917815-密码学-第二章 保密理论 2.2shannon保密理论

H
(K
)
log
1 26!
88.4(比特)
2.2 Shannon保密理论
又英文多余度为：D = Hmax - H = 3.2 (比特/字母) 故英文单表代替的唯一解码量为：
N = H(K) / D = 88.4 / 3.2 = 28 (字母) 上式表明：对于英文单表代替密码，当截获的 密文量超过28个字母时，存在唯一解。
定理：对完全保密系统，有H（K）≥H（X） 证明：对完全保密系统，有I（X；Y）=0。
又I（X；Y）≥ H（X）-H（K）。 故H（X）-H（K）≤0，即 H（K）≥H（X）
该定理说明：完全保密系统必须有大量的密钥。 注：（1）完全保密系统存在。如“一次一密”。 （2） “一次一密”无法解决一般的保密通信问题。
（一）理论安全性
一个密码系统是理论上安全的是指，即使破译者 具有无限的计算资源也不能破译该系统。
（二）计算安全性
计算安全性是指利用已有的最好的方法破译该系 统所需要的努力超过了敌手的破译能力或破译该 系统的难度等价于解数学上的某个已知难题。
2.2 Shannon保密理论
三 理论上(完全)保密的系统
v H(K) log n
证明：因 I (K; Y v ) H (Y v ) H ( X v ) H (Y v )
logn
I(K; Y v) H(K)
故
H (K) logn
即
v H(K)
log n
2.2 Shannon保密理论
例：求英文单表代替（代替表客观使用）的唯一解 码量。
解：因为英文单表代替代替表总数为26！，在代替 表客观使用的情况下，各个代替表被利用的概率均 等，即为1/26！,故英文单表代替的密钥熵为：
一 保密系统模型
明文(X) 加密算法(E) K
密文(Y) 公共信道
安全信道
脱密算法(D) 原始明文(X) K
密钥源
其中Y=EK(X)，X=DK(Y)， DK(EK(X))=X。
2.2 Shannon保密理论
二 一般保密系统
对一般保密系统，有 （一） 1、H（Y|XK）= 0
2、H（X|YK）= 0 但H（K|XY）却未必为0。 （二）密文与密钥、明文的互信息
实际上，英文信源既不等概、也不独立，此 时可将英文信源近似看作马尔柯夫信源，用马尔 柯夫信源的极限熵作为英文信源的实际熵
H 1.5(比特/字母) 此时有 D =Hmax - H = 3.2 (比特/字母)
2.2 Shannon保密理论
七 唯一解距离（唯一解码量）
称唯密文攻击下确定密钥所需密文的最短长 度为唯一解距离（唯一解码量）。记为
年
年
年
假设输入规模为n，每秒处理1012 240条基本指令
2.2 Shannon保密理论
六 自然语信源的冗余度(多余度)
记某一信源的最大熵为Hmax，实际熵为H， 则称 D Hmax H 为信源的冗余度。
若设信源基本符号数为n，则有 D logn H 。
2.2 Shannon保密理论
例：计算英文(26个字母)信源的多余度。 解：当假定英文字母等概独立出现时，达到英文信 源的最大熵
H (Y v | K ) H ( X v | K ) H (Y v | X vK ) H(Xv |K) 故有 I (K; Y v ) H (Y v ) H (Y v | K ) H (Y v ) H ( X v | K )
2.2 Shannon保密理论
又因密钥与明文独立，且密文字符是近似随机的。
故有 又
I (K; Y v ) H (Y v ) H ( X v )
logn H
I(K; Y v) H(K) H(K |Y v)
故有 故
H(K)
H (K) logn H (logn H ) D
v H(K) D
2.2 Shannon保密理论
定理 ：对明、密文等长的密码方案，若设密文字 符是近似随机的，则已知明文条件下，有
f (n) O(g(n)) 意味着存在一个常数 c 和 n0使得 对一切 n n0 ，有 f (n) c g(n) 。 例如，假设 f(n) = 17n + 10, 则 f(n) = O(n)。 由于若取 g(n) = n, c = 18, n0 = 10，则当 n n0 时， 有： f (n) c g(n)
称满足条件I（X；Y）= 0的密码系统为理论 上（完全）保密的系统。
对理论上（完全）保密的密码系统，密文Y 与明文X之间统计独立，不存在任何形式的统计 相关性。在唯密文攻击下，密码分析者从密文得 不到明文的任何信息，此时，不论截获的密文量 有多大，用于攻击的资源有多么丰富，都将于事 无补。
2.2 Shannon保密理论
2.2 Shannon保密理论
通常按时间复杂性对算法分类：
多项式时间算法：时间复杂性是 O(nt ) 的算法， t 是常数，n 是输入数据的长度。
指数时间算法：时间复杂性是 O(t h(n) ) 的算法，
t 是常数，h(n) 是一个多项式。
2.2 Shannon保密理论
不同类型函数的运行时间比较
v min rN : H(K Y r ) 0
其中 Y r 表示长度为 r 的密文。
2.2 Shannon保密理论
定理 ：对明、密文等长的密码方案，若密文字符是 近似随机的，则唯一解码量为
v H(K) D
其中 H(K) 为密钥熵，D 为明文的冗余度。 证明：因 H( X vY v K) H(Y v | K) H( X v |Y vK)
密码学
第二章 保密理论
2.2 Shannon保密理论
2.2 Shannon保密理论
主要内容
一 保密系统模型 二 一般保密系统 三 理论上(完全)保密的系统 四 计算上(实际)保密的系统 五 算法复杂性 六 自然语信源的冗余度(多余度) 七 唯一解距离（唯一解码量）
2.2 Shannon保密理论
五 算法复杂性
算法复杂性由算法所需的运行时间和存储空间度 量，分别称为算法的时间复杂性和空间复杂性。
时间复杂性：算法执行时需要的基本运算的次数 和步骤。 空间复杂性：算法执行时需要的存取空间的大小。
2.2 Shannon保密理论
渐进运行时间的刻画：
设 n 是算法输入的规模，f (n)是一个算法的运行 时间。时间复杂性用“O”表示，表示了时间复 杂性的数量级。
Hmax log 26 4.7(比特 /字母)
当假定英文字母间独立，而概率按统计结果分 布时，此时可将英文信源近似看作离散无记忆信源， 则计算出来的英文信源的熵为
此时有
26
H1 pi log pi 4.15(比特/字母)
i1
D1 =Hmax - H1 = 0.55 (比特/字母)
2.2 Shannon保密理论
1、 I（K；Y）=H（K）-H（K|Y） 2、 I（X；Y）=H（X）-H（X|Y）
2.2 Shannon保密理论
二 一般保密系统
（三） I（X；Y）≥ H（X）-H（K） 该式说明：在密钥量小的保密系统中，密文必定 给出明文的许多信息。
2.2 Shannon保密理论
衡量一个密码系统的安全性有两种基本的方法， 一种是理论安全性，另一种是计算安全性。
பைடு நூலகம்
2.2 Shannon保密理论
四 计算上(实际) 保密的系统
计算上（实际）保密的密码是指一个密码系统 虽然从理论上讲可以破译（即存在唯一解），但就 密码分析者所拥有的资源而言，要确定出唯一解在 计算上（实际）并不可行。
计算上（实际）保密的密码的保密强度建立在 复杂度理论之上。
2.2 Shannon保密理论
10
100
1000
104
105
n 10-11秒 10-10秒
10-9秒
10-8秒
10-7秒
n2 10-10秒 10-8秒
10-6秒
10-4秒
10-2秒
n3 10-9秒 10-6秒
10-3秒
1秒
16.6分
2n
2-30秒
3.6×1010 3.6×10281 3.3×102990 2.9×1030083
年