2026年密码学考试题及答案

2026年密码学考试题及答案一、单项选择题（每题2分，共10分）1.以下关于AES加密算法的描述中，正确的是（）A.AES-128的密钥扩展共提供44个32位字B.AES的轮函数仅包含SubBytes、ShiftRows、MixColumns三个步骤C.AES的S盒设计基于有限域GF(2^8)上的逆变换加仿射变换D.AES的密钥长度只能是128位、192位或256位答案：C2.RSA算法的安全性主要依赖于（）A.大整数分解问题的困难性B.离散对数问题的困难性C.椭圆曲线离散对数问题的困难性D.格基约简问题的困难性答案：A3.SHA-3算法的核心结构是（）A.Merkle-Damgård结构B.sponge结构C.HAIFA结构D.Miyaguchi-Preneel结构答案：B4.我国商用密码算法SM4的分组长度和密钥长度分别为（）A.64位，64位B.128位，128位C.128位，256位D.256位，256位答案：B5.量子密码（如BB84协议）的安全性主要基于（）A.计算复杂性理论B.量子力学的测不准原理和量子不可克隆定理C.格基问题的困难性D.椭圆曲线离散对数问题的抗量子性答案：B二、填空题（每空2分，共20分）1.AES算法中，SubBytes变换使用的S盒是通过先计算有限域GF(2^8)中元素的______，再进行仿射变换得到的。答案：乘法逆元（零元素映射到自身）2.RSA算法中，若取p=17，q=23，则φ(n)=______。答案：352（φ(n)=(p-1)(q-1)=16×22=352）3.椭圆曲线密码（ECC）中，点加运算的几何意义是取两点连线与曲线的第三个交点关于x轴的______。答案：对称点（或镜像点）4.SM3密码杂凑算法的输出长度为______位。答案：2565.格基密码学中，最著名的困难问题包括最短向量问题（SVP）和______（LWE）。答案：学习误差问题6.数字签名标准（DSS）中，DSA算法基于______问题的困难性。答案：离散对数7.分组密码的工作模式中，______模式将前一个密文分组与当前明文分组异或后再加密，可提供认证功能。答案：CBC-MAC（或CBC认证模式）8.后量子密码算法中，NTRU算法属于______类密码体制。答案：基于格的9.零知识证明的三个关键性质是完备性、______和零知识性。答案：可靠性（或正确性）10.混沌密码学中，混沌系统的______特性（如对初始条件的敏感依赖性）被用于提供伪随机序列。答案：遍历性（或混沌）三、简答题（每题8分，共40分）1.简述AES算法中轮函数的具体步骤（以AES-128为例），并说明最后一轮与其他轮的差异。答案：AES-128的轮函数包含四个步骤：①SubBytes：对状态矩阵的每个字节进行S盒替换；②ShiftRows：将状态矩阵的第0行（行号从0开始）保持不变，第1行循环左移1字节，第2行循环左移2字节，第3行循环左移3字节；③MixColumns：对状态矩阵的每一列进行有限域GF(2^8)上的线性变换，使用固定的提供矩阵；④AddRoundKey：将状态矩阵与轮密钥进行按字节异或。最后一轮（第10轮）省略了MixColumns步骤，仅保留SubBytes、ShiftRows和AddRoundKey，以避免解密时出现冗余变换。2.解释RSA算法中选择公钥指数e=65537（即2^16+1）的原因。答案：选择e=65537的主要原因包括：①计算效率高：e是一个大素数且二进制表示中只有两个1（10000000000000001），在模幂运算中可通过快速幂算法减少乘法次数；②安全性：e需满足与φ(n)互质（gcd(e,φ(n))=1），65537是素数，与大多数φ(n)（由两个大素数p、q的乘积减一后的数）互质的概率高；③抗攻击能力：较小的e（如e=3）可能导致小指数攻击（如共模攻击），而65537足够大，降低了此类攻击的风险；④行业惯例：e=65537已被广泛接受为RSA的标准公钥指数，兼容性和实现稳定性较好。3.分析SHA-256算法如何保证抗碰撞性（CollisionResistance），并说明其与抗第二原像性（SecondPreimageResistance）的区别。答案：SHA-256的抗碰撞性依赖于其压缩函数的抗碰撞性及Merkle-Damgård结构的安全性。其压缩函数通过对消息分组和当前哈希值进行复杂的非线性变换（包括逻辑运算、循环移位、加法等），使得找到两个不同的输入m1和m2满足SHA-256(m1)=SHA-256(m2)在计算上不可行。抗碰撞性要求不存在任意两个不同输入产生相同哈希值；抗第二原像性要求给定一个输入m，无法找到另一个不同的输入m'使得SHA-256(m)=SHA-256(m')。前者是“任意对”的攻击，后者是“给定一个找另一个”的攻击，抗碰撞性的要求更强，因为存在碰撞必然存在第二原像，但反之不成立。4.说明ECDSA（椭圆曲线数字签名算法）与RSA签名的主要差异（从数学基础、签名长度、计算效率三方面）。答案：①数学基础：ECDSA基于椭圆曲线离散对数问题（ECDLP），RSA基于大整数分解问题（IFP）；②签名长度：在相同安全强度下，ECDSA的签名长度（如256位椭圆曲线对应512位签名）远短于RSA（如2048位RSA对应256位签名，但实际签名长度为模数长度，即2048位）；③计算效率：ECDSA的密钥提供、签名和验证的计算量通常低于RSA，尤其是在移动设备等资源受限环境中，椭圆曲线运算的时间和空间复杂度更低。5.简述后量子密码（Post-QuantumCryptography）的研究背景及主要候选算法类别。答案：后量子密码的研究背景是量子计算机（如Shor算法）对现有公钥密码（RSA、ECC等基于离散对数或大整数分解的算法）的威胁，这些算法在量子计算机上可被高效破解。主要候选算法类别包括：①基于格的密码（Lattice-Based）：如NTRU、BLISS；②基于编码的密码（Code-Based）：如McEliece及其变种；③基于多元多项式的密码（Multivariate-Based）：如HFE；④基于哈希的密码（Hash-Based）：如Merkle签名树；⑤基于超奇异椭圆曲线的密码（SupersingularIsogeny-Based）：如SIKE（已被淘汰）。四、计算题（每题10分，共30分）1.已知AES的S盒输入字节为0x93（二进制10010011），计算其经过SubBytes变换后的输出字节（需写出有限域逆元计算和仿射变换的具体步骤）。答案：步骤1：计算0x93在GF(2^8)（不可约多项式为x^8+x^4+x^3+x+1）中的乘法逆元。GF(2^8)中，0x93的二进制为10010011，对应的多项式为x^7+x^4+x+1。求其逆元a，满足(x^7+x^4+x+1)×a≡1mod(x^8+x^4+x^3+x+1)。通过扩展欧几里得算法计算，可得逆元为0x5F（验证：0x93×0x5F=0x01mod不可约多项式）。步骤2：对逆元0x5F（二进制01011111）进行仿射变换。AES的仿射变换矩阵为：b'_i=b_i⊕b_{(i+1)mod8}⊕b_{(i+2)mod8}⊕b_{(i+3)mod8}⊕b_{(i+4)mod8}⊕c_i其中c为固定常数0x63（二进制01100011）。将0x5F的二进制位b7-b0=01011111代入计算：b'0=b0⊕b1⊕b2⊕b3⊕b4⊕c0=1⊕1⊕1⊕1⊕1⊕1=1b'1=b1⊕b2⊕b3⊕b4⊕b5⊕c1=1⊕1⊕1⊕1⊕1⊕1=1b'2=b2⊕b3⊕b4⊕b5⊕b6⊕c2=1⊕1⊕1⊕1⊕0⊕0=0b'3=b3⊕b4⊕b5⊕b6⊕b7⊕c3=1⊕1⊕1⊕0⊕0⊕0=1b'4=b4⊕b5⊕b6⊕b7⊕b0⊕c4=1⊕1⊕0⊕0⊕1⊕0=1b'5=b5⊕b6⊕b7⊕b0⊕b1⊕c5=1⊕0⊕0⊕1⊕1⊕0=1b'6=b6⊕b7⊕b0⊕b1⊕b2⊕c6=0⊕0⊕1⊕1⊕1⊕1=0b'7=b7⊕b0⊕b1⊕b2⊕b3⊕c7=0⊕1⊕1⊕1⊕1⊕0=0二进制结果为00101111，即0x2F。因此，SubBytes变换后的输出字节为0x2F。2.设RSA系统中，p=101，q=113，e=17，明文m=7（m<n）。计算：（1）n和φ(n)；（2）私钥d；（3）密文c=E(m)；（4）验证解密结果D(c)=m。答案：（1）n=p×q=101×113=11413；φ(n)=(p-1)(q-1)=100×112=11200。（2）d是e的模φ(n)逆元，即17d≡1mod11200。使用扩展欧几里得算法求解：11200=17×658+1417=14×1+314=3×4+23=2×1+12=1×2+0回代得1=32×1=3(143×4)×1=5×314×1=5×(1714×1)14×1=5×176×14=5×176×(1120017×658)=3953×176×11200因此d=3953（mod11200）。（3）密文c=m^emodn=7^17mod11413。计算7^2=49，7^4=49^2=2401，7^8=2401^2=5,764,801mod11413。5,764,801÷11413≈505次，505×11413=5,763,565，余数5,764,8015,763,565=1,236→7^8=12367^16=(7^8)^2=1236^2=1,527,696mod114131,527,696÷11413≈133次，133×11413=1,517,929，余数1,527,6961,517,929=9,767→7^16=97677^17=7^16×7=9767×7=68,369mod1141368,369÷11413=6次（6×11413=68,478），余数68,36968,478=-109→加11413得11304因此c=11304。（4）解密D(c)=c^dmodn=11304^3953mod11413。根据RSA定理，c^d≡mmodn，故D(c)=7，验证正确。3.考虑椭圆曲线E:y²=x³+x+6mod11，已知点P=(2,7)，Q=(5,2)，计算：（1）P+Q；（2）2P（即P+P）。答案：（1）计算P+Q=(x3,y3)：首先计算斜率k=(yQyP)/(xQxP)mod11。yQyP=2-7=-5≡6mod11；xQxP=5-2=3mod11。k=6×3^{-1}mod11。3的逆元是4（3×4=12≡1mod11），故k=6×4=24≡2mod11。x3=k²xPxQ=2²2-5=4-7=-3≡8mod11；y3=k(xPx3)yP=2×(2-8)-7=2×(-6)-7=-12-7=-19≡3mod11（-19+22=3）。因此P+Q=(8,3)。（2）计算2P=(x3,y3)：斜率k=(3xP²+a)/(2yP)mod11（a=1，曲线方程为y²=x³+x+6）。3xP²+a=3×2²+1=12+1=13≡2mod11；2yP=2×7=14≡3mod11；k=2×3^{-1}mod11。3的逆元是4，故k=2×4=8mod11。x3=k²2xP=8²2×2=64-4=60≡5mod11（60-55=5）；y3=k(xPx3)yP=8×(2-5)-7=8×(-3)-7=-24-7=-31≡1mod11（-31+33=2？检查计算：-24-7=-31，-31mod11=(-31)+33=2？哦，之前错误，正确应为：31÷11=-3×11=-33，余数-31(-33)=2，故y3=2。因此2P=(5,2)。五、综合题（每题15分，共30分）1.设计一个基于AES和RSA的混合加密系统，要求：（1）描述系统的密钥分配和加密流程；（2）分析该系统如何同时具备对称加密的高效性和公钥加密的密钥管理优势；（3）指出可能的安全风险及改进措施。答案：（1）密钥分配与加密流程：①密钥提供阶段：接收方提供RSA公私钥对(PU,PR)，公开PU，保留PR；②会话密钥提供：发送方随机提供AES会话密钥k（128位）；③加密数据：发送方使用AES（如CBC模式）对明文m进行加密，得到密文c1=AES-k(m)；④加密会话密钥：发送方使用接收方的公钥PU对k进行RSA加密，得到c2=RSA-PU(k)；⑤传输：发送方将(c1,c2)发送给接收方；⑥解密阶段：接收方使用私钥PR解密c2得到k，再用k解密c1得到m。（2）优势分析：对称加密（AES）的优势是加密/解密速度快，适合处理大文件；公钥加密（RSA）的优势是解决了对称密钥分配的难题（无需安全信道传输k）。混合系统结合二者，用RSA加密短会话密钥（高效利用公钥加密的慢速度处理小数据），用AES加密大数据（利用对称加密的快速度处理大文件），兼顾效率与密钥管理。（3）安全风险及改进：①风险1：RSA密钥长度不足（如1024位）可能被量子计算机破解。改进：使用2048位或更长RSA密钥，或替换为后量子公钥算法（如基于格的加密）。②风险2：AES会话密钥重复使用可能导致已知明文攻击。改进：每次通信提供新的随机会话密钥，并在AES中使用唯一的初始化向量（IV）。③风险3：侧信道攻击（如功耗分析）可能泄露RSA私钥。改进：采用抗侧信道的实现技术（如盲化技术、掩码技术）。2.分析侧信道攻击（Side-ChannelAttack）对椭圆曲线密码（ECC）的威胁，并提出至少三种防御措施。答案：侧信道攻击通过分析密码算法实现过程中泄露的物理信息（如功耗、时间、电磁辐射）来恢复密钥，对ECC的威胁主要体现在：①功耗分析：ECC的点乘运算（kP）中，不同的标量k的二进制位（0或1）会导致不同的功耗曲线。攻击者可通过差分功耗分析（DPA）提取k的二进制位模式，进而恢复私钥k。②时间攻击：点乘运算的时间与k的二进制表示相关（如非零位需要更多计算步骤），攻击者通过测量不同k值的运算时间差异，可推断k的具体位。③电磁辐射：点乘运算中，寄存器操作或总线传输会产生电磁信号，攻击者可通过捕捉信号特征（如特定操作对应的频率）分析k的结构。防御措施：①标量掩码（ScalarMasking）：将私钥k分解为k=k'+k''，其中k'随机提供，k''=k-k'modn（n为椭圆曲线阶），计算kP=k'P+k''P，隐藏真实k的位模式。②常数时间实现（Constant-TimeExecution）：确保点乘运算的时间与k的二进制位无关（如对0位和1位执行相同数量的操作），消除时间差异。③功耗均衡（PowerBalancing）：通过添加冗余操作（如伪乘法、