我试图在8位PIC单片机中安装NSA的SPECK。他们的编译器的免费版本(基于CLANG)将不会启用优化,因此我的内存不足。我尝试了“试用”版本,它可以启用-O2,-O3和-Os(针对大小进行优化)。使用-Os它设法使我的代码适合2K程序存储空间。
这是代码:
#include <stdint.h>
#include <string.h>
#define ROR(x, r) ((x >> r) | (x << (32 - r)))
#define ROL(x, r) ((x << r) | (x >> (32 - r)))
#define R(x, y, k) (x = ROR(x, 8), x += y, x ^= k, y = ROL(y, 3), y ^= x)
#define ROUNDS 27
void encrypt_block(uint32_t ct[2],
uint32_t const pt[2],
uint32_t const K[4]) {
uint32_t x = pt[0], y = pt[1];
uint32_t a = K[0], b = K[1], c = K[2], d = K[3];
R(y, x, a);
for (int i = 0; i < ROUNDS - 3; i += 3) {
R(b, a, i);
R(y, x, a);
R(c, a, i + 1);
R(y, x, a);
R(d, a, i + 2);
R(y, x, a);
}
R(b, a, ROUNDS - 3);
R(y, x, a);
R(c, a, ROUNDS - 2);
R(y, x, a);
ct[0] = x;
ct[1] = y;
}
不幸的是,在逐行调试时,将它与test vectors in the implementation guide(第32页,“15 SPECK64 / 128测试向量”)进行比较,结果与预期结果不同。
这是调用此函数的方法:
uint32_t out[2];
uint32_t in[] = { 0x7475432d, 0x3b726574 };
uint32_t key[] = { 0x3020100, 0xb0a0908, 0x13121110, 0x1b1a1918 };
encrypt_block(out, in, key);
assert(out[0] == 0x454e028b);
assert(out[1] == 0x8c6fa548);
根据指南,“out”的预期值应为0x454e028b, 0x8c6fa548。我得到的结果-O2是0x8FA3FED7 0x53D8CEA8。使用-O1,我得到0x454e028b, 0x8c6fa548,这是正确的结果。
步调试
实现指南包括所有中间密钥安排其他值,所以我逐行逐步完成代码,将结果与指南进行比较。
“x”的预期结果是:03020100,131d0309,bbd80d53,0d334df3。我开始步骤调试,但是当达到第4个结果0d334df3时,调试器窗口显示0d334df0。到下一轮,预期的7fa43565值是7FA43578,并且每次迭代都会变得更糟。
这仅在启用-O2或更高时发生。没有优化或使用-O1,代码按预期工作。
这是编译器中的一个错误。
我发布了问题in the manufacturer's forum。其他人确实复制了这个问题,这在编译某些部分时会发生。其他部分不受影响。
作为一种解决方法,我将宏更改为实际函数,并将操作拆分为两行:
uint32_t ROL(uint32_t x, uint8_t r) {
uint32_t intermedio;
intermedio = x << r;
intermedio |= x >> (32 - r);
return intermedio;
}
这给出了正确的结果。
发布可编译的测试代码作为参考。
#include <stdint.h>
#include <string.h>
//#include "speck.h"
#define ROR(x, r) ((x >> r) | (x << (32 - r)))
#define ROL(x, r) ((x << r) | (x >> (32 - r)))
#define R(x, y, k) (x = ROR(x, 8), x += y, x ^= k, y = ROL(y, 3), y ^= x)
#define ROUNDS 27
void encrypt_block(uint32_t ct[2], uint32_t const pt[2], uint32_t const K[4]) {
uint32_t x = pt[0], y = pt[1];
uint32_t a = K[0], b = K[1], c = K[2], d = K[3];
R(y, x, a);
// for (int i = 0; i < ROUNDS - 3; i += 3) {
for (uint32_t i = 0; i < ROUNDS - 3; i += 3) {
R(b, a, i);
R(y, x, a);
R(c, a, i + 1);
R(y, x, a);
R(d, a, i + 2);
R(y, x, a);
}
R(b, a, ROUNDS - 3);
R(y, x, a);
R(c, a, ROUNDS - 2);
R(y, x, a);
ct[0] = x;
ct[1] = y;
}
int main(void) {
uint32_t out[2];
uint32_t in[] = {0x7475432d, 0x3b726574};
uint32_t key[] = {0x03020100, 0x0b0a0908, 0x13121110, 0x1b1a1918};
encrypt_block(out, in, key);
printf("%8lx %8lx\n", (unsigned long) out[0], 0x454e028bLU);
printf("%8lx %8lx\n", (unsigned long) out[1], 0x8c6fa548LU);
}
产量
454e028b 454e028b
8c6fa548 8c6fa548
意外的输出
0x8FA3FED7
0x53D8CEA8
我没有在代码中看到任何未定义行为的迹象,除非它在您未显示的设置/调用点的某些方面。因此,根据优化级别,行为应该是不可能的。通常情况下,我不会快速责怪编译器错误这样的东西,但FOSS编译器的嵌入式东西的叉子,特别是在编译器中将int重新定义为16位的叉子,而不是针对16位int,特别是专有的问题,他们的代码非常糟糕,甚至不想让你看到它,很可能是一个编译器错误。