现代密码学-复习题-答案

(1)信息载体为(媒体)和(信道)。 对信息载体的两种攻击是(被动攻击)和(主动攻击)。 密码学的两个分支是(密码学)和(密码分析学)。 加密方式有(单密钥加密方式)和(双密钥加密方式)。 现代流密码的设计思想来源于古典密码中的(维吉尼亚密码)。 现代群密码的设计思想来源于古典密码中的(多文字置换密码)。(2)攻击者夏娃在信息隐私系统中拥有的基本资源是什么？eve在不安全的公共频道截获密文c。eve知道加密算法e和解密算法d。攻击者伊夫可能拥有的资源是什么？eve可能知道与密文c相对应的明文m。 (此时进行的攻击称为已知明文攻击)eve可能有很强的计算能力。eve可能具有密码器(也称为密码黑盒)，用以输入明文和输出密文。 (此时进行的攻击称为选择明文攻击)攻击者eve不能拥有的资源是什么？eve不知道加密密钥z和解密密钥k。(实际上，在进行安全性分析时，可以假定eve知道密钥的一部分，但不一定知道全部)。(3)论述已知的明文攻击。假设攻击者eve截取密文c，知道了与密文c对应的明文m。 (这种情况是怎么发生的？ 如果明文m是过期消息，可能不能再保密或者必须公开。 因此，这种情况经常发生。”在解码方程式m=D(c，k )中，Eve知道m和c，并且仅知道解码密钥k。当采用加密方案c=E(m，z )时，Eve知道m和c，并且仅仅知道加密密钥z。如果Eve根据解码方程m=D(c，k )计算解码密钥k，则Eve今后可以如Bob一样解码任何密文c: m=d (c，k )。如果Eve根据加密方程式c=E(m，z )计算加密密钥z，则Eve可以如同Alice一样在将来加密明文m: c=e (m，z )。也可以给你一个更宽松的条件。 假设攻击者夏娃获得了过去废弃的n组明文/密文对： (m1，c1 )、(m2，c2 )、(mn，cn )。eve得到了解密密钥k的方程式 m1=D(c1，k ) m2=D(c2，k ) mn=D(cn，k )。(n越大，解密密钥k越容易确定。 中所述情节，对概念设计中的量体体积进行分析(4)阐述无条件安全性。对密码体制的任何攻击，都不胜盲目猜测。 这种密码体制被称为无条件安全(或完全保守秘密)。什么样的加密方式能够实现无条件的安全性？一次加密方式容易实现无条件的安全性。 由于密钥不断更新，因此传统上已知的一对明文/密文对解密新的密文没有任何帮助，并且仅能进行全部盲目的猜测。(5)阐述计算的安全性。计算安全是一个模糊的概念。 我们可以给出以下三个层次的定义。(1)对密码体制的任何攻击，也许完全优于盲目推测，但超出了攻击者的计算能力。 这是最高级别的计算安全性。(2)对密码体制的任何攻击都可能没有超过攻击者的计算能力，但比破译成功所获得的利益付出了更大的代价。 这是第二级的计算安全。(3)对密码体制的任何攻击都可能没有超过攻击者的计算能力，但破译成功所需的时间远远长于明文本身的有效期限。 这也是第2级的计算安全性。什么样的加密方式可以实现计算的安全性？(6)明文x、密文y、密钥z1、密钥z2全部设为8位文本。 加密算法是y=(xz1)z 2。 其中“”表示位单位(mod2)的加法运算“”表示(mod28 )加法运算。尝试两个明文/密文对来解密密钥z1和z2各自的最低有效位。 其中明文可以任意选择。 你选择了什么，怎么解？在解密密钥z1和z2的最低有效位之后，尝试两个明文/密文对来解密密钥z1和z2的最低有效位。 明文可以任意选择。 你选择了什么，怎么解？使用选择明文攻击，选择的明文/密文对可以解密密钥z1和z2吗？(7)设为明文(x1x2x3x4x5)、密文(y1y2y3y4y5)、密钥A(55阶平方)、密钥(b1b2b3b4b5)，满足域GF(2)上的下一加密方程式(y1y2y3y4y5)=(x1x2x3x4x5) a (b1b2b3b4b5)。取6组明文/密文对：(00000)/(10110 )、(10000)/(01110 )、(01000)/(11010 )(00100)/(10000 )、(00010)/(10101 )、(00001)/(00111 )。尝试解开密钥a和密钥(b1b2b3b4b5 )。这个加密方程式能唯一解密吗？ 为什么？(叙述Golomb的随机性假设(3个假设)。(1)n足够大时，k1k2 k3 kn中0和1的个数分别约占一半。(2)在n足够大的情况下，在k1k2 k3 kn中，长度为l的比特串10 01行程)的个数约为n/2l个，即长度为l的比特串01 10行程)的个数约为n/2l个。(3)在k 0的情况下，当n足够大时，以下的值(称为异相自相关函数值)约为0。(九)回答下列问题：1.1周期的布尔系列必须是线性反馈移位寄存器系列吗？ 为什么？当定理比特流为周期序列时，其必定是线性反馈移位寄存器序列。设比特流k的最小周期为n。 则lN后，kl=kl-N。因此，比特流k是n阶线性反馈移位寄存器序列，抽头系数为c1，c2，cn = 0，0，1 (即，最小多项式f (x )=1xn )，并且初始状态为k1k2k3 kN。2.n阶线性反馈移位寄存器序列的最小周期的上界是什么(2n-1 )最小周期到达其上确定边界的序列叫做哪个序列？ 当(n阶m序列) n阶线性反馈移位寄存器序列的最小周期到达其上限时，对Golomb随机性假设的拟合优度为多少完全满足GOLOMB的随机性假设(3.1) k在自己的最小周期内(即连续的2n-1比特内)，出现0为2n-1-1次、1为2n-1次。(3.2)取j，3jn，观察k的连续2n-1个长度为j的比特串： klkl 1kl 2 kl j-1、l=1、2、2n-1。10 01出现2n-j次(长度j-2的0行)01 10出现了2n-j次。 (长度j-2的1行程长度)观察k连续2n-1个长度n 1的比特串： klkl n、l=1 2n-1 . 10 01出现一次。 (长度n-1的0行程)观察k连续2n-1个长度n 2的比特串： klkl n 1、l=1 2n-1 . 0110出现一次。 (长度n-1的0行程)(3.3)对于任意1j2n-2，下式接近于0。 (自相关函数)为什么这样的程序不能直接成为秘密的关键流呢？可能不是直接私钥流的原因是：EVE，如果针对每个段落获得连续的2N位，则可获得抽头系数的方程式，并且因为在场GF(2)执行求和和乘法(MOD2操作)，因此可以容易地计算和打破抽头系数。解法：当n阶线性反馈移位寄存器序列用作私钥流时，攻击者Eve截取密文段c1c2c3 c2n并计算相应的丢弃密钥段k1k2k3 k2n，因为其知道相应的明文段m1m2m3 m2n。eve针对抽头系数c1，c2，cn获得了下列方程式：KL=c1kl-1、c2kl-2、cnkl-n其中l=n 1，n 2，2n。这是有限域GF(2)上的线性方程，可以容易地求解抽头系数c1，c2，cn。事实上，当Eve获得n阶线性反馈移位寄存器序列的任意级的连续2n位kj1- kj2- kj 3kj2- n时，他为抽头系数c1，c2，cn获得了下面的方程式：KL=c1kl-1、c2kl-2、cnkl-n其中l=j n 1，j n 2，j 2n。以上方程式中的加法和乘法都在域GF(2)中进行(即(mod2)运算)。上述事实表明，当Eve获得了n阶线性反馈移位寄存器序列的任意连续2n位时，Eve获得了整个私钥流。(3)1周期的布尔序列的线性复杂度为n时，该序列的长度为2n的序列可以完全求解(合并)。 怎么解开呢？ (两种算法)阵列的总体两种最着名的算法是B-M算法和Games-Chan算法。(10 )将非线性前馈序列用作密钥流时，哪三个部分可能成为通信对方的原始密钥？ 初始状态，极小多项式，非线性布尔函数。(11 )数据包密码与流密码相比，有什么优点？(分组加密与流加密相比，优点：以及其解密算法简单、快速，占用较小计算资源并且易于实现软件和硬件的解密算法的参数是固定的，并且比流加密更易于标准化的明文流被分段并且被加密你有什么缺点？(硬件不容易实现，安全性难以证明，最多可以证明本地安全性)分组密码的五个设计标准是什么？(安全性、简洁、有效性、透明度和灵活性、解密相似性)(12 )写出feistel网络的算法步骤并绘图。将明文m表示为等长的两个部分m=(L(0)，R(0) )；使用由密钥k控制的高级非线性函数f(1)计算：(l，r)=(l (0)“f (r(0)，k )，r (0) )；(2)密文：计算c=(L(1)，r(1)=(r ，l )。(13 )在des中32位文本X扩展转换e“48位密钥k8个s框32位文本y即，当确定了密钥k时，不同的x将总是获得不同的y。 说明其理由。 这种可逆的设计有什么意义呢？为了将扩展转换E8个s盒(32位 32位)整体设为一个可逆函数，需要将8个s盒整体的输出设为8个s盒整体的输入的第25、811、1417、2023、2629、3235、3841、4447位的可逆函数(回顾扩展转换器e :扩展转换器e的作用是将32比特的文本扩展为48比特，其中1、6、7、12、13、18、19、24、25、30、31、36、37、42、43和48比特是扩展部分。 中所述情节，对概念设计中的量体体积进行分析(14 )在des、Rijndael、Safer中，不具有加密的类似性的是()DES类似于解密。RIJNDAEL不是加密的。SAFER解密算法简单地以反向方式操作加密算法。(15)idea的解码相似。 将加密算法的密钥子块的标签顺序(z11，z12，z13，z14) (z15，z16) (z21，z22，z23，z24) (z25，z26) (z81，z82，z83，z84) (z85，z86) (z91，z92，z93，z94 )。现在用加密算法实现了解密过程。 问：第三回合的六个密钥子块按顺序是什么？(z71-1，-z73，-z72，z74-1 )； (z65，z66 ) )第八次十个密钥子块按顺序是什么？(z21-1，-z23，-z22，z24-1 )； (z15，z16) (z11-1，-z12，-z13，z14-1 ) )在IDEA中，“”表示(mod216 1 )乘法。 计算215“”215。 (49153 )(16 )导出Rijndael循环函数(普通循环)的四个不同的计算组件名称。RIJNDAEL轮廓函数由四个不同的计算组件组成字节替换(ByteSub )移动行(ShiftRow )混合列(MixColumn )添加密钥(AddRoundKey )将Rijndael的字节替换函数设为y=bytesub(x )。 计算sub(0)。(1)首先，将字节视为GF(28 )上的要素，将自己的乘法逆映射的0字节映射到自身。(2)接下来，将字节看作GF(2)上的8维向量，并且执行下一(GF(2)上的可逆)仿射变换：（）(17 )在Safer中，计算指数框的值X(0)，并且计算对数框的值L(0)。字节内的混淆使用字节非线性可逆变换函数x ()和l ()。 在此，x ()称为指数变换，X(x)=45x(mod257)(mod256 )，l ()称为x ()的逆变换，对数变换。X(0)=1L(0)=128Safer线性层变换矩阵m具有什么特征，为什么是这样设计的？线性层是环路( 0，