《密码学理论与技术》复习题库.pdf

密码学理论与技术复习题库密码学理论与技术复习题库 一、一、选择题 1. 1976 年，提出公开密码系统的美国学者是( ) A、 Bauer 和HillB、 Diffie 和HellmanC 、 Diffie 和BauerD、 Hill 和Hellman 2.DES 算法中扩展运算E 的功能是 A、对16 位的数据组的各位进行选择和排列，产生一个32 位的结果 B、对32 位的数据组的各位进行选择和排列，产生一个48 位的结果 C、对48 位的数据组的各位进行选择和排列，产生一个64 位的结果 D、对 56 位的数据组的各位进行选择和排列，产生一个 64 位的结果 3下表是 DES 算法中 S4 盒的选择矩阵，如果其输入为 101011，则输出为（） 。 0123456789101112131415 07131430691012851112415 11381156150347212110149 21069012117131513145284 33150610113894511127214 A.0001B.1010C.1011D.1100 4.RSA 密码的安全性基于 A、离散对数问题的困难性B、子集和问题的困难性 C、大的整数因子分解的困难性D、线性编码的解码问题的困难性 5.如果某一个系统利用数字签名的方法来验证用户的口令，则用户的口令是 A、用户保密的解密密钥KdB、用户公开的加密密钥Ke C、用户与系统共享的秘密密钥 KD、以上说法都不对 6.RIJNDAEL 算法中的许多运算是按字节定义的，把一个字节看成是 A、整数域上的一个元素B、有限域GF(2 8 ) 上的一个元素 C、有限域GF(2)上的一个元素D、有限域GF(2 16 )上的一个元素 7.目前公开密钥密码主要用来进行数字签名， 或用于保护传统密码的密钥， 而不主要用于数 据加密，主要因为 A、公钥密码的密钥太短B、公钥密码的效率比较低 C、公钥密码的安全性不好D、公钥密码抗攻击性比较差 8.一个密码系统如果用E 表示加密运算，D 表示解密运算，M 表示明文，C 表示密文，则下 面哪个式子肯定成立 A、E(E(M)=CB、D(E(M)=MC、D(E(M)=CD、D(D(M)=M 9.如果DES加密使用的轮密钥为K1,K2,K3,K16，则DES解密时第一轮使用的密钥为 A、K1B、K8C、K12D、K16 10.如果一个置换密码使用下面的置换,则明文 abcdef 对应的密文为()。 123456 351642 A.fedbcaB.ceafdbC.edacfbD.cfdbae 11.在 ElGamal密码中，如果选择p=11，生成元g = 2，私钥为x= 8，则其公钥为 A、3B、4C、5D、7 12.在 RSA 密码体制中，已知p= 3,q= 7, 同时选择e= 5则其私钥d为 A、3B、4C、5D、6 13.假设某一个仿射密码中，P=C=Z26，n = 26，如果其加密变换为eK(x) = 7x + 3，则其解 密变换为 A、dk(y)=15y-19B、dk(y)= 7y + 3 C、dk(y)= 7y-3D、dk(y)= 15y +19 14.下面关于签名的说法中，那些是错误的 A、为了安全，不要直接对数据进行签名，而应对数据的HASH 值签名 B、为了安全，要正确的选择签名算法的参数 C、为了安全，应采用先签名后加密的方案 D、为了安全，应采用先加密后签名的方案 15.下面的那种攻击不属于主动攻击 A、窃听B、中断C、篡改D、伪造 16.把明文中的字母重新排列，字母本身不变，但位置改变了这样编成的密码称为 A、代替密码B、置换密码C 代数密码D 仿射密码 17.KMC 或KDC 主要负责 A、密钥的产生 B、密钥的分配 C、密钥的销毁 D、密钥的产生和分配 18.l998 年8 月20 日，美国国家标准技术研究所(NlST)召开了第一次AES 候选会议同时公 布的符合基本要求的候选算法有( ) A 5 个B 6 个C、10 个D、l5 个 19AES 算法中的状态可表为一个二维数组，如果明文长度为128 比特，则明文状态为 A、4 行4 列B B、4 行6 列C、4 行8 列D、4 行10 列 20.设一个公开密钥密码的加密运算为E ，解密运算为D，加密密钥为Ke ，解密密钥为Kd， M 为明文消息，如果要确保数据的真实性，则发送方要发送的密文为 A、 E(M, Ke)B、D(M, Kd)C、E(M, Kd)D、D(M, Ke) 21.如果hash 函数的函数值为64位，则对其进行生日攻击的代价为 A、2 16 B、2 32 C、2 48 D、2 64 22. 混乱性和扩散性是评价密码算法的重要概念， 当明文中的字符变化时， 截取者不能预知 密文会有何变化， 这种特性是混乱性； 将明文中单一字母包含的信息散布到整个输出中去的 特性称为扩散性。置换（transposition）密码的目的是为了_。 A. 混乱性B. 扩散性C. 混乱性和扩散性D.混散性 23.著名的Kerckhoff 原则是指 A、系统的保密性不但依赖于对加密体制或算法的保密，而且依赖于密钥 B、系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥 C、系统的保密性既不依赖于对加密体制或算法的保密，也不依赖于密钥 D、系统的保密性只与其使用的安全算法的复杂性有关 24.下面那种密码可以抵抗频率分析攻击 A、置换密码B、仿射密码C、多表代替密码D、加法密码 25.一个数字签名体制都要包括 A、加密和解密两个方面B、加密和认证两个方面 C、施加签名和验证签名两个方面D、认证和身份识别两个方面 26.下面关于 AES 算法的叙述，那一个是正确的( ) A、AES 算法是用56 比特的密钥加密64 比特的明文得到64 比特的密文 B、AES 算法属于非对称密码算法 C、AES 是一个数据块长度和密钥长度可分别为128 位、192 位或256 位的分组密码算法 D、AES 是一个数据块长度和密钥长度可分别为 64 位或 128 位的分组密码算法 27.对于一个给定的散列函数H，其单向性是指 A、对于给定的hash 码h，找到满足H(x)=h 的x 在计算上是不可行的 B、对于给定的分组 x，找到满足yx且 H(x)=H(y)的 y在计算上是不可行的 C、找到任何满足H(x)=H(y)的偶对(x，y)在计算上是不可行的 D、以上说法都不对 28.安全hash 算法(SHA)输出报文摘要的长度为 A、120B、128C、144D、160 29.设某一移位密码体制中，P=C=Z26,0 k 25, 定义ek(x)=x+kmod26,同时 dk(y)=y-kmod26, x, y Z26，如果取k =11，则明文 will的密文为 A.xeppB、htww C、midd D、torr 30.两个密钥的三重 DES，若其加密的过程为 PEDEC kkk121 ，其中 P 为明文，则 解密的过程为()。 A. CEDEP kkk121 B. CDDDP kkk212 C. CDEDP kkk121 D. CDEDP kkk212 31 在 RSA 密钥产生过程中， 选择了两个素数， p=17， q=41， 求欧拉函数 （n） 的值 （） 。 A.481B.444C.432D.640 32.IDEA 的密钥长度是多少？（） 。 A.56B.64C.96D.128 33设散列函数 H 的输出为 m 比特，如果 H 的 k 个随机输入中至少有两个产生相同输出的 概率大于 0.5,则 k 的值近似为（） 。 A.2 m / 2 B.2 m / 4 C.2 m / 6 D.2 m / 8 二、二、 简答题简答题 1.密码学的五元组是什么？它们分别有什么含义？ 答：密码学的五元组是指： 明文、密文、密钥、加密算法、解密算法 。 明文：是作为加密输入的原始信息，即消息的原始形式，通常用 m 或 P 表示。 密文：是明文经加密变换后的结果，即消息被加密处理后的形式，通常用 C 表示。 密钥：是参与密码变换的参数，通常用 k 表示。 加密算法：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程， 通 常用表示，即。 解密算法：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程， 通 常用 D 表示，即。 2. 设通信双方使用 RSA 加密体制，接收方的公开密钥是（5,35） ，接收到的密文是 10，求 明文。 解：据题意知： e5， n35， C10。 因此有： 所以有： 3. 对 DES 和 AES 进行比较，说明两者的特点和优缺点。 解答： DES：分组密码，Feist 结构，明文密文 64 位，有效密钥 56 位。有弱密钥，有互补 对称性。适合硬件实现，软件实现麻烦。安全。 算法是对合的。 AES：分组密码，SP 结构，明文密文 128 位，密钥长度可变128 位。无弱密钥，无互补对 称性。适合软件和硬件实现。安全。 算法不是对合的。 4.分组密码的工作模式？ 电码本模式（ECB） ：用相同的密钥分别对明文组加密； 密文分组链接模式（CBC） ：加密算法的输入是上一个密文组和下一个明文组的异或； 密文 反馈模式（CFB） ：一次处理 j 位，上一块密文作为加密算法的输入，用产生的一个伪随机数 输出与明文异或作为下一块的输入； 输出反馈模式（OFB） ：与 CFB 基本相同，只是加密算法的输入是上一次 DES 的输出； 计数 器模式（CTR） ：每个明文分组都与一个加密计数器相异或，对每个后续分组计数器递增。 5以 DES 为例，画出分组密码的密码分组链接（CBC）模式的加密解密示意图，假设加密时 明文一个比特错误，对密文造成什么影响，对接收方解密会造成什么影响？ 答： 因为计算机数据自身的特殊性以及不同场合对于数据加密速度及效率的不同需求， 再采 用分组对称密码进行数据加密时往往要选择相应的工作模式，密文链接模式（CBC）就是其 中的一种。 以 DES 分组密码为例，CBC 模式的加密示意图如下： 以 DES 分组密码为例，CBC 模式的解密示意图如下： 加密时明文的一个比特错误， 会导致该组加密密文发生变化， 然后这个错误反馈值会作为 下一次 DES 加密的输入值，再经过 DES 加密变换。会导致后面的密文都受到影响。 对于接收方来说， 加密明文的一个比特错误， 只会影响对应明文块所产生的密文的正常解 密，其他数据块可以正常准确地解密。 6分组密码中的代换与置换的区别是什么？其中非线性函数与二者有何关系？ 答：分组密码算法的安全策略中，用得最多的就是采用代换置换网络，简称 SP 网络， 它是由 S 变换（代换）和 P 变换（置换或换位）交替进行多次迭代而形成的变换网络，这两 个变换是分组密码中的基本构件，S 变换（代换）又称为 S 盒变换，P 变换（置换或换位） 又称为 P 盒变换。S 盒变换的作用是起到混乱的效果，P 盒变换的作用是起到扩散的效果。 混乱： 是指明文和密钥以及密文之间的统计关系尽可能复杂化， 使破译者无法理出相互 间的依赖关系，从而加强隐蔽性。 扩散：是指让明文中的每一位（包括密钥的每一位）直接或间接影响输出密文中的许多 位， 或者让密文中的每一位受制于输入明文以及密钥中的若干位， 以便达到隐蔽明文的统计 特性。 轮变换的核心是 f 函数，它是非线性的，是每轮实现混乱和扩散的最关键的模块。即在 这个非线性变换中，包含了混乱和扩散。 7.（1）以 DES 为例，画出分组密码的输出反馈（OFB）模式的加密解密示意图（反馈值可以 设定为 j 比特） （2）在（1）的题设下，假设反馈值设定为 8 比特，则加密时明文的一个比特错误，对密文 造成什么影响？ （3）在（1）的题设下，假设反馈值设定为 8 比特，在传输过程中，密文的一个比特发生错 误，对接收方解密会造成什么影响？ 解：(1)如下图所示： （2）由于反馈的是寄存器的输出，所以，可以看到，实际上对密文没有影响，也就是说没 有错误传播。 （3）解密时，由于每组都是独立解密的，所以，传输过程中密文的一个比特错误，只会影 响本组 8 个比特的解密。 8简述公钥密码体制的基本思想以及其相对于传统密码体制的优势。 答：公钥密码体制的基本思想是把密钥分成两个部分：公开密钥和私有密钥（简称公钥和 私钥） ，公钥可以向外公布，私钥则是保密的；密钥中的任何一个可以用来加密，另一个可 以用来解密；公钥和私钥必须配对使用，否则不能打开加密文件；已知密码算法和密钥中的 一个，求解另一个在计算上是不可行的。 相对于传统密码体制来说， 公钥密码体制中的公钥可被记录在一个公共数据库里或以某种 可信的方式公开发放，而私有密钥由持有者妥善地秘密保存。这样，任何人都可以通过某种 公开的途径获得一个用户的公开密要， 然后进行保密通信， 而解密者只能是知道私钥的密钥 持有者， 该体制简化了密钥的分配与分发； 同时因为公钥密码体制密钥的非对称性以及私钥 只能由持有者一个人私人持有的特性， 使得公钥密码体制不仅能像传统密码体制那样用于消 息加密，实现秘密通信，还可以广泛应用于数字签名、认证等领域。 9简述数字签名的基本原理及过程 答：数字签名与加密不同，它的主要目的是保证数据的完整性和真实性，一般包括两部分： 签名算法和验证算法，通常由公钥密码算法和杂凑函数（Hash 算法）结合实现。假设发送 方 A 要向接收方 B 发送一消息 M，并对该消息进行数字签名，其具体的原理和过程如下： 发送方 A 采用杂凑函数生成要发送消息 M 的消息摘要：Hash（M） ； 发送方 A 采用自己的私钥 Pra 对消息 M 的消息摘要加密，实现签名：EPRa(Hash(M)，并 将签名与消息 M 并联形成最终要发送的消息：M| EPRa(Hash(M),然后发送该消息； 接收方 B 接收到消息后，采用发送方 A 的公钥 Pua 解密签名，恢复原始消息的摘要： Hash(M)=DPUa(EPRa(Hash(M)； 接收方 B 采用杂凑函数，重新计算消息 M 的消息摘要：Hash(M)，并与从发送方 A 接收到 的消息摘要进行比较,若相等，则说明消息确实是发送方 A 发送的，并且消息的内容没有被 修改过。 数字签名技术对网络安全通信及各种电子交易系统的成功有重要的作用。 10DSA 中的四个函数使用 p，q，g，k，x，y 这六个参数和消息的 SHA-1 散列值 h 来建立 整个验证过程。附加在发送消息上的签名由值(r，s)组成，它们的定义为: qpgrF k modmod: 1 qxrhksFmod: 1 2 验证使用(r，s)的过程为: qstFmod: 1 3 qpygrF rtht modmod: 4 证明消息验证 r=r 的数学推导过程。 证明：看起来几乎像魔法一样，但 DSS 能够工作，原因在于以下简单的数学推导: 验证可得 r=r，所以 DSS 的签名验证过程得证。 三、三、 计算题计算题 1.用 Fermat 定理求 3201mod 11。 2. Diffie-Hellman 密钥交换过程中， 设大素数p=11,g=2 是ZP的本原元， 用户U 选择的随 机数是5,用户V 选择的随机数是7，试确定U 和V 之间共享的密钥. 3.用推广的 Euclid 算法求 67 mod 119 的逆元。 4. 用 Vigenere 算法加密明文“Wearediscoveredsaveyourself” ，密钥是： deceptive。 5.设通信双方使用 RSA 加密体制，接收方的公开钥是(e,n)=(5,35)，接收到的密文是 C=10，求明文M。 6. RSA 算法中，选择 p=7,q=17,e=13,计算其公钥与私钥，并采用快速模乘（反复平方乘） 方法，加密明文 m=（19）10。 7.利用中国剩余定理求解： 8.在 El Gamal 加密体制中，设素数 p=71，本原根 g=7， (1)如果接收方 B 的公开钥是 yB=3，发送方 A 选择的随机整数 k=2，求明文 M=30 所对应的密 文； (2)如果 A 选择另一个随机整数 k，使得明文 M=30 加密后的密文是 C=（59，C2） ，求 C2。 (3)如果用相同的 k=2 加密另外一个明文 m，加密后的密文为 C= (49，13），求 m。 9.在BBS 随机数产生算法中，选择p=5,q=7,n=pq=35,如果取x=11,试计算出由该算法生成的 序列的前5 位。 10. 在 DSS 数字签名标准中，取 p=83=241+1，q=41,h=2,于是 g224mod83,若取 x=57， 则 ygx457=77mod83.在对消息 M=56 签名时， 选择 k=23 （已知 23 在 mod41 的逆元为 25） ， 计算签名并进行验证。 11. 在 Shamir 秘密分割门限方案里，设 k=3，n=5，p=19，5 个子密钥分别是 1、5、4、17、 6，从中任选 3 个，构造插值多项式并求秘密数据。 12.已知点 G=(2, 7) 在椭圆曲线 E11(1,6)上，求 2G 和 3G。 四、分析设计题四、分析设计题 1数字签名过程如下图所示： 你可能会感觉奇怪， 为什么要签名一个散列值而不是签名整个消息。 换句话说， 为什么 Alice 不使用她自己的私钥加密整个消息呢？不管怎么说，当 Bob 使用 Alice 的公钥解密消息时， 不就证明这条消息来自 Alice 了吗？事实并非如此，原因在于这种类型的“原始”RSA 签名 模式能够被乘法攻击所攻破。它利用了特性 nmmm dd d modm 2121 ，攻击者想在一个消，攻击者想在一个消 息息 f f 上伪造上伪造 Alice 的签名，他该怎么做。 解：解：(1)选择任意一个消息 m1,(一个在 1 n 之间的数)，并计算消息nfmmmod 1 12 。这 样， 21m mf 。 (2)欺骗 Alice 将 m1和 m2分别签名为 s1和 s2 (3)然后对 f 的签名为nssmods 21 因此，Alice 必须首先散列她的消息，并对散列值签名。 2在公钥体制中，每一用户U都有自己的公开钥PKU和秘密私钥SKU。如果任意两个用户A,B 按以下方式通信，A发给B消息（EPKB（m） ，A） ，B收到后，自动向A返回消息（EPKA（m） ，B） ， 以使A知道确实收到报文m， （1）问用户C怎样通过攻击手段获取报文m？ （2）若通信格式变为： A发给B消息：EPKB（ESKA（m） ，m，A） B发给A返回消息：EPKA（ESKB（m） ，m，B） 这时的安全性如何？分析A，B这时如何互相认证并传递消息m。 解： （1）攻击用户 C 可以通过以下手段获取报文 m： 1. A-C(“B”): （EPKB（m） ，A） 2. C(“B”) -B: （EPKB（m） ，C） 3. B-C: （EPKC（m） ，B） 4