SM4算法是分组密码算法，其数据分组长度和密钥分组长度都为128 bit。加密算法与解密算法都以字节(8位)和字(32位)为单位进行数据处理。

加密算法采用32轮迭代结构，每轮使用一个轮密钥。

设输入明文为$\left( {{\boldsymbol{X}_0},{\boldsymbol{X}_1},{\boldsymbol{X}_2},{\boldsymbol{X}_3}} \right) \in {( {{\rm{GF}}( {{2^{32}}} )} )^4}$，输出的密文为$( {{\boldsymbol{Y}_0},{\boldsymbol{Y}_1},{\boldsymbol{Y}_2},{\boldsymbol{Y}_3}} ) \in {( {{\rm{GF}}( {{2^{32}}} )} )^4}$，${\bf{r}}{{\bf{k}}_i} \in {\rm{GF}}( {{2^{32}}} ) $$ (i = 0,1,2, \cdots ,31)$为轮密钥。加密算法可描述如下：

式中，$i = 0,1,2, \cdots ,31$，则有：

式中，F是轮函数，变换$T:{\rm{GF}}( {{2^{32}}} ) \to {\rm{GF}}( {{2^{32}}})$由非线性变换$ \tau $和线性变换L构成，即：

变换$ \tau $由4个8 bit的非线性变换S盒并行构成。设$\boldsymbol{A} = \left( {{\boldsymbol{\alpha }_0},{\boldsymbol{\alpha}_1},{\boldsymbol{\alpha}_2},{\boldsymbol{\alpha}_3}} \right) \in {( {{\rm{GF}}( {{2^8}} )} )^4}$是非线性变换$ \tau $的输入，$\boldsymbol{B} = \left( {{\boldsymbol{\beta }_0},{\boldsymbol{\beta}_1},{\boldsymbol{\beta}_2},{\boldsymbol{\beta}_3}} \right) \in {( {{\rm{GF}}( {{2^8}} )} )^4}$是输出，则变换$ \tau $定义如下：

式中，$ {\rm{Sbox}}( \cdot ) $为以字节为单位的非线性替换。S盒的替换表可以参考文献[18]，将在第2章介绍它的代数结构。

变换$ \tau $的输出$ \boldsymbol{B} $将作为线性变换L的输入。设$\boldsymbol{C} \in {\rm{GF}}( {{2^{32}}} )$是$ L $的输出。则线性变换L定义为：

式中，$ < < < i $表示把32位字循环左移$ i $位。

SM4密码算法的加密过程如图1所示。由于解密算法和加密算法采用相同的变换结构和过程，只是反序使用轮密钥，这里不再赘述。

图  1  SM4分组密码算法加密过程

轮密钥由128 bit密钥通过密钥扩展算法生成。设${\bf{MK}} = \left( {{\bf{M}}{{\bf{K}}_0},{\bf{M}}{{\bf{K}}_1},{\bf{M}}{{\bf{K}}_2},{\bf{M}}{{\bf{K}}_3}} \right) \in {( {{\rm{GF}}( {{2^{32}}} )} )^4}$为输入密钥，${\bf{r}}{{\bf{k}}_i} \in {\rm{GF}}( {{2^{32}}} )(i = 0,1,2, \cdots ,31)$为输出的轮密钥，${\boldsymbol{K}_i} \in {\rm{GF}}( {{2^{32}}} )(i = 0,1,2, \cdots ,35)$为中间数据，密钥扩展算法描述如下：

以及

式中，${\bf{F}}{{\bf{K}}_i}(i = 0,1,2,3)$是系统参数；${\bf{C}}{{\bf{K}}_i}(i = 0,1,2, \cdots ,31)$是固定参数；$ T'( \cdot ) $是和加密算法中变换$ T( \cdot ) $非常类似的变换。

变换$T' $ 和变换 T 唯一不同的地方是把 T 中的线性变换 L 替换成如下的线性变换 $L' $ ：

系统参数${\bf{F}}{{\bf{K}}_i}$的十六进制表示如下所示：

固定参数${\bf{C}}{{\bf{K}}_i} = \left( {{\rm{c}}{{\rm{k}}_{i,0}},{\rm{c}}{{\rm{k}}_{i,1}},{\rm{c}}{{\rm{k}}_{i,2}},{\rm{c}}{{\rm{k}}_{i,3}}} \right) \in {( {{\rm{GF}}( {{2^8}} )} )^4}$ 采用如下的方式计算：

式中，$i = 0,1,2, \cdots ,31$；$ j = 0,1,2,3 $。

在SM4密码算法中，S盒是唯一的非线性变换，是保证安全的关键组件。S盒通常由256个元素构成的查询表描述。文献[21]研究了S盒的代数结构，并给出了如下的具体表达式：

式中， I 是$ {\rm{GF}}({2^8}) $上的乘法逆元，这里的不可约多项式为：

A₁和A₂是如下的仿射变换：

式中，

是${\rm{GF}}(2)$上$ 8 \times 8 $的矩阵；$\boldsymbol{v} = {\left( {1,1,0,0,1,0,1,1} \right)^{\rm{T}}}$是常数列向量。

用量子电路实现S盒，实际上就是实现式(11)。在式(11)中仿射变换的表达式已经由式(13)给出，可以用类似高斯消元的方式实现矩阵F^T，即通过行变换把矩阵F^T化成单位阵，每做一次行变换便在对应量子电路中添加一个CNOT门，反序排列这些CNOT门，便构造出了矩阵F^T的量子电路。对于列向量$ \boldsymbol{v} $，在出现“1”的对应位置添加NOT门便可实现。

乘法逆元I会相对复杂。文献[22]证明了$ {\rm{GF}}({2^n}) $上的任一非零元素${\boldsymbol{a }}$的逆元可以表示成${(\boldsymbol{a})^{ - 1}}{\rm{ = (}}\boldsymbol{a}{{\rm{)}}^{{2^n} - 2}}$。因此需要计算：

为了快速计算式(15)，需要分别实现$ {\rm{GF}}(2)[x]/ $$ (f(x)) $上的平方计算和乘法计算。$ {\rm{GF}}(2)[x] $上的平方计算具有线性的性质，即对元素$\boldsymbol{a}{\rm{ = }}\displaystyle\sum\limits_{i = 0}^{n - 1} {{a_i}{x^i}}$有：

因此，可以得出：$\forall \boldsymbol{a} \in {\rm{GF}}(2)[x]/(f(x))$，有${\boldsymbol{a}^2} = {\bf{Sq}} \cdot \boldsymbol{a}$，其中：

对于乘法计算，文献[23]得出如下结论：$\forall \boldsymbol{a},\boldsymbol{b} \in {\rm{GF}}(2)[x]/(f(x))$，记$\boldsymbol{c} = \boldsymbol{a} \cdot \boldsymbol{b}$，有：

其中，

式中，$ {a_i} $是$ \boldsymbol{a} $对应位置上的元素；$ {\boldsymbol{Q}^{\text{T}}} $表示矩阵$ \boldsymbol{Q} $的转置，其中$ \boldsymbol{Q} $是使得

成立的二元矩阵，于是可以计算出：

本文使用Python语言并利用qiskit软件包实现所求的量子电路。对于式(13)中仿射变换的表达式，使用高斯消元法实现矩阵F^T，并通过在对应位置添加NOT的方法实现向量$ \boldsymbol{v} $，最终式(13)中仿射变换的量子电路如图2所示。$ {\rm{GF}}({2^8}) $上的平方计算可以通过式(17)的线性变换表示，利用高斯消元法实现平方计算的量子电路如图3所示。式(19)和式(20)中的$ \boldsymbol{d} $和$ \boldsymbol{e} $可以通过Toffoli门实现，式(22)中的矩阵$ {\boldsymbol{Q}^{\text{T}}} $可以通过高斯消元法实现，因此式(18)便可以实现，量子电路如图4所示。

图  2  实现式(13)仿射变换的量子电路图

图  3  实现式(17)平方计算的量子电路图

为了更快速地计算$I(\boldsymbol{a}) = {\boldsymbol{a}^{254}}$，本文采用Itoh-Tsujii算法^[24]，但为了尽可能少地使用辅助量子比特，把计算顺序调整如下：

1) $ {(\boldsymbol{a})^2} = {\boldsymbol{a}^2} $

2) $ \boldsymbol{a} \cdot {\boldsymbol{a}^2} = {\boldsymbol{a}^3} $

3) $ {({\boldsymbol{a}^3})^{{2^2}}} = {\boldsymbol{a}^{12}} $

4) $ {\boldsymbol{a}^2} \cdot {\boldsymbol{a}^{12}} = {\boldsymbol{a}^{14}} $

5) ${\boldsymbol{a}} \cdot {\boldsymbol{a}^{14}} = {\boldsymbol{a}^{15}}$

6) $ {({\boldsymbol{a}^{15}})^{{2^4}}} = {\boldsymbol{a}^{240}} $

7) $ {\boldsymbol{a}^{14}} \cdot {\boldsymbol{a}^{240}} = {\boldsymbol{a}^{254}} $

由于仿射变换和平方计算的量子电路都为8量子比特，乘法计算量子电路为24量子比特，为了更加方便地表示S盒的量子电路，本文以8量子比特为单位描述S盒的量子电路。记A₁和A₂为图2中实现仿射变换的量子电路；Sq为图3中实现平方计算的量子电路；图4中实现乘法计算量子电路的乘数输入分别记为两个实心圆点，乘积结果记为M。主要根据计算$ {\boldsymbol{a}^{254}} $的步骤，可以得出S盒的量子电路如图5所示。

图  4  实现式(18)乘法计算的量子电路图

图  5  S盒的量子电路示意图

这里的量子电路是利用NCT门库实现，即采用NOT门、CNOT门和Toffoli门实现。通过这些量子电路所用量子比特的数量、量子门的数量和量子电路的深度描述构建的量子电路的复杂度如表1所示。

由图5可知，最终S盒的实现电路中需要2次调用仿射变换的量子电路，每个仿射变换的量子电路由34个CNOT门和5个NOT门构成，电路深度为23；需要7次调用平方计算的量子电路，每个平方计算的量子电路由22个CNOT门构成，电路深度为16；需要4次调用乘法计算的量子电路，每个乘法计算的量子电路由64个Toffoli门和24个CNOT门构成，电路深度为39；此外还需要用1组(8个)CNOT门对量子比特进行复制。整个S盒的量子电路中一共使用了48个量子比特，592个量子门，电路深度为289。由于本文是首次实现SM4密码算法S盒的量子电路，不能通过对比的方式来分析该电路的复杂度。但文献[12]实现了AES密码算法S盒的量子电路，在该量子电路中，共使用了3组(24个)CNOT门对量子比特进行复制，使用的量子比特数为56。由此可以看出，本文实现的SM4算法S盒的量子电路还是比较高效的。

本文首次给出了SM4密码算法S盒的量子电路。根据S盒的代数结构，首先给出S盒代数表达式中仿射变换的量子电路，然后把代数表达式中求${\rm{GF}}({2^8})$下元素的逆元转换为求该元素的254次方，为此，分别构建了$ {\rm{GF}}({2^8}) $中平方计算的量子电路和乘法计算的量子电路，再通过改进的Itoh-Tsujii算法给出S盒的量子电路。所构建的S盒的量子电路共使用了48个量子比特，592个量子门，电路深度为289。本文的研究将对量子环境下SM4密码算法的研究产生积极影响。