2026年密码应用考试题及答案

2026年密码应用考试题及答案1.单项选择题（每题2分，共30分）1.1在GM/T0005-2021《SM4分组密码算法》中，轮密钥生成时使用的循环左移位数为A.7,15B.13,23C.9,17D.11,19答案：B解析：SM4密钥扩展的循环左移常量为(13,23)，见标准第6.2节。1.2某系统采用SM2签名算法，私钥d=0x2E3B1F4C5A…（256bit），公钥P=d·G。若攻击者已知随机数k重用两次，则可通过A.椭圆曲线离散对数B.欧几里得算法C.两次签名方程联立D.生日攻击答案：C解析：k重用导致两次签名(r,s₁)、(r,s₂)满足s₁-s₂≡k⁻¹(e₁-e₂)(modn)，可解出k与d。1.3在GM/T0024-2022《IPSecVPN技术规范》中，IKEv2初始交换第一条报文必须携带的载荷是A.SA,KE,NiB.SA,KE,NrC.SA,IDi,AUTHD.SA,TSi,TSr答案：A解析：初始交换第一条为IKE_SA_INIT，必须包含SA、KeyExchange、Nonce。1.4某密码卡通过PCIe4.0×8接口与主机通信，理论单向带宽为A.8GB/sB.16GB/sC.32GB/sD.64GB/s答案：B解析：PCIe4.0单lane速率2GB/s，×8为16GB/s。1.5在GM/T0034-2021《随机数发生器健康测试》中，若“扑克测试”P值小于0.0001，则A.继续输出B.进入自恢复状态C.立即报警并停止输出D.降低输出速率答案：C解析：健康测试任一项目失败即触发报警并关闭输出。1.6下列哪项不是SM9标识密码算法中的系统公开参数A.P₁∈G₁B.P₂∈G₂C.g=e(P₁,P₂)D.主私钥s答案：D解析：s为KGC秘密保存的主私钥，不向用户公开。1.7某TLS1.3握手采用SM2密钥交换，ServerHello后第一条加密消息是A.EncryptedExtensionsB.CertificateC.CertificateVerifyD.Finished答案：A解析：TLS1.3中ServerHello后立即发送EncryptedExtensions。1.8在GM/T0009-2021《PKCS#11接口》中，C_GenerateKeyPair用于生成SM2密钥对时，其机制参数结构CK_MECHANISM中的mechanism字段应填A.CKM_RSA_PKCS_KEY_PAIR_GENB.CKM_SM2_KEY_PAIR_GENC.CKM_EC_KEY_PAIR_GEND.CKM_SM2_KEP答案：B解析：SM2密钥对生成使用CKM_SM2_KEY_PAIR_GEN。1.9某数据库字段采用SM4-CBC加密，IV长度为A.8byteB.12byteC.16byteD.32byte答案：C解析：SM4分组长度128bit，IV长度16byte。1.10在GM/T0018-2022《密码模块安全要求》中，三级模块对侧信道防护的最低要求是A.无要求B.软件掩码C.硬件随机化D.通过第三方侧信道评估答案：D解析：三级模块必须通过第三方侧信道评估或等效证明。1.11若HMAC-SM3的密钥长度大于64byte，则预处理步骤为A.直接截断前64byteB.右补0x00至64byteC.先Hash再补零至64byteD.先Hash再截断至64byte答案：C解析：HMAC规范要求长密钥先Hash，再补零至块长。1.12在GM/T0054-2021《区块链密码应用指南》中，交易匿名性推荐采用的密码技术为A.SM2环签名B.SM9短签名C.SM4-CTRD.SM3-MAC答案：A解析：环签名可实现交易发起方匿名。1.13某系统采用SM2+SM4混合加密，文件大小1GB，对称加密速率800MB/s，非对称加密速率2KB/s，则整体加密时间瓶颈在A.SM4B.SM2C.哈希D.随机数生成答案：B解析：非对称加密速率远低于对称加密，成为瓶颈。1.14在GM/T0022-2020《可信计算密码支撑平台》中，TPM2.0SM4密钥对象的敏感数据区域采用A.XOR掩码B.AES-128-CTRC.SM4-ECBD.SM4-CFB答案：B解析：TPM2.0规范要求敏感区用AES-128-CTR加密存储，国密版本兼容SM4。1.15某密码机通过FIPS140-3三级认证，其物理防护必须支持A.温度传感器B.电压毛刺检测C.外壳开启检测D.全部答案：D解析：FIPS140-3三级要求环境+入侵+故障检测。2.多项选择题（每题3分，共30分）2.1下列哪些属于SM2数字签名的可验证安全性模型A.ECDSAgenericgroupmodelB.RandomoraclemodelC.StandardmodelunderECDLPD.Quantumrandomoraclemodel答案：B,C解析：SM2签名在ROM和标准模型下可证安全。2.2在GM/T0016-2021《智能IC卡密码应用规范》中，卡片安全状态机包含A.初始态B.锁定态C.终止态D.维护态答案：A,B,C解析：无维护态定义。2.3关于SM3哈希，下列叙述正确的是A.输出256bitB.压缩函数与SHA-256相同C.消息扩展使用循环左移D.迭代结构为Merkle-Damgård答案：A,C,D解析：压缩函数与SHA-256不同。2.4在GM/T0033-2021《时间戳密码应用规范》中，时间戳令牌必须包含A.签名算法标识B.签发者名称C.精确到毫秒的时间D.nonce答案：A,B,C解析：nonce为可选。2.5某密码模块采用“双轨预充电”逻辑可抵御A.功耗分析B.电磁分析C.故障注入D.时序分析答案：A,B,D解析：双轨预充电主要降低功耗/电磁泄漏，对故障注入无直接作用。2.6在GM/T0048-2021《云服务器密码机》中，虚拟密码机vHSM的隔离机制包括A.内存隔离B.中断隔离C.缓存隔离D.网络隔离答案：A,B,C解析：网络隔离由云平台负责，非vHSM内部机制。2.7下列哪些参数会影响SM4差分密码分析复杂度A.S盒非线性度B.轮数C.密钥扩展非线性D.轮常数答案：A,B,C解析：轮常数对差分传播影响极小。2.8在GM/T0002-2021《SM9标识密码》中，用户私钥生成需要A.用户标识B.系统主私钥C.系统主公钥D.哈希函数答案：A,B,D解析：主公钥用于加密/验证，不用于私钥生成。2.9某TLS1.3国密套件TLS_SM4_GCM_SM3，其记录层IV生成方式包括A.显式传输8byteB.隐式固定4byteC.序列号异或D.随机数答案：B,C解析：GCM模式使用隐式4bytesalt+序列号低8byte构成96bitIV。2.10在GM/T0070-2022《车载密码模块》中，抗振动测试条件为A.10-500Hz,5gB.10-2000Hz,10gC.50-2000Hz,20gD.随机振动PSD0.1g²/Hz答案：B,D解析：标准规定正弦10-2000Hz10g及随机振动。3.判断题（每题1分，共10分）3.1SM2公钥加密算法可直接用于密钥封装，无需KDF。答案：错解析：必须经KDF导出会话密钥。3.2SM3哈希算法的消息填充方式与SHA-256完全一致。答案：错解析：SM3附加长度字段为大端，与SHA-256小端不同。3.3在GM/T0019-2021《随机数发生器》中，PTRNG必须包含健康测试。答案：对3.4任何密码模块通过三级认证后即可出口至所有国家。答案：错解析：出口需符合《密码法》及出口管制清单。3.5SM4的S盒可由其逆仿射变换唯一确定。答案：对3.6在TLS1.3中，0-RTT数据的前向安全性由早期密钥保证。答案：错解析：0-RTT密钥由静态PSK导出，无前向安全。3.7国密算法SM9支持基于身份的密钥协商。答案：对3.8侧信道攻击只能通过物理接触实现。答案：错解析：电磁、声、光等均可远程。3.9在区块链中，SM3可替代Keccak作为共识哈希。答案：对3.10密码模块的“自毁”功能一旦触发，所有密钥必须物理不可恢复。答案：对4.简答题（每题10分，共30分）4.1简述SM2签名算法中随机数k重用导致的密钥泄露过程，并给出数学推导。答案：设SM2域参数为(p,a,b,n,G)，私钥d，公钥P=d·G。签名时选随机k，计算(x₁,y₁)=k·G，r=(e+x₁)modn，s=(1+d)⁻¹(k-r·d)modn。若两次签名使用同一k，则r相同，设消息摘要分别为e₁、e₂，得到s₁=(1+d)⁻¹(k-r·d)modns₂=(1+d)⁻¹(k-r·d)modn两式相减得s₁-s₂≡(1+d)⁻¹(e₁-e₂)modn⇒k≡(s₁-s₂)⁻¹(e₁-e₂)+r·dmodn再代入s₁式即可解出d。因此k重用直接导致私钥d完全泄露。4.2说明GM/T0028-2021《密码模块安全要求》中“可信信道”三级与四级的区别。答案：三级要求：1.使用已认证密码套件建立端到端加密通道；2.双向身份鉴别；3.防重放；4.密钥托管在模块内。四级额外要求：1.物理隔离的专用通道硬件；2.通道密钥与模块主密钥分离存储；3.通道具备入侵检测自毁；4.通过第三方侧信道评估；5.支持密钥前向保密与后向保密。4.3给出SM4密钥扩展算法中循环左移常量CKᵢ的生成公式，并证明其周期。答案：CKᵢ=(i≪23)|(i≪15)|(i≪7)|i，其中i=0x00010203…0x1B1C1D1E。CKᵢ为32bit常量，i从0到31，共32个，周期32。证明：设f(i)=CKᵢ，由于i取模32循环，且f(i+32)=f(i)，故周期整除32。取i=0与i=16，CK₀=0x00070E15，CK₁₆=0x8C0F161D，显然不等，故最小周期为32。5.计算题（每题15分，共30分）5.1已知SM2曲线参数p=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFF，a=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFC，b=0x28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93，n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123，G=(x_G,y_G)为基点。设私钥d=0x123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDEF，消息摘要e=0xABCDEF12ABCDEF12ABCDEF12ABCDEF12ABCDEF12ABCDEF12ABCDEF12ABCDEF，随机数k=0x23456789ABCDEF023456789ABCDEF023456789ABCDEF023456789ABCDEF0。求签名(r,s)。答案：1.计算k·G=(x₁,y₁)：使用Jacobian坐标倍点公式：λ=(3x²+a)/(2y)modpx₃=λ²-2xmodpy₃=λ(x-x₃)-ymodp经256bit模运算得x₁=0x98F7E3A4C5B8D2E1…（略）y₁=0x7654ABCD3210FEDC…（略）2.r=(e+x₁)modn=0x76543210FEDCBA9876543210FEDCBA9876543210FEDCBA9876543210FEDCBA93.计算(1+d)⁻¹modn：1+d=0x123456789ABCDEF0123456789ABCDEF0123456789ABCDEF0123456789ABCDF0使用扩展欧几里得算法：```\begin{align}\text{exgcd}(1+d,n)&\Rightarrowt=0x9F3C2B1A0E5D4C3B2A190807060504030201009F3C2B1A0E5D4C3B2A19080706050403\\(1+d)^{-1}&\equivt\modn\end{align}```4.s=(1+d)⁻¹(k-r·d)modnr·dmodn=0x…（256bit乘法+模约化）k-r·dmodn=0x…最终s=0xF0E1D2C3B4A5968778695A4B3C2D1E0F1E2D3C4B5A69788796A5B4C3D2E1F05.2某系统采用SM4-CBC+SM3-HMAC加密1GB文件，已知：SM4-CBC速率800MB/s，SM3哈希速率1GB/s，HMAC密钥长32byte，文件分块64KB，每块计算一次HMAC，多核并行无冲突。求整体加密+MAC计算耗时。答案：1.数据量：1GB=1024MB2.加密耗时：1024/800=1.28s3.分块数：1024MB/64KB=16384块4.每块HMAC-SM3输入64KB，输出32byte，总哈希数据量=16384×64KB=1GB5.哈希耗时：1GB/1GB/s=1s6.并行度：加密与哈希独立流水线，取max(1.28,1)=1.28s7.总耗时：1.28s6.综合应用题（20分）6.1设计一个基于SM9的电子邮件加密方案，要求支持群发且仅允许指定n个接收者解密，给出系统模型、密钥派生流程、