信息安全技术SM4分组密码算法(GB-T 32907-2016).pdf

ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术 SM4 分组密码算法Information security technology-SM4 block cipher algorithm点击此处添加与国际标准一致性程度的标识（报批稿）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II1范围.12术语和定义.13符号和缩略语.24算法结构.25密钥及密钥参量.26轮函数F.26.1轮函数结构.26.2合成置换T.27算法描述.37.1加密算法.37.2解密算法.37.3密钥扩展算法.4附录 A（资料性附录）运算示例.5A.1示例 1.5A.2示例 2.6GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009给出的规则起草。请注意本标准的某些内容可能涉及专利。本标准发布机构不承担识别这些专利的责任。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会（SAC/TC260）归口。本标准起草单位：中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检测中心、北京信息科学技术研究院。本标准主要起草人：吕述望、李大为、邓开勇、张超、罗鹏、张众、董芳、毛颖颖、刘振华。GB/T XXXXXXXXX1信息安全技术 SM4 分组密码算法1范围本标准规定了SM4分组密码算法的算法结构和算法描述，并给出了运算示例。本标准适用于商用密码产品中分组密码算法的实现、检测和应用。2术语和定义下列术语和定义适用于本文件。2.1分组长度block length一个信息分组的比特位数。2.2密钥长度key length密钥的比特位数。2.3密钥扩展算法key expansion algorithm将密钥变换为轮密钥的运算单元。2.4轮数rounds轮函数的迭代次数。2.5轮密钥 round key又称子密钥，在迭代分组密码中每一轮使用的密钥，根据输入密钥用密钥编排算法推导得出。2.6字word长度为32比特的组（串）。2.7S盒S-boxS 盒为固定的 8 比特输入 8 比特输出的置换，记为 Sbox(.)。GB/T XXXXXXXXX23符号和缩略语下列符号和缩略语适用于本文件：32 位异或 i32 位循环左移i位nZ2比特长度为 n 的二进制序列集合4算法结构SM4密码算法是一个分组算法。该算法的分组长度为128比特，密钥长度为128比特。加密算法与密钥扩展算法均采用非线性迭代结构，运算轮数均为32轮。数据解密和数据加密的算法结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。5密钥及密钥参量密钥长度为 128 比特，表示为MK=(0MK,1MK,2MK,3MK),其中iMK(i=0,1,2,3)为字。轮密钥表示为(0rk,1rk,31rk),其中irk(i=0,31)为 32 比特字。轮密钥由密钥生成。FK=(0FK,1FK,2FK,3FK)为系统参数，CK=(0CK,1CK,31CK)为固定参数,用于密钥扩展算法，其中iFK(i=0,3)、iCK(i=0,31)为字。6轮函数F6.1轮函数结构设输入为43223210)(),(ZXXXX，轮密钥为322Zrk，则轮函数F为：)(),(32103210rkXXXTXrkXXXXF.(1)6.2合成置换TT：322322ZZ是一个可逆变换，由非线性变换和线性变换L复合而成,即T(.)=L(.)。a)非线性变换由 4 个并行的 S 盒构成。设输入为4823210)(),(ZaaaaA,输出为4823210)(),(ZbbbbB,则)(),(),(),()(),(32103210aSboxaSboxaSboxaSboxAbbbb.(2)式中，Sbox数据见表1。表1 Sbox数据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例如：输入EF，则经 S 盒后的值为表中第 E 行和第 F 列的值，Sbox(EF)=84。b)线性变换L非线性变换的输出是线性变换L的输入。设输入为322ZB，输出为322ZC，则：)24()18()10()2()(BBBBBBLC.(3)7算法描述7.1加密算法本加密算法由32次迭代运算和1次反序变换R组成。设明文输入为43223210)(),(ZXXXX，密文输出为43223210)(),(ZYYYY，轮密钥为31,2,1,0,322iZrki。加密算法的运算过程如下：a)32 次迭代运算：31,1,0),(3214irkXXXXFXiiiiii.(4)b)反序变换：),(),(),(32333435353433323210XXXXXXXXRYYYY.(5)加密运算过程的示例参见附录A。7.2解密算法本算法的解密变换与加密变换结构相同，不同的仅是轮密钥的使用顺序。解密时,使用轮密钥序（rk31,rk30,rk0）。GB/T XXXXXXXXX47.3密钥扩展算法加密过程使用的轮密钥由加密密钥生成，其中加密密钥43223210)(),(ZMKMKMKMKMK，加密过程中的轮密钥生成方法为：)FKMK,FKMK,FKMK,FK(MK)K,K,K,(K332211003210.(6)31,1,0,)(3214iCKKKKTKKrkiiiiiii.(7)式中：a)T是将6.2中合成置换T的线性变换L替换为L：L(B)=B+(B 13)+(B 23).(8)b)系统参数 FK 的取值为：0FK=(A3B1BAC6)，1FK=(56AA3350)，2FK=(677D9197)，3FK=(B27022DC)；c)固定参数 CK 取值方法为：设jick,为iCK的第j字节（i=0,1,31；j=0,1,2,3），即iCK=(0,ick，1,ick，2,ick，3,ick)482)(Z，则jick,=256mod74 ji。固定参数iCK（i=0,1,，31）具体值为：00070E15,1C232A31,383F464D,545B6269,70777E85,8C939AA1,A8AFB6BD,C4CBD2D9,E0E7EEF5,FC030A11,181F262D,343B4249,50575E65,6C737A81,888F969D,A4ABB2B9,C0C7CED5,DCE3EAF1,F8FF060D,141B2229,30373E45,4C535A61,686F767D,848B9299,A0A7AEB5,BCC3CAD1,D8DFE6ED,F4FB0209,10171E25,2C333A41,484F565D,646B7279。解密密钥同加密密钥，解密使用的轮密钥由解密密钥生成，其轮密钥生成方法同加密过程的轮密钥生成方法。GB/T XXXXXXXXX5AA附录A（资料性附录）运算示例A.1 示例 1本部分为 SM4 分组密码算法对一组明 文进行加密 的运算示例。输 入明 文输 入明 文:01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10输 入密 钥输 入密 钥:01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10轮 密钥 与每 轮输 出状 态轮 密钥 与每 轮输 出状 态：rk 0=F12186F9X 4=27FAD345rk 1=41662B61X 5=A18B4CB2rk 2=5A6AB19AX 6=11C1E22Ark 3=7BA92077X 7=CC13E2EErk 4=367360F4X 8=F87C5BD5rk 5=776A0C61X 9=33220757rk 6=B6BB89B3X10=77F4C297rk 7=24763151X11=7A96F2EBrk 8=A520307CX12=27DAC07Frk 9=B7584DBDX13=42DD0F19rk10=C30753EDX14=B8A5DA02rk11=7EE55B57X15=907127FArk12=6988608CX16=8B952B83rk13=30D895B7X17=D42B7C59rk14=44BA14AFX18=2FFC5831rk15=104495A1X19=F69E6888rk16=D120B428X20=AF2432C4rk17=73B55FA3X21=ED1EC85Erk18=CC874966X22=55A3BA22rk19=92244439X23=124B18AArk20=E89E641FX24=6AE7725Frk21=98CA015AX25=F4CBA1F9rk22=C7159060X26=1DCDFA10rk23=99E1FD2EX27=2FF60603rk24=B79BD80CX28=EFF24FDCrk25=1D2115B0X29=6FE46B75rk26=0E228AEBX30=893450ADrk27=F1780C81X31=7B938F4Crk28=428D3654X32=536E4246rk29=62293496X33=86B3E94Frk30=01CF72E5X34=D206965EGB/T XXXXXXXXX6rk31=9124A012X35=681EDF34输 出密 文输 出密 文:68 1E DF 34 D2 06 96 5E 86 B3 E9 4F 53 6E 42 46A.2 示例 2本部分为 SM4 分组密码算法使用固定的加 密 密 钥，对 一 组 明 文 反 复 加 密 1000000 次 的 运算示例。输 入明 文输 入明 文:01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10输 入密 钥输 入密 钥:01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10输 出密 文输 出密 文:59 52 98 C7 C6 FD 27 1F 04 02 F8 04 C3 3D 3F 66_