序列密码讲解及事例.

伪随机数生成器是一个生成完全可预料的数列（称为流）的确定 性程序。一个编写得很好的的PRNG可以创建一个序列，而这个序列 的属性与许多真正随机数的序列的属性是一样的。
例如：（1）PRNG可以以相同几率在一个范围内生成任何数字； （ 2 ） PRNG 可以生成带任何统计分布的流；（ 3 ）由 PRNG 生成的数 字流不具备可辨别的模。
8
事实上，序列密码算法其安全性依赖于简单的异或运算和一次 一密乱码本。密钥流发生器生成的看似随机的密钥流实际上是确定 的，在解密的时候能很好的将其再现。密钥流发生器输出的密钥越 接近随机，对密码分析者来说就越困难。 如果密钥流发生器每次都生成同样的密钥流的话，对攻击来说， 破译该算法就容易了。
假的 Alice 得到一份密文和相应的明文，她就可以将两者异或 恢复出密钥流。或者，如果她有两个用同一个密钥流加密的密文， 她就可以让两者异或得到两个明文互相异或而成的消息。这是很容 易破译的，接着她就可以用明文跟密文异或得出密钥流。 现在，无论她再拦截到什么密文消息，她都可以用她所拥有的 密钥流进行解密。另外，她还可以解密，并阅读以前截获到的消息 。一旦Alice得到一明文/密文对，她就可以读懂任何东西了。
5.2 序列密码的概念及模型 序列密码算法将明文逐位转换成密文，如下图所示。m
密钥流发生器（也称为滚动密钥发生器）输出一系列比特流： K1 ，K2，K3，……Ki 。密钥流（也称为滚动密钥）跟明文比特流，m1，m2 ，m3，……mi ，进行异或运算产生密文比特流。 加密： C i =mi⊕K i 在解密端，密文流与完全相同的密钥来自百度文库异或运算恢复出明文流。 解密： m i =C i⊕K i 显然，mi⊕K i⊕K i =m i
5
5.1.3 基于密码算法的随机数产生器
1．使用软件方法的随机数产生器
一个常用的随机数产生器是属于线形拟合生成器一类的。这 类生成器相当普遍，它们采用很具体的数学公式： Xn+1 = (aXn + b) mod c 即第 n+1 个数等于第 n 个数乘以某个常数 a，再加上常数 b。 如果结果大于或等于某个常数 c，那么通过除以 c，并取它的余数 来将这个值限制在一定范围内。注意：a、b 和 c 通常是质数。
2
5.1 密码学中的随机数 在密码学都要涉及到随机数？因为许多密码系统的安全性都依 赖于随机数的生成，例如DES加密算法中的密钥，RSA加密和数字 签名中的素数。
5.1.1 随机数的使用
序列密码的保密性完全取决于密钥的随机性。如果密钥是真正 的随机数，则这种体制在理论上就是不可破译的。但这种方式所需 的密钥量大得惊人，在实际中是不可行的。 目前一般采用伪随机序列来代替随机序列作为密钥序列，也就 是序列存在着一定的循环周期。这样序列周期的长短就成为保密性 的关键。如果周期足够长，就会有比较好的保密性。现在周期小于 1010的序列很少被采用，周期长达1050的序列也并不少见。
3
5.1.2 伪随机数产生器
何谓伪随机数生成器（PRNG）？假定需要生成介于1和 10 之 间的随机数，每一个数出现的几率都是一样的。理想情况下，应生 成0到1之间的一个值，不考虑以前值，这个范围中的每一个值出现 的几率都是一样的，然后再将该值乘以 10。
由任何伪随机数生成器返回的数目会受到 0 到 N 之间整数数目的 限制。因为常见情况下，伪随机数生成器生成 0 到 N 之间的一个 整数，返回的整数再除以 N。可以得出的数字总是处于 0 和 1 之 间。对生成器随后的调用采用第一次运行产生的整数，并将它传给 一个函数，以生成 0 到 N 之间的一个新整数，然后再将新整数除 以 N 返回。
第五讲：序列密码
人们试图用序列密码方式仿效”一次一密”密码. 从而促成了序列密码的研究和发展. 序列密码是世 界军事, 外交等领域应用的主流密码体制. 在通常 的序列密码中, 加解密用的密钥序列是伪随机序列, 它的产生容易且有较成熟的理论工具, 所以序列密 码是当前通用的密码系统. 序列密码的安全性主要依赖于密钥序列, 因而 什么样的伪随机序列是安全可靠的密钥序列, 以及 如何实现这种序列就成了序列密码中研究的一个主 要方面.
5.1.4 伪随机数的评价标准
（1）看起来是随机的，表明它可以通过所有随机性统计检验。 现在的许多统计测试。它们采用了各种形式，但共同思路是它们 全都以统计方式检查来自发生器的数据流，尝试发现数据是否是随 机的。 确 保 数 据 流 随 机 性 的 最 广 为 人 知 的 测 试 套 件 就 是 George Marsaglia 的 DIEHARD 软件包（请参阅 http://www.stat.fsu.edu/ pub/diehard/）。另一个适合此类测试的合理软件包是 pLab（请参 阅http://random.mat.sbg.ac.at/tests/）。 （2）它是不可预测的。即使给出产生序列的算法或硬件和所有以 前产生的比特流的全部知识，也不可能通过计算来预测下一个随机 比特应是什么。 （3）它不能可靠地重复产生。如果用完全同样的输入对序列产生 7 器操作两次将得到两个不相关的随机序列。
4
目前，常见随机数发生器中N 是232–1 （大约等于 40 亿），对 于 32 位数字来说，这是最大的值。但在密码学领域， 40 亿个数根 本不算大！ 伪随机数生成器将作为“种子”的数当作初始整数传给函数。由 伪随机数生成器返回的每一个值完全由它返回的前一个值所决定。 因此，最初的种子决定了这个随机数序列。如果知道用于计算任何 一个值的那个整数，那么就可以算出从这个生成器返回的下一个值。
2．使用硬件方法的随机数产生器
目前生成随机数的几种硬件设备都是用于商业用途。得到广泛使 用的设备是 ComScire QNG，它是使用并行端口连接到 PC 的外部设备， 它可以在每秒钟生成 20,000 位，这对于大多数注重安全性的应用程序来 说已经足够了。 另外Intel 公司宣布他们将开始在其芯片组中添加基于热能的硬件 随机数发生器，而且基本上不会增加客户的成本。迄今为止，已经交付 6 了一些带有硬件 PRNG 的 CPU。