轻量级分组密码GIFT的一种白盒实现方案.docx

《轻量级分组密码GIFT的白盒实现方案》 在信息安全的广阔领域中，密码学扮演着至关重要的角色，它为数据的保密性、完整性和可用性提供了理论和技术支持。尤其在终端环境中，分组密码算法如AES、SM4等被广泛应用于数据保护。然而，随着互联网技术的飞速发展，终端设备可能面临不可信的环境，加上密码分析技术的进步，传统的基于安全假设的密码算法安全性受到了严重挑战。 白盒攻击模型，由CHOW等人在2002年提出，正是针对这种环境而设计的。在白盒模型中，攻击者能够完全控制密码算法的执行过程，包括观察每轮的输入输出，甚至篡改中间值。早期的白盒AES和DES方案通过查找表和密钥嵌入来构建，但BILLET在2004年展示了一种有效的白盒AES攻击，能够在较低的复杂度下恢复密钥。 尽管出现了许多新的白盒实现方案，如基于CHOW的CEJO框架的设计，但它们多数已被证明存在安全隐患。对于轻量级分组密码，由于其体积小、操作简单和低功耗的特性，特别适合于资源有限的移动设备和物联网设备，例如PRESENT、CLEFIA和LBlock等。然而，这些轻量级密码的白盒实现也面临着安全性问题，比如SU的CLEFIA白盒实现方案，以及LU等人提出的KLEIN、PRESENT和LBlock的白盒实现，虽简化了实现，但在安全性分析方面尚显不足。 GIFT，一种由BANIK等人在2017年提出的轻量级密码算法，因其高效的SPN结构和高抵抗线性分析的能力而备受关注。GIFT有两个版本，GIFT-64和GIFT-128，分别对应64位和128位的分组，两者均使用128位密钥，但轮数不同。本文重点探讨GIFT-64的白盒实现。 GIFT-64的加密流程包括S盒变换、比特置换和轮密钥加三个步骤。S盒变换作为非线性部分，由16个4位单元进行相应S盒运算。S盒的具体变换规则如表1所示，比特置换则是一个比特级别的操作，输入比特按特定置换顺序输出，具体置换规则如表2所示。 白盒实现的关键在于如何保护S盒的内部信息不被暴露。本文的方案是在S盒之后嵌入密钥，并将每轮的两个S盒级联形成查找表，然后使用4位仿射函数对输入进行编码，最后用64位仿射函数编码查找表的输出，以此增加攻击的难度。 这样的设计旨在提高白盒密码的安全性，同时考虑到物联网设备的资源限制，力求实现简单且内存占用少。为了验证方案的可行性和安全性，文章还对方案进行了效率和安全性分析，确保在提供高效加密服务的同时，有效抵御白盒攻击。 本文提出的GIFT-64白盒实现方案是对轻量级分组密码在白盒环境下安全性的有益探索，为未来在物联网和移动设备上的密码应用提供了新的思路和实践基础。