摘要：傳統(tǒng)密碼算法在設(shè)計(jì)時(shí)并未考慮算法運(yùn)行平臺(tái)的安全風(fēng)險(xiǎn). Chow等在2002年提出了白盒攻擊模型,假定攻擊者具有完全控制算法運(yùn)行過程的能力,可以獲取算法的運(yùn)行狀態(tài)、更改算法運(yùn)行的中間值等.此模型更符合密碼設(shè)備在失控環(huán)境下的應(yīng)用情況,因?yàn)橐粋€(gè)合法的用戶也可能變?yōu)橐粋€(gè)潛在的攻擊者.在這種環(huán)境下,傳統(tǒng)攻擊模型中設(shè)計(jì)的密碼算法將不再安全.如何保護(hù)密碼算法在白盒環(huán)境下的安全性,在數(shù)字版權(quán)保護(hù)、移動(dòng)終端安全等領(lǐng)域具有強(qiáng)烈的現(xiàn)實(shí)需求. Chow等使用混淆與查找表等方式設(shè)計(jì)了AES、DES白盒方案,肖雅瑩等在2009年使用類似方法設(shè)計(jì)了SM4算法的白盒方案(肖-來方案),白鯤鵬等進(jìn)一步通過復(fù)雜化內(nèi)部解碼編碼過程以及引入更多隨機(jī)數(shù)的方式設(shè)計(jì)了一個(gè)新的SM4白盒方案(白-武方案).本文分析了這兩個(gè)SM4白盒方案.首先指出林婷婷等對(duì)肖-來方案分析的復(fù)雜度計(jì)算存在偏差(林-來分析).具體來講,該分析中唯一確定了編碼矩陣及仿射常數(shù),而實(shí)質(zhì)上根據(jù)該分析方法,編碼矩陣與仿射常數(shù)存在61200·232種可能取值.進(jìn)一步地,我們改進(jìn)了林-來的分析方法,通過調(diào)整仿射常數(shù)的恢復(fù)順序,大幅降低了計(jì)算復(fù)雜度.如恢復(fù)查找表外部編碼的仿射常數(shù)時(shí),我們通過搜索等價(jià)密鑰再確定仿射常數(shù)的方式只需不超過210次查表運(yùn)算就可確定該仿射常數(shù),而林-來分析中獲取該仿射常數(shù)的計(jì)算復(fù)雜度為246.同時(shí),我們提出了首個(gè)針對(duì)白-武方案的第三方分析,指出其密鑰和外部編碼的取值空間大小為61200·2128.我們的分析表明,肖-來、白-武方案的安全性主要依賴外部編碼中仿射常數(shù)的安全性.兩個(gè)方案的線性變換部分對(duì)安全性的影響有限,且復(fù)雜化內(nèi)部編碼解碼過程并不能有效提高線性變換的安全性.另外,通過對(duì)仿射矩陣或仿射常數(shù)進(jìn)行拆分來增大白盒多樣性的策略只會(huì)增大白盒方?