密码学Shannon理论

Pr a i ,0 Pr a i 1,0 i q 1,
明文空间：
Pr a 1 .
i i0
q 1
M m m1 , m 2 , , m r m i X ,1 i r
1. 如果信源是无记忆的，则
Pr m Pr m 1 , m 2 , , m r
E k1 ( a ) 1
E k1 ( b ) 2
E k2 (a ) 2
E k 2 (b ) 3
1 4
1 2
E k3 ( a ) 3
E k 3 (b ) 4
Pr( b )
Pr( k 2 ) 1 4
设明文的概率分布 Pr( a )
密钥的概率分布为 Pr( k 1 )
1 4 log 1
2
4

3 4
log
3
2
4
0 . 81
H ( K ) Pr( k1 ) log 2 Pr( k1 ) Pr( k 2 ) log 2 Pr( k 2 ) Pr( k 3 ) log 2 Pr( k 3 )
1 2 log 1
2
2

1 4
log
1
2
4

1 4
Pr( k 1 1) 1
Pr( k 1 2 ) 6 7
Pr( k 2 1) 0
Pr( k 2 2 ) 1 7
Pr( k 3 1) 0
Pr( k 3 3 ) 1
Pr( k 1 3 ) 0
Pr( k 2 3 )
3 4
Pr( k 3 2 ) 0 4
Pr( k 3 4 ) 1
i i0
p 1
长为s的密钥：Κ k k 1 , k 2 , , k s k i B ,1 i s
加密变换：将明文在密钥的控制下变为密文，即


c 1 , c 2 , , c t E k m 1 , m 2 , , m r
t和r为何不等呢？
密文空间的统计特性由明文空间和密钥空间的统计特性决定：
7 16 1
Pr( 3 ) Pr( a ) Pr( k 3 ) Pr( b ) Pr( k 2 )
Pr( 4 ) Pr( b ) Pr( k 3 )
3 16
7 16 1 4 log 1
2
4
于是
H (C )
1 8
log
1
2
8

7 16
log
2
4

3 16
log
3
2
16
1 . 85
Pr( k 1 4 ) 0
Pr( k 2 4 ) 0
于是，可计算出
H ( K C ) Pr( 1) H ( K 1) Pr( 2 ) H ( K 2 ) Pr( 3 ) H ( K 3 ) Pr( 4 ) H ( K 4 )
=0.46
3.3 伪密钥和惟一解距离
定理3.4 设
x, y I
.
引理3.1（Jensen不等式）设f 是区间I上的一个连续的严格 凸函数
，
a
i0
n
i
1,
a i 0 ,1 i n. 则
1
a
i0
n
i
f ( x i ) f ( a i x i ), x i I ,1 i n
i 1
n
上式中的等号成立当且仅当 x
编码器 信道 干扰源 解码器 m 接收者
保密系统：设计目的是使窃听者即使完全准确地接收到了信道上的传 输信号也无法恢复原始信息。
密码分析者 信源 加密器 信道 解密器 接收者
m
k
密钥源
c
c
m
k
秘密信道 密钥源
信源字母表： X a i i 0 ,1, 2 , , q 1


且 a i 的概率为
≈0.46
最后计算
H ( K C ). 首先计算在已知密文的情况下密钥的概率分布。
1 4
Pr( 1 k 1 ) Pr( a )
Pr( 1 k 2 ) 0
Pr( 2 k 2 ) Pr( a )
Pr( 3 k 2 ) Pr( b ) 3 4
Pr( 1 k 3 ) 0
1 4
i)
1 n
.
定理3.1证明过程如下：
H ( X ) Pr( x i ) log 2
i
Pr( x i )


i
Pr( x i ) log 2
1 Pr( xi )
log 2i
Pr( x i ) Pr(1xi )
log 2
n
定理3.2
H ( X , Y ) H ( X ) H (Y )
Pr ( x , y
i i j
j
) log 2 ) log 2
1 Pr( xi , y j )

i
Pr ( x , y
i j
j
) log 2
Pr( x i ) Pr( y j )
Pr ( x , y
i i j
j
Pr( xi ) Pr( y j ) Pr( xi , y j )
j
i 1 j 1
n
m
称为X关于Y的条件熵。

Pr( y
j
j
)H ( X | y j )
Pr( x ) H (Y | x )
i i i
定义3.5
一个实值函数f 称为在区间I上是凸(严格凸)的，如果对任意 ,都有
f ( x) f ( y) 2 ( ) f ( x y 2 )
Pr m
i i0
r
2.如果信源是有记忆的，则需要考虑明文空间中各元素的概率分布。
密钥源字母表： B b i 0 ,1, 2 , , p 1 ，其中bi 的概率为 i


Pr bi ,0 Pr bi 1,0 i p 1,
Pr b 1 .
等号成立当且仅当X与Y相互独立。
定理3.3
H ( X , Y ) H (Y ) H ( X Y ) H ( X ) H (Y X )
推论3.1
H (X Y ) H (X )
等号成立当且仅当X与Y相互独立.
I(X,Y) H(X)
H(X|Y) H(Y|X)
H(Y)
定理3.2证明过程如下：
Pr( 3 k 3 ) Pr( a ) Pr( 4 k 3 ) Pr( b ) 1 4 3 4
Pr( 2 k 1 ) Pr( b )
3 4
Pr( 2 k 3 ) 0
Pr( 3 k 1 ) 0
Pr( 4 k 1 ) 0
Pr( 4 k 2 ) 0
由Bayes公式知：
3 4
Pr( k 3 ) 1 4
设m是明文空间 M上的随机变量，c是密文空间 C 上的随机变量， k是密钥空间 K上的随机变量。下面来计算熵
H ( M ), H ( K ), H ( C ), H ( M C ), H ( K C ) 根据熵的定义，我们有
H ( M ) Pr( a ) log 2 Pr( a ) Pr( b ) log 2 Pr( b )
log 2i
Pr( x i ) Pr( y j )
log 1 0
例3.1 设 ( M , C , K , , D ) 是一个密码体制，明文空间 M {a , b}
密文空间 C {1, 2 ,3, 4}， 密钥空间 K {k , k , k } 1 2 3 加密变换为
log
1
2
4

3 2
为了计算 H (C ) ，我们需要先计算密文的概率分布。假设明文和密 钥相互独立是合理的。根据
Pr c
k k cC k

Pr k Pr D k c
有
Pr( 2 ) Pr( a ) Pr( k 2 ) Pr( b ) Pr( k 1 )
第三章 Shannon理论
3.1 密码体制的数学模型
3.2 熵及其性质
3.3 伪密钥和惟一解距离
3.4 密码体制的完善保密性
3.5 乘积密码体制
3.1 密码体制的数学模型
密码注定与通信密不可分,不需通信也就不需要密码了。通信系统：设计 目的是在信道有干扰的情况下,使接收的信息无差错或差错尽可能地小。 信源 m
称为随机变量X和Y的联合熵。 n def 定义3.3 H ( X y j ) Pr( x i y j ) log 2 Pr( x i y j )
i 1
称为X在Y取值
yj 时的条件熵。
def
定义3.4 H ( X Y )
Pr( x , y
i i 1 j 1
n
n
j
) log 2 Pr( x i y ) Pr( y j ) Pr( x i y j ) log 2 Pr( x i y j ) j
为计算 H ( M C ) ，需要先计算在已知密文的情况下明文 的概率分布，则
Pr( 1 a ) Pr( k 1 ) 1 2
来自百度文库1 4
Pr( 1 b ) 0
1 4
Pr( 2 a ) Pr( k 2 )
1 4
Pr( 2 b ) Pr( k 1 )
1 2
Pr( 3 | a ) Pr( k 3 )
由于明文空间与密钥空间是相互独立的，则 Pr c
Pr c m 又因为 故由Bayes公式知
Pr m c
k k cC k

Pr k Pr D k c
k k m D k c

Pr k
Pr( m )
Pr( m ) Pr( c m ) Pr( c )

k k m D k ( c )
Pr( k )
k
k k c C k
Pr( k ) Pr( D

( c ))
从以上公式可知，知道明文空间和密钥空间的概率分布， 就可确定密文空间的概率分布，密文空间关于明文空间的概率 分布，以及明文空间关于密文空间的概率分布。
加解密运算可记为 C k E k m C m M m D k ( c ) D k ( E k ( m ))
3.2 熵及其性质
定义3.1
H (X )
def
Pr( x
i 1
n
i
) log
2
Pr( x i )
称为随机变量X的熵。 def n m 定义3.2 H ( X , Y ) Pr( x i , y j ) log 2 Pr( x i , y j )
i 1 j 1
(M , C , K , , D )
是一个密码体制，
则
H ( K C ) H ( K ) H ( M ) H (C )
这里M,K,C分别是 M，K，C 上的随机变量。 证明：
H ( K , M , C ) H (C | K , M ) H ( K , M ) H ( M | K , C ) H ( K , C )
Pr( 3 b ) Pr( k 2 )
Pr( 4 a ) 0
Pr( 4 b ) Pr( k 3 )
1 4
再由Bayes公式 Pr x y
Pr( x ) Pr( y x ) Pr( y )
Pr( b 1) 0
可计算得
Pr( a 1) 1
Pr( a 2 ) 1 7
Pr( b 2 )
6 7 3
Pr( a 3 )
1
Pr( b 3 )
4 Pr( a 4 ) 0
4 Pr( b 4 ) 1
于是
H ( M C ) Pr( 1) H ( M 1) Pr( 2 ) H ( M 2 ) Pr( 3) H ( M 3) Pr( 4 ) H ( M 4 )
H (C | K , M ) H ( M | K , C ) 0 H (K , M ) H (K ,C ) H ( K , C ) H (C ) H ( K | C ) H ( K , M ) H ( M ) H ( K | M ), 而 H ( K | M ) H ( K ), K 与 M 独立 H ( K | C ) H ( M ) H ( K ) H (C )
x2 xn .
• 定理3.1 任意信息源X,其熵值满足： H ( X ) log n 0 2
H ( X ) 0 当且仅当存在一个 Pr( x i ) 1, 1 i n 而对其他 j i , Pr( x i ) 0
H ( X ) log 2 n , 当且仅当对任意 1 i n ，都有 Pr( x
H ( X ) H (Y ) Pr( x i ) log
i Pr( x i ) 2
Pr( y j ) log
j
Pr( y j ) 2

i
Pr ( x , y
i j
j
) log
Pr( x i ) Pr( y j ) 2
H ( X , Y ) H ( X ) H (Y )