ElGamal和背包体制

合集下载

信息安全工程师综合知识大纲考点：密码体制分类

信息安全工程师综合知识大纲考点：密码体制分类【考点分析】：重点掌握。

【考点内容】：根据密钥的特点，密码体制分为私钥和公钥密码体制两种，而介入私钥和公钥之间的密码体制称为混合密码体制。

一、私钥密码体制私钥密码体制又称为对称密码体制，当用户应用这种体制时，消息的发送者和接收者必须事先通过安全渠道交换密钥，以保证发送消息或接收消息时能够有供使用的密钥。

特点：一个密钥（加密和解密使用相同的密钥）。

优点：加解密简单（私钥密码算法处理速度快，常将其用作数据加密处理）。

缺点：密钥分配问题、密钥管理问题、无法认证源。

典型算法：DES、IDEA、AES等。

二、公钥密码体制1976年，W.Diffie和M.E.Hellman发表《密码学新方向》提出公钥密码体制思想。

公钥密码体制又称为非对称密码体制，其基本原理是在加密和解密的过程中使用不同的密钥处理方式，其中，加密密钥可以公开，而只需要把解密密钥安全存放即可。

在安全性方面，密码算法即使公开，由加密密钥推知解密密钥也是计算不可行的。

不适合大数据、明文加密。

特点：双密钥、用公钥推私钥在计算上不可行。

优点：密钥分发方便、密钥保管量少、支持数字签名。

缺点：加密速度慢（密钥有1024位，计算量大，不适合加密大数据）。

原理：发送方甲方和接收方乙方都分别有各自的公钥和私钥，且甲方的公钥加密只能由甲方的私钥解密，乙方同。

双方的公钥是可以共享的，但是私钥只能自己保密，此时，甲方要传输数据给乙方，明显应该使用乙方的公钥来加密，这样，只有使用乙方的私钥才能解密，而乙方的私钥只有乙方才有，保证了数据的保密性，也不用分发解密的密钥。

目前由三种公钥密码体制类型被证明是安全和有效的，即RSA体制，ELGamal体制及椭圆曲线密码体制。

三、混合密码体制混合密码体制利用公钥密码体制分配私钥密码体制的密钥，消息的收发双方共用这个密钥，然后按照私钥密码体制的方式，进行加密和解密运算。

混合密码体制的工作原理：第一步，消息发送者Alice用对称密钥把需要发送的消息加密。

elgamal公钥密码体制

ElGamal公钥密码体制是一种基于离散对数问题的非对称加密算法，由Tahir ElGamal 在1985年提出。

在ElGamal密码体制中，公钥包括一个大素数和该素数的一个本原元，私钥则是一个随机数。

通过公钥加密的消息可以使用私钥进行解密，而私钥签名的消息可以使用公钥进行验证。

ElGamal公钥密码体制的安全性基于离散对数问题的难解性，即在一个有限域中，给定元素g和h，找到整数x使得h=g^x在计算上是不可行的。

由于离散对数问题的难解性，ElGamal密码体制可以提供较高的安全性。

与RSA算法相比，ElGamal算法在加密和签名方面都具有较高的效率和灵活性。

此外，由于ElGamal算法是基于离散对数问题的，因此它可以用于构造其他密码学方案，如数字签名、密钥协商等。

需要注意的是，虽然ElGamal公钥密码体制具有较高的安全性，但在实际应用中仍需要注意密钥的生成、存储和使用安全，以避免潜在的安全风险。

对称密码体制和非对称密码体制

对称密码体制和非对称密码体制一、对称加密(Symmetric Key Encryption)对称加密是最快速、最简单的一种加密方式，加密（encryption）与解密（decryption）用的是同样的密钥（secret key）。

对称加密有很多种算法，由于它效率很高，所以被广泛使用在很多加密协议的核心当中。

自1977年美国颁布DES（Data Encryption Standard）密码算法作为美国数据加密标准以来，对称密码体制迅速发展，得到了世界各国的关注和普遍应用。

对称密码体制从工作方式上可以分为分组加密和序列密码两大类。

对称加密算法的优点：算法公开、计算量小、加密速度快、加密效率高。

对称加密算法的缺点：交易双方都使用同样钥匙，安全性得不到保证。

此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量呈几何级数增长，密钥管理成为用户的负担。

对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。

而与公开密钥加密算法比起来，对称加密算法能够提供加密和认证却缺乏了签名功能，使得使用范围有所缩小。

对称加密通常使用的是相对较小的密钥，一般小于256 bit。

因为密钥越大，加密越强，但加密与解密的过程越慢。

如果你只用1 bit来做这个密钥，那黑客们可以先试着用0来解密，不行的话就再用1解；但如果你的密钥有1 MB大，黑客们可能永远也无法破解，但加密和解密的过程要花费很长的时间。

密钥的大小既要照顾到安全性，也要照顾到效率，是一个trade-off。

分组密码：也叫块加密(block cyphers)，一次加密明文中的一个块。

是将明文按一定的位长分组，明文组经过加密运算得到密文组，密文组经过解密运算（加密运算的逆运算），还原成明文组，有 ECB、CBC、CFB、OFB 四种工作模式。

序列密码：也叫流加密(stream cyphers)，一次加密明文中的一个位。

ElGamal公钥密码体制及安全性

下面我们首先计算
γ
2,0
=α
0×(p-1)/2
mod 29
= 20 mod 29 = 1, γ
2,1
=α
1×(p-1)/2mod
29
= 228/2 mod 29
= 28. 因为 = 28 =γ
2,1 ,
0
ß mod 29 = 1828/2 mod 29
所以 a = 1.令
ß = ß α 1 因为
0, 1 e i 1
i

根据目前的计算能力，只有当p-1 的素因子是小素数时，才能有效分解 p-1求得。因此，Pohlig-Hellman 算法适用于p1 的素因子是小素数的情况。例5.8 设p = 29, 则 p-1= 28 = 22×7.设α = 2, ß 18. = 求log 。令log a .
s ( p 1 ) qi
mod p
qi ,s
· ,k, · ·
s = 0, 1,2, ·· i －1. 将这些 q ·
ei i
排成一个
下面利用表L求 a mod q
a mod q
ei i
, i= 1,2,
1 i
· ,k. · ·
e i 1
设
q
ei 1 i
a a q a
0
ß=αd mod p,
所以
k c2(c1d)–1≡mß (α
dk
)
–1
(mod p)
–1(mod
≡mα
dk
(α
dk
)
p) α ∈zp*
≡m(mod p). 因此，解密变换能正确的从密文恢复相应的明文。
5.4.2. ElGamal公钥密码体制的安全性

公钥加密体制

公钥加密体制私钥加密体制（对称加密体制、单钥加密体制）公钥加密体制（非对称加密体制、双钥加密体制）私钥加密体制的优缺点：1．运算速度快，密钥产生容易。

2．当用户很多、分布很广时，密钥的分配的存储就成了大问题；3．不能实现数字签名。

一、Diffie －Hellman 加密体制二、 RSA 加密体制RSA 体制是由R.L.Rivest, A.Shamir 和L.Adlemansh 在1978年提出的。

它既可用于加密、也可用于数字签名，标准化组织ISO ，ITU 及SWIFT 等均已接受RSA 体制作为标准。

RSA 密码体制的提出是密码学史上的一个里程碑，RSA 的基础是数论中的欧拉定理，安全性依赖于大数的因数分解的困难性(即哥德巴赫猜想这一难题)。

由于其算法简单，在实际应用中容易实现，因此在理论上是最为成功的密码体制，它是目前应用最为广泛的公钥密码体制之一。

基于此，第4章中我们采用该密码体制来加密传送会话密钥。

下面给出几个定理及推论，它们是RSA 体制的数学理论背景。

定理2.1（欧拉定理）若整数a 和n 互素，则n a n mod 1)(≡ϕ其中)(n ϕ是比n 小但与n 互素的整数的个数。

特别地，当n 为素数时，由欧拉定理可得下面的推论：推论2.1（费马小定理）若p 为素数，1),(=p a ，则：p a p mod 11≡-根据欧拉定理，可以证明下面的定理，它直接给出关于RSA 密码体制中的解密变换是加密变换的逆的证明。

定理2.2 设p 和q 是两个不同的素数，pq n =，对任意的整数x (n x <≤0)，及任意的非负整数k ，有：)(mod 1)(n x x n k ≡+ϕ定理2.3（中国剩余定理）设k m m m ,,,21 是两两互素的正整数，k m m m M 21=， ii m M M =),,2,1(k i =，则同余式组 k i m b x i i ,,2,1),(mod =≡有唯一解)(mod 222111M y M b y M b y M b x k k k +++≡其中.,2,1),(mod 1k i m y M i i i =≡由于篇幅关系，以上定理及推论的证明略。

第4章-非对称密码体制-网络10

16
回代： 1 =19-6×3 =19-6×（60-3×19）=19×19-6×60 =19×(79-1×60)-6×60=19×79-25×60
=19×79-25×(3220-40×79)
=1019×79-25×3220 两边同时对模3220进行求余运算得
1019×79≡1 mod 3220
于是d =1019 （4）公开公钥PU ={e, n} = {79，3337}
20

ห้องสมุดไป่ตู้
RSA的安全性依赖于大数分解困难，即从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。显然，分解n是最常遇到的攻击方法。在算法中要求p和q均大于100位十进制数，这样的话n至少 200位十进制数，目前人们已能分解140多位的十进制数的大素数。最新记录是129位十进制数的因数分解，在网络通过分布计算被成功分解。估计对200位十进制数的因数分解，在亿次计算机上也要进行55万年。

23
2. 加密过程
（1）在公钥库中查得用户U的公开密钥：y；（2）对于明文m，随机选取一个整数r，r∈[0, p-1] （3）计算 c1≡ gr (mod p) c2 ≡ myr (mod p) （4）将（c1，c2）作为密文发给用户U.。（1）先计算 w ≡ (c1x)-1 (mod p) （2）再计算出明文 m ≡ c2∙w(mod p)
10
图4-2 公钥认证模型
发送方A 攻击者接收方B
消息
M
解密算法 PRA
C
加密算法 PUA
M
消息
密钥源
11
4.2 RSA密码体制
RSA密码体制是1977年由Rivest、Shamir、 Adleman提出的非常著名的公钥密码算法。

信息安全导论(4-3 密码基础-非对称密码)

37
RSA算法的安全性 RSA算法的安全性
RSA的安全性是基于分解大整数困难的假定的安全性是基于分解大整数困难的假定的安全性是基于分解大整数困难
如果RSA的模数被成功地分解为 ×q，则的模数n被成功地分解为如果的模数被成功地分解为p× ，获得φ(n)=(p-1)(q-1)，从而攻击者能够从获得，公钥e解出解出d，公钥解出，即d≡e-1 mod φ(n)，攻击成 ≡ ，功.
由私钥及其他密码信息容易计算出公开密钥由公钥及算法描述，由公钥及算法描述，计算私钥是困难的
因此，因此，公钥可以发布给其他人
6
非对称加密示意图
注意
注意
7
公钥密码的核心是使用一种特殊的函数——单项陷门函数，从一个方向求值单项陷门函数，单项陷门函数是容易的，是容易的，但逆向计算很困难定义：是一个函数是一个函数，定义：设f是一个函数，如果对于任意给定的x，计算y，使得y=f(x)是容易计算定的，计算，使得是容易计算但对于任意给定的y，计算x是难解的，但对于任意给定的，计算是难解即求f的逆函数是难解的则称f是的逆函数是难解的，的，即求的逆函数是难解的，则称是一个单向函数一个单向函数
31
RSA中的计算问题
32
RSA中的计算问题
33
前例
则1＝96－5×19=5*(-19)=5*77 mod96 ＝－ × 5×77＝1 mod96 × ＝下为77 则5的乘法逆元在 mod96下为的乘法逆元在下为
34
例
35
36
验证： × ＝验证：17×17＝289＝3×96＋1＝1 mod96 ＝ × ＋＝
38

现代密码学第八讲：数字签名

1数字签名《现代密码学》第八讲2上章内容回顾公钥密码体制的提出及分类公钥密码体制的基本概念单向陷门函数的概念设计公钥加密算法--背包密码体制RSA算法及攻击方法ElGmal算法椭圆曲线密码体制3本章主要内容数字签名的基本概念一般数字签名算法Z RSA数字签名技术Z 数字签名标准Z 基于离散对数的数字签名Z 椭圆曲线数字签名4数字签名的基本概念手写签名与数字签名的区别手写签名是一种传统的确认方式，如写信、签订协议、支付确认、批复文件等.手写签名是所签文件的物理组成部分；数字信息没有固定的物理载体，如何使数字签名与所签文件捆绑在一起？手写签名通过与标准签名比较或检查笔迹来验证，受验证人主观影响大；二进制数字信息无法用人眼辨识，但可以使用数学算法来验证数字签名，不受验证人主观影响。

手写签名不易复制；二进制数字信息，十分容易复制，所以必须防止数字签名重复使用。

5数字签名和消息认证码的异同：消息完整性验证、消息源认证.消息认证的作用是保护通信双方以防第三方的攻击，然而却不能保护通信双方中的一方防止另一方的欺骗或伪造.①B伪造一个消息并使用与A共享的密钥产生该消息的认证码，然后声称该消息来自于A.②由于B有可能伪造A发来的消息，所以A就可以对自己发过的消息予以否认.数字签名的基本概念6数字签名技术则可有效解决这一问题, 类似于手书签名，数字签名应具有以下性质：①能够验证签名产生者的身份，以及产生签名的日期和时间.②能保证被签消息的内容的完整性.③数字签名可由第三方公开验证，从而能够解决通信双方的上述争议.数字签名在网络安全中提供数据完整性、数据源认证性、数据不可否认性等性质数字签名的基本概念7所谓数字签名（Digital Signature ），也称电子签名，是指附加在某一电子文档中的一组特定的符号或代码，它是利用数学方法对该电子文档进行关键信息提取并与用户私有信息进行混合运算而形成的，用于标识签发者的身份以及签发者对电子文档的认可，并能被接收者用来验证该电子文档在传输过程中是否被篡改或伪造.81976，W Diffie 和M Hellman 在“New Directions in Cryptography ”, 首先提出了数字签名的思想并猜测存在这样的方案1978，R Rivest, A Shamir, 和L Adleman 发明了RSA 算法可以用作数字签名算法.1984, S Goldwasser, S Micali, 和R Rivest 首次粗略提出了数字签名算法的安全性要求. 2004，中国颁布电子签章法9一般签名算法包含密钥生成（公钥/私钥）消息签名S=Sig x (M)用私钥对消息（消息摘要）进行签名运算消息验证用公钥验证消息的签名是否正确，输出“True ”或“False ”一般数字签名算法()()(),x x x True S Sig M Ver S M False S Sig M =⎧⎪=⎨≠⎪⎩10数字签名的攻击：惟密钥攻击：攻击者只有用户公开的密钥. 已知消息攻击：攻击者拥有一些消息的合法签名，但是消息不由他选择.选择消息攻击：攻击者可以自由选择消息并获取消息的签名.攻击结果：完全破译：攻击者恢复出用户的密钥. 一致伪造：攻击者对于任意消息可以伪造其签名. 选择性伪造：攻击者可以对一个自己选取的消息伪造签名.存在性伪造：攻击者可以生成一些消息的签名，但在伪造前对该消息一无所知.数字签名的基本概念11①参数和密钥生成选两个保密的大素数p 和q ，计算n=p ×q ，φ(n)=(p-1)(q-1)；选一整数e ，满足1<e<φ(n)，且gcd(φ(n),e)=1；计算d ，满足d ·e ≡1 mod φ(n)；以{e,n}为公开钥, {d,n}为秘密密钥.一般数字签名算法--RSA12②签名过程设消息为m ，对其签名为s ≡m d mod n③验证过程接收方在收到消息m 和签名s 后，验证是否成立，若成立，则发送方的签名有效.?mod e m s n≡一般数字签名算法--RSA13加密算法和签名算法同用，攻击者可以方便解密一般攻击者是将某一信息作一下伪装( Blind)，让拥有私钥的实体签署。

密码学的发展历史简介

密码学的发展简史中国科学院研究生院信息安全国家重点实验室聂旭云学号：2004 密码学是一门年轻又古老的学科，它有着悠久而奇妙的历史。

它用于保护军事和外交通信可追溯到几千年前。

这几千年来，密码学一直在不断地向前发展。

而随着当今信息时代的高速发展，密码学的作用也越来越显得重要。

它已不仅仅局限于使用在军事、政治和外交方面，而更多的是与人们的生活息息相关：如人们在进行网上购物，与他人交流，使用信用卡进行匿名投票等等，都需要密码学的知识来保护人们的个人信息和隐私。

现在我们就来简单的回顾一下密码学的历史。

密码学的发展历史大致可划分为三个阶段：第一个阶段为从古代到1949年。

这一时期可看作是科学密码学的前夜时期，这段时间的密码技术可以说是一种艺术，而不是一门科学。

密码学专家常常是凭直觉和信念来进行密码设计和分析，而不是推理证明。

这一个阶段使用的一些密码体制为古典密码体制，大多数都比较简单而且容易破译，但这些密码的设计原理和分析方法对于理解、设计和分析现代密码是有帮助的。

这一阶段密码主要应用于军事、政治和外交。

最早的古典密码体制主要有单表代换密码体制和多表代换密码体制。

这是古典密码中的两种重要体制，曾被广泛地使用过。

单表代换的破译十分简单，因为在单表代换下，除了字母名称改变以外，字母的频度、重复字母模式、字母结合方式等统计特性均未发生改变，依靠这些不变的统计特性就能破译单表代换。

相对单表代换来说，多表代换密码的破译要难得多。

多表代换大约是在1467年左右由佛罗伦萨的建筑师Alberti发明的。

多表代换密码又分为非周期多表代换密码和周期多表代换密码。

非周期多表代换密码，对每个明文字母都采用不同的代换表（或密钥），称作一次一密密码，这是一种在理论上唯一不可破的密码。

这种密码可以完全隐蔽明文的特点，但由于需要的密钥量和明文消息长度相同而难于广泛使用。

为了减少密钥量，在实际应用当中多采用周期多表代换密码。

在16世纪，有各种各样的多表自动密钥密码被使用，最瞩目的当属法国人Vigtnère的Vigenère密码体制。

现代密码学小题整理

一一、是非判断题（10分）1.差分分析是一种攻击迭代密码体制的选择明文攻击方法，所以，对于DES和AES都有一定的攻击效果。

（对）2.反馈移位寄存器输出序列生成过程中，抽头位对输出周期长度的影响起着决定性的作用，而初态对输出周期长度没影响。

（对）二、选择题（15分）1.公钥密码体制至少能抵御的攻击是（C.选择明文攻击）2.适合文件加密，而且有少量错误时不会造成同步失败，是软件加密的最好选择，这种分组密码的操作模式是指（D.输出反馈模式）3.按目前的计算能力，RC4算法的密钥长度至少应为（C.128）位才能保证安全强度。

4.密钥在其生命生命周期中处于不同的状态，每种状态包含若干时期，那么密钥备份时期是密钥处于（B.使用状态）5.量子密码更适合实现下面哪项密码技术。

（D.密钥分发）6.当用户收到一个证书是，应当从（C.CRL）中检查证书是否已经被撤销。

（CRL：证书撤销列表）A.在PKI中，关于RA的功能，下面说法正确的是（B.验证申请者身份）。

7.数字水印是信息隐藏技术研究领域的重要分支，现主要应用领域是（A.版权保护）8.在DES算法中，如果给定初始密钥K，经子密钥产生器产生的各个子密钥都相同，则称该密钥K为弱密钥，DES算法中弱密钥的个数为（B.4个）。

9.生日攻击是针对于下面哪种密码算法的分析方法（D.MD5）。

10.指数积分法是针对下面哪种密码算法的分析方法（C.ElGamal）11.密钥存档是密钥处于（C.过期状态）三、填空题（15分）1.关于DES算法的安全性，若Ek（m）=Dk（m），则这样的密钥称为弱密钥，又其互补性使DES在选择明文攻击下所需的工作量减半。

2.选择合适的n级线性反馈移位寄存器可使序列的周期达到最大值2^n-1，这样序列称为m 序列，但敌手知道这序列中一段长为 n 的明密文对即能破译其后序列的密文。

3.密钥分配和协商的最大区别是：密钥分配是通信双方中一方或密钥分配中心选取一个秘密密钥发给双方，而密钥协商是保密通信双方（或更多方）通过公开信道的通信来共同形成秘密密钥的过程。

计算机安全技术

一、选择题1.单（私）钥加密体制的特点是（A），所以人们通常也称其为对称加密体制。

A.流行码和分组密码B.流密码C.分组密码D.明文密码2.古典密码的工作原理是代换和（B）A.固定B.换位C.加密D.体制3.杂凑函数的性质不正确的是（D）A.混合交换B.抗碰撞攻击C.抗原像攻击D.可靠性4.（A）是密码体制中的一个重要体制，也是手工和机械密码时代的主流。

A.流密码B.分组密码C.机密密码D.顺序密码5.对于一个签名体制，它可由量（M,S,K,V）来表示，下列说法错误的是（A）A.V是验证函数的值域，由真值组成B.S是签名的集合C.K是密钥空间D.M是明文空间6.下列不属于密钥认证的是（D）A.隐形密钥认证B.显示密钥认证C.密钥确证D.密钥确认7.下列不属于密钥协议的是（D）A.密钥建立协议B.认证建立协议C.认证的密钥建立协议D.共享密钥8.下列不属于DSA缺陷的是（A）A.DSA比RSA快B.DSA不能用于加密或密钥分配C.DSA由NSA开发D.DSS与现行国际标准不相容9.Kerberos提供（B）A.加密B.SSOC.远程登录D.本地登录10.在Kerberos中，允许用户访问不同应用程序或服务器的服务器称为（C）A.ASB.TGTC.TGSD.文件服务器11.在Kerberos中，（C）与系统中的每个用户共享唯一一个口令。

A.ASB.TGTC.TGSD.文件服务器12.防火墙应位于（C）A.公司网络内部B.公司网络外部C.公司网络与外部网络之间D.都不对13.应用网关的安全性（B）包过滤防火墙。

A.不如B.超过C.等于D.都不对14.通用入侵检测系统模型主要由数据收集器、检测器、（D）和控制器4个部分组成。

A.配置信息B.测试器C.探测器D.知识库15. （D）是一个CCA，而且除了对目标密文解密外，还能够得到解密服务。

A.CPAAC.CPAA216.Rueppel[1986b]用一个更清楚的桩图，将密钥生成器分成两个主要组成部分，即驱动部分和（C）A.生成部分B.分组部分C.组合部分D.加密部分17.（A）是欧洲数字蜂窝移动电话系统中采用的加密算法，用于电话手机到基站线路上的加密。

信息安全概论第四章公钥密码体制

14
Diffie-Hellman密钥交换算法密钥交换算法
Diffie和Hellman在其里程碑意义的文章中，虽然给出了密码的思想，但是没有给出真正意义上的公钥密码实例，也既没能找出一个真正带陷门的单向函数然而，他们给出单向函数的实例，并且基于此提出Diffie-Hellman密钥交换算法
13
常用的公开密钥算法
公钥算法的种类很多，具有代表性的三种密码：公钥算法的种类很多，具有代表性的三种密码：基于整数分解难题（IFP）的算法体制基于整数分解难题（IFP）的算法体制(RSA) 基于离散对数难题（DLP）算法体制基于离散对数难题（DLP）算法体制(ElGamal) 基于椭圆曲线离散对数难题（ ECDLP ）的算法体制基于椭圆曲线离散对数难题（ ECDLP） (ECC)
3
4.1 公钥密码体制的基本原理
对称算法的不足
（1）密钥管理量的困难传统密钥管理：两两分别用一个密钥时，传统密钥管理：两两分别用一个密钥时，则n个用户需 C(n,2)=n(n-1)/2个密钥当用户量增大时，个密钥，要C(n,2)=n(n-1)/2个密钥，当用户量增大时，密钥空间急剧增大。间急剧增大。如: n=100 时， C(100,2)=4,995 n=5000时 n=5000时， C(5000,2)=12,497,500 （2）密钥必须通过某一信道协商，对这个信道的安全密钥必须通过某一信道协商，性的要求比正常的传送消息的信道的安全性要高
7
公开密钥密码的重要特性
฀
加密与解密由不同的密钥完成 Y: X: Y = EKU(X) X = DKR(Y) = DKR(EKU(X))
加密: X฀ 解密: Y฀
฀ 知道加密算法,从加密密钥得到解密密钥在计算上 , 是不可行的 ฀ 两个密钥中任何一个都可以用作加密而另一个用作解密(不是必须的) X = DKR(EKU(X))

2010信息安全作业答案

第一章（1）什么是计算机/信息系统安全？国际标准化组织ISO对“计算机安全”的定义：是指为信息处理系统建立和采取的技术上的和管理上的安全保护措施，保护系统中硬件、软件及数据，不因偶然或恶意的原因而遭受破坏、更改或泄漏。

由于信息系统是以计算机为工具，对信息进行采集、存储、加工、分析和传输的，因此计算机安全又可称为信息系统安全。

（2）信息系统的安全目标是什么？安全目标是指能够满足一个组织或者个人的所有安全需求，通常包括保密性、完整性和可用性。

保密性：防止非授权访问信息。

完整性：防止非法篡改和破坏信息。

可用性：防止系统拒绝服务。

（3）安全攻击有哪两类？主动攻击和被动攻击。

（4）主动攻击和被动攻击的区别是什么？1）被动攻击被动攻击的特征是对传输进行窃听和监测，目的是获得传输的信息，不对信息做任何改动，因此被动攻击主要威胁信息系统的保密性。

常见的被动攻击包括消息内容的泄漏和流量分析等。

（2）主动攻击主动攻击目的在于篡改或者伪造信息、也可以是改变系统的状态和操作。

主动攻击主要威胁信息的完整性、可用性和真实性。

常见的主动攻击包括：伪装、篡改、重放和拒绝服务等。

（5）信息系统常见的攻击有哪些？泄漏：消息的内容被泄露或透露给某个非授权的实体。

例如在通信线路中，通过电磁辐射侦截传输中的保密信息。

流量分析（Traffic Analysis）：利用统计分析方法对通信双方的标识、通信频度、消息格式等参数进行研究，从中发现有价值的信息和规律。

篡改：指对合法用户之间的通信消息进行修改或者改变消息的顺序。

伪装：指一个实体冒充另一个实体。

例如非法用户冒充成系统的合法用户，对系统信息进行访问。

重放（Replay Attack）：将窃取的信息修改或排序后重放，从而造成信息重复和混乱。

拒绝服务（DOS,Denial of Service）：指阻止对信息或其它资源的合法访问。

病毒：是指编制或在计算机系统中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

密码技术竞赛试题库—单项选择题汇总

单项选择题密码攻击方法题1.根据密码分析者所掌握的信息多少，可将密码分析分为：选择密文攻击、已知明文攻击、选择明文攻击和（）A.唯密文攻击B.唯明文攻击C.直接攻击D.已知密文攻击2.线性密码分析方法本质上是一种（）的攻击方法A.唯密文攻击B.已知明文攻击C.选择明文攻击D.选择密文攻击3.最佳放射逼近分析方法是一种（）的攻击方法A.选择密文攻击B.唯密文攻击C.选择明文攻击D.已知明文攻击4.时间-存储权衡攻击是一种（）的攻击方法A.唯密文攻击B.已知明文攻击C.选择明文攻击D.选择密文攻击5.分别征服分析方法是一种（）的攻击方法A.唯密文攻击B.已知明文攻击C.选择明文攻击D.选择密文攻击6.时间-存储权衡攻击是由穷尽密钥搜索攻击和（）混合而成A.强力攻击B.字典攻击C.查表攻击D.选择密文攻击7.（）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。

A.仿射密码B.维吉利亚密码C.轮转密码D.希尔密码8.下列攻击方法可用于对消息认证码攻击的是（）A.选择密文攻击B.字典攻击C.查表攻击D.密钥推测攻击9.下列攻击方法可用于对消息认证码攻击的是（）A.重放攻击B.字典攻击C.查表攻击D.选择密文攻击10.字母频率分析法对（）算法最有效。

A.置换密码B.单表代换密码C.多表代换密码D.序列密码11.重合指数法对（）算法的破解最有效。

A.置换密码B.单表代换密码C.多表代换密码D.序列密码12.根据密码分析者所掌握的分析资料的不通，密码分析一般可分为4类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（）。

A.唯密文攻击B.已知明文攻击C.选择明文攻击D.选择密文攻击13.对DES的三种主要攻击方法包括强力攻击、差分密码分析和（）A.字典攻击B.穷尽密钥搜索攻击C.线性密码分析D.查表攻击14.下列攻击方法属于对单项散列函数的攻击的是（）A.生日攻击C.查表攻击D.选择密文攻击计算题1.在RSA算法中，取p=3，q=11，e=3，则d等于（）。

计算机三级网络技术加密技术概述

计算机三级网络技术加密技术概述计算机三级网络技术加密技术概述引导语;加密技术，是电子商务采取的主要安全保密措施，是最常用的安全保密手段。

以下是店铺分享给大家的计算机三级网络技术加密技术概述，欢迎阅读!1.密码学基本概念(1)密码学基本术语明文：原始的消息。

密文：加密后的消息。

加密：从明文到密文的变换过程。

解密：从密文到明文的变换过程。

密码编码学：研究各种加密方案的学科。

密码体制或密码：加密方案。

密码分析学(破译)：研究破译密码获得消息的学科。

密码学：密码编码学和密码分析学的统称。

(2)密码编码学密码编码学具有3个独立的特征。

①转换明文为密文的运算类型。

所有的加密算法都基于两个原理：代换和置换。

②所用的密钥数。

如果发送方和接收方使用相同的密钥，这种密码就是对称密码、单密钥密码或传统密码：否则就是非对称密码、双钥密码或公钥密码。

③处理明文的方法。

加密算法可以分为分组密码和流密码。

分组密码每次处理一个输入分组，相应输出一个分组。

典型的分组是64位或128位。

而流密码是连续地处理输入元素，每次输出一个元素。

一般而言，分组密码的引用范围要比流密码广泛。

绝大多数基于网络的对称密码应用使用的都是分组密码。

(3)密码分析学攻击密码体制一般有两种方法：①密码分析学。

密码分析学的攻击依赖于算法的性质和明文的一般特征或某些明密文对。

②穷举攻击。

攻击者对一条密文尝试所有的可能的密钥，直到解密。

基于加密信息的攻击类型见下表。

一般来说，加密算法起码要能经受得住已知明文攻击。

(4)无条件安全与计算上的安全如果无论有多少可使用的密文，都不足以惟一地确定由该体制产生密文所对应的明文，则加密体制是无条件安全的。

加密体制满足以下两个条件才是计算上安全的。

①破译密码的代价超出密文信息的价值。

②破译密码的时间超出密文信息的有效生命期。

(5)代换与置换技术代换与置换技术是几乎所有的对称加密用到的两种技巧。

代换法是将明文字母替换成其他字母、数字或符号的方法。

计算机安全技术

计算机安全技术三．名词解释1．解释换位密码：通过重新排列消息中元素位置而不改变元素本身来重换一个消息的密码称换位密码。

2．解释A5的含义：A5是欧洲数字解密移动电话系统（Group Special Mobile GSM）中采用的加密算法。

用于电话手机到基站线路上的加密。

3．什么是AC：AC（Attribute Certificate ，AC）即属性证书，对于一个实体的权限绑定是由一个数字签名了的数据结构来提供的，这种数据结构被称为属性证书。

4．什么是基本密钥：是由用户选定或系统分配给他的，可在较长时间内由一对用户专门使用的秘密密钥。

5．什么是入侵检测系统：所有能够执行入侵检测任务检测功能的系统都可以称为入侵检测系统，其中包括软件系统或软硬件结合系统。

6．DES：是分组密码，其中的消息被分成定长的数据分组，每一组称为M或C中的一个消息。

7．PKI：是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。

8．会话密钥：两个通信终端用户在一次通话或交换数据时所用的密钥。

9．密钥加密密钥：用于对所传送的会话或文件密钥进行加密的密钥，也称次主密钥。

10．滥用检测：是入侵检测一个重要方法，匹配性比较单一。

11．RC5：由R.Rvist设计，是RCA实验室的一个产品。

12．背包密钥体制：是由Merkle和Hellman于1978年提出的第一个双钥算法。

13．RA：RA（注册机构）是数字证书的审批机构。

是认证中心的延伸，与CA在逻辑上是一个整体，执行不同的功能。

14．A3:用于移动设备到GSM网络认证。

15．数据挖掘技术：是一项通用的知识发现技术，其目的是要从海量数据中提取用户有用的数据。

16．简单阐述ElGamal密码体制：由ElGamal提出，它是一种基于离散对数问题的双钥密码体制，即可用于加密，又可以用于签名。

17．解释CA含义：CA也称为数字证书认证中心，作为最具有权威性，公正性的第三方可信机构，是PKI核心机构。

密码竞赛单选题库

答案100%正确1.一份文件为机密级，保密期限是10年，应当标注为_____。

（C ）A.机密10年B.机密★C.机密★10年D.机密★★10年2.下列密码体制是对Rabin方案的改进的是（B）A.ECCB.WilliamsC.McElieceD.ELGamal3.领导干部阅办秘密文件、资料和办理其他属于国家秘密的事项，应在_____内进行。

（A ）A.办公场所B.家中C.现场D.保密场所4.Vigenere密码是由（C）国密码学家提出来的。

A.英B.美C.法D.意大利5.下列几种加密方案是基于格理论的是（D ）A.ECCB.RSAC.AESD.Regev6.希尔密码是由数学家Lester Hill于（）年提出来的。

CA.1927B.1928C.1929D.19307.维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（）。

CA.置换密码B.单表代换密码C.多表代换密码D.序列密码8.密钥为“ISCBUPT”，利用Playfair密码算法，将明文“steganographia”加密，其结果为（A）。

A.GNTLTONHOEAFCPB.GNTLTONHOEBFCPC.GNTLTONHOEAFCTD.GNTLTONHOHAFCP9.凯撒密码体制是一种加法密码，现有凯撒密码表，其密钥为k=3，将密文mldrbxnhsx解密后，明文为（C）。

A.jiaoyukepxB.ijaoyukepuC.jiaoyukepuD.aojuyukepu10.二战时期的日本海军使用的_____系列密码使得日本在二战初期的密码战中处于领先地位。

（C）A.“紫色”B.“红色”C.JND.JPN11.机密级计算机，身份鉴别口令字的更新周期为_____。

（B ）A.3天B.7天C.15天D.18天12.下列攻击方法可用于对消息认证码攻击的是（A）A.重放攻击B.字典攻击C.查表攻击D.选择密文攻击13.确定保密要害部门、部位应当遵循的原则是_____。

全国密码技术竞赛题库

1.置换密码又叫（C）A.代替密码B.替换密码C.换位密码D.序列密码2.泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动，情节严重，构成犯罪的，依法追究_____责任。

（ B）A.民事B.刑事C.刑事和民事D.保密3.下列密码体制是对Rabin方案的改进的是（B ）A.ECCB.WilliamsC.McElieceD.ELGamal4.希尔密码是由数学家（A）提出来的。

A.Lester HillB.Charles WheatstoneC.Lyon PlayfairD.Blaise de Vigenere5.下列几种加密方案是基于格理论的是（ D）A.ECCB.RSAC.AESD.Regev6.电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后_____。

（ A）A.五年B.十年C.十五年D.二十年7.实际安全性分为可证明安全性和（ C）A.加密安全性B.解密安全性C.计算安全性D.无条件安全性8.某文件标注“绝密★”，表示该文件保密期限为_____。

（A ）A.30年B.20年C.10年D.长期9.若Bob给Alice发送一封邮件，并想让Alice确信邮件是由Bob发出的，则Bob应该选用（ D）对邮件加密。

A.Alice的公钥B.Alice的私钥C.Bob的公钥D.Bob的私钥10.首次提出公钥密码体制的概念的著作是（B ）。

A.《破译者》B.《密码学新方向》C.《保密系统的通信理论》D.《学问的发展》11.利用椭圆曲线实现 ElGamal 密码体制，设椭圆曲线是 E11(1,6)，生成元 G=(2,7)，接收方 A的私钥钥 nA=7，公钥 PA= (7, 2)，发送方 B 欲发送消息 Pm=(10,9)，选择随机数 k=3，求密文 Cm=（ C）。

A.{ (2,3), (5, 2) }B. { (3,2), (6, 2) }C.{ (8,3), (10, 2) }D.{ (6,5), (2, 10) }12.计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（B）。

基于布尔置换的ElGamal体制

ｗ（ｎｔ＝。任意ｎ元布尔函数厂有多项式表示：都
－）ａａｊ…＋／ｎａ＇Ｘ …＋１Ｉ＋ａ．ｌ… 厂＝ｏｊ＋ｔ＋ｌＩ＋％＿Ｘ …＋ｊ（＋ｘ，ｒｆ２ｔ￣ｆ２２
ｓｏ＋
个比较完善的公钥密码体制，ＳＲＡ体制。后来人们叉提出了大
１前言
在公钥密码系统中，密密钥和加密密钥不同，一个难解从于推出另一个．密和加密是可分离的，信双方无须事先交解通换密钥就可以建立起保密通信。公钥密码系统的观点是由Ｄ珩ｅ和Ｈｌｎ１１７ｉｅｍａｔｌ￣９６年首次提出的．使密码学发生了一在它场本质的变革。１７９７年由Ｒｖｓ，ｈｍｒＡｌｍｎ１出了一ｉｔＳａｉ和ｄａｔｅｅ２提
ｉｆｒａｉｎｅｐｎｉｎａｄａｏｄｓｍｅｐｅｉｕｔｃｓｎｏｍｔｘａｓｏｎｖｉｏｒｖｏｓａｔｋ．ｏａＫｅｗｏｄ：ＥＩｍａＣｙｔｓｓｅ，ＩｍａｉｎｔｒＢｏｅｎｐｒｔｔｎｙｒｓＧａｌｒｐｏｙｔｍＥＧａｌｓｇａｕｅ，ｏｌａｅｍｕａｉｏ
来。对于一个ｎ元布尔函数厂（．，，的每个输入向量都－％）它
．
是中的向量，出为０或者１Ｉａ）输。（ｏｆ
） …，（，＿｝，ｆａＩ）－称为

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

EIGamal公钥密码体制
Diffie-Hellman key distribution scheme 的变形能够用于安全交换密钥 Published in 1985 by ElGamal: T. ElGamal, "A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", IEEE Trans. Information Theory, vol IT-31(4), pp469-472, July 1985. 安全性基于有限域上的离散对数问题的困难性. 缺点：增加了传送信息长度（2倍）
其他公钥密码学体制
1 背包密码学体制 2 Diffie-Hellman密码交换 3 ElGamal密码学体制
背包密码学体制
背包密码体制
背包问题：设A=(a1,a2,…,an)是由n个不同的正整数构成的背包向量，s是背包容积.求A的子集A’，使子集中的元素ai的和恰好等于s.
例. A=（43, 129, 215, 473, 903, 302, 561, 1165, 697, 1523）， s=3231. 由于 3231=129+473+903+561+1165. 所以从A中找出的满足要求的子集合是{129、473、903、561、 1165}.
12
背包密码体制
• 加密运算对明文分组X=(x1x2…xn)的加密为 c=f(x)=B·X≡t·A·X mod k • 解密运算首先由s≡t-1 c mod k，求出s作为超递增背包向量A的容积，再解背包问题即得x=(x1x2…xn).
因为t-1 c mod k≡t-1tAX mod k≡AX mod k，而由k>∑i，知AX<k，所以t-1c mod k=AX，是惟一的.
中间人攻击
• 交换Y的过程中，Y有可能被替换假冒，而且不能发现 • 形式上，可以理解为一个中间人在跟双方同时通信，当然通信内容在中间人那里是可见的
• A
• Xa • Ya • K=Yb’^Xa
E
Xb’ Xa’ Yb’ Ya’
B
Xb Yb K’=Y’a^Xb
相关结论
• maurer94towards – Towards the Equivalence of Breaking the Diffie-Hellman Protocol and Computing Discrete Logarithms – /maurer94towards.html • 结论 – 破译D-H密钥协商协议等价于计算离散对数 – RSA算法的安全性是否等价于大数的因子分解？
且不能重复使用. 为什么？
ElGamal算法
1) 密钥生成. 选择公开参数：p=97 及本原根 a=5 ； Bob 选择秘密钥xB=58，计算并发布公钥 yB=558=44 mod 97. 2) Alice 要加密 M=3 给 Bob. 首先得到 Bob的公开密钥 yB=44，选择随机 k=36 计算: K=4436=75 mod 97. 计算密文对: C1 = 536 = 50 mod 97 ； C2 = 75.3 mod 97 = 31 mod 97. 发送 {50,31} 给Bob . 3) Bob 解密消息. 恢复消息密钥 K=5058=75 mod 97. Bob 计算 K-1 = 22 mod 97. Bob 恢复明文 M = 31*22 = 3 mod 97.
ElGamal加密算法
• 将明文信息M表示成{0,1,…,p-1}范围内的数 • 加密: – 秘密选择随机数k, k与p-1互素，0<=k<=p-1；计算： • a=gk mod p • b=ykM mod p • (a,b)作为密文 • 解密: – M=（b/ax）mod p – ax≡gkx mod p , b/ax ≡ykM/ax≡gxkM/gxk≡M mod p k 需要永久保密， • 信息有扩张
16
Diffie-Hellman密钥交换
• 离散对数问题 y＝gx mod p，其中g是生成元求x的困难性目前没有有效的方法实际使用时常用Zp*和ECC上的点加法群 • Pohlig-Hellman algorithm – 如果p-1是小素数的乘积，则易求 – 因此，p-1应含有大素因子
Diffie-Hellman密钥交换协议
27
ElGamal加密算法安全性
1.攻击ElGamal加密算法等价于解离散对数问题有限域上离散对数问题已知（Zp，+，*）是一个有限域， g为Zp*的生成元，y∈ Zp ，求x使得y=gx mod p 如果求离散对数问题是容易的，则获得公钥攻击者能够解出x，则算法完全破译.
4
背包密码体制
原则上讲，通过检查A的所有子集，总可找出问题的解（如果有解的话）. 上例中，A的子集共有210=1024个（包括空集）. 如果A中元素个数n很大，子集个数2n将非常大, 且寻找满足要求的A的子集没有比穷搜索更好的算法，因此背包问题是NP问题. 只要n足够大，那么，计算不可行.
5
背包密码体制
背包密码体制
若用f充当加密函数对明文消息m加密: 首先将m写成二元表示，再将其分成长为n的分组；然后求每一分组的函数值，以函数值(背包容积)作为密文分组.
7
背包密码体制
例. 背包向量仍取上例中的A，设待加密的明文是SAUNA AND HEALTH. 因为A长为10，所以应将明文分成长为10比特（即两个明文字母）的分组SA，UN，A‘ ’，AN，D‘ ’，HE，AL，TH, 其相应的二元序列为若明文消息是英文文本，则可将每个字母用其在字母表中 1001100001 ，1010101110，0000100000，0000101110，的序号表示，再将该序号转换为二进制形式（ 5位即可）， 0010000000 ，0100000101，0000101100，1010001000. 其中符号‘ ’表示空格分别对以上二元序列作用于函数 f，得密文:（2942，3584，903， 3326，215，2817，2629，819）.
证明、分析和例子
• 证明K＝K’ K＝Yb^Xa mod q K’＝Ya^Xb mod q ＝(g^Xb)^Xa mod q ＝(g^Xa)^Xb mod q ＝ g^(XbXa) mod q ＝g^(XaXb) mod q • 举例 q＝97，g＝5 A选Xa＝36，B选Xb＝58，则 Ya＝5^36％97＝50，Yb＝5^58％97＝44 交换50，44 A算K＝44^36％97＝75，B算K’＝50^58％97＝75 • 分析（别人怎么计算K?）别人看到了Ya和Yb，但需要计算Xa或Xb，即要算离散对数 Ya＝g^Xa mod q，或Yb＝g^Xb mod q
背包密码体制是继Diffie和Hellman 1976年提出公钥密码体制设想后的第一个公钥密码算法. 上述方案由Merkle和Hellman 于1978年提出. 两年后该体制即被破译，破译的基本思想是找出任意模数k′和乘数t’, 使得用 k’和t’去乘公开的背包向量B时，能够产生超递增的背包向量即可.
EIGamal算法
• EIGamal公钥密码体制是基于离散对数问题的。 • 既可以用于加密，也可以用于签名，其安全性依赖于有限域上计算离散对数的难度。 • 要产生一对密钥，首先选择一素数p，整数模p的一个原根 g，随机选取x，并且g和x都小于p，然后计算：y=gx mod p • 明文空间为P=Zp*（模p的剩余类环），密文空间为 C=Zp*×Zp* • 公开密钥是y,g,p，g,p可以为一组用户共享 • 私有密钥是x
10
背包密码体制
为此需要对超递增背包向量A进行伪装，使攻击者看到的只是一般背包向量A’，接收者知道超递增背包向量A. 方法一：用模乘和位置置换函数伪装. 模数k和乘数t皆取常量，满足k>∑ai，且gcd(t,k)=1，即t在模k下有乘法逆元. bi≡t· ai mod k, i=1,2,…,n. 得新的背包向量B=(b1,b2,…,bn)，记为 B≡t· A mod k. 用户以B作为自己的公开密钥, t、t-1和k可作为其秘密的陷门信息，即解密密钥. 利用超递增背包函数作加密变换，明文接收者可以在多项式时间解密，但是敌手如果也知道超递增背包向量，
8
背包密码体制
怎样解密？
构造单向陷门函数f(x)，为此引入一种特殊类型的背包向量.
定义
背包向量A=(a1,a2,…,an)中的元素满足下列性质，
则称其为超递增的.
a j ai j 2,, n
i 1
j 1
9
背包密码体制
超递增背包向量对应的背包问题存在多项式时间解法.
解法：已知s为背包容积，对A从右向左检查每一元素，以确定是否在解中: 1) 若s≥an，则an在解中，令xn=1；若s<an，则an 不在解中，令xn=0. 然后令 s, s an s s an , s an 2) 对an-1重复上述过程，一直下去，直到检查出若XA=S，则背包问题的解为Xa ； 1 是否在解中. 否则原背包问题无解 3) 检查结束后得解 x=(x1x2…xn).
背包问题可以构造一个单向函数f. 将x(1≤x≤2n-1)写成长为n的二元表示: 则，f(x)定义为
n
X ( x1 , x2 ,, xn1 ), xi {0,1}, 1 i n
f ( x) A X xi ai
.
i 1
f的定义可见：上例中 x很容易求f(x)，但已知f(x)求x就是要解 f(364) =已知 f(0101101100)=129+473+903+561+1165 = 3231，背包问题，当 n较大时是计算不可行的. 类似地可求出 : 在实际应用中， n不能太小，至少为 200. f(609)=2942, f(686)=3584, f(32)=903, f(46)=3326, f(128)=215, f(261)=2817.