哈工大信息安全密码学基础课件

1、计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心1密码学密码学基础基础 Email: 办公室办公室:新技术楼新技术楼509Tel:3计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心2内容内容密码体系概述密码体系概述古典密码古典密码对称密钥密码对称密钥密码公开密钥密码公开密钥密码数字签名与摘要函数数字签名与摘要函数计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心3数据加密基本概念数据加密基本概念 密码：是一组含有参数的变换密码：是一组含有参数的变换 明文（明文（plain text) ：作为加密输入的原始信息：作为加密输入的原始信息 加密算法：变换

2、函数加密算法：变换函数 密文（密文（ciphertext)：:明文变换结果明文变换结果 密钥（密钥（key)：:参与变换的参数参与变换的参数计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心4加密通信的模型加密通信的模型 密码学的目的：密码学的目的：Alice和和Bob两个人在不安全的信道上进两个人在不安全的信道上进行通信，而破译者行通信，而破译者Oscar不能理解他们通信的内容。不能理解他们通信的内容。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心5密码体制密码体制 通常一个完整密码体制要包括如下五个要素通常一个完整密码体制要包括如下五个要素M,C,K,E,D

3、 M是可能明文的有限集称为明文空间是可能明文的有限集称为明文空间 C是可能密文的有限集称为密文空间是可能密文的有限集称为密文空间 K是一切可能密钥构成的有限集称为密钥空间是一切可能密钥构成的有限集称为密钥空间 对于密钥空间的任一密钥，有一个加密算法和相应的解密对于密钥空间的任一密钥，有一个加密算法和相应的解密算法使得算法使得ek:MC 和和dk:CM（分别为加密解密函数），（分别为加密解密函数），满足满足 , 这里这里 。M xx(x)(edkk计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心6一个密码体制必须满足如下特性一个密码体制必须满足如下特性每一个加密函数每一个加密函数

4、Ek和每一个解密函数和每一个解密函数Dk都能有效都能有效地计算地计算破译者取得密文破译者取得密文y后后,将不能在有效的时间内破解出将不能在有效的时间内破解出密钥密钥k或明文或明文x一个密码系统是安全的必要条件：一个密码系统是安全的必要条件：穷举密钥搜索将是不可行的，即密钥空间非常大穷举密钥搜索将是不可行的，即密钥空间非常大计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心7密码分类密码分类按发展进程分：按发展进程分：l古典密码古典密码l对称密钥密码对称密钥密码l公开密钥密码公开密钥密码 按密钥管理的方式分为按密钥管理的方式分为l秘密密钥算法秘密密钥算法l公开密钥算法公开密钥算法按

5、加密模式分：按加密模式分：l序列密码序列密码l分组密码分组密码 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心8密码体系概述密码体系概述古典密码古典密码对称密钥密码对称密钥密码公开密钥密码公开密钥密码数字签名与摘要函数数字签名与摘要函数计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心9经典密码经典密码 代替密码代替密码: 简单代替、多名或同音代替、多表代替、多字母或多简单代替、多名或同音代替、多表代替、多字母或多码代替码代替. 简单代替密码简单代替密码 将明文字母表将明文字母表M中的每个字母用密文字母表中的每个字母用密文字母表C中的相应中的相应字母来代替。字母

6、来代替。 这一类密码包括移位密码、替换密码、仿射密码、乘这一类密码包括移位密码、替换密码、仿射密码、乘数密码等。数密码等。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心10移位密码移位密码 移位密码：移位密码： 是最简单的一类代替密码，将字母表的字母右移是最简单的一类代替密码，将字母表的字母右移k个位置，并对字母表长度作模运算。个位置，并对字母表长度作模运算。 加密变换：加密变换：ek(m)=(k+m)(mod q)； 解密变换：解密变换：dk (c)=(m-k)( mod q)计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心11凯撒凯撒Caesar 密码密码

7、 Caesar 密码是对英文密码是对英文26个字母进行移位代个字母进行移位代替的密码，其替的密码，其M=C；q=26, k=3 。 使用凯撒密码将明文使用凯撒密码将明文M= meet me after the toga party加密为加密为C= phhw ph diwho wkh wrjd sduwb 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心12乘数密码乘数密码 乘数密码： 是一种替换密码，它将每个字母乘以一个密钥k，即Ek(m)=km mod q； 其中k和q为互素的，这样字母表中的字母会产生一个复杂的剩余集合。 若k和q不互素，则会有一些明文字母被加密成相同的密文

8、字母，而且，不是所有的字母都会出现在密文字母表中。 算法描述 设M=C=Z/(26)， K=aZ/(26) |gcd(a,26)=1, x、yZ/(26)； 对k=aK, Ek(x)=ax(mod 26)；Dk(y)=a-1(y)(mod 26)，aa-1 mod q =1a=5, a-1 =21a=7, a-1 =15 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心13 例子例子: a=9， Ek(x)=9x(mod 26)ABCDEFGHIJKLMNOPQRSTUVWXYZAJSBKTCLUDMVENWFOXGPYHQZIR 明文=密文cipher = SUFLKX 对于

9、乘数密码，当且仅当a与互素时，加密变换才是一一映射的，因此a的选择有11种：a=3,5,7,9,11,15,17,19,21,23,25。 可能尝试的密钥只有11个。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心14仿射密码仿射密码 仿射密码是替换密码的另一个特例，形式为仿射密码是替换密码的另一个特例，形式为 ek(m)=(k1m+k2) mod q =c mod q； 其中其中k1和和q是互素的。是互素的。k1=1,3,5,7,9,11,15,17,19,21,23,25 定义：定义：ek(x)=ax+b (mod 26)dk(y)=a-1(y -b)(mod 26)；x,

10、y Z/(26) ，q=26时，可能的密钥是时，可能的密钥是26*12=312个。个。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心15仿射密码仿射密码 例例 例子，设例子，设k（7，3），注意到），注意到7-1(mod 26)=15,加密函数是加密函数是ek(x)=7x+3 (mod 26),相应的解密函数是相应的解密函数是dk(y)=15(y -3)=15y 19 (mod 26) , 易见易见 dk(ek(x)=dk(7x+3)=15(7x+3)-19=x+45-19 =x(mod 26) 若加密明文：若加密明文：hot ，首先转换字母，首先转换字母hot成为数字成为数

11、字7,14,19,加密：加密： 解密：解密： 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心16单表替换密码的破译 通过字母的使用频率破译计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心17多表代替密码多表代替密码 单字母出现频率分布与密文中相同，安全性受到威胁。单字母出现频率分布与密文中相同，安全性受到威胁。 多表代替密码思想：多表代替密码思想： 使用从明文字母到密文字母的多个映射，来隐藏单字母出现的频率分使用从明文字母到密文字母的多个映射，来隐藏单字母出现的频率分布，每个映射是简单代替密码中的一对一映射。布，每个映射是简单代替密码中的一对一映射。 维吉尼亚

12、维吉尼亚Vigenere 密码、博福特密码、博福特Beaufort 密码均是多表代替密码。密码均是多表代替密码。 维吉尼亚维吉尼亚Vigenere 密码算法如下：密码算法如下： 设密钥明文加密变换设密钥明文加密变换ek(m)=c1c2cn； 其中：其中： Ci=（mi+ki ）mod 26；密钥；密钥k可以通过周期性地延长，反复可以通过周期性地延长，反复进行以至无穷。进行以至无穷。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心18密码体系概述密码体系概述古典密码古典密码对称密钥密码对称密钥密码公开密钥密码公开密钥密码数字签名与摘要函数数字签名与摘要函数计算机网络与信息计算机网

13、络与信息安全技术研究中心安全技术研究中心19对称密钥密码模型对称密钥密码模型计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心20数据加密标准数据加密标准DES的产生的产生 1973年年5月月15日日, NBS开始公开征集标准加密算法开始公开征集标准加密算法,并公布了它的设计要求并公布了它的设计要求:(1)算法必须提供高度的安全性算法必须提供高度的安全性(2)算法必须有详细的说明算法必须有详细的说明,并易于理解并易于理解(3)算法的安全性取决于密钥算法的安全性取决于密钥,不依赖于算法不依赖于算法(4)算法适用于所有用户算法适用于所有用户(5)算法适用于不同应用场合算法适用于不同应

14、用场合(6)算法必须高效、经济算法必须高效、经济(7)算法必须能被证实有效算法必须能被证实有效(8)算法必须是可出口的算法必须是可出口的1974年年8月月27日日, NBS开始第二次征集开始第二次征集,IBM提交了算法提交了算法LUCIFER，该算法由，该算法由IBM的工程师在的工程师在19711972年研制年研制最近的一次评估是在最近的一次评估是在1994年年1月，已决定月，已决定1998年年12月以后，月以后，DES将不再作将不再作为联邦加密标准。为联邦加密标准。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心21简化的简化的DES Simplified DES方案，简称方

15、案，简称S-DES方案。加密算法涉及方案。加密算法涉及五个函数：五个函数：(1)初始置换初始置换IP(initial permutation) (2)复合函数复合函数fk1，它是由密钥，它是由密钥K确定的，具有置换和替代的运算。确定的，具有置换和替代的运算。(3)转换函数转换函数SW (4)复合函数复合函数fk2 (5)初始置换初始置换IP的逆置换的逆置换IP-1(6)置换函数置换函数P8、P10计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心22S-DES的流程的流程计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心23（1）S-DES的密钥生成的密钥生成 设1

16、0bit的密钥为 (k1,k2,k3,k4,k5,k6,k7, k8,k9,k10) 置换P10是这样定义的 P10(k1,k10)=(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) 相当于P10=（3 5 2 7 4 10 1 9 8 6） LS-1为循环左移一次， 置换P8=(6 3 7 4 8 5 10 9)计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心24 算法如下图算法如下图 若若K选为选为(1010000010), 产生的两个子密钥分别为产生的两个子密钥分别为 K1=(1 0 1 0 0 1 0 0)；K2=(0 1 0 0 0 0 1 1)计算机

17、网络与信息计算机网络与信息安全技术研究中心安全技术研究中心25（2） S-DES的加密运算的加密运算: 初始置换用初始置换用IP函数函数: IP= 末端算法的置换为末端算法的置换为IP的逆置换的逆置换: IP-1= 易见易见IP-1(IP(X)=X。 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心26简化的得DES方案加密细节如右图计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心27 函数函数fk fk(L,R)=(L F(R,SK),R)是加密方案中的最重要部分，是加密方案中的最重要部分， 其中，其中，L、R为为8位输入的左右各位输入的左右各4位位,， F为

18、从为从4位集到位集到4位集的一个映射。位集的一个映射。 SK为子密钥。为子密钥。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心28 对映射对映射F来说：来说： 首先输入是一个首先输入是一个4位数（位数（n1,n2,n3,n4），第一步运算），第一步运算是扩张是扩张/置换（置换（E/P）运算：）运算： E/P=( 4 1 2 3 2 3 4 1) 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心29 然后然后, E/P的结果与子密钥作异或运算得：的结果与子密钥作异或运算得： 8-bit子密钥：子密钥：K1=(k11,k12,k13,k14,k15,k16,k17

19、,k18),计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心30 把它们重记为把它们重记为8位：位：计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心31 上述第一行的上述第一行的4位输入进位输入进S盒盒S0，产，产生生2-位的输出；位的输出； 第二行的第二行的4位输入进位输入进S盒盒S1，产生，产生2-位的输出。位的输出。 两个两个S盒按如下定义：盒按如下定义：计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心32 S盒按下述规则运算：盒按下述规则运算： 将第将第1和第和第4的输入比特做为的输入比特做为2 bit数，指示为数，指示为S盒的一盒的一个

20、行；将第个行；将第2和第和第3的输入比特做为的输入比特做为S盒的一个列。如此盒的一个列。如此确定为确定为S盒矩阵的（盒矩阵的（i,j）数。）数。 例如：（例如：（P0,0, P0,3）=(0 0)，并且，并且(P0,1,P0,2)=(1 0)，确定了确定了S0中的第中的第0行行2列（列（0，2）的系数为）的系数为3，记为（，记为（1 1）输出。）输出。 由由S0, S1输出输出4 bit经置换经置换 P4=(2 4 3 1)；即；即F的输出。的输出。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心33回顾：回顾：计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心3

21、4 DES是一种对二元数据进行加密的算法是一种对二元数据进行加密的算法, 数据分组长度为数据分组长度为64位位,密文分组长度也是密文分组长度也是64位位,使用的密使用的密钥为钥为64位位,有效密钥长度为有效密钥长度为56位位,有有8位用于奇偶校验；位用于奇偶校验； 解密时的过程和加密时相似解密时的过程和加密时相似,但密钥的顺序正好相反；但密钥的顺序正好相反； DES的整个体制是公开的的整个体制是公开的,系统的安全性完全靠密钥的系统的安全性完全靠密钥的保密保密.计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心35计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心36

22、其它分组加密算法其它分组加密算法 三重三重DES、IDEA、 RC5、 RC6、 Blowfish 、CAST、RC2 AES算法算法: 为为AES开发开发Rijndael算法的是两位来自比利时的密码算法的是两位来自比利时的密码专家专家Joan daemen博士、博士、Vincent Rijmen计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心37密码体系概述密码体系概述古典密码古典密码对称密钥密码对称密钥密码公开密钥密码公开密钥密码数字签名与摘要函数数字签名与摘要函数计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心38公钥加密模型公钥加密模型计算机网络与信息计

23、算机网络与信息安全技术研究中心安全技术研究中心39公钥密码体制公钥密码体制 公钥密码又称为双钥密码和非对称密码公钥密码又称为双钥密码和非对称密码 1976年由年由Diffie和和Hellman在其在其“密码学新方向密码学新方向”一文中一文中提出的。提出的。见划时代的文献见划时代的文献W.Diffie and M.E.Hellman, New Directrions in Cryptography, IEEE Transaction on Information Theory, V.IT-22.No.6, Nov 1976, PP.644-654 单向陷门函数是满足下列条件的函数单向陷门函数是满

24、足下列条件的函数f 给定给定x 计算计算y=f(x)是容易的；是容易的； 给定给定y, 计算计算x使使y=f(x)是困难的是困难的(所谓计算所谓计算x=f-1(Y)困难是指困难是指计算上相当复杂已无实际意义计算上相当复杂已无实际意义)； 存在存在，已知，已知时时,对给定的任何对给定的任何y，若相应的，若相应的x存在，则计存在，则计算算x使使y=f(x)是容易的。是容易的。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心40基于公开密钥的加密过程基于公开密钥的加密过程计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心41基于公开密钥的鉴别过程基于公开密钥的鉴别过程计

25、算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心42公钥密码实现保密、鉴别公钥密码实现保密、鉴别 用户拥有自己的密钥对用户拥有自己的密钥对(KU,KR) 保密：保密：A -B：Y=EKUb(X)B：DKRb(Y)= DKRb(EKUb(X)=X 鉴别：鉴别： 条件：两个密钥中任何一个都可以用作加密而另一个用作解密条件：两个密钥中任何一个都可以用作加密而另一个用作解密A ALL：Y=DKRa(X)ALL：EKUa(Y)=EKUa(DKRa(X)=X 鉴别鉴别+保密：保密： A- B：Z= EKUb(DKRa(X) B：EKUa(DKRb(Z)=X计算机网络与信息计算机网络与信息安全

26、技术研究中心安全技术研究中心43数论问题数论问题 离散对数离散对数: ygx mod p 已知已知g,x,p,计算计算y是容易的；是容易的； 已知已知y,g,p,计算计算x是困难的。是困难的。 表示表示 a mod p = b mod p ，称，称“模模P同余同余”。 素数素数p的原根的原根(primitive root) 如果如果a是素数是素数p的原根，则数的原根，则数a mod p, a2 mod p, , ap-1 mod p 是不同的并且包含是不同的并且包含1到到p-1的整数的某种排列。的整数的某种排列。 对任意的整数对任意的整数b，我们可以找到唯一的幂，我们可以找到唯一的幂 I I

27、满足满足 b ai mod p ， 0=i=(p-1)。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心44Diffie-Hellman密钥交换密钥交换 对对Diffie-Hellman密钥交换协议描述密钥交换协议描述 Alice和和Bob协商好一个大素数协商好一个大素数p，和大的整数，和大的整数g，1gp，g是是p的原根。的原根。p和和g无须保密，可为网络上的所有用户共无须保密，可为网络上的所有用户共享。享。 当当Alice和和Bob要进行保密通信时，他们可以按如下步骤要进行保密通信时，他们可以按如下步骤来做：来做：(1)Alice送取大的随机数送取大的随机数x，并计算，并计

28、算Y = gx (mod P)(2)Bob选取大的随机数选取大的随机数x ，并计算，并计算Y = gx (mod P)(3)Alice将将Y传送给传送给Bob；Bob将将Y 传送给传送给Alice。(4)Alice计算计算K = (Y ) x(mod P);(5)Bob计算计算K = (Y)x (mod P)， 易见，易见，K=K =gxx (mod P)。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心45RSA密码体制密码体制 欧拉定理欧拉定理 若整数若整数g和和n互素，则互素，则g (n) 1(mod n)；其中；其中 (n)为比为比n小，但与小，但与n互素的正整数个数互

29、素的正整数个数, 称为称为 (n)为欧拉函数。为欧拉函数。 n=pq ， (n)=(p-1)(q-1) 。 RSA密码体制密码体制 明文空间明文空间P密文空间密文空间C=Zn. 密钥的生成密钥的生成 选择选择p,q，p,q为互异素数，计算为互异素数，计算n=p*q, (n)=(p-1)(q-1), 选择整数选择整数e使使gcd( (n),e)=1 ,1e (n), 计算计算d,使使d=e-1(mod (n), 公钥公钥Pk=e,n;私钥私钥Sk=d,p,q。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心46 RSA密码加密和解密函数密码加密和解密函数 加密加密 (用用e,n)

30、明文：明文：M=2|Z|，记，记|X|=m和和|Z|=n，易见，易见，至少有至少有n个碰撞个碰撞， 那么，如何找到它们？那么，如何找到它们？ 这个过程类似于随机抛这个过程类似于随机抛k个球进入个球进入n个箱子，然后，检个箱子，然后，检查一下是否有一些箱子包含了至少两个球。查一下是否有一些箱子包含了至少两个球。(这这k个球个球对应于对应于k个随机值个随机值xi，且，且n个箱子对应于个箱子对应于Z中中n个元素个元素)计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心59 若要分析这若要分析这k个随机元素个随机元素z1,z2,.,zkZ两两不同两两不同(无碰无碰撞时撞时)的可能性的可能

31、性 则对应于一个初始问题则对应于一个初始问题-无碰撞的概率。无碰撞的概率。 考虑一下有序考虑一下有序z1、z2、zk中的中的zi的选择可能的选择可能 第一个选择第一个选择z1是随机的，无碰撞的概率是随机的，无碰撞的概率100% z2z1的概率为的概率为1-1/n； z3不同于不同于z1和和z2的概率为的概率为1-2/n，以此类推。，以此类推。 则无碰撞的概率：则无碰撞的概率： 随机抛随机抛k个球进入个球进入n个箱子，没有箱子被抛进两个以上的球个箱子，没有箱子被抛进两个以上的球的概率的概率计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心60 若设若设E = ,可解出可解出k的关于

32、的关于 n和和E的函数，如下的函数，如下:12)1ln(2 EnkkEenkk 1)2/()1()1ln()2/()1(Enkk )2/()1(1nkke 计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心61结论结论 若略去若略去-k项，有项，有k(n(ln(1/(1-E)2)0.5； 若取若取E=0.5,我们估计我们估计k1.17 n0.5 n0.5 ; 说明在集合说明在集合X中，中，n0.5个随机元素散列的结果产生一个碰撞个随机元素散列的结果产生一个碰撞的概率为的概率为50%! 所谓生日攻击就是：如果所谓生日攻击就是：如果X为一些人的集合，为一些人的集合，Y是一个非闰是一个

33、非闰年的年的365天集合，天集合，h(x)表示表示x的生日的生日(xX)。在上述估计式。在上述估计式中取中取n=365, 得得k=22.3 即随机的即随机的23人中至少有一个重复生人中至少有一个重复生日的概率至少为日的概率至少为50%。生日攻击给出消息尺寸的下界。一个生日攻击给出消息尺寸的下界。一个40bit的的消息摘要将是不安全的。消息摘要将是不安全的。因为因为k1.17*(240)0.5, 也就是也就是220(大约大约100万万), 即在即在100万个随机散列值中将找到一个碰撞万个随机散列值中将找到一个碰撞的概率为的概率为1/2。通常建议消息摘要的尺寸为通常建议消息摘要的尺寸为128bit

34、s。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心62MD4散列算法散列算法(或称信息摘要算法或称信息摘要算法) Rivest(RSA公司首度科学家公司首度科学家)，MIT博士，博士，1990年提出年提出MD4，1991年提出增强版年提出增强版MD5，1992年提出年提出SHA公布于公布于1992年年1月月31日的联帮记录上，并于日的联帮记录上，并于1993年年5月月11日采纳日采纳作为标准。作为标准。计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心63MD4： 给定一个消息比特串给定一个消息比特串x，使用如下算法来构造，使用如下算法来构造M； 设设d= (

35、447-|x|)(mod 512) ；l 表示表示|x|(mod 264)的二进制的二进制表示，表示，|l|=64 ；M=X10dl。 在在M的构造中，在的构造中，在x后面附上一个后面附上一个1， 然后，并上足够多然后，并上足够多的的0，使得长度变成模，使得长度变成模512（=29 ）与）与448同余的数，最后同余的数，最后并上并上64bit的的l ，它是，它是x的长度的二进制表示。（注意：若的长度的二进制表示。（注意：若必要的话，用模必要的话，用模264约简）。约简）。 |M|=512*n计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心64计算机网络与信息计算机网络与信息安全技术研究中心安全技术研究中心65 将将M表示成阵列形式：表示成阵列形式： M=M0M1MN-1； 其中每一个其中每一个Mi是一个长度为是一个长度为3