摘要：傳統密碼算法在設計時并未考慮算法運行平臺的安全風險. Chow等在2002年提出了白盒攻擊模型,假定攻擊者具有完全控制算法運行過程的能力,可以獲取算法的運行狀態、更改算法運行的中間值等.此模型更符合密碼設備在失控環境下的應用情況,因為一個合法的用戶也可能變為一個潛在的攻擊者.在這種環境下,傳統攻擊模型中設計的密碼算法將不再安全.如何保護密碼算法在白盒環境下的安全性,在數字版權保護、移動終端安全等領域具有強烈的現實需求. Chow等使用混淆與查找表等方式設計了AES、DES白盒方案,肖雅瑩等在2009年使用類似方法設計了SM4算法的白盒方案(肖-來方案),白鯤鵬等進一步通過復雜化內部解碼編碼過程以及引入更多隨機數的方式設計了一個新的SM4白盒方案(白-武方案).本文分析了這兩個SM4白盒方案.首先指出林婷婷等對肖-來方案分析的復雜度計算存在偏差(林-來分析).具體來講,該分析中唯一確定了編碼矩陣及仿射常數,而實質上根據該分析方法,編碼矩陣與仿射常數存在61200·232種可能取值.進一步地,我們改進了林-來的分析方法,通過調整仿射常數的恢復順序,大幅降低了計算復雜度.如恢復查找表外部編碼的仿射常數時,我們通過搜索等價密鑰再確定仿射常數的方式只需不超過210次查表運算就可確定該仿射常數,而林-來分析中獲取該仿射常數的計算復雜度為246.同時,我們提出了首個針對白-武方案的第三方分析,指出其密鑰和外部編碼的取值空間大小為61200·2128.我們的分析表明,肖-來、白-武方案的安全性主要依賴外部編碼中仿射常數的安全性.兩個方案的線性變換部分對安全性的影響有限,且復雜化內部編碼解碼過程并不能有效提高線性變換的安全性.另外,通過對仿射矩陣或仿射常數進行拆分來增大白盒多樣性的策略只會增大白盒方?