同济大学密码学期末试卷

多练出技巧 巧思出硕果一、 填空题（35分，1分/空）4．从熵的基本性质可推知，保密系统的 密钥量 越小，其密文中含有的关于明文的信息量就越大。

从密码系统设计者确度看，自然要选择足够大的 密钥量 ，而且希望从密文中提取的有关明文的信息尽可能地小。

5．为保证安全性，在设计分组密码时，密码变换必须足够复杂，尽量使用 混淆 与 扩散 原则。

这样使攻击者除了用 穷举 攻击以外，找不到其他简洁的数学破译方法。

6．DES 是一个 分组密码 算法，DES 是一个对称密码体制，加/解密使用同一密钥，同时DES 的加密与解密使用同一算法。

DES 的保密性依赖于 密钥 。

7．设),,,,(1111D E K C M =Φ和),,,,(2221D E K C M =Φ是两个密码体制，它们的明文和密文空间相同，1Φ和2Φ的乘积定义为密码体制(D E K K M C ,,,,21⨯)，记为21Φ⨯Φ，这就是 所谓的 乘积 密码体制。

8．群是一个代数系统，它由一个非空集合G 组成，在集合G 中定义了一个二元运算“·”，满足：（1）封闭性，即：对任意的a,b ∈G ，有a ·b ∈G ；（2）单位元结合律，即：对任何a,b,c ∈G ，有a ·b ·c=(a ·b)·c=a ·(b ·c)；（3）逆元，即：存在1G ∈一个元素，对任意元素a ∈G,(乘法运算满足)a ·1=1·a=a ；（4）即对任意a ∈G ，存在一个元素a1-∈G ，使得a ·a 1-= a 1-·a=1；把满足上面性质的代数系统称为群,记作<G,·>。

如果群<G,·>，还满足交换律,即对任何a,b ∈G 有a ·b=b ·a,则称G 为交换群。

9．唯密文攻击，是指密码分析者仅知道一些密文，并试图恢复尽可能多的明文，并进一步推导出加密信息的密钥。

密码学试题及答案# 密码学试题及答案## 一、选择题1. 密码学中的“对称密钥”指的是什么？A. 只有一个密钥的加密算法B. 加密和解密使用相同密钥的算法C. 需要两个密钥的加密算法D. 用于数字签名的密钥答案：B2. 下列哪个是流密码的一个特点？A. 密钥长度与消息长度相同B. 密钥长度与消息长度无关C. 需要使用随机数生成器D. 所有选项都正确答案：C3. RSA算法属于哪种类型的加密算法？A. 对称加密B. 非对称加密C. 哈希函数D. 消息认证码答案：B## 二、简答题1. 请简述什么是数字签名，以及它在电子商务中的应用。

答案：数字签名是一种用于验证数据完整性和身份认证的技术。

它通过使用发送者的私钥对数据进行加密，接收者使用发送者的公钥进行解密验证。

在电子商务中，数字签名用于确保交易的安全性，防止数据在传输过程中被篡改，同时验证交易双方的身份。

2. 解释公钥密码学中的“公钥”和“私钥”的概念。

答案：在公钥密码学中，每个用户拥有一对密钥：公钥和私钥。

公钥可以公开给任何人，用于加密数据或验证数字签名；而私钥必须保密，用于解密数据或生成数字签名。

公钥和私钥是数学上相关联的，但不可能从公钥推导出私钥。

## 三、论述题1. 论述密码学在网络安全中的重要性，并举例说明。

答案：密码学是网络安全的基石，它通过加密技术保护数据的机密性、完整性和可用性。

例如，在SSL/TLS协议中，密码学用于在客户端和服务器之间建立安全通信通道。

通过使用对称密钥和非对称密钥的组合，确保数据在传输过程中不被未授权的第三方窃取或篡改。

此外，密码学还用于身份验证、访问控制和数据完整性验证等多个方面，是确保网络环境安全的关键技术。

## 四、案例分析题1. 假设你是一家银行的网络安全专家，你需要设计一个系统来保护客户的交易信息。

请描述你将如何使用密码学技术来实现这一目标。

答案：在设计银行交易信息保护系统时，我会采用以下密码学技术：- 使用非对称加密技术，如RSA，来安全地交换对称密钥。

密码学试题及答案一、选择题1. 下列哪个不是对称密钥加密算法的特点？A. 密钥长度小B. 加密速度快C. 安全性较高D. 适用于大数据传输答案：A. 密钥长度小2. 常用的哈希算法包括下列哪个？A. RSAB. DESC. SHA-256D. AES答案：C. SHA-2563. 数字签名是指用私钥加密的数据，用于验证发送方的身份真实性。

A. 对B. 错答案：B. 错4. 以下哪个不是公钥加密算法？A. RSAB. ECCC. IDEAD. ElGamal答案：C. IDEA5. 在密码学中，密钥交换算法主要用于实现以下哪个目标？A. 数据加密B. 消息认证C. 数据完整性D. 密钥建立答案：D. 密钥建立二、填空题1. 对称密钥加密算法中，加密和解密过程使用的是同一个密钥，称为______密钥。

答案：对称2. 公钥加密算法中，加密使用的是公钥，解密使用的是______。

答案：私钥3. 以下是一种常用的哈希算法，SHA-______。

答案：2564. 在数字签名的过程中，发送方使用______密钥进行加密。

答案：私钥5. 密钥交换算法主要用于实现安全的______建立。

答案：密钥三、简答题1. 解释对称密钥加密算法和公钥加密算法的区别。

对称密钥加密算法使用同一个密钥进行加密和解密过程，加密和解密速度较快，但需要事先共享密钥。

而公钥加密算法使用不同的密钥进行加密和解密，公钥用于加密，私钥用于解密，由于私钥只有接收方知道，因此能够实现更好的安全性。

公钥加密算法适用于密钥交换和数字签名等场景。

2. 简述哈希算法的作用和原理。

哈希算法主要用于对数据进行摘要计算，将任意长度的数据转化为固定长度的哈希值。

通过对数据的哈希计算，可以验证数据的完整性和真实性。

哈希算法的原理是利用一系列复杂的数学函数对数据进行处理，使得不同的输入数据产生唯一的输出哈希值。

任意输入数据的改动都会导致输出哈希值的变化，因此可以通过比较哈希值来验证数据是否被篡改。

CS255:Cryptography and Computer Security Winter2010Final ExamInstructions−Answer all four questions.−The exam is open book and open notes.Wireless devices are not allowed.−You have two hours.Problem1.Questions from all over.a.Suppose a symmetric cipher uses128bit keys to encrypt1024bit messages.Can thecipher be perfectly secure?Justify your answer.b.Suppose a symmetric cipher uses128bit keys to encrypt1024bit messages.Can thecipher be semantically secure?Justify your answer.c.Suppose a cipher encrypts1024bit messages and the resulting ciphertext is1024bits long.Can the cipher be semantically secure under a chosen plaintext attack?(i.e.can we useone key to encrypt more than one message?)Justify your answer.d.What is the smallest possible positive value of e that can be used to define the RSAtrapdoor function?Explain why a smaller value of e cannot be used.e.Prove that the function F(k,x)=k⊕x is not a secure PRF.f.Consider MAC-based challenge-response authentication where the shared secret betweenthe prover and verifier is a human memorizable password.Can a passive eavesdropperwho listens in on communications between the prover and verifier carry out a dictionaryattack against the prover’s password?If not,explain why not.If yes,explain how. Problem2.Hash functions.a.Let’s explore what goes wrong if the padding block in the Merkle-Damgard constructiondoes not include the message length.Let h:X×M→X be a compression function usedin the Merkle-Damgard construction to build a hash function H taking inputs in X∗.Let IV be the initial value used by H.Suppose onefinds afixed point for h,namely amessage block m such that h(IV,m)=IV.Explain how thisfixed point can be used toconstruct collisions for H,assuming the padding block does not contain the length.b.Recall that SHA-256uses the Davies-Mayer compression function.Davies-Mayer builds acompression function h from a block cipher(E,D)by defining h(x,m):=x⊕E(m,x).Show that the designers of SHA-256could easily choose an IV for which they have afixed point for h.c.Prove that if H1and H2are collision resistant then so is H(x):=H1(H2(x)).d.Prove that if H1and H2are collision resistant,H(x):=H1(x)⊕H2(x)need not be.Hint:given a collision resistant hash function T,construct collision resistant functionsH1,H2such that H is not collision resistant.1e.Recall that in CBC-MAC the IV isfixed.Suppose we chose a random IV for every messagebeing signed and include the IV in the MAC,i.e.S(k,m):=(r,CBC r(k,m))whereCBC r(k,m)refers to the raw CBC function using r as the IV.Describe an existentialforgery on the resulting MAC.Problem3.Time lock.Our goal in this question is to build a mechanism by which Alice can encrypt a secret S that can be decrypted only after a certain amount of time has passed(e.g.a week,a year,a100years).a.Alice’sfirst solution is as follows.Let(E,D)be a symmetric cipher built from AES.Alicechooses a random AES key k and publishes(C,T)where C←E(k,S)and T containsall but t bits of k.Then by exhaustive search the attacker can decrypt C and recover Sin time2t.By tuning t Alice can choose the time it will take for S to be revealed.Unfortunately,this approach does not work.Briefly explain how an attacker can re-cover S in time2t/L for some L of the attacker’s choosing.Hint:think parallel processing.b.Alice then remembers that she read somewhere that the best algorithm for computingg x requires O(log x)sequential multiplications and that parallel processing cannot speedthis up much.She decides to use the following approach.First,she generates two primesp and q and sets n←pq.Next,she chooses a random g in Z∗n.Finally,she publishes(n,g,C)whereC←S+g(2(2t))∈Z nDescribe an algorithm that enables anyone to recover S from(n,g,C)using2t multipli-cations in Z n.Hence,by tuning t Alice can make the puzzle take as long as she wants,even if the attacker mounts your attack from part(a).c.Finally,show that Alice need not spend time2t herself to prepare the puzzle.Show thatAlice can use her knowledge ofϕ(n)to construct C using only O(t)multiplications in Z n.d.After setting this up Alice wondered if she could use a prime p in place of the RSAmodulus n in the system above.Will the resulting time-lock system remain secure if nis replaced by p?If so,explain why.If not,describe an attack.e.A different approach to time-lock:suppose a trusted party generates public/privateencryption key pairs(e.g. =105).It publishes all its public keys at time0and keepsall secret keys to itself.Every day at midnight the trusted party publishes one of itssecret keys:at day number i it publishes secret key number i on its list.Explain howAlice,and anyone else,can use this trusted party to implement time lock.Problem4Parties A1,...,A n and B wish to generate a secret conference key.All parties should know the conference key,but an eavesdropper should not be able to obtain any information about the key.They decide to use the following variant of Diffie-Hellman:there is a public group G of prime order q and a generator g of er B picks a secret random b in {0,...,q−1}and computes y:=g b.Each party A i picks a secret random a i in{0,...,q−1} and computes x i:=g a i.For i=1,...,n user A i sends x i to B and B responds to A i by sending z i:=x b i.a.Show that party i given z i(and a i)can determine y.2b.Explain why this implies that y can be used as the conference ly,(1)explainwhy at the end of the protocol all parties know y and(2)write down the complexity assumption you would need to argue that an eavesdropper cannot distinguish y from a random element in G.c.show that the scheme is not secure against a man-in-the-middle attack.Explain how anactive man-in-the-middle can eavesdrop on the conference call.d.Can you suggest a way to make the scheme secure against a man-in-the-middle attack?You may assume the existence of a Certificate Authority.3。

密码学试题及答案一、选择题1. 密码学中最基本的加密方法是：A. 替换密码B. 移位密码C. 公钥密码D. 对称密钥加密2. RSA算法属于哪种类型的加密算法？A. 对称密钥加密B. 非对称密钥加密C. 哈希算法D. 流密码3. 以下哪个不是密码学中的基本概念？A. 密钥B. 明文C. 密文D. 操作系统二、简答题1. 简述对称密钥加密和非对称密钥加密的区别。

2. 解释什么是数字签名，以及它在电子商务中的作用。

三、计算题1. 给定一个简单的凯撒密码，其中明文为 "HELLO"，移位量为3，求密文。

2. 使用RSA算法，给定公钥（e, n）=（17, 3233），明文为65（ASCII码表示的'A'），求对应的密文。

四、论述题1. 论述密码学在现代网络安全中的应用及其重要性。

2. 描述一种常见的密码攻击方法，并解释如何防范。

答案：一、选择题1. 答案：A. 替换密码2. 答案：B. 非对称密钥加密3. 答案：D. 操作系统二、简答题1. 答案：对称密钥加密是指加密和解密使用相同的密钥，而非对称密钥加密使用一对密钥，即公钥和私钥，加密和解密使用不同的密钥。

对称密钥加密速度快，但密钥分发困难；非对称密钥加密解决了密钥分发问题，但速度较慢。

2. 答案：数字签名是一种用于验证消息来源和完整性的技术。

在电子商务中，数字签名确保了交易的安全性和不可抵赖性，买家和卖家可以通过数字签名验证对方的身份和交易内容的真实性。

三、计算题1. 答案：将 "HELLO" 中的每个字母向后移位3个位置，得到密文"KHOOR"。

2. 答案：使用公钥（e, n）=（17, 3233）加密明文65，计算 \( c =m^e \mod n \)，得到 \( c = 65^{17} \mod 3233 = 2201 \)。

四、论述题1. 答案：密码学在现代网络安全中扮演着至关重要的角色。

1.凯撒大帝在密码学上很有造诣，试运用密码对一段信息I like the course:stay of cryptography加密，密钥为3~6中的一个2.有人说密码无门槛，也有人说密码高不可攀，试说说你眼中的密码学解：无门槛：举例：(1)研究密码的人员。

在《四十号房间》这个故事中尤因爵士组织的一个破密班子全部由业余爱好者组成，包括神职人员、股票经纪人、银行家、海军学校教师到大学教授的各色人等。

（2）密码应用的方面。

密码的应用可以说是无处不在，尤其是日常生活中，例如银行卡，网银，网店，QQ，手机锁自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。

高不可攀：（1）从安全方面讲：不安全的密码比没有密码更不安全（2）密码要求高：密码学要求基础要深，技术要强，必须是专业人员经过专业培训，专业训练才能胜任这份工作。

例如数学家有扎实的数学基础，计算机学家有相关的专业知识，物理学家有量子物理学的基础，生物学家掌握DNA方面的知识，密码学家也有相当丰富的专业知识。

3.有这样一个观点：要成为密码学家首先要成为数学家、计算机学家、生物学家等等成为其他方面的专家，谈谈自己对此的体会，试举例说明解：密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。

它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。

成为密码学家必须要有相关的密码学知识和相应的研究手段，不同专业领域的人员组成一个团体，各尽所能，致力于密码学研究。

例如：（1）语言学家：对英语、法语、德语或者其他小语种有研究的人，遇到熟悉的语言可以发挥优势，在电影《风语者》中美军使用了一种极少数人懂的印第安某部落的语言，在战争发挥了极大作用，直到战争结束仍未被破解。

（2）数学家：数学家有代数、数论、概率等专业知识，对破解密码有相当大的优势。

《跳舞的小人》中福尔摩斯就是通过字母“E”在英语中出现的频率最高，以此为突破口来破解密码（3）物理学家：物理学家有量子理论和通讯理论的专业知识，例如在《信息论与编码》这门课程中我们学习了，1949年美国人香农发表了《秘密体制的通信理论》一文，应用信息论的原理分析了密码学中的一些基本问题。

密码学期末考试题及答案一、选择题（每题2分，共20分）1. 密码学中的“凯撒密码”属于以下哪种类型的密码？A. 替换密码B. 置换密码C. 公钥密码D. 序列密码答案：A2. 在现代密码学中，以下哪种算法属于非对称加密算法？A. DESB. AESC. RSAD. RC4答案：C3. 以下哪个选项不是哈希函数的特性？A. 确定性B. 快速计算C. 可逆性D. 抗碰撞性答案：C4. 对称加密算法中，加密和解密使用相同密钥的算法是：A. RSAB. AESC. Diffie-HellmanD. ECC5. 在密码学中，以下哪种攻击方式是通过猜测密钥来解密密文的？A. 重放攻击B. 侧信道攻击C. 差分攻击D. 穷举攻击答案：D6. 以下哪个选项不是数字签名的目的？A. 验证消息的完整性B. 验证消息的来源C. 确保消息的机密性D. 验证签名者的身份答案：C7. 在密码学中，以下哪种加密模式不提供消息认证？A. ECB模式B. CBC模式C. CFB模式D. OFB模式答案：A8. 以下哪个选项不是密码学中的攻击类型？A. 已知明文攻击B. 选择明文攻击C. 选择密文攻击D. 随机攻击答案：D9. 在密码学中，以下哪种技术用于防止重放攻击？B. 哈希函数C. 公钥加密D. 对称加密答案：A10. 在密码学中，以下哪个选项不是数字签名的组成部分？A. 哈希值B. 公钥C. 私钥D. 签名答案：B二、填空题（每题2分，共20分）1. 密码学中的“一次性密码本”被认为是理论上的________。

答案：完美安全2. 在密码学中，________算法可以保证即使在密钥泄露的情况下，之前的通信内容仍然安全。

答案：前向保密3. 密码学中的“________”是指在不知道密钥的情况下，无法从密文推断出明文。

答案：机密性4. 密码学中的“________”是指在不知道密钥的情况下，无法确定密文是否有效。

答案：认证性5. 在密码学中，________是指通过修改密文，使得解密后得到错误的明文。

同济大学课程考核试卷（A 卷） 2011—2012学年第 二 学期命题教师签名： 审核教师签名：课号： 课名：密码学原理 考试考查：考查 此卷选为：期中考试( )、期终考试( √ )、重考( )试卷年级 专业 学号 姓名 得分一、单选题（每题3分，共30分）（1）定义在nZ 2上的4级线性递归序列 2m od )(3214+++++++=i i i i i z z z z z对初始向量0010所生成的密钥流的周期是(a) 5 (b) 6 (c) 7 (d) 8（2）假设Hill 密码的加密函数为5mod 2143x y ⎥⎦⎤⎢⎣⎡= 请问哪个是它的解密变换( )(a) 5mod 3142y x ⎥⎦⎤⎢⎣⎡= (b) 5mod 3412y x ⎥⎦⎤⎢⎣⎡= (c) 5mod 2413y x ⎥⎦⎤⎢⎣⎡= (d) 5mod 4231y x ⎥⎦⎤⎢⎣⎡= （3）假设置换密码的消息x decrypt =，密钥为如下的置换π：⎪⎪⎭⎫ ⎝⎛7461532)(7654321x x π 请问以下哪个是密文y ( )(a)ecydptr (b)ecydptt (c)fhhseta (d)ecydprt（4）以下哪个说法是正确的（）(a) 线性密码分析和差分密码分析都属于已知明文攻击(b) 线性密码分析属于已知明文分析，差分密码分析属于选择明文攻击(c) 线性密码分析属于选择明文分析，差分密码分析属于已知明文攻击(d) 线性密码分析和差分密码分析都属于选择明文分析(5) 以下哪个说法是不正确的( )(a) Kerckhoff 假设指的是敌手知道所使用的密码体制，密码体制的安全性应只基于密钥的保密性。

(b) 在Shannon 所定义的完善保密概念中，假设每个密钥只能使用一次。

(c) 对RSA 密码体制，对n 进行因子分解、计算n 的欧拉函数和计算解密指数a 这三个问题可以互相转化，因此他们是同等困难的。

(d) 分组密码的ECB 工作模式无法充分掩盖明文的统计特性，不推荐在实际中使用。

1.凯撒大帝在密码学上很有造诣，试运用密码对一段信息I like the course:stay of cryptography加密，密钥为3~6中的一个2.有人说密码无门槛，也有人说密码高不可攀，试说说你眼中的密码学解：无门槛：举例：(1)研究密码的人员。

在《四十号房间》这个故事中尤因爵士组织的一个破密班子全部由业余爱好者组成，包括神职人员、股票经纪人、银行家、海军学校教师到大学教授的各色人等。

（2）密码应用的方面。

密码的应用可以说是无处不在，尤其是日常生活中，例如银行卡，网银，网店，QQ，手机锁自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。

高不可攀：（1）从安全方面讲：不安全的密码比没有密码更不安全（2）密码要求高：密码学要求基础要深，技术要强，必须是专业人员经过专业培训，专业训练才能胜任这份工作。

例如数学家有扎实的数学基础，计算机学家有相关的专业知识，物理学家有量子物理学的基础，生物学家掌握DNA方面的知识，密码学家也有相当丰富的专业知识。

3.有这样一个观点：要成为密码学家首先要成为数学家、计算机学家、生物学家等等成为其他方面的专家，谈谈自己对此的体会，试举例说明解：密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。

它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。

成为密码学家必须要有相关的密码学知识和相应的研究手段，不同专业领域的人员组成一个团体，各尽所能，致力于密码学研究。

例如：（1）语言学家：对英语、法语、德语或者其他小语种有研究的人，遇到熟悉的语言可以发挥优势，在电影《风语者》中美军使用了一种极少数人懂的印第安某部落的语言，在战争发挥了极大作用，直到战争结束仍未被破解。

（2）数学家：数学家有代数、数论、概率等专业知识，对破解密码有相当大的优势。

《跳舞的小人》中福尔摩斯就是通过字母“E”在英语中出现的频率最高，以此为突破口来破解密码（3）物理学家：物理学家有量子理论和通讯理论的专业知识，例如在《信息论与编码》这门课程中我们学习了，1949年美国人香农发表了《秘密体制的通信理论》一文，应用信息论的原理分析了密码学中的一些基本问题。

密码学期末试题本页仅作为文档页封面，使用时可以删除This document is for reference only-rar21year.March密码学期末试题一．选择题1、关于密码学的讨论中，下列（ D ）观点是不正确的。

A 、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 合技术B 、密码学的两大分支是密码编码学和密码分析学C 、密码并不是提供安全的单一的手段，而是一组技术D 、密码学中存在一次一密的密码体制，它是绝对安全的2、在以下古典密码体制中，属于置换密码的是（B ）。

A 、移位密码B 、倒序密码C 、仿射密码D 、PlayFair 密码 3、一个完整的密码体制，不包括以下（ C）要素。

A 、明文空间 B 、密文空间 C 、数字签名 D 、密钥空间4、关于 DES 算法，除了（C ）以外，下列描述 DES 算法子密钥产生过程是正确的。

A 、首先将 DES 算法所接受的输入密钥 K （64 位），去除奇偶校验位，得到 56 位密钥（即经过 PC-1 置换， 得到 56 位密钥）B 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于 i 的值，这些经过循环 移位的值作为下一次循环左移的输入C 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移 位的值作为下一次循环左移的输入D 、然后将每轮循环移位后的值经 PC-2 置换，所得到的置换结果即为第 i 轮所需的子密钥 Ki5、2000 年 10 月 2 日，NIST 正式宣布将（ B ）候选算法作为高级数据加密标准，该算法是由两位比利时密 码学者提出的。

A 、MARSB 、RijndaelC 、TwofishD 、Bluefish*6、根据所依据的数学难题，除了（ A ）以外，公钥密码体制可以分为以下几类。

A 、模幂运算问题C 、离散对数问题 B 、大整数因子分解问题D 、椭圆曲线离散对数问题7、密码学中的杂凑函数（Hash 函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（ C ）是带密钥的杂凑函数。

CS255:Cryptography and Computer Security Winter2012Final ExamInstructions:−Answer allfive questions.−The exam is open book and open notes.Wireless devices are not allowed.−Students are bound by the Stanford honor code.−You have two hours and thirty minutes.Problem1.Questions from all over.a.Suppose G:{0,1}s→{0,1}n is a secure PRG.Is G (x)=G(x⊕1s)a secure PRG?If so,explain why.If not,describe an attack.b.Suppose F:K×{0,1}n→{0,1}n is a secure PRF.Is F (k,x)=F(k,x)⊕F(k,x⊕1n)a secure PRF?If so,explain why.If not,describe an attack.c.Let(S,V)be a secure MAC with message space{0,1}n for some large n.Define the MAC(S ,V )asS (k,m)=S(k,m),S(k,0n)andVk,m,(t1,t2)=1if V(k,m,t1)=V(k,0n,t2)=10otherwiseIs this(S ,V )a secure MAC?If so,explain why.If not,describe an attack.d.Suppose an attacker intercepts a ciphertext c which is the encryption of a messages m∈{0,1}n under nonce-based counter mode.Can the attacker create the encryption of m⊕1n just given c?If so,explain how.If not,explain why not.e.Same question as part(d)except that now m is encrypted using Galois Counter Mode(GCM).Can the attacker create the encryption of m⊕1n just given c?If so,explain how.If not,explain why not.f.Let G be a group in which the Computational Diffie-Hellman problem(CDH)is easy.Thatis,there is an efficient algorithm A that for all x,y∈Z,given(g,g x,g y)∈G3outputsg xy.Can this algorithm be used to break the ElGamal encryption system in G?If so,explain how.If not,explain why not.1Problem2.Luby-RackoffRecall that the Luby-Rackofftheorem states that using a secure PRF in a three round Feistel network results in a secure block cipher.Let’s see what goes wrong if we only use a two round Feistel.Let F:K×{0,1}32→{0,1}32by a secure PRF.Recall that a2-round Feistel defines the following block cipher F2:K2×{0,1}64→{0,1}64:Here R is the right32bits of the64-bit string and L is the left32bits.a.Draw the circuit for F−1(k,·).2b.Show that F2can be distinguished from a truly random one-to-one function with advantageclose to1.Hint:Think about querying the PRF challenger at two points and xoring the results.Then see if you canfind a relation among the returned values that will let you distinguishthe PRF from random.Problem3.Recall that Lamport signatures are one-time signatures built from a one-way func-tion f.Key generation outputs a public key containing O(n)points in the image of f.A signature on an n-bit message is a set of O(n)pre-images of certain points in the public key.Show that the length of Lamport signatures can be reduced by a factor of t at the cost of expanding the public and secret keys by a factor of at most2t.Make sure to describe your key generation,signing,and verification algorithms.Hint:Think of signing t bits of the message at a time as opposed to just one bit at a time.(in fact,one can shrink the size of Lamport signatures by a factor of t without expanding the public key.This is a little harder and not discussed here.)2Problem4.Private equality test.Suppose Alice has a secret number a∈Z q and Bob has a secret number b∈Z q,for some prime q.They wish to design a private equality protocol,namely a protocol such that at the end,if a=b Alice learns that fact,but if a=b then Alice learns nothing else about b.Either way Bob learn nothing about a.Think of a and b as hashes of afile.The two want to test if they have the samefile without leaking any other information about the contents of theirfiles.Let E be a public key encryption system with message space Z q.E satisfies the following property:given pk and c1=E(pk,x)and c2=E(pk,y)for x,y in Z q it is possible to createa new ciphertext c that is a fresh random encryption of x+y,namely c=E(pk,x+y)and cis independent of c1and c2.An encryption scheme with this property is said to be additively homomorphic.Now,Alice proposes the following protocol:–Alice generates a pk/sk pair for E and sends pk and c1:=E(pk,a)to Bob.–Bob chooses random s R←Z q∗and computes the encryption of E(pk,s(a−b)).Call the resulting ciphertext c2.Bob sends c2back to Alice.a.Explain how Bob computes c2given pk,c1and s.Hint:you will need to use a variant of the repeated squaring algorithm.b.Explain how Alice uses c2and her secret key to test if a=b.If a=b,explain why Alicelearns nothing about b other than the fact that a=b.c.Let G be a group of order q where the Decision Diffie Hellman problem is hard.Let g bea generator of G and let E be the following variant of ElGamal encryption:the publickey is pk=(g,h=g d)and the secret key is d.The“encryption”of a message a∈Z q isdefined as:E(pk,a)=(g r,h r+a)where r R←Z qShow that given E(pk,a)Alice can use her secret key d to compute h a.Note that thissystem is not really an encryption system since Alice cannot fully recover the plaintext afrom a given ciphertext.d.Explain how to instantiate the protocol above using the system from part(c).Describeexactly what message Alice would send to Bob,how Bob would respond,and how Alicewould learn the comparison result.3Problem5.Challenge response from weak PRFs.Let F:K×X→{0,1}n be a PRF where the input space X is large(so that1/|X|is negligible).We say that F is weakly secure if the adversary cannot distinguish F from a truly random function f:X→{0,1}n when the adversary only sees the evaluation of F(k,·)at random points.That is,the adversary is given pairs(x i,f(x i))for i=1,...,q where all x i are chosen at random in X,and is supposed to distinguish the case where f is a truly random function from the case where f is a random instance of the PRF.a.Write the precise security game defining a weakly secure PRF and define the advantagefunction for this game.Say that F is weakly secure if no efficient adversary can win thegame with non-negligible advantage.b.Let F:K×X→{0,1}n be a secure PRF(in the standard sense)and defineF (k,x)=k if x=0 F(k,x)otherwiseb.1.Is F a secure PRF in the standard sense?If so explain why,if not give an attack.b.2.Is F a weakly secure PRF?If so explain why,if not give an attack.c.Suppose we use a weakly secure PRF in the standard MAC-based challenge-response pro-tocol.That is,we directly use the weakly secure PRF as the MAC in this protocol.Is the resulting authentication protocol secure against active attacks?Hint:Give an example weakly secure PRF for which there is an active attack on the resulting challenge-response protocol.Note:it is possible to design an authentication protocol secure against active attacks from a weakly secure PRF,but we will leave that as a puzzle for another time.4。

《密码学》期末考试试卷新乡学院 2013-2014 学年度第一学期《密码学》期末考试试卷2010级信息与计算科学专业，考试时间：100分钟，考试方式：随堂考，满分100分一、判断题（每小题2分，正确的在后面的括号内打“√”，错误的在后面的括号内打“×”）1. 1976年，美国数据加密标准（DES）的公布使密码学的研究公开，从而开创了现在密码学的新纪元，失眠墓穴发展史上的一次质的飞跃。

（）2. 密码学的发展大致经历了两个阶段：传统密码学和现在密码学。

（）3. 现在密码体质的安全性不应取决于不易改变的算法，而应取决于可是随时改变的密钥。

（）4. Hash函数也称为散列函数、哈希函数、杂凑函数等，是一个从消息空间到像空间的可逆映射。

（）5. 成熟的公钥密码算法出现以后，对称密码算法在实际中已无太大利用价值了。

（）二、选择题（每小题2分，将正确答案的标号写在后面的括号内）1. 若Alice要向Bob分发一个会话密钥，采用ElGamal公钥加密算法，那么Alice对该回话密钥进行加密应该选用的是（）（A）Alice的公钥（B）Alice 的私钥（C）Bob的公钥（D）Bob的私钥2. 下列算法中，不具有雪崩效应的是（）（A）DES加密算法（B）序列密码的生成算法（C）哈希函数（D）RSA加密算法3. 下列选项中，不是Hash函数的主要应用的是（）（A）数据加密（B）数字签名（C）文件校验（D）认证协议4. 对于二元域上的n元布尔函数，其总个数为（）（A）n2（B）n22（C）n2（D）以上答案都不对5. 下列密码算法中，不属于序列密码范畴的是（）（A）RC4算法（B）A5算法（C）DES算法（D）WAKE算法三、填空题（每小题1分，共20分）1. 序列密码通常可以分为____序列密码和____序列密码。

2. 布尔函数是对称密码中策重要组件，其表示方法主要有____表示、____表示、____表示、____表示、____表示、____表示等。

密码学本科毕业考试真题试卷一、选择题1.下列哪项不是密码学的基本概念？A.明文B.密文C.秘钥D.程序2.以下哪种密码算法属于对称加密算法？A. RSAB. AESC. ECCD. Diffie-Hellman3.在公钥加密算法中，用于加密的密钥是：A. 公钥B. 对称密钥C. 私钥D. 公开秘钥4.以下哪种密码算法常用于数字签名？A. MD5B. SHA-256C. AESD. DES5.在密码学中，解密过程中使用的密钥与加密过程中使用的密钥相同的加密算法是：A. 对称加密算法B. 非对称加密算法C. 混合加密算法D. 不可逆加密算法二、填空题6. DES的秘钥长度为________位。

7. RSA算法中，加密密钥由_______和________组成。

8. 在数字签名中，签名过程使用私钥，验证过程使用________。

9. HMAC算法是一种用于消息认证的________码算法。

三、简答题10. 请简要比较对称加密算法与非对称加密算法的优缺点。

11. 什么是数字证书？数字证书的作用是什么？12. 请简要介绍一种常用的哈希算法，并说明其在密码学中的应用。

四、综合题13. 请根据以下信息设计一个基本的密码方案：明文：HELLO对称加密算法使用的密钥：123456非对称加密算法的公钥：RSA_PUBLIC_KEY哈希算法：SHA-256请分别进行对称加密、非对称加密与数字签名，并说明加密、解密、签名、验证的过程。

以上为密码学本科毕业考试真题试卷，请同学们认真作答，祝顺利通过考试！。

习题：一、填空1．抗击主动攻击的主要途径是检测，抗击被动攻击的重点是预防。

2．篡改是指非授权用户对系统的数据完整性进行攻击。

3．密码编码学是对信息进行编码而实现隐蔽信息的一门学问。

4．加密算法是指密码员对明文进行加密时所采用的一组规则。

5．用KDC 为用户分配密钥时，不仅要求用户都信任KDC ，同时还要求为KDC 提供保护。

6．单钥密码体制中解密和加密使用同一密钥。

7.迄今为止，网络和通信安全的最重要的措施是加密。

8.n 级线性反馈移位寄存器最多有2n 个不同状态。

9. 数字签名可以实现消息的不可否认性。

10.公钥密码体制中，一个密钥是公开的，用于加密；另一个密钥是保密的，用于解密。

11.密码体制从原理上可分为单钥密码体制和双钥密码体制两大类。

12.一个n 级LFSR 的状态周期小于等于2n -1。

13.DES 算法是一个明文长度为64位，有效密钥长度为56位的分组密码算法。

二、简答1.密钥有哪些种类？ 初始密钥，会话密钥，密钥加密密钥，主机主密钥。

2.写出MAC 的3种基本使用方式。

用常规表达解释：A →B ：)](||[12M C ME K KMAC 的3种基本使用方式(a)A →B ：M||C k (M)提供认证：计算C k (M)，M 连接C k (M)。

仅A 、B 共享K 。

(b)A →B ：E K2[M||C k1(M)]提供明文认证和保密：计算C k1(M)，M 连接C k1(M)，依K 2加密M||C k1(M)。

仅A 、B 共享K 1、K 2。

(c)A →B ：E K2[M]||C k1[E K2(M)]提供密文认证和保密：依K 2加密M ，计算C k1[E K2(M)]，E K2[M]连接C k1[E K2(M)]。

仅A 、B 共享K 1、K 2。

3.根据用途，消息认证与数字签名有何区别？消息认证有何不足？如何解决？消息认证可以保护通信双方免遭第三方攻击，但保护通信双方的一方防止另一方的欺骗和伪造，消息认证就不够了，而数字签名就可以有效地解决这个问题。

9月《密码学》作业考核试题及答案参考9密码学是现代信息安全领域中的一门重要学科，它涉及加密与解密技术、密码算法及其分析等内容。

为了加深对密码学的理解和掌握，本文将介绍9月《密码学》作业考核试题及答案参考。

第一部分：选择题1. 在密码学中，对称加密算法和非对称加密算法的区别是什么？（）A. 密钥长度不同B. 加密速度不同C. 加密算法不同D. 加密解密使用的密钥是否相同答案：D解析：对称加密算法和非对称加密算法是根据密钥的使用方式来区分的。

对称加密算法使用相同的密钥用于加密和解密，而非对称加密算法使用一对密钥，公钥用于加密，私钥用于解密。

2. RSA算法中，选择的两个大素数p和q应该满足的条件是什么？（）A. p和q相等B. p和q互质C. p和q之差为1D. p和q之和为1答案：B解析：RSA算法中，选择的两个大素数p和q应该满足互质的条件，即它们的最大公约数为1。

第二部分：填空题1. 信息安全的三大目标是保密性、完整性和（）。

答案：可用性2. 在密码学中，将明文通过算法转换成密文的过程称为（）。

答案：加密3. 用于对称加密的密钥长度一般为（）位。

答案：128第三部分：简答题1. 请简要说明对称加密算法的工作原理。

答：对称加密算法的工作原理是通过采用同一个密钥进行加密和解密。

在加密过程中，将明文划分为固定长度的块，然后通过密钥和加密算法将这些块转换成对应的密文块。

在解密过程中，通过相同的密钥和解密算法，将密文块还原为明文块。

对称加密算法的优点是加密解密速度快，但在密钥管理方面存在一定的难题。

2. RSA算法中公钥和私钥的作用分别是什么？答：RSA算法中，公钥用于加密过程，私钥用于解密过程。

发送方使用公钥将明文加密后发送给接收方，接收方使用私钥解密得到原始的明文。

公钥是公开的，任何人都可以使用公钥进行加密，但只有持有私钥的人才能解密密文。

3. 请简要介绍数字签名的作用和实现原理。

答：数字签名是一种用于验证文件或数据的完整性和真实性的技术。

密码学作业作业要求1按下面各题要求回答问题；2上机进行实验3索引二篇公开发表有关计算机密码学的文章。

时间发表在2009年以后4考试当日，答题前交到监考老师处（二篇文章，本作业）二.密码体制分类密码体制从原理上可分为两大类，即单钥体制和双钥体制。

单钥体制的加密密钥和解密密钥相同。

采用单钥体制的系统的保密性主要取决于密钥的保密性，与算法的保密性无关，即由密文和加解密算法不可能得到明文。

换句话说，算法无需保密，需保密的仅是密钥。

换句话说，算法无需保密，需保密的仅是密钥。

根据单钥密码体制的这种特性，单钥加解密算法可通过低费用的芯片来实现。

密钥可由发送方产生然后再经一个安全可靠的途径（如信使递送）送至接收方，或由第三方产生后安全可靠地分配给通信双方。

如何产生满足保密要求的密钥以及如何将密钥安全可靠地分配给通信双方是这类体制设计和实现的主要课题。

密钥产生、分配、存储、销毁等问题，统称为密钥管理。

这是影响系统安全的关键因素，即使密码算法再好，若密钥管理问题处理不好，就很难保证系统的安全保密。

单钥体制对明文消息的加密有两种方式：一是明文消息按字符（如二元数字）逐位地加密，称之为流密码；另一种是将明文消息分组（含有多个字符），逐组地进行加密，称之为分组密码。

单钥体制不仅可用于数据加密，也可用于消息的认证。

双钥体制是由Diffie和Hellman于1976年首先引入的。

采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公布；另一个则是秘密的。

因此双钥体制又称为公钥体制。

双钥密码体制的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的消息只能由一个用户解读，或由一个用户加密的消息而使多个用户可以解读。

前者可用于公共网络中实现保密通信，而后者可用于实现对用户的认证。

三.扩散和混淆扩散和混淆是由Shannon提出的设计密码系统的两个基本方法，目的是抗击敌手对密码系统的统计分析。

密码学试题及答案密码学是研究加密和解密技术的学科，它在保护信息安全方面发挥着重要作用。

以下是一份密码学试题及答案，供学习和参考。

# 密码学试题一、选择题（每题2分，共20分）1. 密码学中的“凯撒密码”属于哪种类型的密码？A. 替换密码B. 置换密码C. 公钥密码D. 对称密钥密码2. 下列哪项不是对称加密算法的特点？A. 加密和解密使用相同的密钥B. 加密速度快C. 密钥必须在通信双方之间安全共享D. 密钥长度可以很短3. RSA加密算法是基于哪个数学难题？A. 大整数分解B. 离散对数问题C. 素数分解D. 椭圆曲线问题4. 在密码学中，以下哪个概念用于衡量密码系统的安全性？A. 密钥长度B. 算法复杂度C. 密钥空间大小D. 所有上述选项5. 以下哪种攻击方式是针对公钥密码系统的？A. 重放攻击B. 侧信道攻击C. 已知明文攻击D. 选择密文攻击二、简答题（每题10分，共30分）6. 简述对称加密和非对称加密的区别。

7. 解释什么是数字签名，并说明它在电子商务中的应用。

8. 描述一次密码本（One-Time Pad）密码系统的工作原理及其安全性。

三、计算题（每题25分，共50分）9. 给定一个简单的凯撒密码，明文为“HELLO”，密钥为3，求加密后的密文。

10. 假设你有一个RSA公钥（e=17, n=3233），以及一个使用该公钥加密的密文C=2201。

请计算原始明文M。

# 密码学试题答案一、选择题答案1. A2. D3. A4. D5. D二、简答题答案6. 对称加密和非对称加密的主要区别在于使用的密钥类型和加密解密过程。

对称加密使用相同的密钥进行加密和解密，而非对称加密使用一对密钥，即公钥和私钥，公钥用于加密，私钥用于解密。

7. 数字签名是一种用于验证数字信息真实性的技术，它使用私钥加密信息的散列值，任何人都可以使用相应的公钥来验证签名。

在电子商务中，数字签名用于确保交易的安全性和完整性，防止伪造和篡改。