杨波,_《现代密码学(第2版)》第五章 5.4-5.5节
现代密码学PPT课件
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
(完整版)北邮版《现代密码学》习题答案
(完整版)北邮版《现代密码学》习题答案《现代密码学习题》答案第一章1、1949年,(A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。
A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由( D)决定的。
A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。
A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。
A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击5、1976年,和在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。
7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。
8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。
9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。
10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第二章1、字母频率分析法对(B )算法最有效。
A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。
A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对(C)算法的破解最有效。
A置换密码B单表代换密码C多表代换密码D序列密码4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。
现代密码学教程第2版 习题 非答案
现代密码学教程第二版谷利泽郑世慧杨义先欢迎私信指正,共同奉献1.4习题1.判断题(1)现代密码学技术现仅用于实现信息通信保密的功能。
()(2)密码技术是一个古老的技术,所以,密码学发展史早于信息安全发展史。
()(3)密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的目的。
()(4)密码学是对信息安全各方面的研究,能够解决所有信息安全的问题。
()(5)从密码学的发展历史可以看出,整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。
()(6)信息隐藏技术其实也是一种信息保密技术。
()(7)传统密码系统本质上均属于对称密码学范畴。
()(8)早期密码的研究基本上是秘密地进行的,而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。
()(9)1976年后,美国数据加密标准(DES)的公布使密码学的研究公开,从而开创了现代密码学的新纪元,是密码学发展史上的一次质的飞跃。
()(10)密码标准化工作是一项长期的、艰巨的基础性工作,也是衡量国家商用密码发展水平的重要标志。
()2.选择题(1)1949年,()发表题为《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成了一门科学。
A.ShannonB.DiffieC.HellmanD.Shamir(2)截取的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(3)篡改的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(4)伪造的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(5)在公钥密码思想提出大约一年后的1978年,美国麻省理工学院的Rivest、()和Adleman提出RSA的公钥密码体制,这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。
A.ShannonB.DiffieC.HellmanD.Shamir3.填空题(1)信息安全的主要目标是指、、和、可用性。
现代密码学第5章:序列密码
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
21
作为有限状态自动机的密钥流生成器
k
i
k
zi
k
22
作为有限状态自动机的密钥流生成器
这种密钥流生成器设计的关键在于找出 适当的状态转移函数φ和输出函数ψ,使得 输出序列z满足密钥流序列z应满足的几个条 件,并且要求在设备上是节省的和容易实现 的。 为了实现这一目标,必须采用非线性函 数。
3
1. 序列密码的基本概念
分组密码与序列密码的区别就在于有无 记忆性(如图)。序列密码的滚动密钥 z0=f(k,σ0)由函数f、密钥k和指定的初态σ0完 全确定。此后,由于输入加密器的明文可能 影响加密器中内部记忆元件的存储状态,因 而σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1 等参数。
序列密码的基本思想是利用密钥k产生 一个密钥流z=z0z1…,并使用如下规则对明 文串x=x0x1x2…加密: y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。 密钥流由密钥流发生器f产生: zi=f(k,σi), 这里σi是加密器中的记忆元件(存储器)在 时刻i的状态,f是由密钥k和σi产生的函数。
28
F的设计:两种典型的基本编码手段
1. 非线性组合生成器 一个非线性组合生成器的图示如下:
F(x1 , x2 , x ) ,t
N1-LFSR
2024年北师大版八年级上册教学设计第五章5.4 应用二元一次方程组——增收节支
课时目标1.能借助表格分析较为复杂问题中的数量关系,建立方程组解决问题.2.让学生进一步经历和体验列方程组解决实际问题的过程,体会方程(组)是刻画现实世界数量关系的有效数学模型,发展模型意识和应用意识.学习重点体会列方程组解决实际问题的步骤,学会用图表分析较为复杂问题中的数量关系.学习难点将实际问题转化成二元一次方程组的数学模型,会用图表分析数量关系.课时活动设计回顾引入上节课,我们应用二元一次方程组解决了鸡兔同笼问题,这节课我们应用二元一次方程组解决增收节支问题.师:“增收”顾名思义就是增加收入,如:“今年的总收入比去年增加了20%”,在这句话中,涉及到的等量关系是什么呢?生:今年的总收入=去年的总收入×(1+20%).师:“节支”顾名思义就是节约开支,如:“今年的总支出比去年减少了10%”,在这句话中,涉及到的等量关系是什么呢?生:今年的总支出=去年的总支出×(1-10%).设计意图:通过复习旧知识,回顾找等量关系的方法,要善于抓住关键词语“比”,在涉及到百分比的问题时,务必弄清以谁为单位“1”,避免个别同学在建立等量关系时出现错误,为后面的学习做准备.探究新知探究1 某工厂去年的利润(总收入-总支出)为200万元.今年总收入比去年增加了20%,总支出比去年减少了10%,今年的利润为780万元.去年的总收入、总支出各是多少万元?思考一下,如何解决这类现实问题?解决这类问题的关键又是什么?学生通过讨论交流得出解决这类问题的关键是找等量关系.去年的利润是200万元,今年的利润是780万元;“今年总收入比去年增加了20%”对应的等量关系是“去年总收入×(1+20%)=今年总收入”;“总支出比去年减少了10%”对应的等量关系是“去年总支出×(1-10%)=今年总支出”.题目中还有没有隐含的等量关系?教师引导学生得到隐含的等量关系是“去年的总收入-去年的总支出=200万元”,“今年的总收入-今年的总支出=780万元”.解:设去年的总收入为x 万元,总支出为y 万元,则今年的总收入为(1+20%)x 万元,总支出为(1-10%)y 万元.由题意,得{x -y =200,(1+20%)x -(1-10%)y =780.解得{x =2000,y =1800. 所以去年的总收入是2 000万元,总支出是1 800万元.探究2 拓展提升:某工厂去年的利润(总收入-总支出)为200万元.今年总收入比去年增加了20%,总支出比去年减少了10%,今年的利润为780万元.去年的总收入、总支出各是多少万元?在探究1中,以“比”后面的数量为单位“1”,设去年的收入和支出分别为x ,y ,从而解决实际问题.可以以“比”前面的数量为单位“1”吗?可以设今年的收入和支出分别为x ,y 吗?那么去年的量该如何表示呢?哪种方法更简便呢?解:设今年的总收入为x 万元,则去年的总收入为x 1+20%万元;设今年的总支出为y 万元,则去年的总支出为y 1−10%万元.依据题意,可列方程组为{x -y =780,x 1+20%-y 1−10%=200. 解得{x =2400y =1620. ∴x 1+20%=24001+20%=2 000,y 1−10%=16201−10%=1 800.所以去年的总收入为2 000万元,总支出为1 800万元.探究3变式训练:某工厂去年的利润(总收入-总支出)为200万元.今年总收入比去年增加了20%,总支出比去年减少了10%,今年的利润为780万元.今年的总收入、总支出各是多少万元?此题与上一题相比,哪里有变化?你会采用哪种设法呢?学生分组自由讨论,畅所欲言,教师巡视指导,肯定学生不同的方法,引导学生比较不同解法的优劣.设计意图:本环节通过教师引导,带领学生逐步分解题目中的已知条件,降低学生理解题目的难度,引导学生逐步找到等量关系.并借助课本中的表格帮助学生进行思路上的梳理,完成对复杂问题的解答.通过变式训练,提醒学生要认真审题,巧妙设未知量,使自己的解法最优化.归纳总结1.列二元一次方程组解决实际问题的一般步骤为:审、设、列、解、检、答.2.解题过程中的注意事项:审清题意,巧设未知量,正确列等量关系式.设计意图:对所学习的知识进行回顾和梳理,锻炼学生总结归纳的能力.典例精讲例医院用甲、乙两种原料为手术后的病人配制营养品,每克甲原料含0.5单位蛋白质和1单位铁质,每克乙原料含0.7单位蛋白质和0.4单位铁质,若病人每餐需要35单位蛋白质和40单位铁质,那么每餐甲、乙两种原料各多少克恰好满足病人的需要?分析:借助表格梳理题目中的数量关系.解:设每餐需要甲原料x克,乙原料y克.根据题意,得{0.5x+0.7y=35,①x+0.4y=40.②化简,得{5x+7y=350,③5x+2y=200.④∴-∴,得5y=150,解得y=30.把y=30代入∴,得x=28.答:每餐甲原料28克,乙原料30克恰好满足病人的需要.设计意图:面对复杂的数量关系,可以借助表格进行分析,找出问题中所蕴含的等量关系.应充分思考,正确找到等量关系建立模型,列出正确的二元一次方程组.规范学生对解题步骤的书写,让学生感受到数学的严谨性.巩固训练1.一、二两班共有100名学生,他们的体育达标率(达到标准的百分率)为81%.如果一班学生的体育达标率为87.5%,二班学生的体育达标率为75%,那么一、二两班各有多少名学生?设一、二两班分别有学生人数为x名、y名,填写下表并求出x,y的值.解:由题意,得{0.875x+0.75y=81.解得{y=52.所以一班有48名学生,二班有52名学生.2.某粮食生产专业户去年计划生产水稻和小麦共15吨,实际生产了17吨,其中水稻超产15%,小麦超产10%.该专业户去年实际生产水稻、小麦各多少吨?解:设该专业户去年计划生产水稻x吨,小麦y吨;实际生产水稻(1+15%)x吨,小麦(1+10%)y吨.由题意,得{x+y=15,(1+15%)x+(1+10%)y=17.解得{x=10,y=5.(1+15%)x=11.5,(1+10%)y=5.5.答:该专业户去年实际生产水稻11.5吨,小麦5.5吨.设计意图:通过练习,巩固本节课所学知识,同时使学生学会规范的解题过程,培养学生逆向思维能力.课堂小结1.列方程解应用题的一般步骤有哪些?2.如何快速准确地找到对应的等量关系?3.寻找等量关系式要弄清以谁为单位“1”.设计意图:通过小结,帮助学生梳理知识,让学生养成及时整理的习惯.课堂8分钟.1.教材第119页习题5.5第1,2,3,4题.2.七彩作业.5.4应用二元一次方程组——增收节支1.列方程解应用题的一般步骤.2.找等量关系.教学反思。
现代密码学(第二版)重点概念整理
现代密码学(第⼆版)重点概念整理第⼀章1.被动攻击获取消息的真实内容进⾏业务流分析2.主动攻击中断、篡改、伪造3.安全业务1、保密业务:保护数据以防被动攻击。
2、认证业务:⽤于保证通信的真实性。
3、完整性业务:防⽌对消息流的篡改和业务拒绝。
4、不可否认业务:⽤于防⽌通信双⽅中的某⼀⽅对所传输消息的否认。
5、访问控制:访问控制的⽬的是防⽌对⽹络资源的⾮授权访问,控制的实现⽅式是认证,即检查欲访问某⼀资源的⽤户是否具有访问权。
4.安全通信需考虑加密算法⽤于加密的秘密信息秘密信息的分布与共享安全服务所需的协议5.信息安全可分为系统安全、数据安全、内容安全,密码技术是保障数据安全的关键技术。
6.密码体制从原理上分为单钥体制和双钥体制,单钥体制包括对明⽂消息按字符逐位加密的流密码和将明⽂消息分组加密的分组密码。
双钥特点是将加密和解密能⼒分开。
7.密码攻击类型唯密⽂攻击、已知明⽂攻击、选择明⽂攻击、选择密⽂攻击8.加密算法是⽆条件安全的,仅当密钥⾄少和明⽂⼀样长时,才能达到⽆条件安全9.多表代换密码的计算问题,课后习题3、4第⼆章1.流密码的概念:利⽤密钥k产⽣⼀个密钥流z=z0z1…,并使⽤如下规则对明⽂串x=x0x1x2…加密:y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。
密钥流由密钥流发⽣器f产⽣:zi=f(k,σi),σi:加密器中的记忆元件(存储器)在时刻i的状态,f:由密钥k和σi产⽣的函数。
2.分组密码与流密码的区别: 有⽆记忆性3.密码设计者的最⼤愿望是设计出⼀个滚动密钥⽣成器,使得密钥经其扩展成的密钥流序列具有如下性质:极⼤的周期、良好的统计特性、抗线性分析、抗统计分析4.同步流密码的关键是密钥流产⽣器。
5.如果移位寄存器的反馈函数f(a1,a2,…,an)是a1,a2,…,an的线性函数,则称之为线性反馈移位寄存器LFSR(linear feedback shift register)。
杨波,_《现代密码学(第2版)》第五章 5.1-5.2节
存储会话密钥, 转发E ③ A存储会话密钥,并向 转发 KB[KS‖IDA]。因 存储会话密钥 并向B转发 。 为转发的是由K 加密后的密文, 为转发的是由 B加密后的密文,所以转发过程不 会被窃听。B收到后,可得会话密钥KS,并从IDA 会被窃听。 收到后,可得会话密钥 并从 收到后 可知另一方是A,而且还从E 知道K 可知另一方是 ,而且还从 KB知道 S的确来自 KDC。 。 这一步完成后,会话密钥就安全地分配给了 、 。 这一步完成后,会话密钥就安全地分配给了A、B。 然而还能继续以下两步工作: 然而还能继续以下两步工作:
两个用户A和 获得共享密钥的方法包括: 获得共享密钥的方法包括 两个用户 和B获得共享密钥的方法包括: 密钥由A选取并通过物理手段发送给 选取并通过物理手段发送给B。 ① 密钥由 选取并通过物理手段发送给 。 密钥由第三方选取并通过物理手段发送给A和 。 ② 密钥由第三方选取并通过物理手段发送给 和B。 如果A、 事先已有一密钥 事先已有一密钥, ③ 如果 、B事先已有一密钥,则其中一方选取新密 钥后,用已有的密钥加密新密钥并发送给另一方。 钥后,用已有的密钥加密新密钥并发送给另一方。 如果A和 与第三方 分别有一保密信道, 与第三方C分别有一保密信道 ④ 如果 和B与第三方 分别有一保密信道,则C为A、 为 、 B选取密钥后,分别在两个保密信道上发送给 、B。 选取密钥后, 选取密钥后 分别在• 假定两个用户 、B分别与密钥分配中心 假定两个用户A、 分别与密钥分配中心 分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥 A和KB, 有一个共享的主密钥K 有一个共享的主密钥 A希望与 建立一个共享的一次性会话密钥,可通 希望与B建立一个共享的一次性会话密钥 希望与 建立一个共享的一次性会话密钥, 过以下几步来完成( 过以下几步来完成(图5.1 ): • ① A向KDC发出会话密钥请求。表示请求的消息由 发出会话密钥请求。 向 发出会话密钥请求 两个数据项组成, 项是A和 的身份 的身份, 两个数据项组成,第1项是 和B的身份,第2项是 项是 项是 这次业务的惟一识别符N1, 为一次性随机数, 这次业务的惟一识别符 ,称N1为一次性随机数, 为一次性随机数 可以是时戳、计数器或随机数。每次请求所用的N1 可以是时戳、计数器或随机数。每次请求所用的 都应不同,且为防止假冒,应使敌手对N1难以猜测 难以猜测。 都应不同,且为防止假冒,应使敌手对 难以猜测。 因此用随机数作为这个识别符最为合适。 因此用随机数作为这个识别符最为合适。
现代密码学第5章 共65页
2019/7/25
27
托管加密芯片
Skipjack算法 80比特族密钥KF(Family key),同一批芯
片的族密钥都相同 芯片单元识别符UID 80bit的芯片单元密钥KU(unique key),由
两个80bit密钥分量异或得到 控制软件被固化在芯片上
2019/7/25
28
第5章 密钥分配与密钥管理
Key Distribution and Key Management
2019/7/25
1
内容提要
单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割
2019/7/25
2
单钥加密体制的密钥分配
Key Distribution of symmetric cryptography
噪声源的功能就是产生二进制的随机序列或与之对应 的随机数,它是密钥产生设备的核心部件。
噪声源的另一个用途是在物理层加密的环境下进行信 息填充,使网络具有防止流量分析的功能,当采用序 列密码时也有防止乱数空发的功能。
噪声源还被用于某些身份验证技术中,如在对等实体 中,为了防止口令被窃取常常使用随机应答技术,这 时的提问与应答都是由噪声控制的。
对数列中以后的数是不可预测的 对于真随机数,满足独立性,所以不可
预测 伪随机数列需要特别注意满足不可预测
性
2019/7/25
36
随机数源
真随机数源-物理噪声产生器
离子辐射脉冲检测器 气体放电管 漏电容
数的随机性和精度不够 这些设备很难联入网络
2019/7/25
37
H h (CV ) K in K m H K out E K m H [ K S ] K S D K in [ K out ]
杨波,_《现代密码学(第2版)》第三章 3.1-3.4节
图3.1 分组密码框图
通常取m=n。 。 通常取 若m>n,则为有数据扩展的分组密码; ,则为有数据扩展的分组密码; 若m<n,则为有数据压缩的分组密码。 ,则为有数据压缩的分组密码。
设计的算法应满足下述要求: 设计的算法应满足下述要求: 分组长度n要足够大 要足够大, ① 分组长度 要足够大,使分组代换字母表中的元素 个数2 足够大,防止明文穷举攻击法奏效。 个数 n足够大,防止明文穷举攻击法奏效。 DES、IDEA、FEAL和LOKI等分组密码都采用 、 等分组密码都采用n=64, 、 和 等分组密码都采用 , 在生日攻击下用232组密文成功概率为1/2,同时要求 在生日攻击下用 组密文成功概率为 , 存贮, 232×64b=215MB存贮,故采用穷举攻击是不现实的。 存贮 故采用穷举攻击是不现实的。
• 如将分组 化分为子段,每段长为 、16或者 。 如将分组n化分为子段 每段长为8、 或者 化分为子段, 或者32。 • 软件实现时,应选用简单的运算,使作用于子段上 软件实现时,应选用简单的运算, 的密码运算易于以标准处理器的基本运算,如加、 的密码运算易于以标准处理器的基本运算,如加、 移位等实现, 乘、移位等实现,避免用以软件难于实现的逐比特 置换。 置换。 • 为了便于硬件实现,加密和解密过程之间的差别应 为了便于硬件实现, 仅在于由秘密密钥所生成的密钥表不同而已。这样, 由秘密密钥所生成的密钥表不同而已 仅在于由秘密密钥所生成的密钥表不同而已。这样, 加密和解密就可用同一器件实现。 加密和解密就可用同一器件实现。 • 设计的算法采用规则的模块结构,如多轮迭代等, 设计的算法采用规则的模块结构,如多轮迭代等, 以便于软件和VLSI快速实现。 快速实现。 以便于软件和 快速实现
数据扩展尽可能地小。一般无数据扩展, ⑤ 数据扩展尽可能地小。一般无数据扩展,在采用同 态置换和随机化加密技术时可引入数据扩展。 态置换和随机化加密技术时可引入数据扩展。 差错传播尽可能地小。 ⑥ 差错传播尽可能地小。
现代密码学教学大纲
现代密码学教学大纲现代密码学是网络空间安全的核心基础。
通过本门课程的学习,能够了解现代密码学基本理论,掌握现代密码学基本技术,理解各类密码算法的应用场景和相关的安全需求,培养信息安全意识,掌握安全需求分析的方法,并了解现代密码学的未来发展方向。
课程概述本课程共分为9章,第1章概述,介绍密码学的基本概念、密码学的发展简史和古典密码算法。
第2章到第6章是按照密码算法的设计思路和功能不同来划分,分别是流密码、分组密码、公钥密码、杂凑函数、数字签名,第7章密码协议主要介绍Diffie-Hellman密钥交换和Shamir秘密分享方案,更复杂的一些密码协议可在后续“网络安全协议”课程中学习。
第8章将介绍可证明安全理论的初步知识。
第9章将介绍一些密码学研究的前沿方向,比如属性基加密、全同态加密、后量子密码学等。
授课目标1、掌握分析保密通信系统中安全需求分析的方法。
2、理解密码学的基本概念、基本原理和一些典型的密码算法的原理。
3、理解各类密码算法的应用场景和相关的安全需求。
课程大纲第一章概述1.1 密码学的基本概念1.2 中国古代密码艺术1.3 外国古代密码艺术1.4 密码学发展简史1.5 密码分析学1.6 古典密码算法第一章单元测试第一章单元作业第二章流密码2.1 流密码的基本概念2.2 有限状态自动机2.3 二元序列的伪随机性2.4 线性反馈移位寄存器2.5 m-序列2.6 m-序列的伪随机性2.7 m-序列的安全性2.8 非线性序列12.9 非线性序列22.10 A5流密码算法第二章单元测验第二章单元作业第三章分组密码3.1 分组密码的基本概念3.2 SP网络3.3 Feiste密码l结构3.4 DES算法简介3.5 DES轮函数及密钥编排3.6 DES的安全性3.7 3DES3.8 分组密码的工作模式(上)3.9 分组密码的工作模式(下)3.10 有限域基础3.11 AES算法简介3.12 AES的轮函数3.13 AES的密钥编码及伪代码3.14 SM4算法第三章单元测验第三章单元作业第四章公钥密码4.1 公钥密码的基本概念4.2 完全剩余系4.3 简化剩余系4.4 欧拉定理4.5 RSA加密算法4.6 群的概念4.7 循环群4.8 ElGamal加密4.9 实数域上的椭圆曲线4.10 有限域上的椭圆曲线4.11 椭圆曲线密码学第四章单元测验第四章单元作业第五章Hash函数5.1 Hash概念和基本要求5.2 生日攻击5.3 SHA-1算法第五章单元测验第六章数字签名6.1 数字签名的基本概念6.2 RSA签名算法6.3 ElGamal签名算法6.4 DSS签名算法6.5 ElGamal类签名算法6.6 特殊性质的签名算法第六章单元测验第七章密码协议7.1 Diffie-Hellman 密钥交换7.2 Shamir 秘密分享第七章单元测验第八章可证明安全8.1 Boneh-Franklin身份基加密算法第九章密码学的新方向9.1 属性基加密9.2 全同态加密9.3 后量子密码学预备知识信息安全数学基础、线性代数、信息安全导论参考资料1.现代密码学(第四版),杨波,清华大学出版社,2017。
现代密码学杨波课后习题讲解[优质PPT]
![现代密码学杨波课后习题讲解[优质PPT]](https://img.taocdn.com/s3/m/876699d0ec3a87c24028c4c4.png)
a1 a2 a3
1 1 1
a4a5a6 c3c2c1a2
a3
a3 a4
a4
a5
将值代入得:
010 c3c2c11
习题
习题
5.在实现 IDEA 时,最困难的部分是模 216+1 乘法运算。以下关系 给出了实现模乘法的一种有效方法,其中 a 和 b 是两个 n 比特的 非 0 整数。 a bm o d(2 n 1 ) (a bm (a o b d m 2 o nd ) 2 n () a b d (ia v b 2 d n i)v 2 n 2 )n 1 ,,((a ab bm m o o d d2 2 nn )) ((aa bb dd iv iv 22 n)n)
习题
4. 用推广的 Euclid 算法求 67 mod 119 的逆元。 Euclid算法(辗转相除法) 推广的Euclid(P97) 解:
因此 671m od11916 ,
习题
5. 求 gcd(4655, 12075) 。
解: 12075 = 2×4655 + 2765 4655 = 1×2765 + 1890 2765 = 1×1890 + 875 1890 = 2×875 + 140 875 = 6×140 + 35 140 = 4×35+0
6 4 13 2 24] = THE NATIONAL SECURITY AGENCY
习题
2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh,又已知明文的前两个字 符是“if”。对该密文解密。
杨波,_《现代密码学(第2版)》第四章 4.2-4.6节
单向函数是两个集合 、 之间的一个映射 之间的一个映射, 单向函数是两个集合X、Y之间的一个映射,使 是两个集合 中每一元素y都有惟一的一个原像 得Y中每一元素 都有惟一的一个原像 ∈X,且由 中每一元素 都有惟一的一个原像x∈ ,且由x 易于计算它的像y, 计算它的原像x是不可行的 易于计算它的像 ,由y计算它的原像 是不可行的。 计算它的原像 是不可行的。 这里所说的易于计算是指函数值能在其输入长 这里所说的易于计算是指函数值能在其输入长 度的多项式时间内求出,即如果输入长n比特 比特, 度的多项式时间内求出,即如果输入长 比特,则求 函数值的计算时间是n 的某个倍数,其中a是一固定 函数值的计算时间是 a的某个倍数,其中 是一固定 的常数。这时称求函数值的算法属于多项式类 多项式类P, 的常数。这时称求函数值的算法属于多项式类 ,否 则就是不可行的。 则就是不可行的。 例如,函数的输入是n比特 比特, 例如,函数的输入是 比特,如果求函数值所用 的时间是2 的某个倍数, 的时间是 n的某个倍数,则认为求函数值是不可行 的。
以上认证过程中, 以上认证过程中,由于消息是由用户自己的秘密钥 加密的,所以消息不能被他人篡改, 加密的,所以消息不能被他人篡改,但却能被他人 窃听。 窃听。这是因为任何人都能用用户的公开钥对消息 解密。为了同时提供认证功能 保密性, 认证功能和 解密。为了同时提供认证功能和保密性,可使用双 重加、解密。如图4.3所示 所示。 重加、解密。如图 所示。来自ˆ m ˆ SKB
m
c
m
PK B
SK B
图4-1 公钥体制加密的框图
加密过程有以下几步: 加密过程有以下几步:
要求接收消息的端系统, ① 要求接收消息的端系统,产生一对用来加密和 解密的密钥,如图中的接收者B,产生一对密钥PK 解密的密钥,如图中的接收者 ,产生一对密钥 B, SKB,其中 B是公开钥,SKB是秘密钥。 其中PK 是公开钥, 是秘密钥。 ② 端系统B将加密密钥(如图中的PKB)予以公开。 端系统 将加密密钥(如图中的 予以公开。 将加密密钥 另一密钥则被保密(图中的SK 另一密钥则被保密(图中的 B)。 要想向B发送消息 的公开钥加密m, ③ A要想向 发送消息 ,则使用 的公开钥加密 , 要想向 发送消息m,则使用B的公开钥加密 其中c是密文 是加密算法。 表示为c=EPKB[m],其中 是密文,E是加密算法。 表示为 其中 是密文, 是加密算法 收到密文c后 用自己的秘密钥SKB解密,表 解密, ④ B收到密文 后,用自己的秘密钥 收到密文 解密 示为m=DSKB[c],其中 是解密算法。 是解密算法。 示为 ,其中D是解密算法
现代密码学教程第2版复习题非答案
现代密码学教程第二版谷利泽郑世慧杨义先欢迎私信指正,共同奉献1.4 习题1. 判断题(1)现代密码学技术现仅用于实现信息通信保密的功能。
()(2)密码技术是一个古老的技术,所以,密码学发展史早于信息安全发展史。
()(3)密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的目的。
()(4)密码学是对信息安全各方面的研究,能够解决所有信息安全的问题。
()(5)从密码学的发展历史可以看出,整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。
()(6)信息隐藏技术其实也是一种信息保密技术。
()(7)传统密码系统本质上均属于对称密码学范畴。
()(8)早期密码的研究基本上是秘密地进行的,而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。
()(9)1976 年后,美国数据加密标准(DES)的公布使密码学的研究公开,从而开创了现代密码学的新纪元,是密码学发展史上的一次质的飞跃。
()(10 )密码标准化工作是一项长期的、艰巨的基础性工作,也是衡量国家商用密码发展水平的重要标志。
()2. 选择题(1)1949 年,()发表题为《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成了一门科学。
A. ShannonB.DiffieC.HellmanD.Shamir3)篡改的攻击形式是针对信息()的攻击。
(2)截取的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性3)篡改的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性(4)伪造的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性(5)在公钥密码思想提出大约一年后的1978 年,美国麻省理工学院的Rivest 、()和Adleman 提出RSA的公钥密码体制,这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。
A. ShannonB.DiffieC.HellmanD.Shamir3. 填空题(1)信息安全的主要目标是指、、和、可用性。
《密码学》复习资料
《密码学》课程第一版期末复习资料注:如学员使用其他版本教材,请参考相关知识点《密码学》课程第一版(PPT)讲稿章节目录:第1章引论1.1 密码学的发展历史;1.2 密码学的基本概念;第3章古典密码3.1置换密码;3.2代替密码;3.3单表代换密码;3.4多表代换密码;第4章流密码4.1 流密码的基本概念;4.2 序列的随机性;4.3 密钥流生成器;4.4 线性反馈移位寄存器;4.5 两个流密码算法RC4和A5;第5章分组密码5.1 分组密码的基本原理;5.2 分组密码的工作模式;5.3 数据加密标准DES;5.4 高级数据加密标准AES;5.5 SMS4;5.6 IDEA。
第6章 Hash函数6.1 Hash函数的概念;6.2 Hash函数MD5;6.3 Hash函数SHA;6.4 基于分组密码的Hash函数;6.5 Hash函数的分析方法。
第7章公钥密码7.1 公钥密码的基本概念;7.2 RSA公钥密码;7.3 ElGamal公钥密码;7.4 Rabin公钥密码;7.5 椭圆曲线公钥密码。
第8章数字签名8.1 数字签名的基本概念;8.2 RSA数字签名;8.3 ElGamal数字签名;8.4 数字签名标准DSS;8.5 其他数字签名。
(PPT讲稿文件共有8个。
)一、客观部分:(单项选择、多项选择、不定项选择、判断)(一)、单选题:★考核知识点: 机密性参见讲稿章节1.2(考核知识点解释):网络机密性是指网上资源不泄露给非授权的用户、实体或程序,能够防止网上用户非授权获取网上资源。
例如网络系统上传递的信息有些属于重要安全信息,若一旦攻击者通过监听手段获取到,就有可能危及网络系统整体安全。
1. 会计小王误把公司业务合同资料发布在网站上,则该公司的信息()受到损害。
A. 可用性B. 机密性C. 可控性D. 抗抵赖性★考核知识点: 公钥密码的应用参见讲稿章节7.1(考核知识点解释)本题考察的是对加密技术的理解,在保密通信过程中,利用公钥密码算法,可以有效的进行密钥交换和协商,因此利用公钥密码算法能够简化密钥管理。
现代密码学第五讲:流密码(三)
GrainGrain-128
Grain Version 1支持80比特长的密钥. 对于穷举搜索攻击,目前计算机的能力不可破解 。但是,有可能利用“时间-存储-数据”攻击,以 O(2k/2)的复杂度实施攻击,其中k为密钥长度。即 攻击者需要搜集约2k/2个并用不同的密钥加密的明 文,以找出其中的一个密钥。显然80比特的密钥 太短。 Grain-128在Grain Version 1的基础上,弥补了密 钥短的缺点,它支持128比特的密钥,输入变量为 96比特。
j∈A
A = {2, 15, 36, 45, 64, 73, 89}.
Grain
加解密方法 加密/解密是将输出比特流与明文/密文进行 异或运算:
ci = pi ⊕ zi pi = ci ⊕ zi
ci和pi分别表示第i比特的密文和明文。
GrainGrain-128
A.线性逼近 对于每个方程a(x)都可以找到一个有偏差的线性逼近方程Aa(x),这意味 着Grain总会产生有偏差的密钥流样本,重要的是选择函数g(x)和 h(x)以确保偏差足够小,没有比穷举攻击更好的攻击手段。 B.代数攻击: 在Grain-128中,NFSR使用h(.)函数引入了非线性特性,使用初始状态 比特流表示输出的函数度一般比较大,而且随时变化,因此它能抵 抗任何代数攻击。 C.时间-存储-数据 权衡攻击: 一般的对于流密码的时间-存储-数据攻击复杂度为O(2n/2),n指的是 流密码状态的个数。在Grain-128中,两个128位的移位寄存器加起 来状态变量为256,因此时间-存储-数据权衡攻击的复杂度不低于O (2128) D.错误攻击: 对于流密码来说,错误攻击是威胁较大的攻击之一,它们被引入攻击 了很多著名的流密码体制,但是在NFSR中引入缺陷要比在LFSR中 困难。
现代密码学PPT课件
1.3 密码学基本概念
1.3.1 保密通信系统
通信双方采用保密通信系统可以隐蔽和保护需要发 送的消息,使未授权者不能提取信息。发送方将要 发送的消息称为明文,明文被变换成看似无意义的 随机消息,称为密文,这种变换过程称为加密;其 逆过程,即由密文恢复出原明文的过程称为解密。 对明文进行加密操作的人员称为加密员或密码员。 密码员对明文进行加密时所采用的一组规则称为加 密算法。
② 系统的保密性不依赖于对加密体制或算法的保密, 而依赖于密钥。这是著名的Kerckhoff原则。
③ 加密和解密算法适用于所有密钥空间中的元素。
④ 系统便于实现和使用。
1.3.2 密码体制分类
密码体制从原理上可分为两大类,即单钥体制和双 钥体制。
1.1.3 安全业务
安全业务指安全防护措施,有以下5种。 1. 保密业务
保护数据以防被动攻击。保护方式可根据保护范围 的大小分为若干级,其中最高级保护可在一定时间 范围内保护两个用户之间传输的所有数据,低级保 护包括对单个消息的保护或对一个消息中某个特定 域的保护。保密业务还包括对业务流实施的保密, 防止敌手进行业务流分析以获得通信的信源、信宿、 次数、消息长度和其他信息。
20世纪90年代,因特网爆炸性的发展把人类带进了 一个新的生存空间。因特网具有高度分布、边界模 糊、层次欠清、动态演化,而用户又在其中扮演主 角的特点,如何处理好这一复杂而又巨大的系统的 安全,成为信息安全的主要问题。由于因特网的全 球性、开放性、无缝连通性、共享性、动态性发展, 使得任何人都可以自由地接入,其中有善者,也有 恶者。恶者会采用各种攻击手段进行破坏活动。信 息安全面临的攻击可能会来自独立的犯罪者、有组 织的犯罪集团和国家情报机构。对信息的攻击具有 以下新特点: 无边界性、突发性、蔓延性和隐蔽性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.4.1 随机数的使用
很多密码算法都需使用随机数,例如: 很多密码算法都需使用随机数,例如: • 相互认证。在密钥分配中需使用一次性随机数来 相互认证。 防止重放攻击。 防止重放攻击。 • 会话密钥的产生。 会话密钥的产生。 • 公钥密码算法中密钥的产生,用随机数作为公钥 公钥密码算法中密钥的产生, 密码算法中的密钥, 密码算法中的密钥,或以随机数来产生公钥密码算 法中的密钥。 法中的密钥。 在随机数的上述应用中, 在随机数的上述应用中,都要求随机数序列满 随机性和不可预测性。 足随机性和不可预测性。
一种方法是将高质量的随机数作为随机数库编 一种方法是将高质量的随机数作为随机数库编 辑成书,供用户使用。 辑成书,供用户使用。然而与网络安全对随机数巨 大的需求相比,这种方式提供的随机数数目非常有 大的需求相比,这种方式提供的随机数数目非常有 再者, 限。再者,虽然这时的随机数的确可被证明具有随 机性,但由于敌手也能得到这个随机数源, 机性,但由于敌手也能得到这个随机数源,而难以 保证随机数的不可预测性。 保证随机数的不可预测性。 网络安全中所需的随机数都借助于安全的密码 网络安全中所需的随机数都借助于安全的密码 算法来产生。但由于算法是确定性的, 算法来产生。但由于算法是确定性的,因此产生的 数列不是随机的。然而如果算法设计得好, 数列不是随机的。然而如果算法设计得好,产生的 数列就能通过各种随机性检验,这种数就是伪随机 数列就能通过各种随机性检验,这种数就是伪随机 数。
如果取a=7,其他值不变,则产生的数列为 5, 25, ,其他值不变,则产生的数列为{1, 如果取 29, 17, 21, 9, 13, 1,…},周期增加到 。 ,周期增加到8。 周期尽可能大, 应尽可能大 应尽可能大。 为使随机数数列的周期尽可能大 为使随机数数列的周期尽可能大,m应尽可能大。 普遍原则是选 接近等于计算机能表示的最大整数 接近等于计算机能表示的最大整数, 普遍原则是选m接近等于计算机能表示的最大整数, 如接近或等于2 如接近或等于231。
下面考虑随机数产生器X 的实现。 下面考虑随机数产生器 n+1=(aXn) mod m的实现。 的实现 算法实现时,需解决的主要问题是溢出, 算法实现时,需解决的主要问题是溢出,为此将迭 代关系写为X=f(X)=(aX) mod m,对算法修改为: 代关系写为 ,对算法修改为: 设m=aq+r,其中 q = m a , r=m mod a。 , 。
第5章 密钥分配与密钥管理 章
• • • • • 单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割
5.4 随机数的产生
随机数在密码学中起着重要的作用。 随机数在密码学中起着重要的作用。这一节首 先介绍随机数在密码学中的作用, 先介绍随机数在密码学中的作用,然后介绍产生随 机数的一些方法。 机数的一些方法。
线性同余算法的强度在于如果将乘数和模数选 线性同余算法的强度在于如果将乘数和模数选 乘数 择得好,则产生的数列和从1, 择得好,则产生的数列和从 2 ,…, m-1中随机选 中随机选 取的数列是不可区分的。 取的数列是不可区分的。 但是除了初值X 的选取具有随机性外, 但是除了初值 0的选取具有随机性外,算法本 身并不具有随机性,因为X 选定后, 身并不具有随机性,因为 0选定后,以后的数就被 确定性地产生了。 确定性地产生了。 这个性质可用于对该算法的密码分析 对该算法的密码分析, 这个性质可用于对该算法的密码分析,如果敌 手知道正在使用线性同余算法并知道算法的参数, 手知道正在使用线性同余算法并知道算法的参数, 一旦获得数列中的一个数, 则一旦获得数列中的一个数,就可得到以后的所有 数。
2. 不可预测性 在诸如相互认证 会话密钥的产生等应用中 相互认证和 的产生等应用中, 在诸如相互认证和会话密钥的产生等应用中, 不仅要求数列具有随机性 具有随机性而且要求对数列中以后的 不仅要求数列具有随机性而且要求对数列中以后的 数是不可预测的 不可预测的。 数是不可预测的。 对于真随机数列来说, 对于真随机数列来说,数列中每个数都独立于 真随机数列来说 其他数,因此是不可预测的。 其他数,因此是不可预测的。 伪随机数来说 对于伪随机数来说, 对于伪随机数来说,就需要特别注意防止敌手 从数列前边的数预测出后边的数。 从数列前边的数预测出后边的数。
改进的方法是利用系统时钟修改随机数数列。 改进的方法是利用系统时钟修改随机数数列。 是利用系统时钟修改随机数数列 •方法一:是每当产生N个数后,就利用当前的时钟 方法一:是每当产生 个数后 个数后, 方法一 值模m后作为新种子 后作为新种子。 值模 后作为新种子。 •方法二:是直接将当前的时钟值加到每个随机数 方法二: 方法二 上(模m加)。 加
a n mod m ≠ 1 n = 1, 2,L , m − 2 m −1 a mod m = 1
时,产生的数列是整周期的。例如, a=75=16807即 产生的数列是整周期的。例如 即 的一个本原根, 为m=231-1的一个本原根,由此得到的随机数产生 的一个本原根 已被广泛应用, 器Xn+1=(aXn)mod (231-1)已被广泛应用,而且与其 已被广泛应用 他产生器相比,经历过更多的检验, 他产生器相比,经历过更多的检验,这种产生器常 用于统计和模拟工作。 用于统计和模拟工作。
评价线性同余算法的性能有以下 个标准: 评价线性同余算法的性能有以下3个标准: 线性同余算法的性能有以下 迭代函数应是整周期的, ① 迭代函数应是整周期的,即数列中的数在重复 之前应产生出0到 之间的所有数 之间的所有数。 之前应产生出 到m之间的所有数。 产生的数列看上去应是随机的。 ② 产生的数列看上去应是随机的。因为数列是确 定性产生的,因此不可能是随机的,但可用各种统 定性产生的,因此不可能是随机的, 计检测来评价数列具有多少随机性。 计检测来评价数列具有多少随机性。 迭代函数能有效地利用32位运算实现 位运算实现。 ③ 迭代函数能有效地利用 位运算实现。
a、c和m的取值是产生高质量随机数的关键。 、 和 的取值是产生高质量随机数的关键。 的取值是产生高质量随机数的关键 例如取a 例如取 = c = 1,则结果数列中每一个数都是前一 , 个数增1,结果显然不能令人满意。 个数增 ,结果显然不能令人满意。 如果a 则产生的数列为{7, 如果 = 7, c=0, m=32,X0=1则产生的数列为 17, , 则产生的数列为 23, 1, 7, …},在32个可能值中只有 个出现,数列 个可能值中只有4个出现 , 个可能值中只有 个出现, 的周期为4,因此结果仍不能令人满意。 的周期为 ,因此结果仍不能令人满意。
通过精心选取a、c和m,可使以上3个标准得以满 通过精心选取 、 和 ,可使以上 个标准得以满 位运算的实现, 足。对第3条来说,为了方便 位运算的实现,m 条来说,为了方便32位运算的实现 可取为2 条来说, 为素数( 可取为 31-1。对第 条来说,如果 为素数(231-1 。对第1条来说 如果m为素数 即为素数) 的一个本原根, 即为素数)且c=0,则当 是m的一个本原根,即满 ,则当a是 的一个本原根 足
1. 随机性 以下两个准则常用来保障数列的随机性: 以下两个准则常用来保障数列的随机性: ① 均匀分布: 数列中每个数出现的频率应相等或近 均匀分布 似相等。 似相等。 独立性: 数列中任意一数都不能由其他数推出。 ② 独立性 数列中任意一数都不能由其他数推出。 数列是否满足均匀分布可通过检测得出, 数列是否满足均匀分布可通过检测得出,而是 否满足独立性则无法检测。 否满足独立性则无法检测。 有很多检测方法能证明数列不满足独立性, 有很多检测方法能证明数列不满足独立性,因 此通常检测数列是否满足独立性的方法是在对数列 进行了足够多次检测后都不能证明不满足独立性, 进行了足够多次检测后都不能证明不满足独立性, 就可比较有把握地相信该数列满足独立性。 就可比较有把握地相信该数列满足独立性。
如果敌手只知道正在使用线性同余算法以及产 如果敌手只知道正在使用线性同余算法以及产 生的数列中极少一部分,就足以确定出算法的参数。 生的数列中极少一部分,就足以确定出算法的参数。 假定敌手能确定X 假定敌手能确定 0、X1、X2、X3,就可通过以下 方程组 X1=(aX0+c) mod m X2=(aX1+c) mod m X3=(aX2+c) mod m 解出a、 和 。 解出 、c和m。
在设计密码算法时, 在设计密码算法时,经常使用似乎是随机的数 称为伪随机数列 例如RSA算法中素数的产生。 伪随机数列, 算法中素数的产生。 列,称为伪随机数列,例如 算法中素数的产生 一般来说,决定一个大数N是否为素数是很困难的 是否为素数是很困难的。 一般来说,决定一个大数 是否为素数是很困难的。 的每个数去除N,如果N 最原始的方法是用小于 的每个数去除 ,如果 N 很大,比如10 这一方法则超出了人类的分析能 很大,比如 150,这一方法则超出了人类的分析能 力和计算能力。 力和计算能力。很多有效的算法是通过使用随机选 择的整数序列作为相对简单计算的输入, 择的整数序列作为相对简单计算的输入,可检测一 个数的素性。如果随机选择的序列足够长(当然, 个数的素性。如果随机选择的序列足够长(当然, ),就可比较肯定地得出这个数的素 远小于 ),10150 就可比较肯定地得出这个数的素 这种方法称为随机化, 性。这种方法称为随机化,在设计密码算法时经常 使用。 使用。
5.4.2 随机数源
• 真随机数很难获得,物理噪声产生器,如离子辐射 真随机数很难获得,物理噪声产生器, 脉冲检测器、气体放电管、漏电容等都可作为随机 脉冲检测器、气体放电管、 数源,但在网络安全系统中很少采用, 数源,但在网络安全系统中很少采用,一方面是因 为数的随机性和精度不够 另一方面这些设备又很 精度不够, 为数的随机性和精度不够,另一方面这些设备又很 难连接到网络系统中。 难连接到网络系统中。
p1 ( X ) − p 2 ( X ) 如 果 p1 ( X ) > p 2 ( X ) f (X ) = p1 ( X ) + ( m − p 2 ( X )) 否 则 如 果 p1 ( x ) ≤ p 2 ( x )