现代密码学-第4章公钥密码体制习题与解答-20091202
(完整版)北邮版《现代密码学》习题答案.doc
《现代密码学习题》答案第一章1、1949 年,( A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。
A、Shannon B 、Diffie C、Hellman D 、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成,而其安全性是由( D)决定的。
A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。
A 无条件安全 B计算安全 C可证明安全 D实际安全4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为 4 类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。
A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击5、1976 年,和在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。
7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。
8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。
对9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为称和非对称。
10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第二章1、字母频率分析法对( B )算法最有效。
A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。
A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码3、重合指数法对( C)算法的破解最有效。
A 置换密码 B单表代换密码C多表代换密码 D序列密码4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。
《现代密码学》课程复习题
第五章1. A和B之间要建立一个共享主密钥,则最安全的的密钥传递方法是_________________2. 一个安全的系统在初始化时,系统为每个用户颁发的密钥可以直接用来通信加密吗,为什么?3. A和B之间要建立一个会话密钥K s,则关于K s说法正确的是_____________A. 可用于之后的任意多次会话的加密B. A用其与B共享的主密钥加密一个随机数作为会话密钥传递给BC. 可用来做主密钥D. 需要用物理的方法传送4. 对于一个由5个用户组成的系统来说,下面哪一种会话密钥分配方式最有效__________A. 两个用户直接物理方式传递会话密钥B. 由第三方为两个用户以物理方式传递会话密钥C. 两个用户用共享主密钥为安全信道来传递会话密钥D.两个用户借助第三方颁发的主密钥来传递会话密钥5. 一次会话一密的保密机制可以实现无条件安全( )6. 如下图所示的密钥分发过程,(1) 为什么消息②要插入消息①?(2) N1和N2作用是什么?(3) 试写出消息④的表达式。
(4) 第③至⑤步的功能是什么?密钥分配实例7. 采用分层的KDC来管理密钥,可以减少主密钥的分布特性,但会降低信任度( )8. 分层结构相比于未分层结构可以减小主密钥的分布特性,但主密钥的总量并没减少( ) 9.对于面向链接的通信,会话密钥的有效期一般为_________________________;对于面向非链接的通信,会话密钥的有效期为_____________________________;10. 对于UDP协议等无连接的协议,可以选择每次连接都采用新的密钥的方法来加强安全性。
( ) 11.试给出无中心的单钥密钥分配的过程,并回答为什么不适合在大规模网络中应用12. 对于公钥密码体制中公开钥的分配,PGP协议中支持公开发布的方式,这种方法有什么缺点?13. 下面那些方法可用于安全的分发用户的公开钥_________________A. 公开发布B. 公用目录表C. 公钥管理机构D. 公钥证书E. KDC14. 公用目录表与公钥管理机构的区别是什么?15. 公钥管理机构的方式和公钥证书的方式的区别是什么?16. 如图所示(1) 时间戳Time1有什么用处?(2) N1和N2有什么用处17. 公钥管理机构方式的主要缺点是__________________________________________________18. 设证书管理机构为CA,则用户A的公钥证书中至少包括哪三个数据项_____, ____和____19. 试问对于如下的简单密钥分配协议的中间人攻击如何实现简单使用公钥加密算法建立会话密钥20. 具有保密性和认证性的密钥分配如图:试给出消息②的表示_________________具有保密性和认证性的密钥分配21.试述有限域GF(p)上的DH密钥交换协议及其中间人攻击,为防止中间人攻击应采取什么办法,如果在椭圆曲线群上实现DH密钥交换中间人攻击又如何22. 用于产生密钥的随机数应满足哪两个基本条件____________和_______________23.设线性同余算法的递推式为X n+1=aX n+c mod m,若c=0,则产生的伪随机序列的最大可能周期是_______,这时,a满足什么条件____________________24.下列哪一组参数将使得线性同余算法达到整周期( )A. m=16,a=5,c=0,B. m=16,a=9,c=3,C. m=35,a=26,c=125. 线性同余算法中m=32,a=17,c=1,则其周期是多少26. 将线性同余算法的模值m取为2的幂次的优点是可以极大简化模运算,也能达到整周期( )27. 线性同余算法产生随机数序列的平方产生器形式为?28. 线性同余算法的变型算法,离散指数产生器的形式为?29. 对于循环加密的方式产生伪随机数序列,(1)是否能够达到整周期_________(2)如果采用的是DES加密算法,则产生的伪随机序列的周期是____________________30. 采用分组密码的哪种运行模式可以产生性能良好的伪随机数序列___________________ 31.如图的伪随机数产生器,则下一个产生的随机数R i+1可表示为___________________________V ii i+1ANSI X9.17伪随机数产生器32. 试述BBS产生器33. 什么是(k,n)门限方案?如果n个人中最多有t个人不在场,或者为抗击攻击者对任意t个人的攻击,为了使得秘密能够可靠的恢复应满足什么条件?34. 在(3,5)门限秘密分享中,已知多项式为f(x)=(4x2+2x+3) mod 5,则所有的子密钥为___________试给出由f(1), f(3), f(4),恢复秘密s=3的过程?35. (k, n)-秘密分割门限方案是完善的是指_________________________________________36. 线性同余算法产生的伪随机数序列可以用于密码学中的需要的随机数( )37. AES是指下列哪一种算法A. RijndaelB. TwofishC. Safer+D. Lucifer38. 下面哪些功能是随机数在密码学中的作用___________A. 相互认证、B. 产生会话密钥、C. 产生公私钥对、D. 用来做公钥加密中的填充39. 真随机虽然随机性不可预测但随机性难于控制,可能会产生性质较差的随机数,伪随机虽然随机性受到很大影响,但随机性容易控制,往往是产生随机数的主要方法( )40. 什么是前向保密性和后向保密性?41. “一次一密”和“一次会话一密”的区别是什么?哪一种情况更加常见。
现代密码学_清华大学_杨波着+习题答案
一、古典密码(1,2,4)解:设解密变换为m=D(c)≡a*c+b (mod 26)由题目可知密文ed 解密后为if,即有:D(e)=i :8≡4a+b (mod 26) D(d)=f :5≡3a+b (mod 26) 由上述两式,可求得a=3,b=22。
因此,解密变换为m=D(c)≡3c+22 (mod 26)密文用数字表示为:c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为m=3*c+22 (mod 26)=[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17]= ifyoucanreadthisthankateahcer4. 设多表代换密码C i≡ AM i + B (mod 26) 中,A是2×2 矩阵,B是0 矩阵,又知明文“dont”被加密为“elni”,求矩阵A。
解:dont = (3,14,13,19) => elni = (4,11,13,8)二、流密码 (1,3,4)1. 3 级 线 性 反 馈 移 位 寄 存 器 在 c 3=1 时 可 有 4 种 线 性 反 馈 函 数 , 设 其 初 始 状 态 为 (a 1,a 2,a 3)=(1,0,1),求各线性反馈函数的输出序列及周期。
解:设反馈函数为 f(a 1,a 2,a 3) = a 1⊕c 2a 2⊕c 1a 3当 c1=0,c2=0 时,f(a 1,a 2,a 3) = a 1,输出序列为 101101…,周期为 3。
当 c1=0,c2=1 时,f(a 1,a 2,a 3) = a 1⊕a 2,输出序列如下 10111001011100…,周期为 7。
当 c1=1,c2=0 时,f(a 1,a 2,a 3) = a 1⊕a 3,输出序列为 10100111010011…,周期为 7。
(完整版)北邮版《现代密码学》习题答案
(完整版)北邮版《现代密码学》习题答案《现代密码学习题》答案第一章1、1949年,(A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。
A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由( D)决定的。
A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。
A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。
A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击5、1976年,和在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。
7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。
8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。
9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。
10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第二章1、字母频率分析法对(B )算法最有效。
A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。
A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对(C)算法的破解最有效。
A置换密码B单表代换密码C多表代换密码D序列密码4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。
北邮版《现代密码学》习题答案
《现代密码学习题》答案第一章1、1949年,( A )发表题为《保密系统de通信理论》de文章,为密码系统建立了理论基础,从此密码学成了一门科学。
A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由( D)决定de。
A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统de计算量下限,利用已有de最好方法破译它de所需要de代价超出了破译者de 破译能力(如时间、空间、资金等资源),那么该密码系统de安全性是( B )。
A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握de分析资料de不通,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大de是( D )。
A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击5、1976年,W.Diffie和M.Hellman在密码学de新方向一文中提出了公开密钥密码de思想,从而开创了现代密码学de新领域。
6、密码学de发展过程中,两个质de飞跃分别指 1949年香农发表de保密系统de通信理论和公钥密码思想。
7、密码学是研究信息寄信息系统安全de科学,密码学又分为密码编码学和密码分析学。
8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成de。
9、密码体制是指实现加密和解密功能de密码方案,从使用密钥策略上,可分为对称和非对称。
10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第二章1、字母频率分析法对(B )算法最有效。
A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。
A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对(C)算法de破解最有效。
A置换密码B单表代换密码C多表代换密码D序列密码4、维吉利亚密码是古典密码体制比较有代表性de一种密码,其密码体制采用de是(C )。
现代密码学原理与应用第4章
4.1 分组密码概述
所谓分组密码是将明文分成一组一组,在密钥的控制下, 经过加密变换生成一组一组的密文。具体而言,分组密码就是 将明文消息序列 m1, m2, , mi , 划分成等长的消息组
(m1, m2 , , mn ), (mn1, mn2 , , m2n ),
2.差分密码分析法
差分密码分析法与一般统计分析法的本质区别是,不直 接分析密文或密钥的统计相关性,而是通过对明文对的差值 与相应的密文对的差值之间的统计关系的分析,对密钥某些 位进行合理的推断与猜测。
3.线性密码分析
线性密码分析是一种已知明文攻击法。它通过对非线 性函数的线性近似来实现分析密钥的目标。其基本思想是 寻找一个密码算法的有效的线性近似表达式,即寻找分组 密码算法中明文、密文和密钥的若干位之间的线性关系, 最终破译密码系统。
图4-7 子密钥生成过程
① 置换选择PC1 【例4-2】设初始密钥
• K = (123DAB779F658067)16 • = (00010010 00111101 10101011 01110111 10011111
01100101 10000000 01100111)2 • 经过置换选择PC1,并分成左右两部分,结果为
子密钥产生的算法充分实现明文与密钥的扩散和混淆,没 有简单的关系可循,能抗击各种已知的攻击。
6.加密和解密运算简单
在以软件实现时,应选用简单的运算,使密码运算易于以 标准处理器的基本运算。
4.1.2 分组密码算法结构
1.Feistel结构 Feistel结构把任何函数(一般称F函数,又称轮函数)
转化为一个置换。
加密算法的输入是一个分组长度为2n的明文M0和一个种 子密钥K0,将明文M0分成左右两半L0和R0,这里L0是M0的左 半部分nbit,R0是M0的右半部分nbit,在进行完r轮迭代后,
现代密码学 第4章
1/15/2019
8
限门单向函数
单向函数是求逆困难的函数,而单向陷门函数 (Trapdoor one-way function),是在不知陷门信 息下求逆困难的函数,当知道陷门信息后,求逆 是易于实现的。 限门单向函数是一族可逆函数fk,满足
1. Y=fk(X)易于计算(当k和X已知) 2. X=f-1k(Y)易于计算(当k和Y已知) 3. X=f-1k(Y)计算上不可行(Y已知但k未知)
3
1/15/2019
y x
19
4.4
背包密码体制
设A=(a1,a2,…,an)是由n个不同的正整数构成的n元 组,s是另一已知的正整数。背包问题就是从A中求 出所有的ai,使其和等于s。其中A称为背包向量, s是背包的容积。
例如,A=(43, 129, 215, 473, 903, 302, 561, 1165, 697, 1523),s=3231。由于 3231=129+473+903+561+1165 所以从A中找出的满足要求的数有129、473、903、561、 1165。
RSA 算法的安全性基于数论中大整数分解的 困难性。
1/15/2019
11
4.3.1
算法描述
1. 密钥的产生 ① 选两个保密的大素数p和q。 ② 计算n=p×q,φ(n)=(p-1)(q-1),其中φ(n)是n的欧拉 函数值。 ③ 选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1。 ④ 计算d,满足d· e≡1 mod φ(n),即d是e在模φ(n)下的 乘法逆元,因e与φ(n)互素,由模运算可知,它的乘法逆 元一定存在。 ⑤ 以{e,n}为公开钥,{d,n}为秘密钥。
现代密码学(第四章)
2015-4-17
三、背包公钥密码
背包公钥密码早已经被攻破,然而背包 公钥密码的设计思想是公认的人类设 计思想精华,其设计和攻击已成为公 钥密码攻防的一个样板。
2015-4-17
26
三、背包公钥密码
背包公钥密码的密钥生成 取n个具有超递增性的物品重量: a1,a2,a3,…,an。 取正整数M,U,满足 M>a1+a2+a3+…+an; M>U; Ua1>M; M与U互素,因此可以用辗转相除法计算出U关于 (modM)的逆元U-1。
2015-4-17 2
一、公钥密码的基本概念
一个函数f:AB,若它满足: 1o 对所有xA,易于计算f(x)。
2o 对“几乎所有xA”,由f(x)求x“极为困难”,以至于 实际上不可能做到。 则称f为一单向(One-way)函数。 定义中的“极为困难”是对现有的计算资源和算法而言。 陷门单向函数(Trapdoor one-way function),是这样的单向函 数:
O(exp( (ln p)(lnln p) ))
2015-4-17 6
单向函数举例
这个计算量称为亚指数计算量。这是什么概念呢? 我们知道p的长度是log2p。看以下的不等式。 当log2p≈1024时,亚指数计算量不小于2100数量级。 至少在在当前的计算水平之下是不能实现的。
exp( (ln p)(lnln p) ) exp( (ln p)(ln p) ) p 2log2 p ; exp( (ln p)(lnln p) ) exp( (ln ln p)(lnln p) ) ln p ~ log2 p.
2015-4-17 16
二、公钥密码RSA
现代密码学-第四章
现代密码学(第四版)
第四章 公钥密码
注意:如果a 0 (mod n) ,则 n a 。
同余有以下性质:
(1) n a b 与 a b modn 等价。
(2) (a mod n) (b mod n) ,则a b mod n 。 (3) a b mod n ,则 b a mod n 。 (4) a b mod n ,b c mod n ,则 a c modn 。 (5) 如果 a b modn ,d n ,则 a b mod d 。
现代密码学(第四版)
第四章 公钥密码
4.1 密码学中的一些常用数学知识
4.1.1 4.1.2 4.1.3 4.1.4 4.1.5
4.1.6 4.1.7
群、环、域 素数和互素数 模运算 模指数运算 费尔码定理、欧拉定理 卡米歇尔定理 素性检验 欧几里得算法
现代密码学(第四版)
第四章 公钥密码
4.1.8 中国剩余定理 4.1.9 离散对数 4.1.10 二次剩余 4.1.11 循环群 4.1.12 循环群的选取 4.1.13 双线性映射 4.1.14 计算复杂性
余数为 r,则
a
qn
r,
0
r
n,
q
a n
其中 x为小于或等于 x 的最大整数。
用 a mod n 表示余数 r ,则
a
a n
n
a
mod
n
。
如果(a modn) (b modn) ,则称两整数a 和b模 n 同余,记 为 a bmodn。称与 a 模 n同余的数的全体为 a 的同余类, 记为a ,称 a 为这个同余类的表示元素。
《现代密码学》练习题(含答案)
《现代密码学》练习题(含答案)一、填空题(每空1分,共7分)1. 加密算法的功能是实现信息的保密性。
2. 数据认证算法的功能是实现数据的完整性即消息的真实性。
3. 密码编码学或代数中的有限域又称为伽罗华(Galois)域。
记为GF(pn)4. 数字签名算法可实现不可否认性即抗依赖性。
信息安全基本要求:可用性、保密性、完整性、不可否认性、可控性、真实性。
5. Two-Track-MAC算法基于带密钥的RIPEMD-160。
密钥和输出MAC值都是20B6. AES和Whirlpool算法是根据宽轨迹策略设计的。
7. 序列密码的加密的基本原理是:用一个密钥序列与明文序列进行叠加来产生密文。
8. Rabin密码体制是利用合数模下求解平方根的困难性构造了一种非对称/公钥/双钥密码体制。
1. 现代对称密码的设计基础是:扩散和混淆。
2. 加密和解密都是在密钥控制下进行的。
3. 在一个密码系统模型中,只截取信道上传送信息的攻击方式被称为被动攻击。
4. Caesar密码体制属于单表代换密码体制。
(字母平移)5. 尽管双重DES不等价于使用一个56位密钥的单重DES,但有一种被称为中途相遇攻击的破译方法会对它构成威胁。
(成倍减少要解密的加密文本)6. 设计序列密码体制的关键就是要设计一种产生密钥流的方法。
2. 椭圆曲线密码是利用有限域GF(2n)上的椭圆曲线上点集所构成的群上定义的离散对数系统,构造出的公钥/非对称密码体制。
3. 在公钥密码体制中,加密密钥和解密密钥是不一样的,加密密钥可以公开传播而不会危及密码体制的安全性。
2. 密码学上的Hash函数是一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。
3. 数字签名主要是用于对数字消息进行签名,以防止消息的伪造或篡改,也可以用于通信双方的身份认证。
2. CTR/计数器加密模式与CBC认证模式组合构成CCM模式;GMAX算法与CTR加密模式组合构成GCM模式。
现代密码学-第4章公钥密码体制习题与解答-20091202
第4章公钥密码体制习题及参考答案1.对于RSA密码系统,取47=p,59=q,17=e,计算(1) 解密私钥d;(2) 明文115的密文;(3) 密文28的明文。
解:(1) 由题:φ(n) = (p-1)*(q-1) = 2668又e=17 且e*d mod φ(n) = 1所以d = e-1mod φ(n) = 157(2) 密文c = m e mod n = 1751(3) 密文28的明文为m=c d mod n = 13772.在ElGamal 密码系统中,若选取素数p=71,生成元α = 7。
(1) 若B的公钥β=3,A随机选取整数r=2,则明文m=30 的密文是什么?(2) 若A选取的整数r 使得m=30 的密文为C= (59, c2),则整数c2 是什么?解:(1) c1= αr mod p=72mod 71= 49, c2 =m ·βr mod p =30 ·32mod 71= 57,所以密文为(49, 57)。
(2) 首先由c1=59计算出r=3,所以c2=30*33mod71=29。
3.令y2=x3+9x+17是F23上的一个方程,计算该椭圆曲线方程在F23上的所有解。
以P=(16,5)为底的Q =(4, 5)的离散对数是多少?解:,5)(4,18)(5,7)(5,16)(7,3)(7,20)(8,7)(8,16)(10,7)(10,16)(12,6)(12,17)(13,10)(13,13)(14,9)(14,14)(15,10)(15,13)(16,5)(16,18)(17,0)(18,10)(18,13)(19,3)(19,20)(20,3)(20,20), ∞以P =(16, 5)为底,通过公式计算容易知Q =(4, 5)=9P ,所以离散对数为9。
4.已知11F 上的椭圆曲线)11(mod 6:)6,1(3211++=x x y E ,取)7,2(=P 作为)6,1(11E 的一个生成元。
(完整版)北邮版《现代密码学》习题答案
《现代密码学习题》答案第一章1、1949年,( A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。
A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由( D)决定的。
A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。
A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。
A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击5、1976年,和在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
6、密码学的发展过程中,两个质的飞跃分别指 1949年香农发表的保密系统的通信理论和公钥密码思想。
7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。
8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成的。
9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。
10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第二章1、字母频率分析法对(B )算法最有效。
A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。
A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对(C)算法的破解最有效。
A置换密码B单表代换密码C多表代换密码D序列密码4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。
杨波,_《现代密码学(第2版)》第四章 4.1节
交换律: ① 交换律: (w+x) mod n=(x+w) mod n (w×x) mod n=(x×w) mod n × × 结合律: ② 结合律: [(w+x)+y] mod n=[w+(x+y)] mod n [(w×x)×y] mod n=[w×(x×y)] mod n × × × × 分配律: × × × ③ 分配律: [w×(x+y)] mod n=[w×x+w×y] mod n 单位元: ④ 单位元: (0+w) mod n=w mod n (1×w) mod n=w mod n × 加法逆元: 存在z∈ 使得w+z≡0 ∈ ⑤ 加法逆元: 对w∈Zn,存在 ∈Zn,使得 mod n,记z = -w。 , 。
整数具有以下性质: 整数具有以下性质: ① a|1,那么a=1。 ,那么 。 ② a|b且b|a,则a=b。 且 , 。 对任一b ③ 对任一 (b≠0),b|0。 , 。 ④ b|g,b|h,则对任意整数 、n有 b|(mg+nh)。 , ,则对任意整数m 有 。 性质④的证明: 性质④的证明: 由b|g,b|h知,存在整数 1、h1, , 知 存在整数g 使得g=bg1, h=bh1所以 使得 mg+nh=mbg1+nbh1=b(mg1+nh1), 因此 因此b|(mg+nh)。 。
例4.1 设Z8={0, 1,…, 7},考虑 8上的模加法和模乘 ,考虑Z 法。
从加法结果可见,对每一 ,都有一y, 从加法结果可见,对每一x,都有一 ,使得 x+y≡0 mod 8。如对 ,有6,使得 。如对2, ,使得2+6≡0 mod 8,称 , 加法逆元。 y为x的负数,也称为加法逆元。 的负数, 为 的负数 也称为加法逆元 对x,若有 ,使得 ×y≡1 mod 8,如3×3≡1 ,若有y,使得x× , × mod 8,则称 为x的倒数,也称为乘法逆元。本例 的倒数, ,则称y为 的倒数 也称为乘法逆元。 可见并非每一 都有乘法逆元。 并非每一x都有乘法逆元 可见并非每一 都有乘法逆元。 一般地,定义 为小于n的所有非负整数集合 的所有非负整数集合, 一般地,定义Zn为小于 的所有非负整数集合, 为模n的同余类集合 的同余类集合。 即Zn={0, 1, …, n-1},称Zn为模 的同余类集合。其 , 上的模运算有以下性质 性质: 上的模运算有以下性质:
现代密码学试卷(含答案)
设置密码答案【篇一:现代密码学试卷(含答案)】信息安全专业2004级“密码学”课程考试题(卷面八题,共100分,在总成绩中占70分)一、单表代替密码(10分)①使加法密码算法称为对合运算的密钥k称为对合密钥,以英文为例求出其对合密钥,并以明文m=wewi②一般而言,对于加法密码,设明文字母表和密文字母表含有n个字母,n为≥1的正整数,求出其对合密钥二、回答问题(10分)①在公钥密码的密钥管理中,公开的加密钥ke和保密的解密钥kd 的秘密性、真实性和完整性都需要确保吗?说明为什么?②简述公钥证书的作用?三、密码比较,说明两者的特点和优缺点。
(10分)对des和aes进行比较,说明两者的特点和优缺点。
(10分)五、设g(x)=x4+x2+1,g(x)为gf(2)上的多项式,以其为连接多项式组成线性移位寄存器。
画出逻辑框图。
设法遍历其所有状态,并写出其状态变迁及相应的输出序列。
(15分)六、考虑rsa密码体制:(15分)1. 取e=3有何优缺点?取d=3安全吗?为什么?2. 设n=35,已截获发给某用户的密文c=10,并查到该用户的公钥e=5,求出明文m。
七、令素数p=29,椭圆曲线为y2=x3+4x+20 mod 29,求出其所有解点,并构成解点群,其解点群是循环群吗?为什么?。
(15分)八、在下述站点认证协议中函数f起什么作用?去掉f行不行?为什么?(15分)设a,b是两个站点,a是发方,b是收方。
它们共享会话密钥ks ,f是公开的简单函数。
a认证b是否是他的意定通信站点的协议如下:1. a产生一个随机数rn,并用ks对其进行加密:c=e(rn,ks),并发c给b。
同时a对rn进行f变换,得到f(rn)。
2. b收到c后,解密得到rn=d(c,ks)。
b也对rn进行f变换,得到f(rn),并将其加密成c’=e(f(rn),ks),然后发c’给a 。
3. a对收到的c’解密得到f(rn),并将其与自己在第①步得到的f (rn)比较。
现代密码学杨波课后习题讲解
1
1
1
1
1
0
0
1
1
1
1
1
….
….
习题
6.已知流密码的密文串1010110110和相应的明文串 0100010001,而且还已知密钥流是使用3级线性反馈移位 寄存器产生的,试破译该密码系统。
解:由已知可得相应的密钥流序列为 1010110110⊕0100010001 =1110100111,又因为是3级线 性反馈移位寄存器,可得以下方程:
Li Ri1 Ri Li1 f (Ri1, Ki )
习题
习题
3. 在 DES 的 ECB 模式中,如果在密文分组中有一个错误,解密后 仅相应的明文分组受到影响。然而在 CBC 模式中,将有错误传播。 例如在图 3-11 中 C1 中的一个错误明显地将影响到 P1和 P2 的结 果。 (1) P2 后的分组是否受到影响? (2) 设加密前的明文分组 P1 中有 1 比特的错误,问这一错误将在 多少个密文分组中传播? 对接收者产生什么影响?
c3c2c1 0101
0
1
101
1 1 0
由此可得密钥流的递推关系为:
ai3 c3ai c1ai2 ai ai2
第三章 分组密码体 制
习题
2. 证明 DES 的解密变换是加密变换的逆。 明文分组、密钥
加密阶段:初始置换、16轮变换、逆初始置换
每轮迭代的结构和Feistel结构一样:
定义2.2 设p(x)是GF(2)上的多项式,使p(x)|(xp-1) 的最小p称为p(x)的周期或阶。 定理2.3 若序列{ai}的特征多项式p(x)定义在GF(2) 上,p是p(x)的周期,则{ai}的周期r | p。
习题
现代密码学(第四章)公钥密码
2019/11/6
9
单向函数举例
背包问题的特例:超递增背包问题。将物品重量从小 到大排列:a1,a2,a3,…,aN。称该背包问题为超递增背 包问题,如果:
a1<a2; a1+a2<a3; a1+a2+a3<a4; … a1+a2+a3+…+aN-1<aN。
(超递增背包问题是容易解决的。)
2019/11/6
则称f为一单向(One-way)函数。 定义中的“极为困难”是对现有的计算资源和算法而言。
陷门单向函数(Trapdoor one-way function),是这样的单向函 数:
在不知陷门信息下,由f(x)求x“极为困难”, ; 当知道陷门信息后,由f(x)求x是易于实现的。
2019/11/6
量。” 则该结合称为一个格。 关于格有以下的性质和概念。 如果格中存在这样的几个向量,满足①它们(实数)线性无
关;②格中的任何其它向量都能唯一地表示为这几个向量的 整数线性组合。则这几个向量构成的向量组称为基。 基中的向量的个数称为格的维数。 格的维数总是不超过N。
2019/11/6
13
第四章:公钥密码
一、公钥密码的基本概念 二、公钥密码RSA 三、背包公钥密码 四、公钥密码Rabin 五、 ElGamal公钥密码 六、公钥密码NTRU 七、椭圆曲线公钥密码ECC 八、 McEliece公钥密码
2019/1钥密码体制(公钥密码体制) 于1976年由W. Diffie和M. Hellman[1976]提出,同时R. Merkle[1978]也独立提出了这一体制。可 用于保密通信,也可用于数字签字。
O(exp( (ln p)(lnln p)))
现代密码学第4章习题
4, 9, 17, 35),由bi ≡ t ⋅ ai mod k,i = 1, 2, 3, 4, 5得B = (57, 3, 25, 31, 8), 解: A = (3,
解:
59 2 −1 8
2 (1) = (−1) 59
= −1;
(2)
53 -1 6 2 3 3 53 2 + 17 × 3 2 = =(-1) 8 =(-1) = (−1) = (−1) 3 53 53 53 53 3 3
所以密文为(64,67,67,25,0,59,11,64,3,9) 。 12.设背包密码系统的超递增序列为(3,4,8,17,33),乘数 t = 17 ,模数 k = 67 ,试对 密文 25,2,72,92 解密。 解: t
−1
≡ 4 mod 67
由25 × 4 ≡ 33 mod 67, 解背包得二元序列为00001,密文为A; 由2 × 4 ≡ 8 mod 67, 解背包得二元序列为00100,密文为D; 由72 × 4 ≡ 20 mod 67, 解背包得二元序列为10010,密文为R; 由92 × 4 ≡ 33 mod 67,解背包得二元序列为00001,密文为A。
C = (59,C 2 ),求C 2。
解: C1 ≡ g mod p ≡ 7 mod 71 = 49;C 2 ≡ My B ≡ 30 × 3 = 57;
k 2 2 2
所以 M 所对应的密文为(49,57) 。
由7 3 mod 71 ≡ 59,得k = 3,C 2 ≡ 30 × 33 mod 71 = 29。
杨波,_《现代密码学(第2版)》第四章 4.2-4.6节
单向函数是两个集合 、 之间的一个映射 之间的一个映射, 单向函数是两个集合X、Y之间的一个映射,使 是两个集合 中每一元素y都有惟一的一个原像 得Y中每一元素 都有惟一的一个原像 ∈X,且由 中每一元素 都有惟一的一个原像x∈ ,且由x 易于计算它的像y, 计算它的原像x是不可行的 易于计算它的像 ,由y计算它的原像 是不可行的。 计算它的原像 是不可行的。 这里所说的易于计算是指函数值能在其输入长 这里所说的易于计算是指函数值能在其输入长 度的多项式时间内求出,即如果输入长n比特 比特, 度的多项式时间内求出,即如果输入长 比特,则求 函数值的计算时间是n 的某个倍数,其中a是一固定 函数值的计算时间是 a的某个倍数,其中 是一固定 的常数。这时称求函数值的算法属于多项式类 多项式类P, 的常数。这时称求函数值的算法属于多项式类 ,否 则就是不可行的。 则就是不可行的。 例如,函数的输入是n比特 比特, 例如,函数的输入是 比特,如果求函数值所用 的时间是2 的某个倍数, 的时间是 n的某个倍数,则认为求函数值是不可行 的。
以上认证过程中, 以上认证过程中,由于消息是由用户自己的秘密钥 加密的,所以消息不能被他人篡改, 加密的,所以消息不能被他人篡改,但却能被他人 窃听。 窃听。这是因为任何人都能用用户的公开钥对消息 解密。为了同时提供认证功能 保密性, 认证功能和 解密。为了同时提供认证功能和保密性,可使用双 重加、解密。如图4.3所示 所示。 重加、解密。如图 所示。来自ˆ m ˆ SKB
m
c
m
PK B
SK B
图4-1 公钥体制加密的框图
加密过程有以下几步: 加密过程有以下几步:
要求接收消息的端系统, ① 要求接收消息的端系统,产生一对用来加密和 解密的密钥,如图中的接收者B,产生一对密钥PK 解密的密钥,如图中的接收者 ,产生一对密钥 B, SKB,其中 B是公开钥,SKB是秘密钥。 其中PK 是公开钥, 是秘密钥。 ② 端系统B将加密密钥(如图中的PKB)予以公开。 端系统 将加密密钥(如图中的 予以公开。 将加密密钥 另一密钥则被保密(图中的SK 另一密钥则被保密(图中的 B)。 要想向B发送消息 的公开钥加密m, ③ A要想向 发送消息 ,则使用 的公开钥加密 , 要想向 发送消息m,则使用B的公开钥加密 其中c是密文 是加密算法。 表示为c=EPKB[m],其中 是密文,E是加密算法。 表示为 其中 是密文, 是加密算法 收到密文c后 用自己的秘密钥SKB解密,表 解密, ④ B收到密文 后,用自己的秘密钥 收到密文 解密 示为m=DSKB[c],其中 是解密算法。 是解密算法。 示为 ,其中D是解密算法
(完整版)现代密码学简答题及计算题
第七章 简答题及计算题⑴公钥密码体制与对称密码体制相比有哪些优点和不足?答:对称密码一般要求: 1、加密解密用相同的密钥 2、收发双方必须共享密钥安全性要求: 1、密钥必须保密 2、没有密钥,解密不可行 3、知道算法和若干密文不足以确定密钥 公钥密码一般要求:1、加密解密算法相同,但使用不同的密钥2、发送方拥有加密或解密密钥,而接收方拥有另一个密钥 安全性要求: 1、两个密钥之一必须保密 2、无解密密钥,解密不可行3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥⑵RSA 算法中n =11413,e =7467,密文是5859,利用分解11413=101×113,求明文。
解:10111311413n p q =⨯=⨯=()(1)(1)(1001)(1131)11088n p q ϕ=--=--=显然,公钥e=7467,满足1<e <()n ϕ,且满足gcd(,())1e n ϕ=,通过公式1mod11088d e ⨯≡求出1mod ()3d e n ϕ-≡=,由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡==⑶在RSA 算法中,对素数p 和q 的选取的规定一些限制,例如:①p 和q 的长度相差不能太大,相差比较大; ②P-1和q-1都应有大的素因子;请说明原因。
答:对于p ,q 参数的选取是为了起到防范的作用,防止密码体制被攻击①p ,q 长度不能相差太大是为了避免椭圆曲线因子分解法。
②因为需要p ,q 为强素数,所以需要大的素因子 ⑸在ElGamal 密码系统中,Alice 发送密文(7,6),请确定明文m 。
⑺11Z 上的椭圆曲线E :236y x x =++,且m=3。
①请确定该椭圆曲线上所有的点;②生成元G=(2,7),私钥(5,2)2B B n P ==,明文消息编码到(9,1)m P =上,加密是选取随机数k=3,求加解密过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章公钥密码体制
习题及参考答案
1.对于RSA密码系统,取47=p,59=q,17=e,计算
(1) 解密私钥d;
(2) 明文115的密文;
(3) 密文28的明文。
解:(1) 由题:φ(n) = (p-1)*(q-1) = 2668
又e=17 且e*d mod φ(n) = 1
所以d = e-1mod φ(n) = 157
(2) 密文c = m e mod n = 1751
(3) 密文28的明文为m=c d mod n = 1377
2.在ElGamal 密码系统中,若选取素数p=71,生成元α = 7。
(1) 若B的公钥β=3,A随机选取整数r=2,则明文m=30 的密文是什么?
(2) 若A选取的整数r 使得m=30 的密文为C= (59, c2),则整数c2 是什么?
解:(1) c1= αr mod p=72mod 71= 49, c2 =m ·βr mod p =30 ·32mod 71= 57,所以密文为(49, 57)。
(2) 首先由c1=59计算出r=3,所以c2=30*33mod71=29。
3.令y2=x3+9x+17是F23上的一个方程,计算该椭圆曲线方程在F23上的所有解。
以P=(16,5)为底的Q =(4, 5)的离散对数是多少?
解:
,5)(4,18)(5,7)(5,16)(7,3)(7,20)(8,7)(8,16)(10,7)(10,16)(12,6)(12,17)(13,10)(13,13)(14,9)(14,14)(15,10)(15,13)(16,5)(16,18)(17,0)(18,10)(18,13)(19,3)(19,20)(20,3)(20,20), ∞
以P =(16, 5)为底,通过公式计算容易知Q =(4, 5)=9P ,所以离散对数为9。
4.已知11F 上的椭圆曲线
)11(mod 6:)6,1(3211++=x x y E ,
取)7,2(=P 作为)6,1(11E 的一个生成元。
(1)设用户B 的密钥为3=a ,求B 的公钥P Q 3=。
(2)设用户A 欲发消息)9,10(=m 给B ,选择随机数5=k ,求密文c 。
(3)设B 收到密文))6,3(),2,7((=c ,试求明文。
解:(1)P P P Q +==23。
我们首先计算)7,2(22=P 。
811mod 4211mod 3272123232131=⋅==
⋅+⋅=+=y a x λ
511mod 22811mod 221
23=⋅-=-=x x λ,
2)11(mod 7)52(8)(1313=--=--=y x x y λ。
故,)2,5(2=P 。
现在计算)7,2()2,5(23+=+=P P P 。
2)11(mod 75)11(mod 5
22
71212=⋅=--=
--=
x x y y λ,
8)11(mod 25222123=--=--=x x x λ,
3)11(mod 2)85(2)(1313=--=--=y x x y λ。
即)3,8(3==P Q 。
(2))6,3()7,2(551====P kP c ,
)9,5()2,5()9,10()3,8(5)9,10(2=+=+=+=kQ m c 。
即密文为))9,5(),6,3((=c 。
(3)由密文))6,3(),2,7((=c ,根据解密算法
)8,8()6,3()6,3()5,3()6,3()2,7(3)6,3(12=+=-=-=-=ac c m 。
5.通过上网查找,试说明基于椭圆曲线的密码系统相对于基本ElGamal 密码系统以及RSA 密码系统有那些优点。
答:基于椭圆曲线的密码系统相对于基本ElGamal 密码系统以及RSA 密码系统的优点是:在等同的安全性下,密钥量小,灵活性好,易于应用推广。
所以可以:
(1)节省实现成本 (2)节省存储空间 (3)节省占用带宽。
(4)节省处理时间
6.既然Rabin 密码系统是被证明安全性等价于大整数的因子分解的困难性,为什么实际的系统却很少使用Rabin 密码系统。
答略。
7.有哪些方法可以将较低安全级别密码系统转化为在适应性选择密文攻击下具有不可区分安全性的密码系统。
答略。
8.(补充题)已知F 11上的椭圆曲线 E 11(1,6):y 2= x 3+x +6 (mod 11)。
(1) 求E 11(1,6)的所有点;
(2) 已知点P =(2,7) 在 E 11(1,6)上,计算 P 的全部倍数,求 P 的阶,证明 P 是 E 11(1,6) 的一个生成元;
(3) 以 P 作为E 11(1,6)的生成元。
设用户A 的秘密钥为 a =2,求A 的公钥 Q =2P 。
发送方 B 欲发消息 P m =(10, 9)给A ,选择随机数 r =3,求密文C 。
写出接受方A 从密文C 恢复明文 M 的解密过程。
解:(1) E 11(1,6)的所有点是 (2, 4),(2, 7),(3, 5),(3, 6),(5, 2),(5, 9),(7, 2),(7, 9),(8, 3),(8, 8),(10, 2),(10, 9),∞。
(2)由公式33 (,) P =Q
P Q x y P Q ∞-⎧+=⎨≠-⎩ ,其中2
3123131
()x x x y x x y λλ=--=--,
21
212
1132y y P Q
x x x a P Q
y λ-⎧≠±⎪-⎪=⎨+⎪=⎪⎩可算得:P =(2, 7),2P =(5, 2),3P =(8, 3),4P =(10, 2),5P =(3,6),
6P =(7, 9),7P =(7, 2),8P =(3, 5),9P =(10, 9),10P =(8, 8),11P =(5, 9),12P =(2, 4),
13P =∞。
(3) A 的公钥为Q =2P =(5, 2)
因为c 1=r ·P =3P =(8, 3),c 2=P m +r ·Q =(10, 9)+6P =9P +6P =15P =2P =(5, 2),所以密文C =(c 1, c 2)=((8, 3), (5, 2))。
解密:P m = c 2 - a ·c 1 = (5, 2)-2·(8, 3)= 2P -2·3P =2P -6P=-4P =9P=(10, 9),对P m 进行相应解码即得到明文m 。