为繁荣我国密码理论和应用研究, 推动密码算法设计和实现技术进步, 促进密码人才成长, 中国密码学会举办了全国密码算法设计竞赛. 22个分组密码算法通过形式审查进入第一轮评估.
        2019年9月27日, 中国密码学会公布了进入第二轮评估的10个分组密码算法: uBlock、Ballet、FESH、TANGRAM、ANT、NBC、FBC、SMBA、Raindrop 和SPRING. 
        为促进公众对分组密码算法的安全性评估和优化实现, 本刊组织了本期``分组密码''专刊, 刊登上述算法, 共包括10 篇论文.

本文首先介绍分组密码uBlock算法, 然后简要介绍uBlock的设计原理, 初步的安全性分析评估, 以及各种平台的实现性能等. uBlock是一族分组密码算法, 分组长度和密钥长度支持128和256比特. uBlock算法的整体结构、S盒、扩散矩阵、密钥扩展等设计, 处处体现了安全、实现效率以及适应性的平衡. uBlock算法对差分分析、线性分析、积分分析、不可能差分分析、中间相遇攻击等分组密码分析方法具有足够的安全冗余. uBlock算法适应各种软硬件平台; 充分考虑了现代微处理器的计算资源, 可以利用SSE和AVX2等指令集高效实现; 硬件实现简单而有效, 既可以高速实现, 保障高性能环境的安全应用, 也可以轻量化实现, 满足资源受限环境的安全需求.

本文提出了一个新的分组密码算法---Ballet算法. 该算法共有三个版本: Ballet-128/128/46、Ballet-128/256/48和Ballet-256/256/74. 所有版本采用相同的轮函数, 无S盒和复杂线性层, 仅由模加、异或和循环移位操作组成, 即ARX结构算法.因而本算法灵活性和延展性强, 并能够轻量化实现. 除此之外, Ballet算法在Lai-Massey结构的基础上进行简化设计而成, 并采用4分支的近似对称ARX结构, 利于软件实现.其在32位和64位平台环境下均有很好的表现, 即使在采用单路实现方式下依然具有很大的优势. 在安全性方面, Ballet算法能够抵抗现有的差分分析和线性分析等已知攻击方法, 且因采用ARX结构, 无S盒的使用, 防护侧信道攻击的代价小.

我们提出了一个新的分组密码算法FESH, 该算法支持128比特和256 比特的分组, 密钥支持128, 192, 256, 384和512比特, 共6 个版本. FESH算法采用替换-置换网络(SPN)结构作为算法整体结构, 轮函数设计简洁. 类似于AES竞赛中的Serpent算法, FESH采用比特切片方式. 然而采用了更安全高效的4位S盒以及基于4分支Feistel结构的扩散层. FESH 算法可以抵抗差分分析、线性分析等现有的分析并具有足够的安全冗余. FESH 算法灵活性强, 在软件处理平台和硬件平台上都具有较好的性能.

本文提出一族新的分组密码算法TANGRAM. TANGRAM包含三个版本: TANGRAM 128/128, 分组长度和密钥长度均为128比特; TANGRAM 128/256, 分组长度为128比特, 密钥长度为256比特; TANGRAM 256/256, 分组长度和密钥长度均为256比特. TANGRAM分组密码采用SP网络, 我们对其S盒的选取以及线性层移位参数的选取进行了深入研究, 以使TANGRAM尽可能达到最优的安全性和实现性能的性价比. 我们深入分析了TANGRAM针对差分、线性、不可能差分、积分、相关密钥等重要密码分析方法的安全性, 为它预留了足够的安全冗余. 得益于比特切片方法, TANGRAM在多种软件和硬件平台上都具有很好的表现, 可以灵活地适用于多种应用场景.

我们设计了一款新的系列分组密码算法---ANT, 其包含3个版本, 根据分组长度/密钥长度可以分别记为ANT-128/128、ANT-128/256和ANT-256/256. ANT算法采用了经典的Feistel结构, 轮函数采用比特级的设计, 仅包含与操作, 循环移位操作和异或操作(AND-Rotation-XOR). 结合Expand-then-compress的设计思想, 使ANT算法达到了较好的扩散速度. 得益于精心构造的比特级轮函数, 在保证算法达到较高安全性的同时, 还具有出色的硬件性能, 非常适合轻量级实现. 在硬件实现环境(HJTC 110 nm 标准元件库)下, ANT-128/128加解密基于轮实现的硬件面积仅为3220 GE. 而轮函数仅采用与操作作为非线性操作, 相比传统的S盒算法, ANT算法在侧信道防护实现上更具优势. 在软件方面, ANT算法在设计过程中就充分考虑到bitslice的实现速率. 测试结果也表明, ANT算法具有出色的多路软件性能. 针对现有常见的攻击方法, 我们对ANT算法进行了全面的安全性分析, 分析结果表明ANT系列算法各个版本均具有较高的安全冗余.

NBC算法是一种广义Feistel结构的分组密码算法, 支持128/128比特、128/256比特和256/256比特三种分组和密钥尺寸. 非线性部分采用16比特的S盒, 该S盒基于16级非线性反馈移位寄存器迭代构造, 具有很低的硬件实现成本. 密钥扩展算法也采用类似的基于字的16级非线性反馈移位寄存器. 算法能够抵抗差分、线性、不可能差分、零相关线性、积分等主要密码分析方法, 具有足够的安全冗余.

FBC是一族轻量级分组密码算法, 主要包含FBC128-128, FBC128-256和FBC256-256三个版本, 可支持128和256两种比特长度的明文分组以及128和256两种比特长度的密钥. FBC算法采用4路两重Feistel结构设计, 在结构上通过增加两个异或操作的微小代价较大提高整体结构的扩散特性. 非线性函数F采用切片技术, 其中, S盒基于NFSR构造, 其各项密码学性质达到最优, 同时硬件实现代价达到最小, 为最轻的S盒之一; 线性变换L仅由循环移位和异或构成, 具有较好的密码学特性的同时兼顾好的软硬件实现效能. 在安全性方面, 我们基于混合整数线性规划(MILP)寻找最少活跃S盒个数的方法对其进行差分、线性、不可能差分以及积分等方法的分析. 实验结果表明, FBC可以抵抗上述各种攻击方法的攻击. FBC算法不仅具有结构简洁, 轻量化, 安全性高等特性, 还具有灵活高效的软硬件实现方式, 可以满足不同平台的应用需求.

SMBA算法是一个安全性高、实用性强、创新设计的分组密码算法. SMBA算法支持三种版本, 当分组长度为128比特时, 密钥长度支持128比特和256比特, 当分组长度为256比特时, 密钥长度支持256比特. SMBA算法采用经典的Feistel结构, 加解密过程一致, 轮函数采用SP结构, 密钥扩展算法使用广义Feistel结构. 算法创新设计了非线性部件S₀和S₁, 以及线性部件L₆₄, 均具有良好的密码学性质. S₀和S₁均由代数构造生成, 具有较优的差分概率、线性概率和代数次数, 且乘法复杂度低, 侧信道防护代价小. L₆₄由简单线性变换组合构成, 具有较高的差分和线性分支数, 关键路径短, 延时低. SMBA算法在不同版本中共用主要部件S₀、S₁和L₆₄, 扩展自然. SMBA 算法的安全界清晰, 可以有效评估抵抗差分攻击、线性攻击、积分攻击等已知攻击的强度, 有较大的安全冗余. 算法的基本运算为查表、循环移位以及异或等逻辑运算, 易于软件和硬件实现. 算法实现方式灵活, 软硬件速度快, 可适用于多种平台(如8/32/64位平台).

我们设计了一个新的分组密码算法---Raindrop分组密码算法. Raindrop算法共有Raindrop-128/128/60、Raindrop-128/256/80和Raindrop-256/256/100三个版本. Raindrop算法整体采用Feistel结构, 保证加解密的一致性. 轮函数采用S盒代换、行混合、列循环移位操作. S盒由Keccak函数非线性运算的布尔表达式生成; 行混合操作中使用了深度为1的4*4二元域矩阵; 密钥生成算法采用异或数较少的线性操作; 通过采用简单的非线性层、线性层及密钥生成算法, 使得Raindrop分组算法在硬件实现上具有较好的优势. 在安全方面, 我们利用自动化工具STP 对Raindrop分组算法进行评估, 评估结果显示, Raindrop算法可以有效地抵抗差分攻击和线性攻击等已知攻击方法.

本文详细介绍分组密码算法SPRING的设计. 根据分组长度和密钥长度的不同, SPRING具体包括三个算法版本SPRING-128-128、SPRING-128-256、SPRING-256-256, 其中SPRING-n-m $表示分组长度为n且密钥长度为m. SPRING是SP结构的分组密码, 主要面向硬件实现设计, 采用基于非线性反馈移位寄存器(NFSR)的32-比特S-盒和基于非线性反馈移位寄存器的密钥扩展算法. 由于没有S-盒的存储, SPRING算法的硬件实现面积比较小. 根据不同的应用需求, 例如面积小或加/解密速率高, 可以采用不同的实现方式. 基于轮的实现, 硬件面积最小, 在TSMC 16 nm工艺库下, SPRING-128-128算法的硬件实现面积约1046 um²; 全轮展开实现, 加/解密速率最大, SPRING-128-128 算法的加密速率可以达到17 482 Mbps, 此时硬件实现面积约8079 um². SPRING的含义为SP结构分组密码和环状串联非线性反馈移位寄存器(A ring-like cascade connection of NFSRs).