现代密码学课后题整理

目录

chap 1 (3)

信息安全中常用的攻击分别指什么？分别使用什么密码技术能抵御这些攻击？ (3)

简述密码学和信息安全的关系。 (3)

简述密码发展史。 (3)

公钥密码体制与对称密码体制相比有哪些优点和不足？ (3)

简述密码体制的原则。 (4)

简述保密系统的攻击方法。 (4)

chap 2 (4)

多表代换密码体制的分析方法 (4)

Kasiski测试法 (4)

重合指数法 (5)

chap 3 (5)

欧拉定理 (5)

费马定理 (5)

Blum整数 (5)

chap 4 (5)

分组密码的设计应满足的要求是什么？ (5)

简述分组密码设计的准则。 (6)

简述DES算法中S盒的特点。 (6)

DES算法具有互补性，而这个特性会使DES在选择明文攻击下所需的工作量减半。简要说明原因。 (6)

为什么二重DES并不像人们想象的那样可提高密钥长度到112bit，而相当57bit？请简要说明原因。 (6)

简述利用差分分析攻击DES算法的基本过程。 (7)

简述线性攻击的基本原理。 (7)

简述AES算法的正变换矩阵比逆变换矩阵简单的原因。 (7)

简述AES的子密钥生成过程。 (7)

简述DES与AES的相同之处和不同之处。 (7)

简述设计分组密码的工作模式应遵循的基本原则。 (8)

chap 5 (8)

简述序列密码算法和分组密码算法的不同 (8)

密钥序列生成器是序列密码算法的核心，请说出至少5点关于密钥序列生成器的基本要求 (8)

chap 6 (9)

MD5在MD4基础上做了哪些改进，其改进目的是什么？ (9)

简述利用生日攻击方法攻击Hash函数的过程 (9)

chap 7 (9)

与RSA密码体制和ElGamal体制相比，简述ECC密码体制的特点。 (9)

Chapter 8 (9)

1简述数字签名的特点。 (9)

2为什么对称密码体制不能实现消息的不可否认性？ (10)

4 计算不考 (10)

5 ElGamal、Schnorr、DSA这3种签名方案的联系与区别。 (10)

6、群签名的匿名性和盲签名的匿名性的差异和实际意义。 (11)

Chapter 9 (12)

简述密码协议的安全特性 (12)

为什么说分割和选择协议是一个公平的协议？ (12)

简述零知识证明的基本理论并举例。 (12)

利用所学的密码知识设计一个比特承诺方案。 (12)

简述安全多方计算的基本理论并举例 (13)

简述理想的电子现金方案应满足的标准 (13)

简述一次公正的投票选举应满足的安全特性 (13)

简述一个公理想的电子拍卖系统需要满足的安全特性 (14)

简述电子货币、电子投票、电子拍卖这3种协议中的匿名性分别指什么？ (14)

Chap 10 (14)

密钥分发与密钥协商的相同和差异 (14)

简述密钥管理要遵循的基本原则 (15)

简述公钥证书能实现用户公钥的真实性 (15)

简述中间人攻击的过程 (15)

网络安全协议： (16)

CHAP 1

信息安全中常用的攻击分别指什么？分别使用什么密码技术能抵御这些攻击？

主要形式包括：中断、截取、篡改、伪造和重放。攻击类型主要包括两类：主动攻击和被动攻击。其中，中断、伪造、篡改和重放属于主动攻击，截取属于被动攻击。对付被动攻击的重点是防止而不是检测，可以采用数据加密技术进行数据保护。对于主动攻击，可采取适当措施加以检测，并从攻击引起的破坏或时延中予以回复。

简述密码学和信息安全的关系。

密码学是保障信息安全的核心技术，信息安全是密码学研究与发展的目的。

信息安全的理论基础是密码学，信息安全的问题根本解决往往依靠密码学理论。

简述密码发展史。

密码学发展大致分为古典密码时期，古典密码时期和现代密码时期。1949年Shannon发表《保密系统的通信理论》，为密码系统建立了理论基础，从此密码学成为一门科学，这也是密码学发展史上的第一次飞跃。1976年后，美国DES的公布使密码学得以在商业等民用领域广泛应用。1976年，Diffie和Hellman发表了《密码学发展新方向》，提出了一种新的密码设计思想，从而开创了公钥密码学的新纪元，这是密码学发展史上的第二次飞跃。1978年有Rivest、Shamir和Adkeman首先提出第一个实用的公钥密码体制RSA是公钥密码的研究进入了快速发展阶段。

公钥密码体制与对称密码体制相比有哪些优点和不足？

公钥密码体制的优点是a密钥的分发相对容易b密钥管理简单c可以优先地实现数字签名，解决了信息的不可否认性的问题。

缺点：a解密速度较慢b同等安全强度下，公钥密码体制要求的密钥位数要多一些c密文长度往往大于明文长度

简述密码体制的原则。

Kerckhoffs原则：加密和解密算法的安全性取决于密钥的安全性，而加密/解密的过程和细节是公开的。

简述保密系统的攻击方法。

根据密码分析这可获得的密码分析的信息量把密码体制的攻击划分唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、选择文本攻击。唯密文攻击，密码分析这除了拥有截获的秘闻外，没有其他可以利用的信息。已知明文攻击，密码分析这不仅在掌握了相当数量的密文，还有一些已知的明-密文对可以利用。选择明文攻击，密码分析这不仅能够获得一定数量的明-密文对，还可以选择任何铭文并在使用同一未知密钥的情况下能得到相应密文。选择密文攻击，密码分析者能选择不同的被加密的密文，并还可得到对应的明文，密码分析者的任务是推出密钥及其他密文对应的明文。选择文本攻击，是选择明文攻击和选择密文攻击的组合，即密码分析这在掌握密码算法的前提下，不仅能够选择明文并得到对应的秘闻，而且还能选择密文得到的对应的明文。

CHAP 2

多表代换密码体制的分析方法

a确定密钥的长度，常用的方法有Kasiski测试法和重合指数法；b确定密钥的长度，常用的方法有拟重合指数测试法；c根据第二部确定的密钥会付出明文，如果条件允许可以验证结论的正确性。

K ASISKI测试法

若用给定的密钥字长度k的密钥周期地对明文字母加密，则当明文中外有两个相同字母组在明文序列中间隔的字母数为k的倍数时，这两个明文字母组对应的密文字母组必然相同。但反过来，若密文中出现连个相同的字

母组，他们所对应的明文字母组未必相同，但相同的可能性很大。如果将密文中相同的字母组找出来，并对其间隔的字母数进行综合研究，找出他们间隔字母数的最大公因子，就有可能提取出有关密钥字长度k 的信息。 重合指数法

重合指数法利用随机文本和英文文本的统计概率差别来分析密钥长度。在英文文本中，找到两个等同字母的发生的概率约为0.065。设某种语言有n 个字母组成，每个字母i 发生的概率为p i ，1≦i ≦n ，则重合指数就是指两个随机字母相同的概率，记为： 21n

i i IC p ==∑。在单表代换情况下，明

文与密文的IC 值相同，用这个信息可以判断文本是否用单表代换加密的；如果密文的重合指数较低，则加密体制可能是一个多表代换密码。

CHAP 3 欧拉定理

对于任意整数a ，n ，若gcd （a ，n ）=1，即a 与n 互素，则有()1mod n a n ?≡ 费马定理

如果p 是一个素数，且a 是不能被p 整除的正整数，那么11mod p a n -≡ B LUM 整数

如果p 和q 是两个素数，且都是模4余3的，那么n=p*q 成为Blum 整数。 CHAP 4 分组密码的设计应满足的要求是什么？

a 分组要足够长，以防止明文穷举攻击；

b 密钥长度要足够长否则难以抵御唯密文攻击，但密钥又不能过长，这不利于密钥的管理和影响加解密的速度；

c 由密钥确定的置换算法要足够复杂，足以抗击各种已知的攻击；

d 加密和解密运算简单，易于软件和硬件的快速实现；

e 一般无数据扩展或压缩

f 差错传播尽可能的小

简述分组密码设计的准则。

a分组长度能够抵御选择明文攻击；b密钥长度能够抵御唯密文攻击；c轮函数F的设计准则满足安全性、速度、灵活性，具有非线性、可逆性、雪崩效应；d子密钥的生成方法，子密钥的统计独立性和密钥更换的有效性。实现简单、速度满足要求，种子密钥的所有比特对每个子密钥比特的影响大致相同，没有弱密钥或若密钥容易避开，位独立、雪崩效应；e迭代的轮数，决定迭代轮数的准则：是密码分析的难度大于简单穷举攻击的难度。

简述DES算法中S盒的特点。

S盒：具有良好的非线性；每一行包括所有的16种4位二进制；两个输入相差1bit时，输出相差2bit；如果两个输入刚好在中间两个比特上不同，则输出至少有两个比特不同；如果两个输入前两位不同而最后两位相同，则输出一定不同；相差6bit的输入共有32对，在这32对中有不超过8对的输出相同。

DES算法具有互补性，而这个特性会使DES在选择明文攻击下所需的工作量减半。简要说明原因。

对明文m逐位取补，记为m’，密钥k逐位取补，记为k’，若c=E k(m)，则有c’=E k’(m’)。这种特性被称为算法上的互补性。在选择明文攻击下，可得

c1=E k(m)(1), c2=E k(m’)，根据互补性由(2)得，c2’=E k(m)(3),根据(1)式，穷举搜索密钥k时，若输出密文是c1，则加密密钥是所应用的密钥，若输出密文是c2’，根据(3)可知加密密钥是所应用的密钥的不；这样，利用一个密钥的加密尝试，能够检测两个密钥是否为真正的加密密钥，因此，DES的互补性会使DES在选择明文攻击下所需的工作量减半。

为什么二重DES并不像人们想象的那样可提高密钥长度到112BIT，而相当57BIT？请简要说明原因。

二重DES指的是取独立的两个密钥k1和k2，加密：C=DES k2(DES k1(m))解密：m=DES-1k1(DES-1k2(C))，则DES k1(m)=DES-1k2(C)，可对m采取一切可能的k1加密并存储，在对C取一切可能的k2解密，并与存储的DES k1(m)比较，若有相等的，则k1和k2便可获得。由于中途相遇攻击，二重DES并不像人们想象那样可提高密钥长度到112bit，而相当于57bit。

简述利用差分分析攻击DES算法的基本过程。

差分分析是一种攻击迭代密码体制的选择明文攻击方法，与一般统计分析法的不同是，它不是直接分析密文或密钥和明文的统计相关性，二是分析一对给定明文的异或（称为差分）与对应密文对的异或之间的统计相关性。差分分析的基本思想是在要攻击的迭代密码系统中找出某些高概率的明文差分和密文差分对来来推算密钥。利用此法攻击DES，需要用247个选择明文和247次加密运算，比穷举搜索的工作量大大减少。

简述线性攻击的基本原理。

这种方法试图通过大量的“明-密文对”找出分组密码算法中与密钥有关的线性方程，然后试着得到大量的这类关系从而确定密钥。其基本思想是以最佳的线性函数逼近DES的非线性变换S和，这是一种一直明文攻击方法，可以在有248个一直明文的情况下破译DES。虽然获得已知明文比选择明文更容易，但线性分析作为一种攻击手段在实际上仍然不可行。

简述AES算法的正变换矩阵比逆变换矩阵简单的原因。

列混淆变换的矩阵系数是基于在码字间有最大距离的线性码。列混淆变换的系数，是基于算法执行效率考虑的，而逆向列混淆变换中的系数并不是出于效率的考虑，加密被视为比解密更重要。

简述AES的子密钥生成过程。

AES首先将出师密钥输入到一个4*4矩阵中。这个4*4矩阵的每一列的4个字节组成一个字，矩阵4列的4个字依次命名为w[0]、w[1]、w[2]、w[3]，他们构成了一个以字为单位的数组w。接着，对w数组扩充40个新列，构成总共44列的扩展密钥数列。协力恶意如下的递归方式产生：

(1)如果i不是4的倍数，那么第i列由如下等式确定：

w[i]=w[i-4]+w[i-1]

(2)如果i不是4的倍数，那么第i列由如下等式确定：

w[i]=w[i-4]+T（w[i-1]）

T由字循环、字节代换和轮常量异或三部分组成。

Rcon[j]=(RC[j],0,0,0)

RC[j]=0x01 RC[j]=2*RC[j-1]

简述DES与AES的相同之处和不同之处。

相似：二者的轮函数都是由3层构成，非线性层、线型混合层、子密钥异或，只是顺序不同；AES的子密钥异或对应于DES中S盒之前的子密钥异或；

AES的列混合运算的目的是让不同的字节相互影响，而DES中F函数的输出与左边一般数据相加也有类似的效果；AES的非线性运算时字节代换，对应于DES中唯一的非线性运算S盒；行位移运算保证了每一行的字节不仅仅影响其他行对应的字节，而且影响其它行所有的字节，这与DES中置换P相似。

不同：AES的密钥长度（128,192,256），而DES的密钥长度固定为56位；

DES是面向比特的运算，AES是面向字节的运算；AES的加密运算和解密运算不一致，因而加密器不能同时用作解密器，DES则无此限制。

简述设计分组密码的工作模式应遵循的基本原则。

工作模式的运算应当简单；工作模式应但不会损害算法的安全性；工作模式应但不会明显地降低基本密码的效率；工作模式应易于实现。

CHAP 5

有些书上有，就没有整理。

简述序列密码算法和分组密码算法的不同

分组密码是把明文分成相对比较大的块，对于每一块使用相同的加密函数进行处理，因此分组密码食物记忆的。相反，序列密码处理的明文长度可以小到1bit，而且序列密码是有记忆的，另外，分组密码算法的实际关键在于加解密算法，使其尽可能复杂，而序列密码算法的实际关键在于密钥序列产生器，使之尽可能的不可预测。

密钥序列生成器是序列密码算法的核心，请说出至少5点关于密钥序列生成器的基本要求

种子密钥K的长度足够大，一般应在128位以上；密钥序列产生器KG

生成的密钥序列{k i}具有极大周期；密钥序列{k i}具有均匀的n-元分布，

挤在一个周期环上，某特定形式的n长比特串与其求反比特串，两者出现的频数大抵相当；利用统计方法由密钥序列{k i}提取关于种子密钥K的信息在计算上不可行；雪崩效应；密钥序列{k i}是不可预测的，秘闻及相应的铭文的部分信息，不能确定整个密钥序列{k i}

CHAP 6

MD5在MD4基础上做了哪些改进，其改进目的是什么？

MD4只有3轮，MD5增加到了4轮；MD5比MD4增加了一种逻辑运算；

每一轮都是用了一个不同的加法常数T[i]；步函数做了改进，以加快“雪崩效应”；改变了第2轮盒第3轮中访问消息子分组的顺序，见笑了形式的相似度，加大了不相似程度；金丝优化了每轮的循环座椅位移量，以实现更快的“雪崩效应”。

简述利用生日攻击方法攻击H ASH函数的过程

发送者A准备通过在消息x后面附加A的签名signska（hx）代替直接对消息x 进行签名，其中H（x）是m位；敌手对消息x差生2^m/2个变形的消息，再拟定一个准备替换消息x的假消息x’，产生x’的2^m/2个变形消息，计算所有这些消息的散列值；比较这两个散列函数值集合，以便发现具有相同散列值（匹配）的消息。根据生日北仑，“两个相交集合”问题成功的概率大于1/2.如果没发现，则在产生其他一批有效消息和假消息，直到出现一个匹配为止；敌手将x提交给A请求签名，然后用找到的匹配假消息x’代替消息x，后面仍然附加签名signska （hx）送给接收方。

CHAP 7

与RSA密码体制和E L G AMAL体制相比，简述ECC密码体制的特点。

椭圆曲线密码体质的安全性不育RSA和ElGamal，后两者数学背景狭窄。椭圆曲线为公约密码体制提供一类新型机制；椭圆曲线资源丰富，在同一个有限域上存在着大量不同的椭圆曲线；在同等安全水平上，椭圆曲线密码体质的密钥长度与R、E相比小得多，计算量小，处理速度快，存储空间占用小，传输带宽要求低，在移动通信、无线设备上的应用前景好；安全性性高。

C HAPTER 8

1简述数字签名的特点。

（1）可信性：签名使文件的接收者相信签名者是慎重的在文件上签名的；（2）不可重用性：签名不可重用，既统一消息在不同时刻的签名是不同的；（3）不可改变性：在文件签名后，文件不能改变

（4）不可伪造性：签名能够证明是签名者而不是其他人在文件上签名，任何人都不能伪造签名；

（5）不可否认性：在签名者否认自己的签名时，签名接收者可以请求第三方进行仲裁

2为什么对称密码体制不能实现消息的不可否认性？

因为通信双方拥有同样的密钥，所以接收方可以否认接收到的消息，发送方也可以否认发送过某消息，既对称密码体制很难解决签别认证和不可否认性的问题。

3 在数字签名算法DSA中，如果随机数K 被泄露，将会发生什么问题？

答：DSA中，参数k泄露后果：如果在DSA签名中使用的k 值被泄露，因为s ≡ k-1(H(m)+xr) mod q，则除x 外其余参数均为已知，上式由二元一次不定同余方程变为x 的一元一次同余方程，私钥x 即可求出，所以攻击者可以由此伪造任意消息的签名。

随机数k重复使用，会发生什么问题？（不知道）

4计算不考

5E L G AMAL、S CHNORR、DSA这3种签名方案的联系与区别。

它们都是特殊的签名技术。

ElGamal签名是多重数字签名，多重签名就是多个用户对同一个消息进行数字签名和认证。

Schnorr签名是群签名，在一个群签名方案中，一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。与其他数字签名一样，群签名是可以公开验证的，而且可以只用单个群公钥来验证。

DSA是盲签名, 盲签名允许消息者先将消息盲化，而后让签名对盲化的消息进行签名，最后消息拥有者对签字除去盲因子，得到签名者关于原消息的签名。

6、群签名的匿名性和盲签名的匿名性的差异和实际意义。

群签名的匿名性是指签名的接收者能够验证签名是某一群的有效签名，但不能确定产生签名者是群中的哪个成员。

盲签名的匿名性是指签名者对这个消息签了名，如果把消息签名给签名者看，签名者也确信这个签名是有效的，这个消息签名具有数字签名的所有性质，但签名者无法知道所签消息的具体内容。

盲签名的匿名性主要应用于电子商务中，诸如电子现金的使用和电子投票等有匿名性要求的领域。

在公共资源的管理，重要军事情报的签发，重要领导人的选举，电子商务重要新闻的发布，金融合同的签署等事务中，群签名都可以发挥重要作用。比如群签名在电子现金系统中可以有下面的应用：可以利用群盲签名来构造有多个银行参与与发行电子货币的、匿名的、不可跟踪的电子现金系统。在这样的方案中有许多银行参与这个电子现金系统，每一个银行都可以安全的发行电子货币。这些银行形成一个群体受中央银行的控制，中央银行担当了群管理员的角色。

7 多重签名算法的意义(对比多人利用普通数字签名分别签名后合成)

多重签名就是多个用户对同一个消息进行数字签名和认证。它并不是单个签名的简单累加，不论参与多得签名的人数多少，多重数字签名长度均与单个签名长度一致，对多重签名进行难证只需要验证这个最终形成的多重数字签名即可。

C HAPTER 9

简述密码协议的安全特性

机密性：保护协议信息的保密性。

验证性：中间的验证表明每个参与者验证信息的有效性，最终的验证表明任何人都能验证信息的正确性和最终结果。

认证性：接受信息者能够确信所接受的信息确实是发送者发送的。

完整性：保证协议中信息是没有被替换或被修改。

坚固性：“合法”的信息应该被接受，而“不法”的信息应该被拒绝。

公平性：协议应被设计成在协议执行的任何阶段所有参与者都处于同一“位置”。

匿名性：在某种情况下，参与者需要对交互的某些信息或身份保持匿名性。

零知识

为什么说分割和选择协议是一个公平的协议？

A为了自己的利益在第一步中要公平分割，否则第二步中B先于他的的选择将对其不利。简述零知识证明的基本理论并举例。

零知识证明是指P试图使V相信某个论断是正确的，但却不向V提供任何有用的信息，或者说在P论证的过程中V得不到任何有用的信息。

课件上有个身份确定的协议，有点复杂。

利用所学的密码知识设计一个比特承诺方案。

基于单向函数：前提：承诺者A和验证者B共同选定一个单向函数H，如Hash函数

1.承诺者A生成两个随机数r1和r2，计算单向函数值h=H(r1,r2,M)，并将

结果h和其中一个随机数，如r1发送给验证者B 。

2.当需要承诺者A公开承诺时，她把另一个随机数，如r2一起发送给验证

者B 。

验证者B计算的值h，与第(1)步收到的值做比较验证消息M的有效性。

1.简述不经意传送的基本理论并举例

简述安全多方计算的基本理论并举例

安全多方计算是一种分布式协议，在这个协议中，n个成员p1, p2,….., p n分别持有秘密的输入x1, x2, … ,x n，试图计算函数值(y1, y2, … , yn) = f(x1, x2, … ,xn)，式中f是给定的函数。其中安全的含义是指即要保证函数值的正确性，又不能暴露任何有关各自秘密输入的信息。

平均薪水问题：

百万富翁问题：

简述理想的电子现金方案应满足的标准

不可伪造性：与现实生活流通货币相同，电子现金需要有防伪功能。

防多重花费：数字化形式的电子货币是容易被拷贝，要防止同一货币的多次花费。

匿名性：包括不可跟踪性和不可联系性。不可跟踪性是指银行和商店合谋都不能跟踪用户的消费情况。不可联系性是指同一帐户提取的电子现金是不可联系的。

离线性：付款时商店不需要与银行交互。

可分性：一定数额的电子货币多次花费，其花费总量小于电子货币的面值即可。

可转移性：客户的电子货币可以转借其它人使用。

公平性（匿名可撤销性）：完全匿名会导致网络犯罪的发生，因此在特殊情况下，可以撤销匿名恢复消费者的身份或跟踪电子货币的使用情况。

简述一次公正的投票选举应满足的安全特性

准确性：任何无效的选票，系统都不予统计；对选票的更改、复制或删除，系统都能够检测到并予以处理。

完整性：接受任何合法投票人的投票，所有有效的选票都应该被正确统计。

唯一性：只有合法的投票者才能进行投票且仅能投一次。

公正性：在选举过程中任何单位不能泄露中间结果，不能对公众的投票意向产生影响，以致影响最终的投票结果。

匿名性：所有的选票都是保密的，任何人都不能将选票和投票人对应起来以确定某个投票人所投选票的具体内容。

可验证性：任何投票人都可以检查自己的投票是否被正确统计，以及其他任何关心投票结果的人都可以验证统计结果的正确性。

简述一个公理想的电子拍卖系统需要满足的安全特性

匿名性：标价不能泄露投标者的身份。

可跟踪性：能追踪最后获胜的投标者。

不可冒充性：任何投标者不能被冒充。

不可伪造性：任何人不能伪造投标者的标价。

不可否认性：获胜者不能否认自己投的获胜标价。

公平性：合法的投标者在平等的方式参与投标活动。

简述电子货币、电子投票、电子拍卖这3种协议中的匿名性分别指什么？

电子货币：包括不可跟踪性和不可联系性。不可跟踪性是指银行和商店合谋都不能跟踪用户的消费情况。不可联系性是指同一帐户提取的电子现金是不可联系的。

电子投票：所有的选票都是保密的，任何人都不能将选票和投票人对应起来以确定某个投票人所投选票的具体内容。

电子拍卖：标价不能泄露投标者的身份。

C HAP 10

密钥分发与密钥协商的相同和差异

密钥分发：密钥分配就是一种机制，通过这种机制，通信双方中的一方或密钥分配中心选取一个秘密密钥，然后将其传送给通信双方中的另一方。密钥分配技术是在不让其他人（除密钥分配中心）看到密钥的情况下将一个密钥传递给希望交换数据的双方的方法。

密钥协商是保密通信双方（或更多方）通过公开信道的通信来共同形成秘密密钥的过程。一个密钥协商方案中，密钥的值是某个函数值，其输入量由两个成员（或更多方）提供。密钥协商的结果是：参与协商的双方（或更多方）都将得到相同的密钥，同时，所得到的密钥对于其他任何方都是不可知的。

简述密钥管理要遵循的基本原则

明确密钥管理的策略和机制：策略是密钥管理系统的高级指导，而机制是实现和执行策略的技术机构和方法。

全面安全原则：指必须在密钥的产生、存储、分发、装入、使用、备份、更换和销毁等全过程中对密钥采取妥善的安全管理。

最小权利原则：指只分配给用户进行某一事务处理所需的最小的密钥集合。

责任分离原则：指一个密钥应当专职一种功能，不要让一个密钥兼任几种功能。

密钥分级原则：指对于一个大的系统，所需要的密钥的种类和数量都很多，根据密钥的职责和重要性，把密钥划分为几个级别。

密钥更换原则：指密钥必须按时更换。否则，即使采用很强的密码算法，只要攻击者截获足够多的密文，密钥被破译的可能性就非常大。

密钥应有足够的长度：

密钥体制不同，密钥管理也不相同：由于传统密码体制与公开密钥密码体制是性质不同的

两种密码，因此它们在密钥管理方面有很大的不同。

简述公钥证书能实现用户公钥的真实性

公钥证书是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心CA对该证书的签名。通过签名保障了证书的合法性和有效性。证书包含的持有者公钥和相关信息的真实性和完整性也是通过CA的签名来保障的。这使得证书发布依赖于对证书本身的信任，也就是说证书提供了基本的信任机制。证书（和相关的私钥）可以提供诸如身份认证、完整性、机密性和不可否认性等安全服务。证书中的公钥可

用于加密数据或验证对应私钥的签名。

简述中间人攻击的过程

Diffie- Hellman 密钥交换协议不包含通信双方的身份认证过程，所以，处于通信双方A 和B 通信中间的攻击者能够截在并替换他们之间的密钥协商交互的消息，从而监听到他们的道信内容，这种攻击被称为中间人攻击。

1.利用密钥托管技术实现通信内容监听的过程

密钥托管也称为托管加密，其目的是保证对个人没有绝对的隐私和绝对不可跟踪的匿名性，即在强加密中结合对突发事件的解密能力。其实现手段是把已加密的数据和数据恢复密钥联系起来，数据恢复密钥不必是直接解密的密钥，但由它可得解密密钥。

网络安全协议：

1.SET中的数字信封概念

数字信封包含被加密的内容和被加密的用于加密该内容的密钥。当接收方收到数字信封时，先用私钥或预共享密钥解密，得到“加密密钥”，再用该密钥解密密文，获得原文。数字信封技术使用两层加密体系。

2. 双重数字签名的概念

双重数字签名就是在有的场合，发送者需要寄出两个相关信息给接收者，对这两组相关信息，接收者只能解读其中一组，另一组只能转送给第三方接收者，不能打开看其内容。这时发送者就需分别加密两组密文，做两组数字签名，故称双重数字签名。

应用：持卡人不希望商家知道自己的银行支付帐号等有关信息；同时也不希望银行方面知道具体的购物内容，只需按金额贷记或借记就行了。

(完整版)北邮版《现代密码学》习题答案.doc

《现代密码学习题》答案 第一章 1、1949 年，（ A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理 论基础，从此密码学成了一门科学。 A、Shannon B 、Diffie C、Hellman D 、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成，而其安全性是由（ D）决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要 的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（ B ）。 A 无条件安全 B计算安全 C可证明安全 D实际安全 4、根据密码分析者所掌握的分析资料的不通，密码分析一般可分为 4 类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（ D ）。 A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击 5、1976 年，和在密码学的新方向一文中提出了公开密钥密码的思想， 从而开创了现代密码学的新领域。 6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通

信理论和公钥密码思想。 7、密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 对9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为 称和非对称。 10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。 第二章 1、字母频率分析法对（ B ）算法最有效。 A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码 2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。 A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码 3、重合指数法对（ C）算法的破解最有效。 A 置换密码 B单表代换密码C多表代换密码 D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是 （C ）。

密码学答案2

《密码学原理与实践(第三版)》课后习题参考答案 (由华中科技大学信安09级提供) 第二章 2.1（何锐） 解：依题意有：x ∈{2,…,12}，y ∈{D ，N} 计算Pr[x ，y]： Pr[2，D]=1/36 Pr[3，D]=0 Pr[4，D]=1/36 Pr[5，D]=0 Pr[6，D]=1/36 Pr[7，D]=0 Pr[8，D]=1/36 Pr[9，D]=0 Pr[10，D]=1/36 Pr[11，D]=0 Pr[12，D]=1/36 Pr[2，N]=0 Pr[3，N]=1/18 Pr[4，N]=1/18 Pr[5，N]=1/9 Pr[6，N]=1/9 Pr[7，N]=1/6 Pr[8，N]=1/9 Pr[9，N]=1/9 Pr[10，N]=1/18 Pr[11，N]=1/18 Pr[12，N]=0 计算Pr[x | y]： 有Pr[D]=1/6 Pr[N]=5/6 Pr[2 | D]=1/6 Pr[3 | D]=0 Pr[4 | D]=1/6 Pr[5 | D]=0 Pr[6 | D]=1/6 Pr[7 | D]=0 Pr[8 | D]= 1/6 Pr[9 | D]=0 Pr[10 | D]= 1/6 Pr[11 | D]=0 Pr[12 | D]=1/6 Pr[2 | N]=0 Pr[3 | N]=1/15 Pr[4 | N]=1/15 Pr[5 | N]=2/15 Pr[6 | N]=2/15 Pr[7 | N]=1/5 Pr[8 | N]=2/15 Pr[9 | N]=2/15 Pr[10 | N]=1/15 Pr[11 | N]=1/15 Pr[12 | N]=0 计算Pr[y | x]： Pr[D | 2]=1 Pr[D | 3]=0 Pr[D | 4]=1/3 Pr[D | 5]=0 Pr[D | 6]=1/5 Pr[D | 7]=0 Pr[D | 8]=1/5 Pr[D | 9]=0 Pr[D | 10]=1/3 Pr[D | 11]=0 Pr[D | 12]=1 Pr[N | 2]=0 Pr[N | 3]=1 Pr[N | 4]=2/3 Pr[N | 5]=1 Pr[N | 6]=4/5 Pr[N | 7]=1 Pr[N | 8]=4/5 Pr[N | 9]=1 Pr[N | 10]=2/3 Pr[N | 11]=1 Pr[N | 12]=0 有上面的计算可得： Pr[D | x]Pr[x] = Pr[D]Pr[x | D] Pr[N | x]Pr[x] = Pr[N]Pr[x | N] 显然符合Bayes 定理。 2.2（王新宇） 证明： 由P=C=K=z n ，对于1≤i ≤n,加密规则e i (j)=L(i,j)（1≤j ≤n)， 且每行的加密规则不同。 首先，计算C 的概率分布。假设i ∈ z n ，则 )] (Pr[i ]Pr[]Pr[d K j Z k K y y n k ∑∈ === = )](Pr[i n 1 d K j Z n k ∑∈==

现代密码学期终考试试卷和答案

一．选择题 1、关于密码学的讨论中，下列（D ）观点是不正确的。 A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 合技术 B、密码学的两大分支是密码编码学和密码分析学 C、密码并不是提供安全的单一的手段，而是一组技术 D、密码学中存在一次一密的密码体制，它是绝对安全的 2、在以下古典密码体制中，属于置换密码的是（B）。 A、移位密码 B、倒序密码 C、仿射密码 D、PlayFair密码 3、一个完整的密码体制，不包括以下（?C?? ）要素。 A、明文空间 B、密文空间 C、数字签名 D、密钥空间 4、关于DES算法，除了（C ）以外，下列描述DES算法子密钥产生过程是正确的。 A、首先将DES 算法所接受的输入密钥K（64 位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥） B、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次 循环左移的输入 C、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循 环左移的输入 D、然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki 5、2000年10月2日，NIST正式宣布将（B ）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。 A、MARS B、Rijndael C、Twofish D、Bluefish *6、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 A、模幂运算问题 B、大整数因子分解问题 C、离散对数问题 D、椭圆曲线离散对数问题 7、密码学中的杂凑函数（Hash函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（C ）是带密钥的杂凑函数。 A、MD4 B、SHA-1

现代密码学 学习心得

混合离散对数及安全认证 摘要：近二十年来，电子认证成为一个重要的研究领域。其第一个应用就是对数字文档进行数字签名，其后Chaum希望利用银行认证和用户的匿名性这一性质产生电子货币，于是他提出盲签名的概念。 对于所有的这些问题以及其他的在线认证，零知识证明理论成为一个非常强有力的工具。虽然其具有很高的安全性，却导致高负荷运算。最近发现信息不可分辨性是一个可以兼顾安全和效率的性质。 本文研究混合系数的离散对数问题，也即信息不可识别性。我们提供一种新的认证，这种认证比因式分解有更好的安全性，而且从证明者角度看来有更高的效率。我们也降低了对Schnorr方案变形的实际安全参数的Girault的证明的花销。最后，基于信息不可识别性，我们得到一个安全性与因式分解相同的盲签名。 1．概述 在密码学中，可证明为安全的方案是一直以来都在追求的一个重要目标。然而，效率一直就是一个难以实现的属性。即使在现在对于认证已经进行了广泛的研究，还是很少有方案能兼顾效率和安全性。其原因就是零知识协议的广泛应用。 身份识别：关于识别方案的第一篇理论性的论文就是关于零知识的，零知识理论使得不用泄漏关于消息的任何信息，就可以证明自己知道这个消息。然而这样一种能够抵抗主动攻击的属性，通常需要许多次迭代来得到较高的安全性，从而使得协议或者在计算方面，或者在通信量方面或者在两个方面效率都十分低下。最近，poupard和stern提出了一个比较高效的方案，其安全性等价于离散对数问题。然而，其约减的代价太高，使得其不适用于现实中的问题。 几年以前，fiege和shamir就定义了比零知识更弱的属性，即“信息隐藏”和“信息不可分辨”属性，它们对于安全的识别协议来说已经够用了。说它们比零知识更弱是指它们可能会泄漏秘密消息的某些信息，但是还不足以找到消息。具体一点来说，对于“信息隐藏”属性，如果一个攻击者能够通过一个一次主动攻击发现秘密消息，她不是通过与证明者的交互来发现它的。而对于“信息不可分辨”属性，则意味着在攻击者方面看来，证据所用的私钥是不受约束的。也就是说有许多的私钥对应于一个公钥，证据仅仅传递了有这样一个私钥被使用了这样一个信息，但是用的是哪个私钥，并没有在证据传递的信息中出现。下面，我们集中考虑后一种属性，它能够提供一种三次传递识别方案并且对抗主动攻击。Okamoto 描述了一些schnorr和guillou-quisquater识别方案的变种，是基于RSA假设和离散对数子群中的素数阶的。 随机oracle模型：最近几年，随机oracle模型极大的推动了研究的发展，它能够用来证明高效方案的安全性，为设计者提供了一个有价值的工具。这个模型中理想化了一些具体的密码学模型，例如哈希函数被假设为真正的随机函数，有助于给某些加密方案和数字签名等提供安全性的证据。尽管在最近的报告中对于随机oracle模型采取了谨慎的态度，但是它仍然被普遍认为非常的有效被广泛的应用着。例如，在这个模型中被证明安全的OAPE加密

现代密码学课后答案第二版讲解

现代密码学教程第二版 谷利泽郑世慧杨义先 欢迎私信指正，共同奉献 第一章 1.判断题 2.选择题 3.填空题 1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。 2.经典的信息安全三要素--机密性，完整性和可用性，是信息安全的核心原则。 3.根据对信息流造成的影响，可以把攻击分为5类中断、截取、篡改、伪造和重放，进一 步可概括为两类主动攻击和被动攻击。

4.1949年，香农发表《保密系统的通信理论》，为密码系统建立了理论基础，从此密码学 成为了一门学科。 5.密码学的发展大致经历了两个阶段：传统密码学和现代密码学。 6.1976年，W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的 思想，从而开创了现代密码学的新领域。 7.密码学的发展过程中，两个质的飞跃分别指 1949年香农发表的《保密系统的通信理 论》和 1978年，Rivest，Shamir和Adleman提出RSA公钥密码体制。 8.密码法规是社会信息化密码管理的依据。 第二章 1.判断题 答案×√×√√√√××

2.选择题 答案：DCAAC ADA

3.填空题 1.密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分 析学。 2.8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成的。 3.9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为对称和 非对称。 4.10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列 密码。

第三章5.判断 6.选择题

现代密码学教程课后部分答案考试比用

第一章 1、1949年，（A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理论基础，从此密码学成了一门科学。 A、Shannon B、Diffie C、Hellman D、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由（D）决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（B ）。 A无条件安全B计算安全C可证明安全D实际安全 4、根据密码分析者所掌握的分析资料的不同，密码分析一般可分为4类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（D ）。 A、唯密文攻击 B、已知明文攻击 C、选择明文攻击 D、选择密文攻击 5、1976年，W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。 6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。 7、密码学是研究信息及信息系统安全的科学，密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为对称和非对称。 10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。 第二章 1、字母频率分析法对（B ）算法最有效。 A、置换密码 B、单表代换密码 C、多表代换密码 D、序列密码 2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。 A仿射密码B维吉利亚密码C轮转密码D希尔密码 3、重合指数法对（C）算法的破解最有效。 A置换密码B单表代换密码C多表代换密码D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（C ）。 A置换密码B单表代换密码C多表代换密码D序列密码 5、在1949年香农发表《保密系统的通信理论》之前，密码学算法主要通过字符间的简单置换和代换实现，一般认为这些密码体制属于传统密码学范畴。 6、传统密码体制主要有两种，分别是指置换密码和代换密码。 7、置换密码又叫换位密码，最常见的置换密码有列置换和周期转置换密码。 8、代换是传统密码体制中最基本的处理技巧，按照一个明文字母是否总是被一个固定的字母代替进行划分，代换密码主要分为两类：单表代换和多表代换密码。 9、一个有6个转轮密码机是一个周期长度为26 的6次方的多表代替密码机械装置。 第四章 1、在（ C ）年，美国国家标准局把IBM的Tuchman-Meyer方案确定数据加密标准，即DES。 A、1949 B、1972 C、1977 D、2001 2、密码学历史上第一个广泛应用于商用数据保密的密码算法是（B ）。 A、AES B、DES C、IDEA D、RC6 3、在DES算法中，如果给定初始密钥K，经子密钥产生的各个子密钥都相同，则称该密钥K为弱密钥，DES算法弱密钥的个数为（B ）。 A、2 B、4 C、8 D、16

密码学作业参考答案

第1章绪论 1．1为什么会有信息安全问题的出现？ 答题要点： （1）网络自身的安全缺陷。主要指协议不安全和业务不安全。协议不安全的主要原因 一是 Internet 从建立开始就缺乏安全的总体构想和设计；二是协议本身可能会泄漏口令等。业务不安全的主要表现为业务内部可能隐藏着一些错误的信息；有些业务本，难以区分出错原因；有些业务设置复杂，一般非专业人士很难完善地设置。 （2）网络的开放性。网络协议是公开的协议，连接基于彼此的信任，远程访问等，使 得各种攻击无需到现场就能成功。 （3）人的因素，包括人的无意失误、黑客攻击、管理不善等。 1．2简述密码学与信息安全的关系。 答题要点： 密码技术是实现网络信息安全的核心技术，是保护数据最重要的工具之一。 密码学尽管在网络信息安全中具有举足轻重的作用，但密码学绝不是确保网络信息安全的唯一工具，它也不能解决所有的安全问题。 1．3简述密码学发展的三个阶段及其主要特点。 答题要点：密码学的发展大致经历了三个阶段： （1）古代加密方法（手工阶段）。特点：基于手工的方式实现，通常原理简单，变化量小，时效性较差等。 （2）古典密码（机械阶段）。特点：加密方法一般是文字置换，使用手工或机械变换的 方式实现。它比古代加密方法更复杂，但其变化量仍然比较小。转轮机的出现是这一阶段的重要标志，利用机械转轮可以开发出极其复杂的加密系统，缺点是密码周期有限、制造费用高等。 （3）近代密码（计算机阶段）。特点：这一阶段密码技术开始形成一门科学，利用电子 计算机可以设计出更为复杂的密码系统，密码理论蓬勃发展，出现了以 DES 为代表的对称 密码体制和 RSA 为代表的非对称密码体制，制定了许多通用的加密标准，促进和加快了密 码技术的发展。 1．4近代密码学的标志是什么？ 答：1949 年 Claude Shannon 发表论文 The communication theory of secrecy systems，1976 年 W.Diffie 和 M.Hellman 发表论文 New directions in cryptography，以及美国数据加密标准 DES 的实施，标志着近代密码学的开始。 1．5安全机制是什么？主要的安全机制有哪些？ 答题要点： 安全机制是指用来保护网络信息传输和信息处理安全的机制。 安全机制可分为两类：特定的安全机制和通用的安全机制。 特定的安全机制包含：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。 通用的安全机制包含：可信功能、安全标签、事件检测、安全审计跟踪和安全恢复。1．6什么是安全服务？主要的安全服务有哪些？ 答题要点： 安全服务就是指在信息传输和处理过程中为保证信息安全的一类服务。 主要的安全服务包括：机密性、完整性、鉴别、非否认性、访问控制、可用性。 1．7简述安全性攻击的主要形式及其含义。 答题要点：

现代密码学小论文

目录 现代密码学的认识与应用 (1) 一、密码学的发展历程 (1) 二、应用场景 (1) 2.1 Hash函数 (1) 2.2应用场景分析 (2) 2.2.1 Base64 (2) 2.2.2 加“盐” (2) 2.2.3 MD5加密 (2) 2.3参照改进 (3) 2.3.1 MD5+“盐” (3) 2.3.2 MD5+HMAC (3) 2.3.3 MD5 +HMAC+“盐” (3) 三、总结 (4)

现代密码学的认识与应用 一、密码学的发展历程 密码学的起源的确要追溯到人类刚刚出现，并且尝试去学习如何通信的时候，为了确保他们的通信的机密，最先是有意识的使用一些简单的方法来加密信息，通过一些（密码）象形文字相互传达信息。接着由于文字的出现和使用，确保通信的机密性就成为一种艺术，古代发明了不少加密信息和传达信息的方法。 事实上，密码学真正成为科学是在19世纪末和20世纪初期，由于军事、数学、通讯等相关技术的发展，特别是两次世界大战中对军事信息保密传递和破获敌方信息的需求，密码学得到了空前的发展，并广泛的用于军事情报部门的决策。 20世纪60年代计算机与通信系统的迅猛发展，促使人们开始考虑如何通过计算机和通信网络安全地完成各项事务，从而使得密码技术开始广泛应用于民间，也进一步促进了密码技术的迅猛发展。 二、应用场景 2.1 Hash函数 Hash函数(也称杂凑函数、散列函数)就是把任意长的输入消息串变化成固定长度的输出“0”、“1”串的函数，输出“0”、“1”串被称为该消息的Hash值(或杂凑值)。一个比较安全的Hash函数应该至少满足以下几个条件: ●输出串长度至少为128比特，以抵抗攻击。对每一个给定的输入，计算 Hash值很容易(Hash算法的运行效率通常都很高)。 ●对给定的Hash函数，已知Hash值，得到相应的输入消息串(求逆)是计 算上不可行的。 ●对给定的Hash函数和一个随机选择的消息，找到另一个与该消息不同的 消息使得它们Hash值相同(第二原像攻击)是计算上不可行的。 ●对给定的Hash函数,找到两个不同的输入消息串使得它们的Hash值相同 (即碰撞攻击)实际计算上是不可行的Hash函数主要用于消息认证算法 构造、口令保护、比特承诺协议、随机数生成和数字签名算法中。 Hash函数算法有很多，最著名的主要有MD系列和SHA系列，一直以来，对于这些算法的安全性分析结果没有很大突破，这给了人们足够的信心相信它们是足够安全的，并被广泛应用于网络通信协议当中。

密码学级考卷A卷 答案

试题 2015 年~ 2016 年第1 学期 课程名称：密码学专业年级： 2013级信息安全 考生学号：考生姓名： 试卷类型： A卷■ B卷□考试方式: 开卷□闭卷■……………………………………………………………………………………………………… 一. 选择题（每题2分，共20分） 1.凯撒密码是有记录以来最为古老的一种对称加密体制，其加密算法的定义为， 任意，，那么使用凯撒密码加密SECRET的结果是什么（）。 A. UGETGV B. WIGVIX C. VHFUHW D. XIVGIW 2.在一下密码系统的攻击方法中，哪一种方法的实施难度最高的（）。 A. 唯密文攻击 B. 已知明文攻击 C. 选择明文攻击 D. 选择文本攻击 3.仿射密码顺利进行加解密的关键在于保证仿射函数是一个单射函数，即对于 任意的同余方程有唯一解，那么仿射密码的密钥空间大小是（）。（表示中所有与m互素的数的个数） A. B. C. D. 4.为了保证分组密码算法的安全性，以下哪一点不是对密码算法的安全性要求

（）。 A. 分组长度足够长 B. 由密钥确定置换的算法要足够复杂 C. 差错传播尽可能地小 D. 密钥量足够大 5.以下哪一种分组密码工作模式等价于同步序列密码（）。 A. 电码本模式（ECB模式） B. 密码分组链接模式（CBC模式） C. 输出反馈模式（OFB模式） D. 密码反馈模式（CFB模式） 6.以下对自同步序列密码特性的描述，哪一点不正确（）。 A．自同步性 B．无错误传播性 C．抗主动攻击性 D．明文统计扩散性 7.如下图所示的线性移位寄存器，初始值为，请问以下哪 一个选项是正确的输出序列（）。 A． B． C． D． 8.以下关于消息认证码的描述，哪一点不正确（）。 A．在不知道密钥的情况下，难以找到两个不同的消息具有相同的输出 B．消息认证码可以用于验证消息的发送者的身份 C．消息认证码可以用于验证信息的完整性 D．消息认证码可以用于加密消息 9.以下哪些攻击行为不属于主动攻击（）。 A．偷听信道上传输的消息

现代密码学试卷(含答案)

武汉大学计算机学院 信息安全专业2004级“密码学”课程考试题 （卷面八题，共100分，在总成绩中占70分） 参考答案 （卷面八题，共100分，在总成绩中占70分） 一、单表代替密码（10分） ①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文 M＝WEWILLMEETATMORNING 为例进行加解密，说明其对合性。 ②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。 解答： 1.加法密码的明密文字母表的映射公式： A为明文字母表,即英文字母表，B为密文字母表，其映射关系为： j=i＋k mod 26 显然当k=13时，j=i＋13 mod 26，于是有i = j＋13 mod 26。此时加法密码是对合的。称此密钥k=13为对合密钥。举例：因为k=13，所以明文字母表A和密文字母表B为 a b c d e f g h i j k l m n o p q r s t u v w x y z n o p q r s t u v w x y z a b c d e f g h i j k l m 第一次加密：M＝W E W I L L M E E T A T M O R N I N G C＝J R J V Y Y Z R R G O G Z B E A V A T

第二次加密：C＝W E W I L L M E E T A T M O R N I N G?? 还原出明文，这说明当k=13时，加法密码是对合的。 称此密钥为对合密钥。 ②设n为模，若n为偶数，则k=n/2为对合密钥。若n为奇数，n/2不是整数，故不存在对合密钥。 二、回答问题（10分） 1)在公钥密码的密钥管理中，公开的加密钥Ke和保密的解密钥Kd的秘密性、真实性和完整性都需要确保吗？说明为什么？解答： ①公开的加密钥Ke：秘密性不需确保，真实性和完整性都需要确保。因为公钥是公开的，所以不需要保密。 但是如果其被篡改或出现错误，则不能正确进行加密操作。如果其被坏人置换，则基于公钥的各种安全性将受到破坏， 坏人将可冒充别人而获得非法利益。 ②保密的解密钥Kd：秘密性、真实性和完整性都需要确保。因为解密钥是保密的，如果其秘密性不能确保， 则数据的秘密性和真实性将不能确保。如果其真实性和完整性受到破坏，则数据的秘密性和真实性将不能确保。 ③举例 （A）攻击者C用自己的公钥置换PKDB中A的公钥： （B）设B要向A发送保密数据，则要用A的公钥加密，但此时已被换为C的公钥，因此实际上是用C的公钥加密。 （C）C截获密文，用自己的解密钥解密获得数据。 2)简述公钥证书的作用？ 公钥证书是一种包含持证主体标识，持证主体公钥等信息，并由可信任的签证机构（CA）签名的信息集合。 公钥证书主要用于确保公钥及其与用户绑定关系的安全。公钥证书的持证主体可以是人、设备、组织机构或其它主体。

现代密码学_清华大学_杨波着+习题答案

设 A = ' ∞ ， = = ≤ ? ≤ ∞ ' ? ≤ ? ≤ ∞ ' ? 可求得 A = ' 一、古典密码 （1,2,4） 11,23AGENCY ”加密，并使用解密变换 D 11,23(c)≡11-1(c-23) (mod 26) 验证你的加密结果。 解：明文用数字表示：M=[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] 密文 C= E 11,23(M)≡11*M+23 (mod 26) =[24 22 15 10 23 24 7 21 10 23 14 13 15 19 9 2 7 24 1 23 11 15 10 19 1] = YWPKXYHVKXONPTJCHYBXLPKTB ∵ 11*19 ≡ 1 mod 26 (说明：求模逆可采用第4章的“4.1.6欧几里得算法”，或者直接穷举1~25) ∴ 解密变换为 D(c)≡19*(c-23)≡19c+5 (mod 26) 对密文 C 进行解密： M ’=D(C)≡19C+5 (mod 26) =[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] = THE NATIONAL SECURITY AGENCY 2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh ，又已知明文 的前两个字符是“if ”。对该密文解密。 解： 设解密变换为 m=D(c)≡a*c+b (mod 26) 由题目可知 密文 ed 解密后为 if ，即有： D(e)=i ： 8≡4a+b (mod 26) D(d)=f ： 5≡3a+b (mod 26) 由上述两式，可求得 a=3，b=22。 因此，解密变换为 m=D(c)≡3c+22 (mod 26) 密文用数字表示为： c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为 m=3*c+22 (mod 26) =[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17] = ifyoucanreadthisthankateahcer 4. 设多表代换密码 C i ≡ AM i + B (mod 26) 中，A 是 2×2 矩阵，B 是 0 矩阵，又知明文“dont ” 被加密为“elni ”，求矩阵 A 。 解： dont = (3,14,13,19) => elni = (4,11,13,8) ?a b / ≤ c d ? 则有： ? 4 / ?a b / ? 3 / ?13/ ?a b / ?13/ '11∞ ' c d ?≤14∞ (mod 26) ， ' 8 ∞ ' c d ?≤19∞ (mod 26) ?10 13/ ≤ 9 23∞

《现代密码学》期终考试试卷和答案

? ? 一．选择题 ? ? 1、关于密码学的讨论中，下列（D ）观点是不正确的。 ? ? A 、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 ? ?合技术 号 ? 学 ? ? B 、密码学的两大分支是密码编码学和密码分析学 ? ? C 、密码并不是提供安全的单一的手段，而是一组技术 ? ? D 、密码学中存在一次一密的密码体制，它是绝对安全的 ? 线 2、在以下古典密码体制中，属于置换密码的是（B ）。 名 ? 姓 ? A 、移位密码 B 、倒序密码 ? ? ? C 、仿射密码 D 、PlayFair 密码 ? ? 3、一个完整的密码体制，不包括以下（C ）要素。 ? ? A 、明文空间 B 、密文空间 ? 级 ? C 、数字签名 D 、密钥空间 班 ?? 4、关于 DES 算法，除了（ C ）以外，下列描 述 DES 算法子密钥产生过程是正确的。 ? 封 ? A 、首先将 DES 算法所接受的输入密钥 K （ 64 位），去除奇偶校验位，得到 56 位密钥（即经过 PC-1 置换，得到 56 位 密钥） ? ? B 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于 i 的值，这些经过循环移位的值作为 下一次 ? ? 循环左移的输入 ? 业 ? ? C 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的 值作为下一次 专 ? 循环左移的输入 ? ? ? D 、然后将每轮循环移位后的值经 PC-2 置换，所得到的置换结果即为第 i 轮所需的子密钥 Ki ? ? 5、2000 年 10 月 2 日， NIST 正式宣布将（ B ）候选算法作为高级数据加密标准，该算法是由两位比利时密 码学者提出的。 ? ? A 、MARS B 、 Rijndael 别 密 系 ? C 、 Twofish D 、Bluefish ? ? ? *6 、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 ? ? A 、模幂运算问题 B 、大整数因子分解问题 ? ? C 、离散对数问题 D 、椭圆曲线离散对数问题 ?

应用密码学习题答案

《应用密码学》习题和思考题答案 第4章 密码学数学引论 4－1 编写一个程序找出100~200间的素数。 略 4－2 计算下列数值：7503mod81、(－7503)mod81、81mod7503、(－81)mod7503。 解：7503mod81＝51 (－7503)mod81＝30 81mod7503＝81 (－81)mod7503＝7422 4－3 证明：（1）[]))(m od (m od )(m od )(m od m b a m m b m a ?=? （2）[][])(m od ))(m od ())(m od (m od )(m m c a m b a m c b a ?+?=+? 证明： （1）设(mod )a a m r =，(mod )b b m r =，则a a r jm =+（j 为某一整数），b b r km =+（k 为某一整数）。于是有： [](mod )(mod )mod ()(mod )a b a m b m m r r m ?= ()()() ()() ()() 2()(mod )mod mod mod a b a b a b a b a b m r jm r km m r r r km r jm kjm m r r m ?=++=+++= 于是有：[]))(m od (m od )(m od )(m od m b a m m b m a ?=? （2）设(mod )a a m r =，(mod )b b m r =，(mod )c c m r =，则a a r jm =+（j 为某一整数），b b r km =+（k 为某一整数），c c r im =+（i 为某一整数）。于是有： []()()()()[]()()22()mod (mod ) (mod ) mod mod a b c a b c a b a a a c b c a b a c a b c m r jm r km r im m r jm r km r im m r r r im r km r r r jm kjm r jm ijm m r r r r m ???+=++++????????=++++??=+++++++=+ []()()()()()[]()(mod )()(mod )(mod ) mod mod mod mod a b a c a b a c a b m a c m m r jm r km m r jm r im m m r r r r m ?+?=+++++????=+ 于是有：[][])(m od ))(m od ())(m od (m od )(m m c a m b a m c b a ?+?=+?

现代密码学简答题及计算题

第七章 简答题及计算题 ⑴公钥密码体制与对称密码体制相比有哪些优点和不足？ 答：对称密码 一般要求： 1、加密解密用相同的密钥 2、收发双方必须共享密钥 安全性要求： 1、密钥必须保密 2、没有密钥，解密不可行 3、知道算法和若干密文不足以确定密钥 公钥密码 一般要求：1、加密解密算法相同，但使用不同的密钥 2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥 安全性要求： 1、两个密钥之一必须保密 2、无解密密钥，解密不可行 3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥 ⑵RSA 算法中n ＝11413，e ＝7467，密文是5859，利用分解11413＝101×113，求明文。 解： 10111311413n p q =?=?= ()(1)(1)(1001)(1131)11088n p q ?=--=--= 显然，公钥e=7467，满足1＜e ＜ () n ?，且满足 gcd(,())1e n ?=，通过公式 1m o d 1108d e ?≡求出1 mod ()3d e n ?-≡=， 由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡== ⑶在RSA 算法中，对素数p 和q 的选取的规定一些限制，例如： ①p 和q 的长度相差不能太大，相差比较大； ②P-1和q-1都应有大的素因子；请说明原因。 答：对于p ，q 参数的选取是为了起到防范的作用，防止密码体制被攻击 ①p ，q 长度不能相差太大是为了避免椭圆曲线因子分解法。 ②因为需要p ，q 为强素数，所以需要大的素因子 ⑸在ElGamal 密码系统中，Alice 发送密文（7，6），请确定明文m 。 ⑺11 Z 上的椭圆曲线E ： 23 6y x x =++，且m=3。 ①请确定该椭圆曲线上所有的点； ②生成元G=（2,7），私钥(5,2)2B B n P ==，明文消息编码到(9,1)m P =上，加密是选取随机 数k=3，求加解密过程。 解：①取x=0,1，…，10 并计算 23 6(mod11)y x x =++，现以x=0为例子。 因为x=0， 23006(mod11)6mod11y =++=，没有模11的平方根，所以椭圆上不存在横坐标为0 的点；同理依次可以得到椭圆上的点有（2 , 4） （2，7） （3 , 5） （3，6） （5,9） （5 , 2） （7 , 9） （7 ，2） （8 , 8） （8 , 3） （10 , 9） (10 , 2) ②密钥生成：由题得B 的公钥为{E: 236(mod11)y x x =++，(2,7)G =，(5,2)B P =}，私钥为 ⑻与RSA 密码体制和ElGamal 密码体制相比，简述ECC 密码体制的特点。 答：①椭圆曲线密码体制的安全性不同于RSA 的大整数因子分解问题及ElGamal 素域乘法群离散对数问题。自公钥密码产生以来，人们基于各种数学难题提出了大量的密码方案，但能经受住时间的考验又广泛为人

密码学习题集参考答案

1、请分别举例说明什么就是保密性原则？完整性原则？认证原则？不可 抵赖原则？访问控制原则？可用性原则？为了实现这六个安全原则,主要采用哪些密码技术？ 答: （1）保密性原则就是指不经过授权,不能访问或利用信息,只有发送者与接受者能访问信息内容,信息不能被截获; （2）完整性原则就是指信息不经过授权,不能被修改得特性,即信息在传输得过程中不能被偶然或蓄意得修改、删除或者插入,即不 能被篡改; （3）认证原则就是指信息需要明确得身份证明,通过认证过程保证正确得消息来源,与信息接收方建立信任关系,缺乏认证机制可 能会导致伪造; （4）不可抵赖原则就是指信息得发送者不可否认已发出得信息, （5）访问控制原则就是指定与控制用户能够访问哪些信息,能够有什么样得操作,通常包括角色管理与规则管理; （6）可用性原则就是指就是信息可被授权实体访问并按需求使用得特性,不因中断等攻击停止服务或降低服务标准。 可以通过信息加密、信息隐形、夹带信息等方式来实现信息得保密性,可以通过特定得安全协议、信息摘要、密码校验与等方法实现信息得完整性,通过口令认证、认证令牌、数字证书、消息认证码、公钥算法等方式实现信息得认证,通过数字签名得方法实现信息得完整性与不可抵赖性,通过用户角色认证、防火墙与IDS等方式实现访问控制与可用性原

则。 2、一般病毒、蠕虫、特洛伊木马三者之间最主要得差别就是什么？ 答: 病毒可以将自己得代码嵌入到其她合法得程序中,导致计算机系统或网络得破坏; 蠕虫一般不篡改程序,只就是不断得复制自己,最终导致计算机资源或网络大量得消耗从而无法使用,蠕虫不进行任何得破坏性操作,只就是耗尽系统,使其停滞; 特洛伊木马也像病毒一样具有隐蔽性,但一般不像病毒与蠕虫那样不断复制自己,其主要得目得就是为入侵者获得某些用户得保密信息。 简单得说,病毒破坏您得信息,木马窃取您得信息,而蠕虫则攻击系统与网络服务能力。 3、什么就是密码技术？替换加密法与置换加密法有什么区别？请分别 举例说明替换加密法与置换加密法。 答: 密码技术就是加密与解密技术得组合,加密就是通过把信息编码使其从可读得明文转换成不可读得密文得过程,从而获得信息得安全性,而解密则就是通过信息解码把信息从不可读得密文转变为可读明文

现代密码学习题

1.凯撒要和马克安东尼（Marc Antony ）在台伯河（Tiber river ）或者在竞技场（Coliseum arena ）安排一次秘密的会议。凯撒送去了密文EVIRE，安东尼不知道密钥，因此他尝试了所有的可能。他将在哪里和凯撒会面？（提示：这是一个需要技巧的问题） 2.下面的密文是用移位密码加密得到的： YCVEJQWVHQTDTWVWU 对其解密。 + 3.密文UCR是用仿射函数9x+2（mod 26）加密的，求明文。 4.用仿射函数5x+7（mod 26）加密howareyou.解密函数是什么？并检验之。 5.考虑模26下的仿射密码。用选择明文攻击，明文是hahaha，密文是NONONO.试确定加密函数。 6.下面的密文是用模26下的仿射密码加密的：CRWWZ 明文以ha开头，试解密消息。

7.假设对明文先用仿射密码加密，再用仿射密码加密（两个都是模26下的）。这样做比用一次仿射密码有优势吗？为什么？ 8.假设使用模27而不是模26下的仿射密码。有多少可能的密钥？如果在模29下呢？ 9.假设使用仿射密码加密一条消息。令a=0,b=1,…,z=25,同时还有？=26，；=27，“=28，！=29 。加密函数是y=ax+b(mod 30),其中a 和b 是整数。 1). 证明：对a 刚好有8种可能的选择（即在 01。证明：如果x 1=x 2+(26/d),那 么ax 1+b ≡ax 2+b(mod 26)。这说明在这种情况解密不是唯一的。 11.密文YIFZMA 是通过矩阵 的希尔密码加密得到的，求明文。 ???? ?? 32139

现代密码学在网络安全中的应用策略

题目现代密码学在网络 安全中的应用策略 学院： 姓名： 学号： 时间：

现代密码学在网络安全中的应用策略 摘要 计算机网络飞速发展的同时，安全问题不容忽视。网络安全经过了二十多年的发展，已经发展成为一个跨多门学科的综合性科学，它包括：通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。 在理论上，网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心，利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用户身份鉴别等，比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。从技术上，网络安全取决于两个方面：网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是，由于网络安全作为网络对其上的信息提供的一种增值服务，人们往往发现软件的处理速度成为网络的瓶颈，因此，将网络安全的密码算法和安全协议用硬件实现，实现线速的安全处理仍然将是网络安全发展的一个主要方向。 在安全技术不断发展的同时，全面加强安全技术的应用也是网络安全发展的一个重要内容。同时，网络安全不仅仅是防火墙，也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌，而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。 总之，网络在今后的发展过程中不再仅仅是一个工具，也不再是一个遥不可及仅供少数人使用的技术专利，它将成为一种文化、一种生活融入到社会的各个领域。 关键词：计算机；网络；安全；防范；加密

1．密码学的发展历程 密码学在公元前400多年就早已经产生了，正如《破译者》一书中所说“人类使用密码的历史几乎与使用文字的时间一样长”。密码学的起源的确要追溯到人类刚刚出现，并且尝试去学习如何通信的时候，为了确保他们的通信的机密，最先是有意识的使用一些简单的方法来加密信息，通过一些（密码）象形文字相互传达信息。接着由于文字的出现和使用，确保通信的机密性就成为一种艺术，古代发明了不少加密信息和传达信息的方法。例如我国古代的烽火就是一种传递军情的方法，再如古代的兵符就是用来传达信息的密令。就连闯荡江湖的侠士，都有秘密的黑道行话，更何况是那些不堪忍受压迫义士在秘密起义前进行地下联络的暗语，这都促进了密码学的发展。 事实上，密码学真正成为科学是在19世纪末和20世纪初期，由于军事、数学、通讯等相关技术的发展，特别是两次世界大战中对军事信息保密传递和破获敌方信息的需求，密码学得到了空前的发展，并广泛的用于军事情报部门的决策。例如在希特勒一上台时，德国就试验并使用了一种命名为“谜”的密码机，“谜”型机能产生220亿种不同的密钥组合，假如一个人日夜不停地工作，每分钟测试一种密钥的话，需要约4.2万年才能将所有的密钥可能组合试完，希特勒完全相信了这种密码机的安全性。然而，英国获知了“谜”型机的密码原理，完成了一部针对“谜”型机的绰号叫“炸弹”的密码破译机，每秒钟可处理2000个字符，它几乎可以破译截获德国的所有情报。后来又研制出一种每秒钟可处理5000个字符的“巨人”型密码破译机并投入使用，至此同盟国几乎掌握了德国纳粹的绝大多数军事秘密和机密，而德国军方却对此一无所知；太平洋战争中，美军成功破译了日本海军的密码机，读懂了日本舰队司令官山本五十六发给各指挥官的命令，在中途岛彻底击溃了日本海军，击毙了山本五十六，导致了太平洋战争的决定性转折。因此，我们可以说，密码学为战争的胜利立了大功。在当今密码学不仅用于国家军事安全上，人们已经将重点更多的集中在实际应用，在你的生活就有很多密码，例如为了防止别人查阅你文件，你可以将你的文件加密；为了防止窃取你钱物，你在银行账户上设置密码，等等。随着科技的发展和信息保密的需求，密码学的应用将融入了你的日常生活。 2．密码学的基础知识 密码学(Cryptogra phy)在希腊文用Kruptos(hidden)+graphein(to write)表达，现代准确的术语为“密码编制学”，简称“编密学”，与之相对的专门研究如何破解密码的学问称之为“密码分析学”。密码学是主要研究通信安全和保密的学科，他包括两个分支：密码编码学和密码分析学。密码编码学主要研究对信息进行变换，以保护信息在传递过程中不被敌方窃取、解读和利用的方法，而密码分析学则于密码编码学相反，它主要研究如何分析和破译密码。这两者之间既相互对立又相互促进。密码的基本思想是对机密信息进行伪装。一个密码系统完成如下伪装：加密者对需要进行伪装机密信息（明文）进行伪装进行变换（加密变换），得到另外一种看起来似乎与原有信息不相关的表示（密文），如果合法者（接收者）获得了伪装后的信息，那么他可以通过事先约定的密钥，从得到的信息中分析得到原有的机密信息（解密变换），而如果不合法的用户（密码分析者）试图从这种伪装后信息中分析得到原有的机密信息，那么，要么这种分析过程根本是不可能的，要么代价过于巨大，以至于无法进行。 在计算机出现以前，密码学的算法主要是通过字符之间代替或易位实现的，我们称这些密码体制为古典密码。其中包括：易位密码、代替密码（单表代替密码、多表代替密码等）。这些密码算法大都十分简单，现在已经很少在实际应用中使用了。由于密码学是涉及数学、通讯、计算机等相关学科的知识，就我们现有的知识水平而言，只能初步研究古典密码学的