现代密码学试卷(含答案)

武汉大学计算机学院

信息安全专业2004级“密码学”课程考试题

（卷面八题，共100分，在总成绩中占70分）

一、单表代替密码（10分）

①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明其对合性。

②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求

二、回答问题（10分）

①在公钥密码的密钥管理中，公开的加密钥Ke和保密的解密钥Kd的秘密性、真实性和完

整性都需要确保吗？说明为什么？

②简述公钥证书的作用？

三、密码比较，说明两者的特点和优缺点。（10分）

对DES和AES进行比较，说明两者的特点和优缺点。

四、设A＝[01，02，03，04]T，B＝[b0,b1,b2,b3]T，利用反对数表查表计算AES中的

列混淆，求出B。（10分）

五、设g(x)=x4+x2+1，g(x)为GF（2）上的多项式，以其为连接多项式组成线性移位寄

存器。画出逻辑框图。设法遍历其所有状态，并写出其状态变迁及相应的输出序列。（15分）

六、考虑RSA密码体制：（15分）

1.取e=3有何优缺点？取d=3安全吗？为什么？

2.设n=35，已截获发给某用户的密文C＝10，并查到该用户的公钥e=5，求出明文

M。

七、令素数p=29,椭圆曲线为y2=x3+4x+20 mod 29,求出其所有解点，并构成解点群，其解点群是循环群吗？为什么？。（15分）

八、在下述站点认证协议中函数f起什么作用？去掉f行不行？为什么?（15分）

设A，B是两个站点，A是发方，B是收方。它们共享会话密钥Ks ，f是公开的简单函数。A 认证B是否是他的意定通信站点的协议如下：

1.A产生一个随机数RN，并用Ks对其进行加密：C＝E（RN，Ks），并发C给B。同时

A对RN进行f变换，得到f(RN)。

2.B收到C后，解密得到RN＝D（C，Ks）。B也对RN进行f变换，得到f（RN），并

将其加密成C’＝E（f（RN），Ks），然后发C’给A 。

3.A对收到的C’解密得到f（RN），并将其与自己在第①步得到的f（RN）比较。若两

者相等，则A认为B是自己的意定通信站点。否则A认为B不是自己的意定通信站点。

参考答案

（卷面八题，共100分，在总成绩中占70分）

一、单表代替密码（10分）

①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,

并以明文M＝WEWILLMEETATMORNING 为例进行加解密，说明其对合性。

②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。

解答：

1.加法密码的明密文字母表的映射公式：

A为明文字母表,即英文字母表，B为密文字母表，其映射关系为：

j=i＋k mod 26

显然当k=13时，j=i＋13 mod 26，于是有i = j＋13 mod 26。此时加法密码是对合的。称此密钥k=13为对合密钥。举例：因为k=13，所以明文字母表A和密文字母表B为

a b c d e f g h i j k l m n o p q r s t u v w x y z

n o p q r s t u v w x y z a b c d e f g h i j k l m

第一次加密：M＝W E W I L L M E E T A T M O R N I N G

C＝J R J V Y Y Z R R G O G Z B E A V A T

第二次加密：C＝W E W I L L M E E T A T M O R N I N G?? 还原出明文，这说明当k=13时，加法密码是对合的。称此密钥为对合密钥。

②设n为模，若n为偶数，则k=n/2为对合密钥。若n为奇数，n/2不是整数，故不存在对合密钥。

二、回答问题（10分）

1)在公钥密码的密钥管理中，公开的加密钥Ke和保密的解密钥Kd的秘密性、真实性和完整性都需要确保吗？

说明为什么？

①公开的加密钥Ke：秘密性不需确保，真实性和完整性都需要确保。因为公钥是公开的，所以不需要保密。

但是如果其被篡改或出现错误，则不能正确进行加密操作。如果其被坏人置换，

则基于公钥的各种安全性将受到破坏，坏人将可冒充别人而获得非法利益。

②保密的解密钥Kd：秘密性、真实性和完整性都需要确保。因为解密钥是保密的，如果其秘密性不能确保，

则数据的秘密性和真实性将不能确保。如果其真实性和完整性受到破坏，则数据的秘密性和真实性将不能确保。

③举例

（A）攻击者C用自己的公钥置换PKDB中A的公钥：

（B）设B要向A发送保密数据，则要用A的公钥加密，但此时已被换为C的公钥，因此实际上是用C的公钥加密。（C）C截获密文，用自己的解密钥解密获得数据。

2)简述公钥证书的作用？

公钥证书是一种包含持证主体标识，持证主体公钥等信息，并由可信任的签证机构（CA）签名的信息集合。

公钥证书主要用于确保公钥及其与用户绑定关系的安全。公钥证书的持证主体可以是人、设备、组织机构或其它主体。公钥证书能以明文的形式进行存储和分配。任何一个用户只要知道签证机构（CA）的公钥，

就能检查对证书的签名的合法性。如果检查正确，那么用户就可以相信那个证书所携带的公钥是真实的，

而且这个公钥就是证书所标识的那个主体的合法的公钥。从而确保用户公钥的完整性。

三、密码比较，说明两者的特点和优缺点。（10分）

对DES和AES进行比较，说明两者的特点和优缺点。

DES：分组密码，Feist结构，明文密文64位，有效密钥56位。有弱密钥，有互补对称性。适合硬件实现，软件实现麻烦。

安全。算法是对合的。

AES：分组密码，SP结构，明文密文128位，密钥长度可变≥128位。无弱密钥，无互补对称性。适合软件和硬件实现。

安全。算法不是对合的。

四、设A＝[01，02，03，04]T，B＝[b0,b1,b2,b3]T，利用反对数表查表计算AES中的列混淆，求出B。（10分）

解答：

根据A，写出A（x）=04x3+03x2+02x+01，于是B(x)=A(x)C(x) mod x4+1，其中

C(x)＝03x3+01x2+01x+02。根据式（3－45），写成矩阵形式：

于是逐一查表计算可得。

五、设g(x)=x4+x2+1，g(x)为GF（2）上的多项式，以其为连接多项式组成线性移位寄存器。画出逻辑框图。

设法遍历其所有状态，并写出其状态变迁及相应的输出序列。（15分）

解答：

1) 逻辑框图

六、考虑RSA密码体制：（15分）

1.取e=3有何优缺点？取d=3安全吗？为什么？

②设n=35，已截获发给某用户的密文C＝10，并查到该用户的公钥e=5，求出明文M。

解答：

①e=3的优点是计算快，因为其二进制表示中只有2个1，缺点是不安全。当M较小时，直接开立方可求出M。

d=3不安全，经不起穷举攻击。

②分解n=35=7×5，于是p=7,q=5。φ（n）=6×4=24。因为e=5，根据ed=1 modφ（n），求出d=5。

根据M=Cd mod n,M=105 mod 35,求出M＝5。

七、令素数p=29,椭圆曲线为y2=x3+4x+20 mod 29,求出其所有解点，并构成解点群，其解点群是循环群吗？为什么？。（15分）

解答：

1.穷举：

（∞，∞），（2，6），（4，19），（8，10），（13，23），（16，2），（19，16），（27，2）

1.7），（2，23），（5，7），（8，19），（14，6），（16，27），（20，3），（27，27）

2.22），（3，1），（5，22），（10，4），（14，23），（17，10），（20，26）

3.5），（3，28），（6，12），（10，25），（15，2），（17，19），（24，7）

（1，24），（4，10），（6，17），（13，6），（15，27），（19，13），（24，22）

1.解点群有37个元素，37是素数，故解点群是循环群。

八、在下述站点认证协议中函数f起什么作用？去掉f行不行？为什么?（15分）

设A，B是两个站点，A是发方，B是收方。它们共享会话密钥Ks ，f是公开的简单函数。

A认证B是否是他的意定通信站点的协议如下：

1.A产生一个随机数RN，并用Ks对其进行加密：C＝E（RN，Ks），并发C给B。

同时A对RN进行f变换，得到f(RN)。

2.B收到C后，解密得到RN＝D（C，Ks）。B也对RN进行f变换，得到f（RN），

并将其加密成C’＝E（f（RN），Ks），然后发C’给A 。

3.A对收到的C’解密得到f（RN），并将其与自己在第①步得到的f（RN）比较。若两者相等，

则A认为B是自己的意定通信站点。否则A认为B不是自己的意定通信站点。

解答：

去掉f是不行的。如果去掉f，则在第②步的操作不需要密钥，于是坏人截获RN＝D（C，Ks）后，发给A，A不能察觉C。于是C假冒成果。不去掉f时，在第②步的操作需要密钥，于是坏人没有密钥，不能冒充。

(完整版)北邮版《现代密码学》习题答案.doc

《现代密码学习题》答案 第一章 1、1949 年，（ A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理 论基础，从此密码学成了一门科学。 A、Shannon B 、Diffie C、Hellman D 、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成，而其安全性是由（ D）决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要 的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（ B ）。 A 无条件安全 B计算安全 C可证明安全 D实际安全 4、根据密码分析者所掌握的分析资料的不通，密码分析一般可分为 4 类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（ D ）。 A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击 5、1976 年，和在密码学的新方向一文中提出了公开密钥密码的思想， 从而开创了现代密码学的新领域。 6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通

信理论和公钥密码思想。 7、密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 对9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为 称和非对称。 10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。 第二章 1、字母频率分析法对（ B ）算法最有效。 A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码 2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。 A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码 3、重合指数法对（ C）算法的破解最有效。 A 置换密码 B单表代换密码C多表代换密码 D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是 （C ）。

密码学级考卷A卷 答案

试题 2015 年~ 2016 年第1 学期 课程名称：密码学专业年级： 2013级信息安全 考生学号：考生姓名： 试卷类型： A卷■ B卷□考试方式: 开卷□闭卷■……………………………………………………………………………………………………… 一. 选择题（每题2分，共20分） 1.凯撒密码是有记录以来最为古老的一种对称加密体制，其加密算法的定义为， 任意，，那么使用凯撒密码加密SECRET的结果是什么（）。 A. UGETGV B. WIGVIX C. VHFUHW D. XIVGIW 2.在一下密码系统的攻击方法中，哪一种方法的实施难度最高的（）。 A. 唯密文攻击 B. 已知明文攻击 C. 选择明文攻击 D. 选择文本攻击 3.仿射密码顺利进行加解密的关键在于保证仿射函数是一个单射函数，即对于 任意的同余方程有唯一解，那么仿射密码的密钥空间大小是（）。（表示中所有与m互素的数的个数） A. B. C. D. 4.为了保证分组密码算法的安全性，以下哪一点不是对密码算法的安全性要求

（）。 A. 分组长度足够长 B. 由密钥确定置换的算法要足够复杂 C. 差错传播尽可能地小 D. 密钥量足够大 5.以下哪一种分组密码工作模式等价于同步序列密码（）。 A. 电码本模式（ECB模式） B. 密码分组链接模式（CBC模式） C. 输出反馈模式（OFB模式） D. 密码反馈模式（CFB模式） 6.以下对自同步序列密码特性的描述，哪一点不正确（）。 A．自同步性 B．无错误传播性 C．抗主动攻击性 D．明文统计扩散性 7.如下图所示的线性移位寄存器，初始值为，请问以下哪 一个选项是正确的输出序列（）。 A． B． C． D． 8.以下关于消息认证码的描述，哪一点不正确（）。 A．在不知道密钥的情况下，难以找到两个不同的消息具有相同的输出 B．消息认证码可以用于验证消息的发送者的身份 C．消息认证码可以用于验证信息的完整性 D．消息认证码可以用于加密消息 9.以下哪些攻击行为不属于主动攻击（）。 A．偷听信道上传输的消息

现代密码学期终考试试卷和答案

一．选择题 1、关于密码学的讨论中，下列（D ）观点是不正确的。 A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 合技术 B、密码学的两大分支是密码编码学和密码分析学 C、密码并不是提供安全的单一的手段，而是一组技术 D、密码学中存在一次一密的密码体制，它是绝对安全的 2、在以下古典密码体制中，属于置换密码的是（B）。 A、移位密码 B、倒序密码 C、仿射密码 D、PlayFair密码 3、一个完整的密码体制，不包括以下（?C?? ）要素。 A、明文空间 B、密文空间 C、数字签名 D、密钥空间 4、关于DES算法，除了（C ）以外，下列描述DES算法子密钥产生过程是正确的。 A、首先将DES 算法所接受的输入密钥K（64 位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥） B、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次 循环左移的输入 C、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循 环左移的输入 D、然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki 5、2000年10月2日，NIST正式宣布将（B ）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。 A、MARS B、Rijndael C、Twofish D、Bluefish *6、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 A、模幂运算问题 B、大整数因子分解问题 C、离散对数问题 D、椭圆曲线离散对数问题 7、密码学中的杂凑函数（Hash函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（C ）是带密钥的杂凑函数。 A、MD4 B、SHA-1

现代密码学 学习心得

混合离散对数及安全认证 摘要：近二十年来，电子认证成为一个重要的研究领域。其第一个应用就是对数字文档进行数字签名，其后Chaum希望利用银行认证和用户的匿名性这一性质产生电子货币，于是他提出盲签名的概念。 对于所有的这些问题以及其他的在线认证，零知识证明理论成为一个非常强有力的工具。虽然其具有很高的安全性，却导致高负荷运算。最近发现信息不可分辨性是一个可以兼顾安全和效率的性质。 本文研究混合系数的离散对数问题，也即信息不可识别性。我们提供一种新的认证，这种认证比因式分解有更好的安全性，而且从证明者角度看来有更高的效率。我们也降低了对Schnorr方案变形的实际安全参数的Girault的证明的花销。最后，基于信息不可识别性，我们得到一个安全性与因式分解相同的盲签名。 1．概述 在密码学中，可证明为安全的方案是一直以来都在追求的一个重要目标。然而，效率一直就是一个难以实现的属性。即使在现在对于认证已经进行了广泛的研究，还是很少有方案能兼顾效率和安全性。其原因就是零知识协议的广泛应用。 身份识别：关于识别方案的第一篇理论性的论文就是关于零知识的，零知识理论使得不用泄漏关于消息的任何信息，就可以证明自己知道这个消息。然而这样一种能够抵抗主动攻击的属性，通常需要许多次迭代来得到较高的安全性，从而使得协议或者在计算方面，或者在通信量方面或者在两个方面效率都十分低下。最近，poupard和stern提出了一个比较高效的方案，其安全性等价于离散对数问题。然而，其约减的代价太高，使得其不适用于现实中的问题。 几年以前，fiege和shamir就定义了比零知识更弱的属性，即“信息隐藏”和“信息不可分辨”属性，它们对于安全的识别协议来说已经够用了。说它们比零知识更弱是指它们可能会泄漏秘密消息的某些信息，但是还不足以找到消息。具体一点来说，对于“信息隐藏”属性，如果一个攻击者能够通过一个一次主动攻击发现秘密消息，她不是通过与证明者的交互来发现它的。而对于“信息不可分辨”属性，则意味着在攻击者方面看来，证据所用的私钥是不受约束的。也就是说有许多的私钥对应于一个公钥，证据仅仅传递了有这样一个私钥被使用了这样一个信息，但是用的是哪个私钥，并没有在证据传递的信息中出现。下面，我们集中考虑后一种属性，它能够提供一种三次传递识别方案并且对抗主动攻击。Okamoto 描述了一些schnorr和guillou-quisquater识别方案的变种，是基于RSA假设和离散对数子群中的素数阶的。 随机oracle模型：最近几年，随机oracle模型极大的推动了研究的发展，它能够用来证明高效方案的安全性，为设计者提供了一个有价值的工具。这个模型中理想化了一些具体的密码学模型，例如哈希函数被假设为真正的随机函数，有助于给某些加密方案和数字签名等提供安全性的证据。尽管在最近的报告中对于随机oracle模型采取了谨慎的态度，但是它仍然被普遍认为非常的有效被广泛的应用着。例如，在这个模型中被证明安全的OAPE加密

密码学试卷

武汉大学计算机学院 信息安全专业2004级“密码学”课程考试题 （卷面八题，共100分，在总成绩中占70分） 一、单表代替密码（10分） ①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文M＝WEWILLMEETATMORNING 为例进行加解密，说明其对合性。 ②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。 二、回答问题（10分） ①在公钥密码的密钥管理中，公开的加密钥Ke和保密的解密钥Kd的秘密性、真实性和完整性都需要确保吗？说明为什么？ ②简述公钥证书的作用？ 三、密码比较，说明两者的特点和优缺点。（10分） 对DES和AES进行比较，说明两者的特点和优缺点。 四、设A＝[01，02，03，04]T，B＝[b0,b1,b2,b3]T，利用反对数表查表计算AES中的列混淆，求出B。（10分） 五、设g(x)=x4+x2+1，g(x)为GF（2）上的多项式，以其为连接多项式组成线性移位寄存器。画出逻辑框图。设法遍历其所有状态，并写出其状态变迁及相应的输出序列。（15分） 六、考虑RSA密码体制：（15分） 1.取e=3有何优缺点？取d=3安全吗？为什么？ 2.设n=35，已截获发给某用户的密文C＝10，并查到该用户的公钥e=5，求出明文M。

七、令素数p=29,椭圆曲线为y2=x3+4x+20 mod 29,求出其所有解点，并构成解点群，其解点群是 循环群吗？为什么？。（15分） 八、在下述站点认证协议中函数f起什么作用？去掉f行不行？为什么?（15分） 设A，B是两个站点，A是发方，B是收方。它们共享会话密钥Ks ，f是公开的简单函数。A认证B是 否是他的意定通信站点的协议如下： 1.A产生一个随机数RN，并用Ks对其进行加密：C＝E（RN，Ks），并发C给B。同时A对RN 进行f变换，得到f(RN)。 2.B收到C后，解密得到RN＝D（C，Ks）。B也对RN进行f变换，得到f（RN），并将其加密 成C’＝E（f（RN），Ks），然后发C’给A 。 3.A对收到的C’解密得到f（RN），并将其与自己在第①步得到的f（RN）比较。若两者相等， 则A认为B是自己的意定通信站点。否则A认为B不是自己的意定通信站点。 参考答案 （卷面八题，共100分，在总成绩中占70分） 一、单表代替密码（10分） ①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文M＝WEWILLMEETATMORNING 为例进行加解密，说明其对合性。 ②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。 解答： 1.加法密码的明密文字母表的映射公式： A为明文字母表,即英文字母表，B为密文字母表，其映射关系为： j=i＋k mod 26 显然当k=13时，j=i＋13 mod 26，于是有i = j＋13 mod 26。此时加法密码是对合的。称此密钥k=13为对合密钥。

现代密码学课后答案第二版讲解

现代密码学教程第二版 谷利泽郑世慧杨义先 欢迎私信指正，共同奉献 第一章 1.判断题 2.选择题 3.填空题 1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。 2.经典的信息安全三要素--机密性，完整性和可用性，是信息安全的核心原则。 3.根据对信息流造成的影响，可以把攻击分为5类中断、截取、篡改、伪造和重放，进一 步可概括为两类主动攻击和被动攻击。

4.1949年，香农发表《保密系统的通信理论》，为密码系统建立了理论基础，从此密码学 成为了一门学科。 5.密码学的发展大致经历了两个阶段：传统密码学和现代密码学。 6.1976年，W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的 思想，从而开创了现代密码学的新领域。 7.密码学的发展过程中，两个质的飞跃分别指 1949年香农发表的《保密系统的通信理 论》和 1978年，Rivest，Shamir和Adleman提出RSA公钥密码体制。 8.密码法规是社会信息化密码管理的依据。 第二章 1.判断题 答案×√×√√√√××

2.选择题 答案：DCAAC ADA

3.填空题 1.密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分 析学。 2.8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成的。 3.9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为对称和 非对称。 4.10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列 密码。

第三章5.判断 6.选择题

密码学期末考试复习

填空题 1、密码学的主要任务是实现性、鉴别、数据完整性、抗抵赖性。 1、性是一种允许特定用户访问和阅读信息，而非授权用户对信息容不可理解的安全属性。在密码学中，信息的性通过加密技术实现。 2、完整性数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属性。密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。 3、鉴别是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数据源的鉴别。对于一次通信，必须确信通信的对端是预期的实体，这就涉及到身份的鉴别。 4、抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关容的安全特性。密码学通过对称加密或非对称加密，以及数字签名等技术，并借助可信机构或证书机构的辅助来提供这种服务。 5、密码编码学的主要任务是寻求有效密码算法和协议，以保证信息的性或认证性的方法。它主要研究密码算法的构造与设计，也就是密码体制的构造。它是密码理论的基础，也是系统设计的基础。 6、密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息的解析方法进行研究。 7、明文（Plaintext）是待伪装或加密的消息（Message）。在通信系统中它可能是比特流，如文本、位图、数字化的语音流或数字化的视频图像等。 8、密文(Ciphertext)是对明文施加某种伪装或变换后的输出，也可认为是不可直接理的字符或比特集，密文常用c表示。 9、加密（Encrypt ）是把原始的信息（明文）转换为密文的信息变换过程。 10、解密（Decrypt）是把己加密的信息（密文）恢复成原始信息明文的过程。 11、密码算法(Cryptography Algorithm)也简称密码（Cipher），通常是指加、解密过程所使用的信息变换规则，是用于信息加密和解密的数学函数。对明文进行加密时所采用的规则称作加密算法，而对密文进行解密时所采用的规则称作解密算法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 11、密钥（Secret Key ）密码算法中的一个可变参数，通常是一组满足一定条件的随机序列 12、替代密码是指先建立一个替换表，加密时将需要加密的明文依次通过查表，替换为相应的字符，明文字符被逐个替换后，生成无任何意义的字符串，即密文，替代密码的密钥就是其替换表。

现代密码学教程课后部分答案考试比用

第一章 1、1949年，（A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理论基础，从此密码学成了一门科学。 A、Shannon B、Diffie C、Hellman D、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由（D）决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（B ）。 A无条件安全B计算安全C可证明安全D实际安全 4、根据密码分析者所掌握的分析资料的不同，密码分析一般可分为4类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（D ）。 A、唯密文攻击 B、已知明文攻击 C、选择明文攻击 D、选择密文攻击 5、1976年，W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。 6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。 7、密码学是研究信息及信息系统安全的科学，密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为对称和非对称。 10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。 第二章 1、字母频率分析法对（B ）算法最有效。 A、置换密码 B、单表代换密码 C、多表代换密码 D、序列密码 2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。 A仿射密码B维吉利亚密码C轮转密码D希尔密码 3、重合指数法对（C）算法的破解最有效。 A置换密码B单表代换密码C多表代换密码D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（C ）。 A置换密码B单表代换密码C多表代换密码D序列密码 5、在1949年香农发表《保密系统的通信理论》之前，密码学算法主要通过字符间的简单置换和代换实现，一般认为这些密码体制属于传统密码学范畴。 6、传统密码体制主要有两种，分别是指置换密码和代换密码。 7、置换密码又叫换位密码，最常见的置换密码有列置换和周期转置换密码。 8、代换是传统密码体制中最基本的处理技巧，按照一个明文字母是否总是被一个固定的字母代替进行划分，代换密码主要分为两类：单表代换和多表代换密码。 9、一个有6个转轮密码机是一个周期长度为26 的6次方的多表代替密码机械装置。 第四章 1、在（ C ）年，美国国家标准局把IBM的Tuchman-Meyer方案确定数据加密标准，即DES。 A、1949 B、1972 C、1977 D、2001 2、密码学历史上第一个广泛应用于商用数据保密的密码算法是（B ）。 A、AES B、DES C、IDEA D、RC6 3、在DES算法中，如果给定初始密钥K，经子密钥产生的各个子密钥都相同，则称该密钥K为弱密钥，DES算法弱密钥的个数为（B ）。 A、2 B、4 C、8 D、16

密码学期末考试复习.doc

填空题 1、密码学的主要任务是实现机密性、鉴别、数据完整性、抗抵赖性。 1、机密性是一种允许特定用户访问和阅读信息，而非授权用户对信息内容不可理解的 安全属性。在密码学中，信息的机密性通过加密技术实现。 2、完整性数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属 性。密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。 3、鉴别是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数 据源的鉴别。对于一次通信，必须确信通信的对端是预期的实体，这就涉及到身份的鉴别。 4、抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关内容的安全特性。密码学通过对称加密或非对称加密，以及数字签名等技术，并借助可信机构或证书机构的辅助来提供这种服务。 5、密码编码学的主要任务是寻求有效密码算法和协议，以保证信息的机密性或认证性的方 法。它主要研究密码算法的构造与设计，也就是密码体制的构造。它是密码理论的基础，也是保密系统设计的基础。 6、密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息 的解析方法进行研究。 7、明文（ Plaintext）是待伪装或加密的消息（Message）。在通信系统中它可能是比特流，如文本、位图、数字化的语音流或数字化的视频图像等。 8、密文 (Ciphertext) 符或比特集，密文常用是对明文施加某种伪装或变换后的输出 c 表示。 ，也可认为是不可直接理的字 9、加密（Encrypt ）是把原始的信息（明文）转换为密文的信息变换过程。 10、解密（Decrypt ）是把己加密的信息（密文）恢复成原始信息明文的过程。 11、密码算法(Cryptography Algorithm) 也简称密码（Cipher ），通常是指加、解密过程所使用的信息变换规则，是用于信息加密和解密的数学函数。对明文进行加密时所采用的规则 称作加密算法，而对密文进行解密时所采用的规则称作解密算法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 11、密钥（ Secret Key ）密码算法中的一个可变参数，通常是一组满足一定条件的随机序列 12、替代密码是指先建立一个替换表，加密时将需要加密的明文依次通过查表，替换为相应的字符，明文字符被逐个替换后，生成无任何意义的字符串，即密文，替代密码的密钥就是其替换表。

《密码学》期末考试试卷

新乡学院 2013-2014 学年度第一学期 《密码学》期末考试试卷 2010级信息与计算科学专业，考试时间：100分钟，考试方式：随堂考，满分100分 一、判断题（每小题2分，正确的在后面的括号内打“√”，错误的在后面的括号内打“×”） 1. 1976年，美国数据加密标准（DES）的公布使密码学的研究公开，从而开创了现在密码 学的新纪元，失眠墓穴发展史上的一次质的飞跃。（） 2. 密码学的发展大致经历了两个阶段：传统密码学和现在密码学。（） 3. 现在密码体质的安全性不应取决于不易改变的算法，而应取决于可是随时改变的密钥。 （） 4. Hash函数也称为散列函数、哈希函数、杂凑函数等，是一个从消息空间到像空间的可逆 映射。（） 5. 成熟的公钥密码算法出现以后，对称密码算法在实际中已无太大利用价值了。（） 二、选择题（每小题2分，将正确答案的标号写在后面的括号内） 1. 若Alice要向Bob分发一个会话密钥，采用ElGamal公钥加密算法，那么Alice对该回 话密钥进行加密应该选用的是（）（A）Alice的公钥（B）Alice的私钥（C）Bob的公钥（D）Bob的私钥 2. 下列算法中，不具有雪崩效应的是（） （A）DES加密算法（B）序列密码的生成算法（C）哈希函数（D）RSA加密算法 3. 下列选项中，不是Hash函数的主要应用的是（） （A）数据加密（B）数字签名（C）文件校验（D）认证协议 4. 对于二元域上的n元布尔函数，其总个数为（）（A）n2（B）n22（C）n2（D）以上答案都不对 5. 下列密码算法中，不属于序列密码范畴的是（） （A）RC4算法（B）A5算法（C）DES算法（D）WAKE算法 三、填空题（每小题1分，共20分） 1. 序列密码通常可以分为____序列密码和____序列密码。 2. 布尔函数是对称密码中策重要组件，其表示方法主要有____表示、____表示、____表示、 ____表示、____表示、____表示等。 3. 为了抗击各种已有的攻击方法，密码体制中的布尔函数的设计需要满足各种相应的设计 准则，这些设计准则主要有：________、________、________、________、________。 4. Hash函数就是把任意的长度的输入，通过散列函数，变换成固定长度的输出，该输出称 为____，Hash函数的单向性是指：____________________，Hash函数的抗碰撞性是指：________________。 5. 常用的公钥密码算法有：________、________、________、________。 四、简答题（每小题10分，共30分） 1. 简述RSA公钥密码体制中的密钥对的生成步骤、主要攻击方法以及防范措施。 2. 简述ElGamal公钥密码体制中的加密和解密过程。

现代密码学小论文

目录 现代密码学的认识与应用 (1) 一、密码学的发展历程 (1) 二、应用场景 (1) 2.1 Hash函数 (1) 2.2应用场景分析 (2) 2.2.1 Base64 (2) 2.2.2 加“盐” (2) 2.2.3 MD5加密 (2) 2.3参照改进 (3) 2.3.1 MD5+“盐” (3) 2.3.2 MD5+HMAC (3) 2.3.3 MD5 +HMAC+“盐” (3) 三、总结 (4)

现代密码学的认识与应用 一、密码学的发展历程 密码学的起源的确要追溯到人类刚刚出现，并且尝试去学习如何通信的时候，为了确保他们的通信的机密，最先是有意识的使用一些简单的方法来加密信息，通过一些（密码）象形文字相互传达信息。接着由于文字的出现和使用，确保通信的机密性就成为一种艺术，古代发明了不少加密信息和传达信息的方法。 事实上，密码学真正成为科学是在19世纪末和20世纪初期，由于军事、数学、通讯等相关技术的发展，特别是两次世界大战中对军事信息保密传递和破获敌方信息的需求，密码学得到了空前的发展，并广泛的用于军事情报部门的决策。 20世纪60年代计算机与通信系统的迅猛发展，促使人们开始考虑如何通过计算机和通信网络安全地完成各项事务，从而使得密码技术开始广泛应用于民间，也进一步促进了密码技术的迅猛发展。 二、应用场景 2.1 Hash函数 Hash函数(也称杂凑函数、散列函数)就是把任意长的输入消息串变化成固定长度的输出“0”、“1”串的函数，输出“0”、“1”串被称为该消息的Hash值(或杂凑值)。一个比较安全的Hash函数应该至少满足以下几个条件: ●输出串长度至少为128比特，以抵抗攻击。对每一个给定的输入，计算 Hash值很容易(Hash算法的运行效率通常都很高)。 ●对给定的Hash函数，已知Hash值，得到相应的输入消息串(求逆)是计 算上不可行的。 ●对给定的Hash函数和一个随机选择的消息，找到另一个与该消息不同的 消息使得它们Hash值相同(第二原像攻击)是计算上不可行的。 ●对给定的Hash函数,找到两个不同的输入消息串使得它们的Hash值相同 (即碰撞攻击)实际计算上是不可行的Hash函数主要用于消息认证算法 构造、口令保护、比特承诺协议、随机数生成和数字签名算法中。 Hash函数算法有很多，最著名的主要有MD系列和SHA系列，一直以来，对于这些算法的安全性分析结果没有很大突破，这给了人们足够的信心相信它们是足够安全的，并被广泛应用于网络通信协议当中。

(完整word版)密码学与信息安全试卷

密码学与信息安全试卷 2008-2009 学年第2 学期课号082746 课程名称密码学（A卷; 闭卷）适用班级（或年级、专业）07级信息安全 考试时间120 分钟班级601 602 学号姓名 题号一二三四五六七八九十成绩满分 10 10 30 35 15 得分 评卷人 一．填空题（共10分，每个1分） 1．采用恺撒密码（K=3），消息是BCD，密文是efg。 2．根据著名的Kerckhoff原则，密码系统的保密性不依赖于算法的保密，而依赖于密钥的保护。 3．RSA密码体制的理论依据（数学难题）是大数的分解难 4．认证符是用于认证消息的数值，它的产生方法分为消息验证码和散列函数。 5．AES的基本变换包括基本置换、行移位、列混淆、轮换密钥相加。6．考虑一个数据块长度为256位且密钥长度为128位的AES加密算法。请问该密码算法的一个数据块中字的个数Nb是，密钥中字的个数Nk是。 7．在使用Diffie-Helllman密钥交换算法时，如果通信的双方没有经过身份认证，那么攻击者冒充对方进行中间人攻击。 二．选择题（共10分，每个2分） 1．下列攻击形式，不属于主动攻击的是（） A.伪造 B.篡改 C.中断 D.监听 2．RSA算法可用于加密，现A拥有一对密钥PKA和SKA，B拥有一对密钥PKB和SKB，

如果A向B发送消息，A对发送的消息进行加密的密钥是（），B接收到密文后进行解 密的密钥是（） A. PKA SKB B. PKB SKB C. PKB SKB D. SKB PKB 3．Xtime(a)运算是简化AES算法的基本运算，其中不可约多项式为m(x)=x8+x4+x3+x+1，计算‘57’·‘06’的结果为（） A. ‘8E’ B. ‘E8’ C.‘8E’ D. ‘17’ 4．如果单向杂凑函数H(X)满足这样的性质：找出任意两个不同的输入x和y，使得H(x)=H(y)在计算上是不可行的，则称其为（）。 A.弱单向杂凑函数 B.强单向杂凑函数 5．在密码分组链接模式（CBC）中，存在着错误传播，如果在加密前明文分组P1中有一比特位发生了错误，请问该错误在多少个密文分组中传播？ A.C1 B.C2 C.C1和C2 D.所有的密文分组 三．简答题（共30分, 每个10分） 1．根据攻击者可获取的信息量，密码分析可分为那几类，它们的含义是什么？(10分) 1．根据密码分析者可能取得的分析资料的不同，密码分析（或称攻击）可分为下列四类：（1）唯密文分析（攻击），密码分析者取得一个或多个用同一密钥加密的密文； （2）已知明文分析（攻击），除要破译的密文外，密码分析者还取得一些用同一密钥加密的明密文对； （3）选择明文分析（攻击），密码分析者可取得他所选择的任何明文所对应的密文（当然不包括他要恢复的明文），这些明密文对和要破译的密文是用同一密钥加密的； （4）选择密文分析（攻击），密码分析者可取得他所选择的任何密文所对应的明文（要破 译的密文除外），这些密文和明文和要破译的密文是用同一解密密钥解密的，它主要应用于公钥密码体制。 2．简述密码算法中对称、非对称算法各自的优缺点，及分析如何将两者结合。(10分) 2. 什么是对称密码体制和非对称密码体制？各有何优、缺点？

《现代密码学》期终考试试卷和答案

? ? 一．选择题 ? ? 1、关于密码学的讨论中，下列（D ）观点是不正确的。 ? ? A 、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 ? ?合技术 号 ? 学 ? ? B 、密码学的两大分支是密码编码学和密码分析学 ? ? C 、密码并不是提供安全的单一的手段，而是一组技术 ? ? D 、密码学中存在一次一密的密码体制，它是绝对安全的 ? 线 2、在以下古典密码体制中，属于置换密码的是（B ）。 名 ? 姓 ? A 、移位密码 B 、倒序密码 ? ? ? C 、仿射密码 D 、PlayFair 密码 ? ? 3、一个完整的密码体制，不包括以下（C ）要素。 ? ? A 、明文空间 B 、密文空间 ? 级 ? C 、数字签名 D 、密钥空间 班 ?? 4、关于 DES 算法，除了（ C ）以外，下列描 述 DES 算法子密钥产生过程是正确的。 ? 封 ? A 、首先将 DES 算法所接受的输入密钥 K （ 64 位），去除奇偶校验位，得到 56 位密钥（即经过 PC-1 置换，得到 56 位 密钥） ? ? B 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于 i 的值，这些经过循环移位的值作为 下一次 ? ? 循环左移的输入 ? 业 ? ? C 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的 值作为下一次 专 ? 循环左移的输入 ? ? ? D 、然后将每轮循环移位后的值经 PC-2 置换，所得到的置换结果即为第 i 轮所需的子密钥 Ki ? ? 5、2000 年 10 月 2 日， NIST 正式宣布将（ B ）候选算法作为高级数据加密标准，该算法是由两位比利时密 码学者提出的。 ? ? A 、MARS B 、 Rijndael 别 密 系 ? C 、 Twofish D 、Bluefish ? ? ? *6 、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 ? ? A 、模幂运算问题 B 、大整数因子分解问题 ? ? C 、离散对数问题 D 、椭圆曲线离散对数问题 ?

final-13 密码学期末试题4

CS255:Cryptography and Computer Security Winter2013 Final Exam Instructions: ?Answer all?ve questions. ?The exam is open book and open notes.Wireless devices are not allowed. ?Students are bound by the Stanford honor code. ?You have two hours and thirty minutes. Problem1.Questions from all over. a.Let p be a large prime and g∈Z?p of order p?1.Is the function f(x)=g x in Z p whose domain is{1,...,p?1}a trapdoor one-way function?Justify your answer. b.Brie?y explain the main idea for building an authenticated key exchange protocol(secure against man in the middle attacks)from the basic Di?e-Hellman protocol. c.Let(N,e)be an RSA public key.Recall that to sign messages using RSA-FDH we use a hash function H:{0,1}n→Z N and compute the signature on a message m as σ←H(m)d in Z N.Suppose the adversary can?nd two messages m1,m2such that H(m1)=H(m2)·2e in Z N.Does this let the adversary break RSA-FDH?That is,can the adversary create an existential forgery using a chosen message attack? d.Same question as part(c)except that the adversary can?nd two messages m1,m2such that H(m1)=H(m2)+1in Z N.Brie?y justify your answer. e.When storing hashed and salted passwords in a password?le,what is the purpose of using a slow hash function? Problem2.Variants of CBC encryption. a.One problem with CBC encryption is that messages need to be padded to a multiple of the block length and sometimes a dummy block needs to be added.The following?gure describes a variant of CBC that eliminates the need to pad: The method pads the last block with zeros if needed(a dummy block is never added), but the output ciphertext contains only the shaded parts of C1,C2,C3,C4.Note that, ignoring the IV,the ciphertext is the same length as the plaintext.This technique is called ciphertext stealing.(1)Explain how decryption works.(2)Can this method be used if the plaintext contains only one block? 1

现代密码学简答题及计算题

第七章 简答题及计算题 ⑴公钥密码体制与对称密码体制相比有哪些优点和不足？ 答：对称密码 一般要求： 1、加密解密用相同的密钥 2、收发双方必须共享密钥 安全性要求： 1、密钥必须保密 2、没有密钥，解密不可行 3、知道算法和若干密文不足以确定密钥 公钥密码 一般要求：1、加密解密算法相同，但使用不同的密钥 2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥 安全性要求： 1、两个密钥之一必须保密 2、无解密密钥，解密不可行 3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥 ⑵RSA 算法中n ＝11413，e ＝7467，密文是5859，利用分解11413＝101×113，求明文。 解： 10111311413n p q =?=?= ()(1)(1)(1001)(1131)11088n p q ?=--=--= 显然，公钥e=7467，满足1＜e ＜ () n ?，且满足 gcd(,())1e n ?=，通过公式 1m o d 1108d e ?≡求出1 mod ()3d e n ?-≡=， 由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡== ⑶在RSA 算法中，对素数p 和q 的选取的规定一些限制，例如： ①p 和q 的长度相差不能太大，相差比较大； ②P-1和q-1都应有大的素因子；请说明原因。 答：对于p ，q 参数的选取是为了起到防范的作用，防止密码体制被攻击 ①p ，q 长度不能相差太大是为了避免椭圆曲线因子分解法。 ②因为需要p ，q 为强素数，所以需要大的素因子 ⑸在ElGamal 密码系统中，Alice 发送密文（7，6），请确定明文m 。 ⑺11 Z 上的椭圆曲线E ： 23 6y x x =++，且m=3。 ①请确定该椭圆曲线上所有的点； ②生成元G=（2,7），私钥(5,2)2B B n P ==，明文消息编码到(9,1)m P =上，加密是选取随机 数k=3，求加解密过程。 解：①取x=0,1，…，10 并计算 23 6(mod11)y x x =++，现以x=0为例子。 因为x=0， 23006(mod11)6mod11y =++=，没有模11的平方根，所以椭圆上不存在横坐标为0 的点；同理依次可以得到椭圆上的点有（2 , 4） （2，7） （3 , 5） （3，6） （5,9） （5 , 2） （7 , 9） （7 ，2） （8 , 8） （8 , 3） （10 , 9） (10 , 2) ②密钥生成：由题得B 的公钥为{E: 236(mod11)y x x =++，(2,7)G =，(5,2)B P =}，私钥为 ⑻与RSA 密码体制和ElGamal 密码体制相比，简述ECC 密码体制的特点。 答：①椭圆曲线密码体制的安全性不同于RSA 的大整数因子分解问题及ElGamal 素域乘法群离散对数问题。自公钥密码产生以来，人们基于各种数学难题提出了大量的密码方案，但能经受住时间的考验又广泛为人

现代密码学_清华大学_杨波着+习题答案

设 A = ' ∞ ， = = ≤ ? ≤ ∞ ' ? ≤ ? ≤ ∞ ' ? 可求得 A = ' 一、古典密码 （1,2,4） 11,23AGENCY ”加密，并使用解密变换 D 11,23(c)≡11-1(c-23) (mod 26) 验证你的加密结果。 解：明文用数字表示：M=[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] 密文 C= E 11,23(M)≡11*M+23 (mod 26) =[24 22 15 10 23 24 7 21 10 23 14 13 15 19 9 2 7 24 1 23 11 15 10 19 1] = YWPKXYHVKXONPTJCHYBXLPKTB ∵ 11*19 ≡ 1 mod 26 (说明：求模逆可采用第4章的“4.1.6欧几里得算法”，或者直接穷举1~25) ∴ 解密变换为 D(c)≡19*(c-23)≡19c+5 (mod 26) 对密文 C 进行解密： M ’=D(C)≡19C+5 (mod 26) =[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] = THE NATIONAL SECURITY AGENCY 2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh ，又已知明文 的前两个字符是“if ”。对该密文解密。 解： 设解密变换为 m=D(c)≡a*c+b (mod 26) 由题目可知 密文 ed 解密后为 if ，即有： D(e)=i ： 8≡4a+b (mod 26) D(d)=f ： 5≡3a+b (mod 26) 由上述两式，可求得 a=3，b=22。 因此，解密变换为 m=D(c)≡3c+22 (mod 26) 密文用数字表示为： c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为 m=3*c+22 (mod 26) =[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17] = ifyoucanreadthisthankateahcer 4. 设多表代换密码 C i ≡ AM i + B (mod 26) 中，A 是 2×2 矩阵，B 是 0 矩阵，又知明文“dont ” 被加密为“elni ”，求矩阵 A 。 解： dont = (3,14,13,19) => elni = (4,11,13,8) ?a b / ≤ c d ? 则有： ? 4 / ?a b / ? 3 / ?13/ ?a b / ?13/ '11∞ ' c d ?≤14∞ (mod 26) ， ' 8 ∞ ' c d ?≤19∞ (mod 26) ?10 13/ ≤ 9 23∞