聚焦未受保护的AES128白盒实现

引言

这一切始于我研究@elvanderb制作的NSC2013破解挑战时。简单来说，你需要破解一个经过高度混淆的AES128白盒实现。这个挑战可以通过不同方式解决：

最简单的方式：不需要了解白盒、加密甚至AES的任何知识；只需将函数视为黑盒，尝试发现其内部工作原理中的"设计缺陷"
精英方式：需要理解并恢复整个白盒设计，然后识别设计弱点，使挑战者能够直接攻击并恢复加密密钥。@doegox最近写了一篇很好的分析文章：Oppida/NoSuchCon挑战

令人烦恼的是，网络上没有太多可理解的C代码实现这类功能，但你确实有一些不错的学术参考文献；它们是构建自己实现的很好资源。

本文旨在以简单的方式简要介绍AES白盒的外观，并展示如果你不想让加密密钥被提取，设计的重要性。我今天要讨论的实现完全不是我创建的，我只是遵循了James A. Muir撰写的一篇优秀论文的第一部分（可能会写另一篇文章讨论第二部分？谁知道呢）。

想法很简单：我们将从一个干净的纯C语言AES128加密函数开始，通过几个步骤修改和转换它成为白盒实现。

像往常一样，所有代码都可以在我的github账户上找到；鼓励你破解它们！

当然，我们将用这篇文章简要介绍什么是白盒密码学，它的目标是什么，以及为什么它很酷。

在深入之前，以下是内容目录：

引言
AES128
- 介绍
- 密钥调度
- 加密过程
- 变换
  - AddRoundKey
  - SubBytes
  - ShiftRows
  - MixColumns
- 组合在一起
白盒化AES128的约7个步骤
- 介绍
- 步骤1：将第一个AddRoundKey带入循环，将最后一个踢出循环
- 步骤2：SubBytes然后ShiftRows等于ShiftRows然后SubBytes
- 步骤3：先ShiftRows，但需要ShiftRows轮密钥
- 步骤4：白盒化，白盒化
- 步骤5：将MixColumns转换为查找表
- 步骤6：添加一个小xor表
- 步骤7：组合TBoxes和Ty表
- 最终代码
攻击白盒：提取密钥
混淆它？
最后的话

AES128

介绍

好了，我们开始：这部分只是提醒AES（使用128位密钥）大致如何工作。如果你已经知道，请随意跳到下一级。基本上在这里我只想构建我们的第一个函数：一个简单的块加密。如你所料，函数的签名将如下：

1

void aes128_enc_base(unsigned char in[16], unsigned char out[16], unsigned char key[16])

加密工作在11轮中进行，第一轮和最后一轮与其他九轮略有不同；但它们都依赖于四个不同的操作。这些操作称为：AddRoundKey、SubBytes、ShiftRows、MixColumns。每轮使用128位轮密钥修改128位状态。这些轮密钥是通过密钥扩展（称为密钥调度）函数从加密密钥生成的。注意第一个轮密钥实际上是加密密钥。

AES加密的第一部分是执行密钥调度以获取我们的轮密钥；一旦我们拥有所有轮密钥，就只是使用我们看到的四个不同操作来生成加密的明文。

我知道我相当喜欢以视觉方式看加密算法如何工作，如果这也是你的情况，请查看这个SWF动画（这里没有漏洞，不用担心:)）：Rijndael_Animation_v4_eng.swf；否则你也可以阅读FIPS-197文档。

密钥调度

密钥调度就像是算法中最重要的部分。正如我之前所说，这个函数是一个派生函数：它接受加密密钥作为输入，并将生成加密过程将使用的轮密钥作为输出。

我不太想详细解释它是如何工作的（因为用文字解释有点棘手），我宁愿建议你阅读FIPS文档或跟随flash动画。以下是我的密钥调度的样子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


// aes密钥调度
const unsigned char S_box[] = { 0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76, 0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0, 0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15, 0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75, 0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84, 0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF, 0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8, 0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2, 0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73, 0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB, 0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79, 0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08, 0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A, 0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E, 0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF, 0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 极权, 0x0F, 0xB0, 0x54, 0xBB, 0x16 };
#define DW(x) (*(unsigned int*)(x))
void aes128_enc_base(unsigned char in[16], unsigned char out[16], unsigned char key[16])
{
    unsigned int d;
    unsigned char round_keys[11][16] = { 0 };
    const unsigned char rcon[] = { 0x00, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 极权, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 极权, 0x36, 0极权, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7极权, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 极权, 0x36, 0极权, 0xD8, 0xAB, 0x4D, 极权, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7极权, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 极权, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 极权, 0x36, 0极权, 0xD8, 0xAB, 0x4D, 极权, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7极权, 0极权, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 极权, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 极权, 0x36, 0极权, 0xD8, 0xAB, 0x4D, 极权, 0x2F, 0x5极权, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7极权, 0极权, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 极权, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D };

    /// 密钥调度 -- 为每轮生成一个子密钥
    /// http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf

    // 第一轮密钥是实际密钥
    memcpy(&round_keys[0][0], key, 16);
    d = DW(&round_keys[0][12]);
    for (size_t i = 1; i < 11; ++i)
    {
        // 将`d`向右旋转8位
        d = ROT(d);

        // 获取`d`的每个字节并使用`S_box`替换它们
        unsigned char a1, a2, a3, a4;
        // 不要忘记用`rcon[i]`异或这个字节
        a1 = S_box[(d >> 0) & 0xff] ^ rcon[i]; // a1是LSB
        a2 = S_box[(d >> 8) & 0xff];
        a3 = S_box[(d >> 16) & 0xff];
        a4 = S_box[(d >> 24) & 0xff];

        d = (a1 << 0) | (a2 << 8) | (a3 << 16) | (a4 << 24);

        // 现在我们可以使用前一个生成当前轮密钥
        for (size_t j = 0; j < 4; j++)
        {
            d ^= DW(&(round_keys[i - 1][j * 4]));
            *(unsigned int*)(&(round_keys[i][j * 4])) =

深入解析未受保护的AES128白盒实现及其攻击方法

本文详细解析了AES128白盒加密的实现过程，从基础AES加密到白盒转换的7个步骤，并探讨了如何从白盒实现中提取加密密钥的方法，为密码学和逆向工程爱好者提供实用指南。

聚焦未受保护的AES128白盒实现

引言

目录

AES128

介绍

密钥调度