第四章 序列密码

第二节线性反馈移位寄存器序列1基本概念和性质反馈移位寄存器, 特别线性反馈移位寄存器是许多密钥序列生成器的重要部件, 这一节引进线性反馈移位寄存器的模型, 并用数学(特别是代数)工具描述线性反馈移位寄存器.2设n是正整数, n级反馈移位寄存器的模型见下图a k+n−1 a k+n−2……… a k+1a k输出f (x n,…, x2, x1)反馈函数其中f(x1,…, x n)是一逻辑函数, 即f(x1,…, x n)∈2[x1,…, x n]这里2= {0, 1}表示二元域, n≥ 1.3当f(x1,…, x n)是线性函数时, 即f(x1, x2, … , x n) =c1x1+c2x2+ … +c n x n, c i∈2,称对应的反馈移位寄存器为线性反馈移位寄存器(简称LFSR), 所产生的序列称为线性(反馈)移位寄存器序列, 简记为LFSR序列.45此时所产生的序列适合关系式a n +k = 10n i −=∑c n −i a k +i , k = 0, 1, 2, ….并称序列a = (a 0, a 1,…)为n 级线性递归序列。

线性递归序列是LFSR 序列的数学描述, 但为书写简便, 以后在称谓上我们就用LFSR 序列.定义4.1 设a是LFSR序列, 称a的次数最小的特征多项式为a的极小多项式.定理4.1 设a是LFSR序列, 则a的极小多项式是唯一的.6进一步, 设m(x)是a的极小多项式, 则f(x)是a的一a(x)|f(x).个特征多项式当且仅当ma显然, LFSR序列的极小多项式刻画了生成该序列的最短LFSR,而定理4.1进一步说明, 这样的最短LFSR是唯一的.78设f (x )是F 2上n 次多项式, a =(a 0,a 1,a 2,…)是以f (x )为特征多项式的线性递归序列, 则a 由前n 比特a 0,a 1,…,a n −1唯一确定.例如: 设f (x )=x 3+x +1, a =(0,1,1,…)是以f (x )为特征多项式的线性递归序列, 则a =(0,1,1,1,0,0,1,0,1,1,1,…).定义4.2 对于F上序列a, 若存在非负整数k和正2整数T, 使得对任意i≥k, 都有a=a i, 则称a是准周i+T期序列, 最小这样的T称为a的周期, 记为per(a); 若k=0, 则称a是(严格)周期序列.注4.1 设per(a)=T, R是正整数, 若对任意i≥k, 有a i+R=a i, 则T|R.9显然, LFSR是一种有限状态机, 因此, 由LFSR生成的序列必然是准周期的. 下面的定理表明反之也是成立的, 即所有的准周期序列都可用LFSR来生成.定理4.2 a是准周期序列当且仅当a是LFSR序列.10利用序列的极小多项式可以判断序列是否严格周期.(x)是a的极小多项定理4.3 设a是LFSR序列, ma(0)≠0.式, 则a是周期序列当且仅当ma11进一步, 序列的周期由其极小多项式的周期完全确定.定理4.4 设a是周期序列, f(x)是它的极小多项式, 则per(a)=per(f(x)).12注4.2 若a是非严格周期序列, 定理4.4也成立. 由于非周期序列总可以转化成周期序列, 并且实际中使用的序列也都是周期序列, 故后面的讨论仅针对周期序列.13推论4.1 设f(x)是F上不可约多项式, 则以f(x)为2特征多项式的非零序列a有per(a)=per(f(x)).14最后, 我们给出LFSR序列的根表示.[x]是n次无重因子多项式,f(0)≠0, 定理4.5 设f(x)∈F2F2m是f(x)的分裂域, α1,α2,…,αn∈F2m是f(x)的全部根, 则,a1,…), 存在唯对任意以f(x)为特征多项式的序列a=(a一一组β,β2,…,βn∈F2m, 使得1a k=β1α1k+β2α2k+⋅⋅⋅+βnαn k, k≥0.15反之,设β,β2,…,βn∈F2m,若1a k=β1α1k+β2α2k+⋅⋅⋅+βnαn k∈F2, k≥0,,a1,…)以f(x)为特征多项式, 且f(x)是a的极则a=(a≠0, 1≤i≤n.小多项式当且仅当βi16m-序列注意到LFSR总是将0状态转化成0状态, 因此对于一个n级LFSR, 最多可输出周期为2n−1的周期序列.定义4.3 设a是n级LFSR序列, 若per(a)=2n−1, 则称a为n级最大周期序列, 简称为n级m-序列.17由定义显然有定理4.6 设a是n级LFSR序列, 则a是n级m-序列当且仅当a的极小多项式是n次本原多项式18定理4.7 若a是以n次本原多项式f(x)为极小多项式的m-序列, 则0, a, La,…, L2n−2a是以f(x)为特征多项式的序列全体.定理4.7说明, 由同一个本原多项式生成的两条m-序列彼此平移等价. 由定理4.7, 容易证明m-序列满足以下平移可加性.19定理4.8 设a是n级m-序列, 则对于非负整数s和t, 有L s a+L t a=L k a或0, 其中0≤k≤2n−2.注4.3 实际上, 定理4.8给出的平移可加性是m-序列的特有性质, 即对于周期为T的序列a, 非负整数s和t, 若L s a+L t a=L k a或0, 0≤k≤2n−2, 则a是m-序列.20m-序列是最重要的线性反馈移位寄存器序列, 不仅是因为m-序列的周期可达到最大, 而且因为m-序列的统计特性完全满足Golomb S.W.提出的三条随机性假设.2122(1) 元素分布设a 是周期为T 的序列, 将a 的一个周期依次排列在一个圆周上, 并且使得a 0和a T −1相邻, 我们称这样的圆为a 的周期圆.23引理4.1 设a 是n 级m-序列, 0 < k ≤ n , 则F 2上任意一个k 维向量(b 1,b 2,…,b k )在 a 的一个周期圆中出现的次数N (b 1,b 2,…,b k )为N (b 1,b 2,…,b k ) = 122, (,,,)(0,0,...,0)21,.n k k n k b b b −−⎧≠⎪⎨−⎪⎩…若，否则特别地, 分别取k=1和k=n, 有推论4.2 在n级m-序列的一个周期中1出现2n−1次, 0出现2n−1−1次.推论4.3 在n级m-序列的一个周期(圆)中每个(n维)非零状态出现且仅出现1次.2425(2) 游程分布设a 是周期序列, a 在一个周期圆中形如010...01全为 和 101...10全为的项分别叫做a 的0游程和1游程. 而0游程中连续0的个数及1游程中连续1的个数称为游程长度. m -序列具有非常理想的游程分布.定理4.9 设0<k≤n−2, 在n级m-序列的一个周期圆中, 长为k的0游程和1游程各出现2n−k−2次; 长度大于n的游程不出现; 长度为n的1游程和长度为n−1的0游程各出现一次; 长度为n的0游程和长度为n−1的1游程不出现; 游程总数为2n−1.2627(3) 自相关函数m-序列的自相关函数满足二值性, 即定理4.10 设a 是n 级m -序列, 则C a (t ) = 10(1)k k t T a a k +−+=−∑=1, 0(mod 21);21,0(mod 21).n n n t t ⎧−≠−⎪⎨−≡−⎪⎩若若.线性复杂度与Berlekamp-Massey算法线性复杂度的概念是针对LFSR结构提出的, 它衡量了用LFSR来生成给定序列的最小代价. 由于特征多项式完全刻画了生成序列的LFSR, 故自然有以下定义.28定义4.4 设a是周期序列, 称序列a的极小多项式的次数为a的线性复杂度, 记为LC(a).注4.4 对于周期序列a, 显然有LC(a)≤per(a)291969年提出的Berlekamp-Massey算法[14]解决了求序列极小LFSR的问题. 对于线性复杂度为L的序列a, 该算法在已知a的连续2L比特的前提下即可还原出整条序列, 计算时间复杂度仅为O(L2).30第四章序列密码因此, 好的伪随机序列必须具有高的线性复杂度. 对于上一小节介绍的n级m-序列, 其周期为2n−1, 是n 级LFSR能输出的最大周期序列, 但n级m-序列的极小多项式是n次本原多项式, 这意味着n级m-序列的线性复杂度等于n, 则在已知2n比特的条件下, 利用Berlekamp-Massey算法可还原出长为2n−1的原序列. 可见, n级m-序列绝不可单独作为密钥流序列使用.31。

旺旺：旺我旺：能我过能软过软考考主要内容序列密码的基本概念 序列密码的分类 线性移位寄存器序列 线性移位寄存器的输出序列求解旺旺：我能过软考序列密码的基本概念版权所有：我能过软考香农证明了“一次一密”不可破解。

用序列密码模仿“一次一密”密码。

为了安全，序列密码应使用尽可能长的密钥，但是，长密钥的存储、分配存在困难。

设计一个好的密钥序列产生算法，利用较短的种子密钥，产生长的密钥序列。

作为核心密码的主流密码3 旺旺：我能过软考序列密码的分类 同步序列密码自同步序列密码 1）同步序列密码  密钥序列产生算法与明密文无关  产生的密钥序列和明密文无关 在通信中，通信双方必须保持精确的同步  不存在错误传播版权所有：我能过软考输出反馈模式OFB4 旺旺：我能过软考同步序列密码的失步分析版权所有：我能过软考设密c=c1， c2， c4， c5….， cn-1， cn文⊕ k=k1， k2， k3， k4….， cn-1， cn失 步m=m1，m2， X，X….， X， X 可以检测插入、删除、重播等主动攻击（c3 丢失） （密钥正确）5 旺旺：我能过软考同步序列密码错误传播分析版权所有：我能过软考c=c1， c2， c3， c4….， cn-1， cn ⊕ k=k1， k2， k3，k4….， cn-1， cnm=m1，m2，X，m4 …，mn-1 ，mn-1  不存在错误传播（c3 错误） （密钥正确）6 旺旺：我能过软考自同步序列密码错误传播分析版权所有：我能过软考 ci错误只影响n个密钥，导致n位错误，有限的错误传播 同步丢失，会影响n位解密，然后重新建立同步， 如： 电视信号、手机通信 难于检测出主动攻击7 旺旺：我能过软考线性移位寄存器序列 1、移位寄存器如果反馈函数f(S0、 S1 、 … 、 Sn-1)是线性函数，则 称移位寄存器为线性移位寄存器；否则，称为非线性 移位寄存器。

第一章 基本概念1. 密钥体制组成部分：明文空间，密文空间，密钥空间，加密算法，解密算法2、一个好密钥体制至少应满足的两个条件：（1）已知明文和加密密钥计算密文容易；在已知密文和解密密钥计算明文容易；（2）在不知解密密钥的情况下，不可能由密文c 推知明文3、密码分析者攻击密码体制的主要方法：（1）穷举攻击（解决方法:增大密钥量）（2）统计分析攻击（解决方法：使明文的统计特性与密文的统计特性不一样）（3）解密变换攻击（解决方法：选用足够复杂的加密算法）4、四种常见攻击（1）唯密文攻击：仅知道一些密文（2）已知明文攻击：知道一些密文和相应的明文（3）选择明文攻击：密码分析者可以选择一些明文并得到相应的密文（4）选择密文攻击：密码分析者可以选择一些密文，并得到相应的明文【注：✍以上攻击都建立在已知算法的基础之上；✍以上攻击器攻击强度依次增加；✍密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码（一）单表古典密码1、定义：明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数，}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q（1）加法密码✍加密算法：κκ∈∈===k X m Z Z Y X q q ;,;对任意，密文为：q k m m E c k m od )()(+== ✍密钥量：q（2）乘法密码✍加密算法：κκ∈∈===k X m Z Z Y X q q ;,;*对任意，密文为：q km m E c k m od )(==✍解密算法：q c k c D m k mod )(1-==✍密钥量：)(q ϕ（3）仿射密码✍加密算法：κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意；密文✍解密算法：q k c k c D m k mod )()(112-==- ✍密钥量：)(q q ϕ（4）置换密码✍加密算法：κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为，密文✍密钥量：!q ✍仿射密码是置换密码的特例3.几种典型的单表古典密码体制（1）Caeser 体制：密钥k=3（2）标准字头密码体制：4.单表古典密码的统计分析（1）26个英文字母出现的频率如下：频率 约为0.12 0.06到0.09之间 约为0.04 约0.015到0.028之间小于0.01 字母 e t,a,o,i.n,s,h,r d,l c,u,m,w,f,g,y,p,b v,k,j,x,q ,z【注：出现频率最高的双字母：th ；出现频率最高的三字母：the 】（二）多表古典密码1.定义：明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算（1）简单加法密码✍加密算法:κκ∈=∈====),...,(,),...,(,,11n n n n q n q n n k k k X m m m Z Z Y X 对任意设,密文：✍密钥量：n q（2）简单乘法密码✍密钥量：n q )(ϕ1.简单仿射密码✍密钥量：n n q q )(ϕ2.简单置换密码✍密钥量：n q )!(（3）换位密码✍密钥量：!n（4）广义置换密码✍密钥量：)!(n q（5）广义仿射密码✍密钥量：n n r q3.几种典型的多表古典密码体制（1）Playfair 体制：✍密钥为一个5X5的矩阵✍加密步骤：a.在适当位置闯入一些特定字母，譬如q,使得明文字母串的长度为偶数，并且将明文字母串按两个字母一组进行分组，每组中的两个字母不同。