2025年现代密码学期末考试试卷及答案

2025年现代密码学期末考试试卷及答案一、单项选择题（每题2分，共20分）1.关于AES加密算法，下列描述错误的是（）A.支持128/192/256位密钥长度B.分组长度固定为128位C.轮数由密钥长度决定（128位10轮，192位12轮，256位14轮）D.最后一轮包含MixColumns操作2.RSA算法的安全性主要依赖于（）A.大整数分解问题的困难性B.离散对数问题的困难性C.椭圆曲线离散对数问题的困难性D.格基最短向量问题的困难性3.SHA-3算法采用的核心结构是（）A.Merkle-Damgard结构B.sponge结构C.HAIFA结构D.Davies-Meyer结构4.消息认证码（MAC）的主要作用是（）A.保证消息的机密性B.保证消息的不可否认性C.保证消息的完整性和来源真实性D.实现消息的匿名传输5.椭圆曲线密码（ECC）相比RSA的主要优势是（）A.密钥长度更短但安全性相当B.计算速度更慢但更安全C.支持更长的密钥长度D.基于完全不同的数学难题6.我国自主设计的SM4算法属于（）A.公钥加密算法B.分组密码算法C.流密码算法D.哈希算法7.格基密码（Lattice-basedCryptography）的典型安全假设是（）A.带误差学习问题（LWE）B.大整数分解问题（IFP）C.离散对数问题（DLP）D.椭圆曲线离散对数问题（ECDLP）8.量子计算机对RSA的威胁主要体现在（）A.能快速求解离散对数问题B.能快速破解对称加密算法C.能快速分解大整数D.能快速找到哈希碰撞9.全同态加密（FHE）允许在密文上进行（）A.仅加法运算B.仅乘法运算C.任意多项式次数的加法和乘法运算D.任意次数的逻辑运算10.零知识证明的核心特性是（）A.证明者能向验证者传递知识的全部信息B.验证者能通过证明推导出秘密C.证明过程不泄露任何额外信息D.仅支持数学命题的证明二、填空题（每空2分，共20分）1.AES算法中，密钥扩展过程将原始密钥扩展为______个子密钥（以128位密钥为例）。2.RSA算法中，若选择公钥指数e=65537，主要原因是其为______且二进制表示中1的个数少，可加速加密。3.SHA-256哈希算法的输出长度为______位。4.DES算法的S盒共有______个，每个S盒输入6位、输出4位。5.椭圆曲线密码中，椭圆曲线的一般形式为______（特征不为2、3的有限域）。6.我国SM3哈希算法的分组长度为______位。7.格基密码中，最短向量问题（SVP）的困难性是指在高维格中难以找到______的非零向量。8.量子密码的典型代表是______，其安全性基于量子力学的测不准原理。9.全同态加密的主要实现难点是______的积累，需通过引导（Bootstrapping）技术解决。10.零知识证明需满足三个性质：完备性、______和零知识性。三、简答题（每题8分，共40分）1.简述AES算法轮函数的组成及其作用。2.说明RSA算法中加密与签名的数学过程差异，并解释为何签名需使用私钥加密、公钥验证。3.对比哈希函数的抗碰撞性（CollisionResistance）与抗第二原像性（SecondPreimageResistance），并说明两者的联系与区别。4.分析椭圆曲线密码（ECC）相比RSA的安全性优势，为何相同安全强度下ECC密钥更短？5.量子计算对传统密码的威胁主要体现在哪些方面？后量子密码（Post-QuantumCryptography）的主要研究方向有哪些？四、计算题（每题10分，共20分）1.已知RSA算法中，p=17，q=23，选择公钥指数e=5。（1）计算n、φ(n)、私钥d；（2）若明文m=65，计算密文c=Enc(m)；（3）验证Dec(c)=m是否成立。2.假设AES的一轮轮密钥加（AddRoundKey）操作中，状态矩阵当前值为：[0x1A,0x2B,0x3C,0x4D][0x5E,0x6F,0x70,0x81][0x92,0xA3,0xB4,0xC5][0xD6,0xE7,0xF8,0x09]轮密钥为：[0x01,0x02,0x03,0x04][0x05,0x06,0x07,0x08][0x09,0x0A,0x0B,0x0C][0x0D,0x0E,0x0F,0x10]计算轮密钥加后的状态矩阵。五、综合题（20分）假设某物联网系统需要实现设备间的数字签名，要求基于椭圆曲线密码（ECC）设计签名方案。请详细描述该方案的步骤（包括密钥提供、签名提供、签名验证），并分析其安全性依赖的数学问题及抗攻击能力。答案一、单项选择题1.D2.A3.B4.C5.A6.B7.A8.C9.C10.C二、填空题1.112.小素数3.2564.85.y²=x³+ax+b6.5127.长度最短8.量子密钥分发（QKD）9.噪声10.可靠性三、简答题1.AES轮函数由4步组成：（1）字节替换（SubBytes）：使用S盒对每个字节进行非线性替换，提供混淆；（2）行移位（ShiftRows）：将状态矩阵的第i行循环左移i字节（i=0,1,2,3），提供扩散；（3）列混淆（MixColumns）：用固定多项式对每列进行矩阵乘法，增强扩散；（4）轮密钥加（AddRoundKey）：将状态矩阵与轮密钥逐字节异或，引入密钥依赖性。最后一轮省略列混淆。2.RSA加密：c=m^emodn（公钥加密，私钥解密m=c^dmodn）；RSA签名：s=m^dmodn（私钥签名，公钥验证m=s^emodn）。签名使用私钥加密是因为私钥仅签名者持有，公钥验证可确保只有持有对应私钥的人能提供正确签名，从而实现不可否认性。3.抗碰撞性：找不到两个不同消息m≠m'，使得H(m)=H(m')；抗第二原像性：给定m，找不到m'≠m，使得H(m)=H(m')。联系：抗碰撞性隐含抗第二原像性（若存在第二原像则构成碰撞）；区别：抗碰撞性是双向的（任意两个消息），抗第二原像性是单向的（给定一个消息找另一个）。4.ECC安全性基于椭圆曲线离散对数问题（ECDLP），其数学结构更复杂，相同安全强度下，ECDLP的困难性远高于大整数分解（IFP）或有限域离散对数（DLP）。例如，128位安全强度下，RSA需3072位密钥，ECC仅需256位，因此ECC密钥更短、计算效率更高。5.量子计算的威胁：（1）Shor算法可高效分解大整数（破解RSA）和求解离散对数（破解ElGamal、DSA）；（2）Grover算法可加速对称加密的暴力破解（将2^n复杂度降至2^(n/2)）。后量子密码方向：格基密码、编码密码、多变量密码、超奇异椭圆曲线Isogeny密码、哈希密码等。四、计算题1.（1）n=p×q=17×23=391；φ(n)=(p-1)(q-1)=16×22=352；d=e^(-1)modφ(n)，即5d≡1mod352。解得d=71（因5×71=355≡3mod352？计算错误，正确计算：352÷5=70余2，5=2×2+1，回代得1=5-2×2=5-2×(352-5×70)=5×141-352×2，故d=141）。（2）c=m^emodn=65^5mod391。计算65^2=4225mod391=4225-10×391=4225-3910=315；65^4=(315)^2=99225mod391，391×253=98923，99225-98923=302；65^5=65×302=19630mod391，391×50=19550，19630-19550=80，故c=80。（3）解密m=c^dmodn=80^141mod391。因80^φ(n)=80^352≡1mod391（欧拉定理），141=352×0+141，80^141=80^(5×28+1)=(80^5)^28×80^1≡80^28×80mod391。但更简单的方式是验证80^5mod391=65是否成立（因加密与解密互逆），实际计算80^2=6400mod391=6400-16×391=6400-6256=144；80^4=144^2=20736mod391，391×53=20723，20736-20723=13；80^5=80×13=1040mod391=1040-2×391=1040-782=258≠65，说明d计算错误。正确d应为：5d≡1mod352，试d=141：5×141=705，705mod352=705-2×352=705-704=1，正确。重新计算80^141mod391：因m=65，c=65^5=80，解密应得65。用快速幂：80^141=80^(256-115)？更简单的是利用n=391=17×23，用中国剩余定理。计算80mod17=80-4×17=80-68=12；80mod23=80-3×23=80-69=11。解密指数d=141，计算12^141mod17：因φ(17)=16，141mod16=141-8×16=141-128=13，故12^13mod17。12^2=144≡144-8×17=144-136=8；12^4=8^2=64≡13；12^8=13^2=169≡16；12^13=12^8×12^4×12^1=16×13×12=16×156=16×(156-9×17)=16×(156-153)=16×3=48≡48-2×17=14mod17。计算11^141mod23：φ(23)=22，141mod22=141-6×22=141-132=9，故11^9mod23。11^2=121≡121-5×23=121-115=6；11^4=6^2=36≡13；11^8=13^2=169≡169-7×23=169-161=8；11^9=8×11=88≡88-3×23=88-69=19mod23。现在解同余式：x≡14mod17，x≡19mod23。设x=17k+14，代入第二个方程：17k+14≡19mod23→17k≡5mod23。17的逆元mod23：17×19=323≡323-14×23=323-322=1，故k≡5×19=95≡95-4×23=95-92=3mod23。因此x=17×3+14=51+14=65，与原明文一致，验证成立。2.轮密钥加是状态矩阵与轮密钥逐字节异或（按行优先顺序）：第一行：0x1A^0x01=0x1B；0x2B^0x02=0x29；0x3C^0x03=0x3F；0x4D^0x04=0x49；第二行：0x5E^0x05=0x5B；0x6F^0x06=0x69；0x70^0x07=0x77；0x81^0x08=0x89；第三行：0x92^0x09=0x9B；0xA3^0x0A=0xAD；0xB4^0x0B=0xBB；0xC5^0x0C=0xCD；第四行：0xD6^0x0D=0xDB；0xE7^0x0E=0xE9；0xF8^0x0F=0xF7；0x09^0x10=0x19；最终状态矩阵：[0x1B,0x29,0x3F,0x49][0x5B,0x69,0x77,0x89][0x9B,0xAD,0xBB,0xCD][0xDB,0xE9,0xF7,0x19]五、综合题基于ECC的数字签名方案步骤如下：1.密钥提供：（1）选择有限域GF(p)上的椭圆曲线E，参数为(a,b,p)，并选择基点G（阶为大素数n）；（2）签名者随机选择私钥d∈[1,n-1]，计算公钥Q=dG（点乘运算）。2.签名提供（对消息m）：（1）计算哈希值e=H(m)（H为安全哈希函数，如SHA-256）；（2）随机选择k∈[1,n-1]，计算点(x1,y1)=kG；（3）计算r=x1modn（若r=0，重新选k）；（4）计算s=k^(-1)(e+d·r)modn（若s=0，重新选k）；（5）签名为(r,s)。3.签名验证：（1）接收者获取公钥Q，计算e'=H(m)；（2）验证r,s∈[1,n-1]，否则无效；