_UINT32_BE( K[2], key, 8);
    GM_GET_UINT32_BE( K[3], key, 12);

    K[0] ^= GM_SM4_FK[0];
    K[1] ^= GM_SM4_FK[1];
    K[2] ^= GM_SM4_FK[2];
    K[3] ^= GM_SM4_FK[3];
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

下面就来看如果通过Ki来计算rki

其中T′与加解密中的T原理是一样的，只是线性变换部分有点不同：

再来看了，也是一个固定值：

unsigned int GM_SM4_CK[32] = {
    0x00070e15, 0x1c232a31, 0x383f464d, 0x545b6269, 0x70777e85, 0x8c939aa1, 0xa8afb6bd, 0xc4cbd2d9,
    0xe0e7eef5, 0xfc030a11, 0x181f262d, 0x343b4249, 0x50575e65, 0x6c737a81, 0x888f969d, 0xa4abb2b9,
    0xc0c7ced5, 0xdce3eaf1, 0xf8ff060d, 0x141b2229, 0x30373e45, 0x4c535a61, 0x686f767d, 0x848b9299,
    0xa0a7aeb5, 0xbcc3cad1, 0xd8dfe6ed, 0xf4fb0209, 0x10171e25, 0x2c333a41, 0x484f565d, 0x646b7279
};

1
2
3
4
5
6

那么根据规范文档，完成的轮密钥计算方法就出来了：

static void sm4_key_schedule(const unsigned char * key, unsigned int * rk)
{
    unsigned int tmp1, tmp2, K[36];
    int i;

    // K0, K1, K2, K3
    GM_GET_UINT32_BE( K[0], key, 0);
    GM_GET_UINT32_BE( K[1], key, 4);
    GM_GET_UINT32_BE( K[2], key, 8);
    GM_GET_UINT32_BE( K[3], key, 12);

    K[0] ^= GM_SM4_FK[0];
    K[1] ^= GM_SM4_FK[1];
    K[2] ^= GM_SM4_FK[2];
    K[3] ^= GM_SM4_FK[3];

    // rki = Ki+4
    for(i = 0; i < 32; i++)
    {
        // non linear's input
        tmp1 = K[i + 1] ^ K[i + 2] ^ K[i + 3] ^ GM_SM4_CK[i];

        // non linear operation
        GM_SM4_NON_LINEAR_OP(tmp1, tmp2);

        // linear operation
        rk[i] = K[i + 4] = K[i] ^ (tmp2 ^ GM_CROL(tmp2, 13) ^ GM_CROL(tmp2, 23));
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

# 单元测试

void test_gm_sm4(const unsigned char * key, int mode, 
    const unsigned char * input, 
    const unsigned char * output_hex) {

    int i = 0;
    unsigned char buf[16] = {0};
    char res[33] = {0};

    memcpy(buf, input, 16);

    for(i = 0; i < 100000; i++) {
        gm_sm4_crypt(key, mode, buf, buf);
    }

    for (i = 0; i < 16; i++) {
        sprintf(res + i * 2, "%02X", (buf[i] & 0x0FF));
    }

    printf("r = %s\n", res);
    printf("test result: %s\n", (strcmp(output_hex, res) == 0 ? "ok" : "fail"));
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

main函数增加：

if(strcmp(argv[1], "gm_sm4_encrypt") == 0) {
    unsigned char key[16] = {
        0x6B, 0x8B, 0x45, 0x67, 0x32, 0x7B, 0x23, 0xC6, 
        0x64, 0x3C, 0x98, 0x69, 0x66, 0x33, 0x48, 0x73
    };
    unsigned char input[16] = {
        0x74, 0xB0, 0xDC, 0x51, 0x19, 0x49, 0x5C, 0xFF, 
        0x2A, 0xE8, 0x94, 0x4A, 0x62, 0x55, 0x58, 0xEC
    };
    test_gm_sm4(key, 0, input,
                "C941785C2A15751A774DEFCAE01011D4");
}

if(strcmp(argv[1], "gm_sm4_decrypt") == 0) {
    unsigned char key[16] = {
        0x6B, 0x8B, 0x45, 0x67, 0x32, 0x7B, 0x23, 0xC6, 
        0x64, 0x3C, 0x98, 0x69, 0x66, 0x33, 0x48, 0x73
    };
    unsigned char input[16] = {
        0xC9, 0x41, 0x78, 0x5C, 0x2A, 0x15, 0x75, 0x1A, 
        0x77, 0x4D, 0xEF, 0xCA, 0xE0, 0x10, 0x11, 0xD4
    };
    test_gm_sm4(key, 1, input,
                "74B0DC5119495CFF2AE8944A625558EC");
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

算法效率：

saintdeMacBook-Pro:c saint$ time ./gm_test gm_sm4_encrypt
r = C941785C2A15751A774DEFCAE01011D4
test result: ok

real    0m0.159s
user    0m0.142s
sys 0m0.005s

saintdeMacBook-Pro:c saint$ time ./gm_test gm_sm4_decrypt
r = 74B0DC5119495CFF2AE8944A625558EC
test result: ok

real    0m0.162s
user    0m0.141s
sys 0m0.005s

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

未经本人同意，禁止转载！

← 算法封装 ECB及CBC加解密 →