聚焦未受保护的AES128白盒实现

引言

一切始于我研究@elvanderb制作的NSC2013 crackme，简而言之，你需要破解一个经过高度混淆的AES128白盒实现。这个挑战可以通过多种方式解决：

最简单的方法：无需了解白盒、加密甚至AES的任何知识；只需将函数视为黑盒，尝试发现其内部运作中的“设计缺陷”。
精英方法：需要理解并恢复整个白盒的设计，然后识别设计弱点，使挑战者能够直接攻击并恢复加密密钥。@doegox最近写了一篇非常棒的详细文章，强烈推荐阅读：Oppida/NoSuchCon挑战。

令人烦恼的是，网络上没有太多可理解的可用C代码来实现这类功能，尽管如此，你确实可以找到一些不错的学术参考文献；它们是构建自己实现的绝佳资源。

本文旨在以简单的方式简要介绍AES白盒的外观，并展示设计的重要性，以防止加密密钥被提取。今天讨论的实现完全不是我的创作，我只是遵循了James A. Muir撰写的一篇非常棒的论文（即使对于像我这样的非数学/密码学人士也是如此！）的第一部分（可能会另写一篇文章讨论第二部分？谁知道呢）。

想法很简单：我们将从一个干净的纯C语言AES128加密函数开始，通过几个步骤修改并转换它为一个白盒实现。

像往常一样，所有代码都可以在我的github账户上找到；鼓励你破解它们！

当然，我们将用这篇文章简要介绍白盒密码学是什么，它的目标是什么，以及为什么它有点酷。

在深入之前，以下是内容目录：

引言
AES128
- 介绍
- 密钥调度
- 加密过程
- 变换
  - AddRoundKey
  - SubBytes
  - ShiftRows
  - MixColumns
- 组合在一起
白盒化AES128的约7个步骤
- 介绍
- 步骤1：将第一个AddRoundKey带入循环，并将最后一个踢出循环
- 步骤2：SubBytes然后ShiftRows等于ShiftRows然后SubBytes
- 步骤3：先ShiftRows，但需要ShiftRows轮密钥
- 步骤4：白盒化它，就像它很热一样
- 步骤5：将MixColumns转换为查表
- 步骤6：添加一个小异或表
- 步骤7：组合TBoxes和Ty表
- 最终代码
攻击白盒：提取密钥
混淆它？
最后的话

AES128

介绍

好了，我们开始：这部分只是对AES（使用128位密钥）大致工作原理的回顾。如果你已经了解，请随意跳到下一级。基本上在这里，我只是想让我们构建第一个函数：一个简单的块加密。如你所料，函数的签名将如下所示：

1

void aes128_enc_base(unsigned char in[16], unsigned char out[16], unsigned char key[16])

加密工作在11轮中进行，第一轮和最后一轮与另外九轮略有不同；但它们都依赖于四个不同的操作。这些操作称为：AddRoundKey、SubBytes、ShiftRows、MixColumns。每轮使用一个128位轮密钥修改一个128位状态。这些轮密钥是通过密钥扩展（称为密钥调度）函数从加密密钥生成的。注意第一个轮密钥实际上是加密密钥。

AES加密的第一部分是执行密钥调度以获取我们的轮密钥；一旦我们拥有所有轮密钥，就只是使用我们看到的四个不同操作来生成加密的明文。

我知道我相当喜欢以视觉方式查看加密算法的工作原理，如果这也是你的情况，请查看这个SWF动画（这里没有漏洞，不用担心）：[Rijndael_Animation_v4_eng.swf]；否则你也可以阅读FIPS-197文档。

密钥调度

密钥调度就像是算法中最重要的部分。正如我之前所说，这个函数是一个派生函数：它接受加密密钥作为输入，并将生成加密过程将使用的轮密钥作为输出。

我不太想详细解释它是如何工作的（因为用文字解释有点棘手），我宁愿建议你阅读FIPS文档或跟随flash动画。以下是我的密钥调度的样子：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38


// aes密钥调度
const unsigned char S_box[] = { 0x63, 0x7C, 0x77, 0x7B, 0xF2, 0x6B, 0x6F, 0xC5, 0x30, 0x01, 0x67, 0x2B, 0xFE, 0xD7, 0xAB, 0x76, 0xCA, 0x82, 0xC9, 0x7D, 0xFA, 0x59, 0x47, 0xF0, 0xAD, 0xD4, 0xA2, 0xAF, 0x9C, 0xA4, 0x72, 0xC0, 0xB7, 0xFD, 0x93, 0x26, 0x36, 0x3F, 0xF7, 0xCC, 0x34, 0xA5, 0xE5, 0xF1, 0x71, 0xD8, 0x31, 0x15, 0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, 0x9A, 0x07, 0x12, 0x80, 0xE2, 0xEB, 0x27, 0xB2, 0x75, 0x09, 0x83, 0x2C, 0x1A, 0x1B, 0x6E, 0x5A, 0xA0, 0x52, 0x3B, 0xD6, 0xB3, 0x29, 0xE3, 0x2F, 0x84, 0x53, 0xD1, 0x00, 0xED, 0x20, 0xFC, 0xB1, 0x5B, 0x6A, 0xCB, 0xBE, 0x39, 0x4A, 0x4C, 0x58, 0xCF, 0xD0, 0xEF, 0xAA, 0xFB, 0x43, 0x4D, 0x33, 0x85, 0x45, 0xF9, 0x02, 0x7F, 0x50, 0x3C, 0x9F, 0xA8, 0x51, 0xA3, 0x40, 0x8F, 0x92, 0x9D, 0x38, 0xF5, 0xBC, 0xB6, 0xDA, 0x21, 0x10, 0xFF, 0xF3, 0xD2, 0xCD, 0x0C, 0x13, 0xEC, 0x5F, 0x97, 0x44, 0x17, 0xC4, 0xA7, 0x7E, 0x3D, 0x64, 0x5D, 0x19, 0x73, 0x60, 0x81, 0x4F, 0xDC, 0x22, 0x2A, 0x90, 0x88, 0x46, 0xEE, 0xB8, 0x14, 0xDE, 0x5E, 0x0B, 0xDB, 0xE0, 0x32, 0x3A, 0x0A, 0x49, 0x06, 0x24, 0x5C, 0xC2, 0xD3, 0xAC, 0x62, 0x91, 0x95, 0xE4, 0x79, 0xE7, 0xC8, 0x37, 0x6D, 0x8D, 0xD5, 0x4E, 0xA9, 0x6C, 0x56, 0xF4, 0xEA, 0x65, 0x7A, 0xAE, 0x08, 0xBA, 0x78, 0x25, 0x2E, 0x1C, 0xA6, 0xB4, 0xC6, 0xE8, 0xDD, 0x74, 0x1F, 0x4B, 0xBD, 0x8B, 0x8A, 0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, 0xF6, 0x0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0xC1, 0x1D, 0x9E, 0xE1, 0xF8, 0x98, 0x11, 0x69, 0xD9, 0x8E, 0x94, 0x9B, 0x1E, 0x87, 0xE9, 0xCE, 0x55, 0x28, 0xDF, 0x8C, 0xA1, 0x89, 0x0D, 0xBF, 0xE6, 0x42, 0x68, 0x41, 0x99, 0x2D, 0x0F, 0xB0, 0x54, 0xBB, 0x16 };
#define DW(x) (*(unsigned int*)(x))
void aes128_enc_base(unsigned char in[16], unsigned char out[16], unsigned char key[16])
{
    unsigned int d;
    unsigned char round_keys[11][16] = { 0 };
    const unsigned char rcon[] = { 0x00, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 0x33, 0x66, 0xCC, 0x83, 0x1D, 0x3A, 0x74, 0xE8, 0xCB, 0x8D, 0x01, 0x02, 0x04, 0x08, 0x10, 0x20, 0x40, 0x80, 0x1B, 0x36, 0x6C, 0xD8, 0xAB, 0x4D, 0x9A, 0x2F, 0x5E, 0xBC, 0x63, 0xC6, 0x97, 0x35, 0x6A, 0xD4, 0xB3, 0x7D, 0xFA, 0xEF, 0xC5, 0x91, 0x39, 0x72, 0xE4, 0xD3, 0xBD, 0x61, 0xC2, 0x9F, 0x25, 0x4A, 0x94, 极长数组内容已省略... };

    /// 密钥调度——为每轮生成一个子密钥
    /// http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf

    // 第一轮密钥是实际密钥
    memcpy(&round_keys[0][0], key, 16);
    d = DW(&round_keys[0][12]);
    for (size_t i = 1; i < 11; ++i)
    {
        // 将`d`右旋8位
        d = ROT(d);

        // 获取`d`的每个字节并使用`S_box`替换它们
        unsigned char a1, a2, a3, a4;
        // 不要忘记用`rcon[i]`异或这个字节
        a1 = S_box[(d >> 0) & 0xff] ^ rcon[i]; // a1是LSB
        a2 = S_box[(d >> 8) & 0xff];
        a3 = S_box[(d >> 16) & 0xff];
        a4 = S_box[(d >> 24) & 0xff];

        d = (a1 << 0) | (a2 << 8) | (a3 << 16) | (a4 << 24);

        // 现在我们可以使用前一个生成当前轮密钥
        for (size_t j = 0; j < 4; j++)
        {
            d ^= DW(&(round_keys[i - 1][j * 4]));
            *(unsigned int*)(&(round_keys[i][j * 4])) = d;
        }
    }
}

太好了，随意转储轮密钥并与官方测试向量进行比较，以说服自己这玩意儿有效。一旦我们有了这个函数，我们需要构建核心加密算法将使用和重用的不同原语。其中一些就像1行C代码，非常简单；其他一些则有点复杂，但无论如何。

加密过程

变换

AddRoundKey

这是一个非常简单的操作：它接受一个轮密钥（根据你当前所在的轮次），状态，并将状态的每个字节与轮密钥进行异或。

1
2
3
4
5


void AddRoundKey(unsigned char roundkey[16], unsigned char out[16])
{
    for (size_t i = 0; i < 16; ++i)
        out[i] ^= roundkey[i];
}

SubBytes

另一个简单的操作：它接受状态作为输入，并使用前向替换盒S_box替换每个字节。

1
2
3


void SubBytes(unsigned char out[16])
{
    for (size_t i = 极长代码内容已省略...

如果你对S_box的值是如何计算的感兴趣，你应该阅读我朋友@kutioo写的以下博客文章：[AES SBox and ParisGP]。

ShiftRows

这个操作有点不那么棘手，但仍然相当直接。想象状态是一个4x4

深入解析AES128白盒实现与密钥提取技术

本文详细解析了AES128白盒加密的实现过程，从基础加密步骤到白盒转换的7个关键阶段，包括查表优化和密钥隐藏技术，并探讨了针对未保护白盒实现的密钥提取方法。