现代密码学 复习题 答案

（一）信息的载体有（媒质）和（信道）。对信息载体的两种攻击为（被动攻击）和（主动攻击）。密码学的两个分支是（密码编码学）和（密码分析学）。密码体制有（单钥密码体质）和（双钥密码体质）。现代流密码的设计思想来源于古典密码中的（维吉尼亚密码）。现代分组密码的设计思想来源于古典密码中的（多字母代换密码）。

（二）在信息保密系统中，攻击者Eve所拥有的基本资源有哪些？

Eve在不安全的公共信道上截获了密文c。

Eve知道加密算法E和解密算法D。

攻击者Eve可能拥有的更多资源有哪些？

Eve可能知道密文c所对应的明文m。（此时所进行的攻击称为已知明文攻击）Eve可能拥有强大的计算能力。

Eve可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出密文。（此时所进行的攻击称为选择明文攻击）

攻击者Eve不可能拥有的资源是什么？

Eve不知道加密密钥z和解密密钥k。

（事实上，在进行安全性分析时，有时也假设Eve 知道了密钥的一部分，但决不能全部知道）

（三）叙述已知明文攻击。

设攻击者Eve截获了密文c，并且知道了密文c所对应的明文m 。（这种情况是怎样发生的呢？当明文m 是已经过期的消息，可能无法再保密，也可能必须将其公开。因此，这种情况是经常发生的）于是：

?在解密方程m=D(c, k)中，Eve知道m 和c，仅仅不知道解密密钥k。

?在加密方程c=E(m, z)中，Eve知道m 和c，仅仅不知道加密密钥z。

?如果Eve从解密方程m=D(c, k)中计算出解密密钥k ，则Eve今后就可以像Bob一样对任何密文c’进行解密：m’=D(c’, k)。

?如果Eve从加密方程c=E(m, z)中计算出加密密钥z ，则Eve今后就可以像Alice一样对任何明文m’进行加密：c’=E(m’, z)。

?还可以给更加宽松的条件。设攻击者Eve获得了以往废弃的n组明文/密文对：（m1，c1），（m2，c2），…，（m n，c n）。

?于是Eve获得了关于解密密钥k 的方程组：

?m1=D(c1, k) ，

?m2=D(c2, k) ，

?…，

?m n=D(c n, k) 。

?（n越大，解密密钥k 就越容易确定。）

（四）叙述无条件安全性。

对密码体制的任何攻击，都不优于（对明文）完全盲目的猜测，这样的密码体制就称为无条件安全的（或完善保密的）。

什么样的加解密方式能够实现无条件安全性？

一次一密的加密方式容易实现无条件安全性。因为密钥时时更新，所以以往得到的任何明文/密文对，对于破译新的密文没有任何帮助，只能做完全盲目的猜测。

（五）叙述计算安全性。

计算安全是一个模糊的概念。我们可以给出以下三个级别的定义。

（1）对密码体制的任何攻击，虽然可能优于完全盲目的猜测，但超出了攻击者的计算能力。这是最高级别的计算安全。

（2）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但所付出的代价远远大于破译成功所得到的利益。这是第二级别的计算安全。

（3）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但破译成功所需要的时间远远大于明文本身的有效期限。这也是第二级别的计算安全。什么样的加解密方式能够实现计算安全性？

（六）设明文x，密文y，密钥z1，密钥z2，均为8比特课文。加密算法为

y=(x‘+’z1)“+”z2。其中‘+’表示逐位(mod2)加法运算；“+”表示(mod28)加法运算。

试用2个明文/密文对解出密钥z1和z2各自的最低位，其中明文可以任意选择。你选择什么明文？怎样解出？

在解出密钥z1和z2各自的最低位以后，试用2个明文/密文对解出密钥z1和z2

各自的次最低位，其中明文可以任意选择。你选择什么明文？怎样解出？

使用选择明文攻击，多少个经过选择的明文/密文对可以解出密钥z1和z2？

（七）设明文(x1x2x3x4x5)，密文(y1y2y3y4y5)，密钥A(5×5阶方阵)，密钥(b1b2b3b4b5)，满足域GF(2)上的如下加密方程：

(y1y2y3y4y5)=(x1x2x3x4x5)A+(b1b2b3b4b5)。

取6组明文/密文对：

(00000)/(10110)，(10000)/(01110)，(01000)/(11010)，

(00100)/(10000)，(00010)/(10101)，(00001)/(00111)。

试解出密钥A和密钥(b1b2b3b4b5)。

此加密方程能够唯一解密吗？为什么？

（八）叙述Golomb随机性假设（三条假设）。

（1）当n充分大时，k1k2 k3 …k n中0和1的个数各占约一半。

（2）当n充分大时，在k1k2 k3 …k n中，长度为l的比特串10 …01 （称为0游程）的个数约有n/2l个；长度为l的比特串01 …10 （称为1游程）的个数约有n/2l个。（3）若k>0，当n充分大时，以下的值（称为异相自相关函数值）约为0。

∑=

++ -

n l

k

k k

l

l

n

1

)

1 (

1

（九）回答下列问题：

1.一个周期的布尔序列一定是线性反馈移位寄存器序列吗？为什么？

定理如果一个比特流是一个周期序列，则它一定是线性反馈移位寄存器序列。

证明设比特流k的最小周期是N。则

l>N后，k l=k l-N。

因此比特流k为N阶线性反馈移位寄存器序列，抽头系数为{c1、c2 、… 、c N}={0、0、…0 、1}（即极小多项式f(x)=1‘+’x N），初始状态为k1k2k3… k N。

2.n阶线性反馈移位寄存器序列的最小周期的上确界是什么？（2n-1）最小周期达到该上确界的序列称为什么序列？（n阶m序列）当n阶线性反馈移位寄存器序列的最小周期达到该上确界时，对Golomb随机性假设的符合程度是怎样的？完全满足GOLOMB随机性假设.

（3.1）k在自己的一个最小周期内（即连续2n-1个比特内），0出现2n-1-1次，1出现2n-1次。

（3.2）取定j，3≤j≤n，观察k的连续2n-1个长j的比特串：k l k l+1k l+2 …k l+j-1，l=1, 2, …, 2n-1。

10 …01出现2n-j次；（长为j-2的0游程）

01 …10出现2n-j次。（长为j-2的1游程）

观察k的连续2n-1个长n+1的比特串：k l~k l+n，l=1~ 2n-1。10 …01出现1次。（长为n-1的0游程）

观察k的连续2n-1个长n+2的比特串：k l~k l+n+1，l=1~ 2n-1。01…10出现1次。（长为n-1的0游程）

（3.3）对任何1≤j≤2n-2，下式接近0。（自相关函数）

∑-=

+

-

-

=

-

-

+

1

2

1

1

2

1

)1

(

1

21n

j

l

l

l

n

k

k

n

这样的序列为什么不能直接作为密钥流？

不能直接作为密钥流的原因为:EVE 如果得到任何一段连续2N 个比特,就获得了一个关于抽头系数的方程组,由于加法和乘法都是在域GF(2)上进行(MOD2运算),容易计算出抽头系数,从而被攻破。 解法：

如果n 阶线性反馈移位寄存器序列用作密钥流，攻击者Eve 截获了密文段c 1c 2c 3… c 2n ，并知道了对应的明文段m 1m 2m 3… m 2n ，因此计算出了对应的废弃密钥段k 1k 2k 3… k 2n 。

则Eve 获得了关于抽头系数{c 1、 c 2 、 … 、 c n }的以下方程组。 k l =c 1k l-1 ‘+’ c 2k l-2 ‘+’ … ‘+’ c n k l-n ， 其中l =n +1，n +2，…，2n 。

注意到这是在有限域GF (2)上的线性方程组，很容易解出抽头系数{c 1、 c 2 、 … 、 c n }。

实际上，当Eve 获得了n 阶线性反馈移位寄存器序列的任何一段的连续2n 个比特k j+1k j+2k j+3… k j+2n ， 他就获得了关于抽头系数{c 1、 c 2 、 … 、 c n }的以下方程组。

k l =c 1k l-1 ‘+’ c 2k l-2 ‘+’ … ‘+’ c n k l-n ， 其中l =j +n +1，j +n +2，…，j +2n 。

以上方程组中的加法和乘法都是在域GF (2)上进行的（即(mod2)运算）。 以上事实说明，当Eve 获得了n 阶线性反馈移位寄存器序列的任意连续2n 个比

特， Eve 就获得了整个密钥流。

??

???

?

????????=

??

????

????????????????????++++++-+-++++++-++n j n j n j n n j n j n j j n j n j j n j n j k k k c c c k k k k k k k k k 2212122122111

（3）当一个周期的布尔序列的线性复杂度为n时，该序列的长度为2n的串就能完全解出（综合出）该序列。怎样解出？（两种算法）

序列的综合的两种最著名的算法是B-M算法和Games-Chan算法。

（十）当非线性前馈序列用作密钥流时，哪三个部分可能作为通信伙伴的原始密钥？初始状态，极小多项式，非线性布尔函数。

（十一）分组密码与流密码相比，有什么优点？

（分组密码与流密码相比,优点:加解密算法简洁快速,占用的计算资源小,易于软件和硬件的实现;加解密算法参数固定,比流密码容易实现标准化;由于明文流被分段加密,因此容易实现同步,而且传输错误不会向后扩散.）

有什么缺点？

（不容易使用硬件实现,安全性很难被证明,至多证明局部安全性.）

分组密码的5个设计准则是什么？

（安全性,简洁性,有效性,透明性和灵活性,加解密的相似性.）

（十二）写出Feistel网络的算法步骤，并画出图。

将明文m分为等长的两部分m=(L(0), R(0))；

使用由密钥k控制的高度非线性函数F，

（1）计算：

(L’, R’)=(L(0)‘+’F(R(0), k), R(0))；

（2）计算密文：c=(L(1), R(1))= (R’, L’)。

（十三）在DES中，

32比特课文X→扩充变换E→‘+’48比特密钥k→8个S盒→32比特课文Y

是可逆的；这就是说，当密钥k确定时，不同的X一定得到不同的Y。说明这是为什么。这种可逆性设计有什么意义。

为了使扩充变换E→8个S盒（32比特→ 32比特）整体是一个可逆函数，必须使得8个S盒总体输出是8个S盒总体输入的第2~5、8~11、14~17、20~23、26~29、32~35、38~41、44~47比特的可逆函数。（回顾扩充变换E：扩充变换E的作用是将32比特的课文膨胀为48比特，且扩充变换后的第1、6、7、12、13、18、19、24、25、30、31、36、37、42、43、48比特为扩充部分。）

（十四）在DES、Rijndael、Safer+中，不具有加解密相似性的有（）。

DES是加解密相似的。

RIJNDAEL不是加解密相似的。

SAFER+解密算法就是简单地将加密算法的操作逆向进行。

（十五）IDEA是加解密相似的。设加密算法的密钥子块的标号顺序为

(z11, z12, z13, z14)；(z15, z16)；(z21, z22, z23, z24)；(z25, z26)；…；

(z81, z82, z83, z84)；(z85, z86)；(z91, z92, z93, z94)。

现在把解密过程用加密算法来实现，问：第3轮的6个密钥子块依次是什么？（(z71-1, -z73, -z72, z74-1 )；(z65, z66)）

第8轮的10个密钥子块依次是什么？

（(z21-1, -z23, -z22, z24-1 )；(z15, z16)；(z11-1, -z12, -z13, z14-1 ) ）

在IDEA中，“×”表示(mod216+1)乘法运算。计算215“×”215。（49153）

（十六）写出Rijndael 轮函数（普通轮）的四个不同的计算部件名称。 RIJNDAEL 的轮函数由四个不同的计算部件所组成，分别是：

字节代替（ByteSub ） 行移位（ShiftRow ） 列混合（MixColumn ） 加密钥（AddRoundKey ）

设Rijndael 的字节代替函数为y =bytesub(x )。计算sub(0)。

（1）首先，将字节看作GF (28)上的元素，映射到自己的乘法逆；0字节影射到它自身。

（2）其次，将字节看作GF (2)上的8维向量，做如下的（GF (2)上的；可逆的）仿射变换：

（11000110） （十七）

在Safer+中，计算指数盒的值X (0)，计算对数盒的值L (0)。

字节内的混淆采用字节非线性可逆变换函数X (·)和L (·)，其中X (·)称为指数变换，X (x )=45x (mod257)(mod256)，L (·)是X (·)的逆变换，称为对数变换。 X (0)=1 L (0)=128

Safer+线性层变换矩阵M 有何特点，为什么这样设计。

??

?

?

??

?

??

?

?

?

?

??+????????????? ??????????????? ??=????????????? ??011000111111100001111

100001111100001111110001

111110001111110001111110

0017654321076543210x x x x x x x x y y y y y y y y

线性层是环({0, 1}8, +(mod256), ×(mod256))上的一个16维可逆线性变换，作为字节之间的快速扩散。

线性层运算就是将输入课文看作环({0, 1}8, +(mod256), ×(mod256))上的16维向量，右乘矩阵M。从上式可以看出，矩阵M中的元素都是2的幂，这种设计的目的是使模28乘法运算简化成为“左移位，右补0”，简单快速。

（十八）写出RSA的密钥生成过程。

密钥的产生：

（1）选择两个保密的大素数p和q；

（2）计算n=p×q，?(n)=(p-1)(q-1)，其中?(n)是n的欧拉函数值；

（3）选一整数e，满足1

（4）计算d，满足d·e≡1 mod ?(n)，即d是e在模?(n)下的乘法逆元。因e与?(n)互素，模?(n)的乘法逆元一定存在；

（5）以{e,n}为公开钥,{d,p,q}为秘密钥。

（十九）写出基本RSA的加密过程和解密过程。

加密：加密时首先将明文比特串分组，使得每个分组对应的十进制数小于n，即分组长度小于log2n；然后对每个明文分组m，作加密运算：c≡m e mod n；

解密：对密文分组的解密运算为：m≡c d

mod n。

（二十）设p 是奇素数，且p 是4的倍数加3。设c 是一个(mod p )平方剩余。关于未知数x 的二次方程c =x 2(mod p )一共有几个解？它们怎样计算。 两个解 由题设知

1

4

p +是整数， 因为c 是模p 的二次剩余，

所以：1

2

1p a a

p -??≡≡ ???

（modp ） 从而2

111

4

22

(mod )p p p a a a a a p ++-??≡≡≡ ??

?

即有14

p a

+±为c 模p 的两个平方根。

（二十二）设n=pq 是两个不同的奇素数的乘积。设c 是一个(mod n )平方剩余。关于未知数x 的二次方程c =x 2(mod n )一共有几个解？如果给出2个不同的解，它们关于(mod p )同余，关于(mod q )不同余，则能够得到什么结果。 （重要！由题设知，pq 必须都是Blum 数） 解方程组

1

4

(mod )p x c

p +=±

14

(mod )q x c

q +=±

显然该方程组有4组解。 其关于（modn ）也不同余

（二十二）写出ElGamal的密钥生成过程，加密过程，解密过程。ElGamal的密钥生成

选择一个大的素数p。

选择g，1

选择x，1

计算y=g x mod p。

Bob的公钥是(p, g, y)，对外公布。

Bob的私钥是x，自己私藏。

ElGamal的加密过程

Alice欲发送明文m给Bob，其中

0

Alice选择随机数k，(k,p－1)=1，计算：

y

=g k mod p (随机数k被加密)。

1

再用Bob的公钥y，计算：

y

=my k mod p(明文被随机数k和公钥y加密)

2

密文由y1、y2级连构成，即密文c=y1||y2。

ElGamal的解密过程：Bob 收到密文c后，用自己的私钥x计算

m=y

/y1x=my k/g kx=mg xk/g xk mod p。

2

（二十三）叙述杂凑函数应该满足的3条性质。

1.等长性,

2.单向性.

3.无碰撞性.

（二十四）写出只使用杂凑函数构造的公平提交方案。

散列编码的用途

用途一：公平提交方案

Alice猜测了一个号码x1，但不知道中奖号码x2；

Bob设置了中奖号码x2，但不知道Alice猜测的号码x1。

Alice希望首先获得x2，然后重新确定x1使得x1=x2。

Bob希望首先获得x1，然后重新确定x2使得x2≠x1。

防止两人作弊的方案称为“公平提交方案”。

两人使用一个公开的杂凑函数y=H(x)。方案如下：

（1）Alice随机选择r1，计算y1=H(x1, r1)，并将y1发送给Bob。

（2）Bob随机选择r2，计算y2=H(x2 , r2)，并将y2发送给Alice 。

（3）Alice收到y2后，将(x1, r1)发送给Bob。

（4）Bob收到y1后，将(x2, r2)发送给Alice 。

（5）Alice收到(x2, r2)后，检验是否y2=H(x2 , r2)，若是则x2是真实的中奖号码。

（6）Bob收到(x1, r1)后，检验是否y1=H(x1, r1)，若是则x1是Alice的真实的猜测号码。

方案分析：

Alice发送y1给Bob，Bob发送y2给Alice ，这叫做承诺。

Alice发送(x1, r1)给Bob，Bob发送(x2, r2)给Alice ，这叫做践诺。

当承诺值确定以后，无法改变践诺值。

当对方发送来了承诺值以后，己方无法计算出对方的践诺值，因而无法“随机应变地”确定自己的践诺值，以重合或避开对方的践诺值。

综上所述，杂凑函数阻止了双方作弊。

（二十五）叙述数字签名应该满足的3条性质。

1.完整性,

2.身份唯一性(不可伪造性),

3.不可否认性(公开可验证性).

（二十六）写出公钥密码数字签名方案（二）。

额外使用一个公开的杂凑函数H。设Alice欲发消息m给Bob。

（1）Alice用H将消息m进行处理，得h=H(m)。

（2）Alice用自己的私钥k对h“解密”s=D(h, k)，s就是对消息m的签名值，(m，s)就是一个签名消息。

（3） Alice将(m，s)发送给Bob。

（4） Bob收到(m，s)后，用Alice的公钥z，将消息m与签名s做如下的检验：是否H(m)=E(s, z)。若是则(m，s)是Alice发送的签名消息。

在上述方案中，

?签名方程是s=D(H(m), k)。

?验证方程是H(m)=E(s, z)。

?任何人只要拥有Alice的公钥z，都可以对签名消息(m，s)进行验证。

?设攻击者Eve知道Alice的公钥z，他试图伪造一个(m，s)，让Bob相

信(m，s)是Alice的签名消息。伪造的(m，s)必须满足验证方程H(m)=E(s, z)。

Eve面临着两难问题：

?如果选定消息m，再匹配签名值s，则在验证方程H(m)=E(s, z)中无法解

出s。（这是公钥密码的基本安全性）

?如果选定签名值s，再匹配消息m，则在验证方程H(m)=E(s, z)中能够解

出H(m)，却无法得到m。（这是杂凑函数的性质）

如此看来，签名方案（二）似乎具有身份唯一性和不可伪造性。

（二十七）写出D. Chaum盲签名方案。

D. Chaum曾提出第一个实现盲签名的算法，他采用了RSA算法。令B的公钥为e，秘密钥为d，模为n。

(a) A需要B对消息m进行盲签名，选1

(b) B对t签名, t d =(mk e)d(mod n)→A。

(c) A计算s=t d/k(mod n) 得

s =(mk e)d/k(mod n)=m d(mod n)，

(m, s)就是B对m按RSA体制的合法签名，任何知道公钥e的人都能验证

s e=m(mod n)。

（二十八）完整地写出ElGamal数字签名方案和Schnorr数字签名方案。（密钥生成、签名、验证）。叙述Schnorr数字签名方案与ElGamal数字签名方案相比的优点。

ElGamal数字签名

ElGamal的密钥生成：选择一个大的素数p。选择g为域GF(p)的本原元素。选择正整数x。计算y=g x(mod p)。

Alice的公钥是（p，g，y），私钥是x。

签名方案是上述的签名方案(二)，额外使用一个公开的杂凑函数H。设Alice欲发消息m给Bob。

（1） Alice用H将消息m进行处理，得h=H(m)。

（2） Alice选择秘密随机数k，满足

0

计算

r=g k(mod p)；

s=(h-xr)k-1(mod (p－1))。

（3） Alice将(m，r，s)发送给Bob。

（4） Bob用Alice的公钥，检验是否

y r r s=g H(m) (mod p)。

若是则(m，r，s)是Alice发送的签名消息。

Schnorr数字签名

Alice拥有3个正整数(p，q，g)，向自己的通信伙伴公开。其中：

?p是模数（即将要进行(mod p)模数运算），它是一个素数，值的范围在2511

到2512之间（即p是一个长度为512的比特串）。

?q也是模数（即将要进行(mod q)模数运算），它是一个素数， 2159< q（即

q是一个长度不小于160的比特串），并且q是p-1的一个因子。

?g是域GF(p)的元素，且g q=1(mod p)。

?Alice选择x，其中1

?Alice计算y=g x(mod p)。

?Alice的公钥是(p，q，g，y)， Alice的私钥是x。

?签名方案是上述的签名方案(二)，额外使用一个公开的杂凑函数H，H

的输出长度是160比特。设Alice欲发消息m给Bob。

?（1）Alice选择秘密随机数k，满足0

?r=g k(mod p)；

?e=H(r, m)；

?s=k＋xe(mod q)。

?（3） Alice将(m，e，s)发送给Bob。

?（4） Bob用Alice的公钥，计算r’=g s y-e(mod p)。检验是否

?e=H(r’, m)。

?若是则(m，e，s)是Alice发送的签名消息。

Schnorr签名与ElGamal签名的不同点：

在ElGamal体制中，g为域GF(p)的本原元素；而在Schnorr体制中，g 只是域GF(p)的阶为q的元素，而非本原元素。因此，虽然两者都是基于离散对

数的困难性，然而ElGamal的离散对数阶为p-1， Schnorr的离散对数阶为

q

签名长度比较： Schnorr比ElGamal签名长度短。

ElGamal：(m，r，s)，其中r的长度为|p|，s的长度为|p-1|。

Schnorr： (m，e，s)，其中e的长度为|q|，s的长度为|q|。

在Schnorr签名中，r=g k(mod p)可以预先计算，k与m无关，因而签名只需一次mod q乘法及减法。所需计算量少，速度快，适用于灵巧卡采用。

（二十九） Shamir门限秘密共享方案。设：p=17；n=5；t=3；

(ID(1), h(ID(1)))=(1, 8)；

(ID(2), h(ID(2)))=(2, 7)；

(ID(3), h(ID(3)))=(3, 10)；

(ID(4), h(ID(4)))=(4, 0)；

(ID(5), h(ID(5)))=(5, 11)。

当第1位~第3位参与者同时到场，解出共享的秘密

a

+a1x+a2x2

（三十）叙述Schnorr电子现金支付协议。

在Schnorr协议的初始化阶段，选择一个大素数p，一个正整数g。p和g 都被公开。

设顾客的身份秘密信息是(m, b)，其中m和b都是正整数。

顾客的身份公开信息是(c, n)，其中

c=g b(mod p)；n=g m(mod p)。

Schnorr支付协议如下。

第一步：顾客出示电子现金。电子现金上有其身份公开信息(c, n)。

第二步：商家随机地选择一个正整数x，发送给顾客。（询问）

第三步：顾客用自己的身份秘密信息(m, b)，计算：y=mx+b(mod p-1)。顾客将y 发送给商家。（回答）

第四步：商家用顾客的身份公开信息(c, n)，验证是否有

g y=n x c(mod p)。

若成立则接受这个电子现金；否则拒绝接受该电子现金。（检验）

Schnorr电子现金支付协议怎样保证防止重复花费？

一次使用该电子现金不会暴露顾客的身份秘密信息(m, b)。

商家知道了顾客的身份公开信息(c, n)，又通过询问值x得到了顾客的回答值y。商家还知道x与y的关系为：y=mx+b(mod p-1)。但是商家计算出(m, b)的途径只能有两条：

第一条途径是通过方程组{c=g b(mod p)，n=g m(mod p)}计算(m, b)，该计算问题是离散对数问题。

第二条途径是通过方程y=mx+b(mod p-1)来计算(m, b)。该方程无法唯一地解出(m, b)。

两次使用该电子现金将暴露顾客的身份秘密信息(m, b)。

第一次使用该电子现金，询问值/回答值为(x,y)。

第二次使用该电子现金，询问值/回答值为(u,v)。

于是商家获得了两个方程：

y=mx+b(mod p-1)；v=mu+b(mod p-1)。

这是一个“二元一次方程组”，解出的值为：

m=(v-y)(u-x)-1(mod p-1)；b=v-mu(mod p-1)。

一旦发现重复使用的电子现金，就能够追踪重复使用者的身份。未重复使用的电子现金，使用者的身份不会暴露。

（三十一）写出互联网(Internet)的5种基本服务。

电子邮件,信息浏览,文件传输,远程登录,电子公告牌.

（三十二） IPsec属于（网络层）层。 IPsec的2个协议是（认证报头协议AH）和（封装安全负载协议ESP）。 IPsec的2个数据库是（安全策略数据库SPD）和（安全关联数据库SAD）。

（三十三）邮件文本经过加密或签名，变成了非文本课文。在解决这个问题时，S/MIME采用什么方法？

S/MIME处理非文本课文时,采用MIME增加非文本的对象到邮件主体中去,按照S/MIME,发送者将普通的MIME格式的消息封装成为S/MIME安全对象,并将其按照普通消息的发送方式发送出去,接收者把S/MIME安全对象解封装为普通的MIME格式消息.

PGP采用什么方法？

PGP利用电子邮件兼容性服务将被加密或被签名的邮件每三个字节为一组,扩充为四个字节,扩充后的每个字节都是一个ASCII字符.这种转换称为基数64变换,为消息扩展了33%.

（三十四）消息认证码与对称密码的区别，与杂凑函数的区别。

消息认证码不同于对称加密函数,对称加密函数的逆函数就是解密函数,而消息认证码函数是不存在逆函数的,这就是说,消息认证码函数具有单向性,只能"加密",不能"解密".即使知道密钥Z,也只能由消息M的值计算消息认证码C的值,而不能由C的值计算M的值.

消息认证码不同于杂凑函数,杂凑函数没有密钥的作用,因而是完全公开的,而消息认证码有密钥Z的参与.比没有密钥的杂凑函数具有更强的安全性,使敌方更难篡改和伪造.在相同的安全性要求下,消息认证码更容易设计.但是消息认证码需要收发双方协调一次密钥

（三十五） SET协议的双重签名的功能。

使得消费者的支付信息和消费者的订单信息被分别阅读。这就是说，商家看不到消费者的支付信息，只能阅读消费者的订单信息；而金融机构看不到消费者的交易内容，只能阅读支付和帐户信息。

（三十六） SET协议的双重签名的具体步骤。

（1）设消费者的订单信息为M1，消费者的支付信息为M2。

（2）消费者使用杂凑函数，将M1变换为订单信息摘要h1，将M2变换为支付信息摘要h2。

（3）消费者将消息摘要 (h1, h2)联立，并用自己的私钥对(h1, h2)进行“解密”变为S。S就是双重签名。

（4）消费者将订单信息M1，支付信息摘要h2，双重签名S，联立为(M1,h2,S)。消费者使用商家的公钥，对(M1,h2,S) 加密，变为密文C1。

（5）消费者将支付信息M2，订单信息摘要h1，双重签名S，联立为(M2,h1,S)。消费者使用金融机构的公钥，对(M2,h1,S)加密，变为密文C2。

（6）(C1,C2)就是被双重签名的消息。消费者将 (C1,C2)发送给商家。

（7）商家收到(C1,C2)后：

（7.1）商家用自己的私钥对C1解密，恢复订单信息、支付信息摘要、双重签名(M1,h2,S)。

（7.2）商家用消费者的公钥对S“加密”，并检验：①加密值的第一部分是否等于M1的杂凑值，②加密值的第二部分是否等于h2。若是则签名消息有效。

（7.3）商家将C2发送给金融机构。

（8）金融机构收到C2后：

（8.1）金融机构用自己的私钥对C2解密，恢复支付信息、订单信息摘要、双重签名(M2,h1,S)。

（8.2）金融机构用消费者的的公钥对S“加密”，并检验：①加密值的第一部分是否等于M2的杂凑值，②加密值的第二部分是否等于h1。若是则签名消息有效。（9）商家获得了与支付信息M2有关的以下信息：C2和h2。但商家无法由C2恢复M

。商家也无法由h2恢复M2。

2

（10）金融机构获得了与订单信息M1有关的以下信息：h1。但金融机构无法由

h

恢复M1。

1

P使用一种证明方法,使V相信他知道该秘密,而又能保证不泄露该秘密.

(完整版)北邮版《现代密码学》习题答案.doc

《现代密码学习题》答案 第一章 1、1949 年，（ A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理 论基础，从此密码学成了一门科学。 A、Shannon B 、Diffie C、Hellman D 、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成，而其安全性是由（ D）决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要 的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（ B ）。 A 无条件安全 B计算安全 C可证明安全 D实际安全 4、根据密码分析者所掌握的分析资料的不通，密码分析一般可分为 4 类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（ D ）。 A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击 5、1976 年，和在密码学的新方向一文中提出了公开密钥密码的思想， 从而开创了现代密码学的新领域。 6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通

信理论和公钥密码思想。 7、密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 对9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为 称和非对称。 10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。 第二章 1、字母频率分析法对（ B ）算法最有效。 A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码 2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。 A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码 3、重合指数法对（ C）算法的破解最有效。 A 置换密码 B单表代换密码C多表代换密码 D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是 （C ）。

现代密码学期终考试试卷和答案

一．选择题 1、关于密码学的讨论中，下列（D ）观点是不正确的。 A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 合技术 B、密码学的两大分支是密码编码学和密码分析学 C、密码并不是提供安全的单一的手段，而是一组技术 D、密码学中存在一次一密的密码体制，它是绝对安全的 2、在以下古典密码体制中，属于置换密码的是（B）。 A、移位密码 B、倒序密码 C、仿射密码 D、PlayFair密码 3、一个完整的密码体制，不包括以下（?C?? ）要素。 A、明文空间 B、密文空间 C、数字签名 D、密钥空间 4、关于DES算法，除了（C ）以外，下列描述DES算法子密钥产生过程是正确的。 A、首先将DES 算法所接受的输入密钥K（64 位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥） B、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次 循环左移的输入 C、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循 环左移的输入 D、然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki 5、2000年10月2日，NIST正式宣布将（B ）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。 A、MARS B、Rijndael C、Twofish D、Bluefish *6、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 A、模幂运算问题 B、大整数因子分解问题 C、离散对数问题 D、椭圆曲线离散对数问题 7、密码学中的杂凑函数（Hash函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（C ）是带密钥的杂凑函数。 A、MD4 B、SHA-1

密码学作业参考答案

第1章绪论 1．1为什么会有信息安全问题的出现？ 答题要点： （1）网络自身的安全缺陷。主要指协议不安全和业务不安全。协议不安全的主要原因 一是 Internet 从建立开始就缺乏安全的总体构想和设计；二是协议本身可能会泄漏口令等。业务不安全的主要表现为业务内部可能隐藏着一些错误的信息；有些业务本，难以区分出错原因；有些业务设置复杂，一般非专业人士很难完善地设置。 （2）网络的开放性。网络协议是公开的协议，连接基于彼此的信任，远程访问等，使 得各种攻击无需到现场就能成功。 （3）人的因素，包括人的无意失误、黑客攻击、管理不善等。 1．2简述密码学与信息安全的关系。 答题要点： 密码技术是实现网络信息安全的核心技术，是保护数据最重要的工具之一。 密码学尽管在网络信息安全中具有举足轻重的作用，但密码学绝不是确保网络信息安全的唯一工具，它也不能解决所有的安全问题。 1．3简述密码学发展的三个阶段及其主要特点。 答题要点：密码学的发展大致经历了三个阶段： （1）古代加密方法（手工阶段）。特点：基于手工的方式实现，通常原理简单，变化量小，时效性较差等。 （2）古典密码（机械阶段）。特点：加密方法一般是文字置换，使用手工或机械变换的 方式实现。它比古代加密方法更复杂，但其变化量仍然比较小。转轮机的出现是这一阶段的重要标志，利用机械转轮可以开发出极其复杂的加密系统，缺点是密码周期有限、制造费用高等。 （3）近代密码（计算机阶段）。特点：这一阶段密码技术开始形成一门科学，利用电子 计算机可以设计出更为复杂的密码系统，密码理论蓬勃发展，出现了以 DES 为代表的对称 密码体制和 RSA 为代表的非对称密码体制，制定了许多通用的加密标准，促进和加快了密 码技术的发展。 1．4近代密码学的标志是什么？ 答：1949 年 Claude Shannon 发表论文 The communication theory of secrecy systems，1976 年 W.Diffie 和 M.Hellman 发表论文 New directions in cryptography，以及美国数据加密标准 DES 的实施，标志着近代密码学的开始。 1．5安全机制是什么？主要的安全机制有哪些？ 答题要点： 安全机制是指用来保护网络信息传输和信息处理安全的机制。 安全机制可分为两类：特定的安全机制和通用的安全机制。 特定的安全机制包含：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。 通用的安全机制包含：可信功能、安全标签、事件检测、安全审计跟踪和安全恢复。1．6什么是安全服务？主要的安全服务有哪些？ 答题要点： 安全服务就是指在信息传输和处理过程中为保证信息安全的一类服务。 主要的安全服务包括：机密性、完整性、鉴别、非否认性、访问控制、可用性。 1．7简述安全性攻击的主要形式及其含义。 答题要点：

密码学级考卷A卷 答案

试题 2015 年~ 2016 年第1 学期 课程名称：密码学专业年级： 2013级信息安全 考生学号：考生姓名： 试卷类型： A卷■ B卷□考试方式: 开卷□闭卷■……………………………………………………………………………………………………… 一. 选择题（每题2分，共20分） 1.凯撒密码是有记录以来最为古老的一种对称加密体制，其加密算法的定义为， 任意，，那么使用凯撒密码加密SECRET的结果是什么（）。 A. UGETGV B. WIGVIX C. VHFUHW D. XIVGIW 2.在一下密码系统的攻击方法中，哪一种方法的实施难度最高的（）。 A. 唯密文攻击 B. 已知明文攻击 C. 选择明文攻击 D. 选择文本攻击 3.仿射密码顺利进行加解密的关键在于保证仿射函数是一个单射函数，即对于 任意的同余方程有唯一解，那么仿射密码的密钥空间大小是（）。（表示中所有与m互素的数的个数） A. B. C. D. 4.为了保证分组密码算法的安全性，以下哪一点不是对密码算法的安全性要求

（）。 A. 分组长度足够长 B. 由密钥确定置换的算法要足够复杂 C. 差错传播尽可能地小 D. 密钥量足够大 5.以下哪一种分组密码工作模式等价于同步序列密码（）。 A. 电码本模式（ECB模式） B. 密码分组链接模式（CBC模式） C. 输出反馈模式（OFB模式） D. 密码反馈模式（CFB模式） 6.以下对自同步序列密码特性的描述，哪一点不正确（）。 A．自同步性 B．无错误传播性 C．抗主动攻击性 D．明文统计扩散性 7.如下图所示的线性移位寄存器，初始值为，请问以下哪 一个选项是正确的输出序列（）。 A． B． C． D． 8.以下关于消息认证码的描述，哪一点不正确（）。 A．在不知道密钥的情况下，难以找到两个不同的消息具有相同的输出 B．消息认证码可以用于验证消息的发送者的身份 C．消息认证码可以用于验证信息的完整性 D．消息认证码可以用于加密消息 9.以下哪些攻击行为不属于主动攻击（）。 A．偷听信道上传输的消息

06计算机密码学试卷A

计算机密码学试卷A 学号：姓名：成绩： 班级：计算机科学与技术（信息安全）031预科、031、032班 一、选择与填空：（24分，每题2分） 1、5 mod 13的乘法逆元是：，负元是：。 2、从信息论的角度看，要提高密码的保密性，应该通过两个途径，一是通过：，二是。 3、DES密码有次迭代，它的加/解密算法仅不同。 4、有限状态自动机在流密码中的作用是：。 5、两密钥三DES加密算法中的加密可以表示为：。 6、强单向杂凑函数是指：。 7、在密钥的生成、分配、管理中KDC叫，它的作用是： 。 8、设已知乘数密码明文字母 J(9)对应于密文字母 P(15)，即 9k mod 26 = 15, 密钥 k是：。 9、AES算法如果密钥为192位，则种子密钥阵列为：字节的阵列。 10、对一个分组，SHA要经过轮，步运算。 11、选择明文攻击的前提是：。 12、在认证协议中，时间戳的作用是为了防止攻击。 二、简答：（20分，每题5分） 1、简述CA机构为客户颁发公钥证书的过程，X.509公钥证书中主要包含了哪些项目。

2、简述DSS数字签名标准。 3、简述分组密码的密码反馈模式的工作原理，如果按照16bit反馈，使用DES工作 于密码反馈模式，这时如果某分组的密文中出现了1bit的错误，则此错误在怎样的情况下会影响以后分组的正确性？最多会影响几个分组？ 4、怎么样去找一个大素数？素性检测的原理和作用是什么？ 三、计算与证明：（56分） 1、用RSA加密：p=7,q=17,e=13,M=10。（4分）

2、求： 11的所有本原根（6分）。 3、用费尔玛和欧拉定理求：6208 mod 11 （4分） (1,3)表示y≡x3+x+3 mod 11 求： 4、椭圆曲线E 11 =3，计算其公钥。(4分) ①曲线上所有的点。（5分）②生成元G(1,4)，私钥n A ③若明文为Pm = (4,7)，k取2，计算密文Cm。（4分） ｘ≡ 2 mod 3 4、求同余方程组：ｘ≡ 4 mod 5 （5分） ｘ≡ 6 mod 7

密码学试题

密码学试题 选择题 1、如果发送方用私钥加密消息，则可以实现() A、保密性 B、保密与鉴别 C、保密而非鉴别 D、鉴别 2、在混合加密方式下，真正用来加解密通信过程中所传输数据(明文)的密钥是() A、非对称算法的公钥 B、对称算法的密钥 C、非对称算法的私钥 D、CA中心的公钥 3、以下关于加密说法，不正确的是() A、加密包括对称加密和非对称加密两种 B、信息隐蔽是加密的一种方法 C、如果没有信息加密的密钥，只要知道加密程序的细节就可以对信息进行解密 D、密钥的位数越多，信息的安全性就越高 4、以下关于混合加密方式说法不正确的是:() A、采用公开密钥体制进行通信过程中的加解密处理 B、采用公开密钥体制对对称密钥体制的密钥进行加密后的通信 C、采用对称密钥体制对对称密钥体制的密钥进行加密后的通信 D、采用混合加密方式，利用了对称密钥体制的密钥容易管理和非对称密钥体制的加解密处理速

度快的双重优点 5、两个不同的消息摘要具有相同的值时，称为() A、攻击 B、冲突 C、散列 D、都不是 6、()用于验证消息完整性。 A、消息摘要 B、加密算法 C、数字信封 D、都不是 7、HASH函数可应用于()。 A、数字签名 B、生成程序或文档的“数字指纹” C、安全存储口令 D、数据的抗抵赖性 8、数字证书采用公钥体制，每个用户设定一把公钥，由本人公开，用它进行: A、加密和验证签名 B、解密和签名 C、加密 D、解密 9、数字签名为保证其不可更改性，双方约定使用() A、HASH算法 B、RSA算法 C、CAP算法 D、ACR算法

10、1是网络通信中标志通信各方身份信息的一系列数据，提供一种在Internet上验证身份的 方式 A、数字认证 B、数字证书 C、电子证书 D、电子认证 11、以下关于CA认证中心说法正确的是 A、CA认证是使用对称密钥机制的认证方法 B、CA认证中心只负责签名，不负责证书的产生 C、CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D、CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心 12、关于CA 和数字证书的关系，以下说法不正确的是 A、数字证书是保证双方之间的通讯安全的电子信任关系，他由CA签发 B、数字证书一般依靠CA中心的对称密钥机制来实现 C、在电子交易中，数字证书可以用于表明参与方的身份 D、数字证书能以一种不能被假冒的方式证明证书持有人身份 13、以下关于数字签名说法正确的是 A、数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息 B、数字签名能够解决数据的加密传输，即安全传输问题 C、数字签名一般采用对称加密机制 D、数字签名能够解决篡改、伪造等安全性问题 14、密钥交换问题的最终解决方案是使用 A、身份证

应用密码学习题答案

《应用密码学》习题和思考题答案 第4章 密码学数学引论 4－1 编写一个程序找出100~200间的素数。 略 4－2 计算下列数值：7503mod81、(－7503)mod81、81mod7503、(－81)mod7503。 解：7503mod81＝51 (－7503)mod81＝30 81mod7503＝81 (－81)mod7503＝7422 4－3 证明：（1）[]))(m od (m od )(m od )(m od m b a m m b m a ?=? （2）[][])(m od ))(m od ())(m od (m od )(m m c a m b a m c b a ?+?=+? 证明： （1）设(mod )a a m r =，(mod )b b m r =，则a a r jm =+（j 为某一整数），b b r km =+（k 为某一整数）。于是有： [](mod )(mod )mod ()(mod )a b a m b m m r r m ?= ()()() ()() ()() 2()(mod )mod mod mod a b a b a b a b a b m r jm r km m r r r km r jm kjm m r r m ?=++=+++= 于是有：[]))(m od (m od )(m od )(m od m b a m m b m a ?=? （2）设(mod )a a m r =，(mod )b b m r =，(mod )c c m r =，则a a r jm =+（j 为某一整数），b b r km =+（k 为某一整数），c c r im =+（i 为某一整数）。于是有： []()()()()[]()()22()mod (mod ) (mod ) mod mod a b c a b c a b a a a c b c a b a c a b c m r jm r km r im m r jm r km r im m r r r im r km r r r jm kjm r jm ijm m r r r r m ???+=++++????????=++++??=+++++++=+ []()()()()()[]()(mod )()(mod )(mod ) mod mod mod mod a b a c a b a c a b m a c m m r jm r km m r jm r im m m r r r r m ?+?=+++++????=+ 于是有：[][])(m od ))(m od ())(m od (m od )(m m c a m b a m c b a ?+?=+?

现代密码学教程第2版 习题 非答案

现代密码学教程第二版 谷利泽郑世慧杨义先 欢迎私信指正，共同奉献 1.4习题 1.判断题 （1）现代密码学技术现仅用于实现信息通信保密的功能。（） （2）密码技术是一个古老的技术，所以，密码学发展史早于信息安全发展史。（）（3）密码学是保障信息安全的核心技术，信息安全是密码学研究与发展的目的。（）（4）密码学是对信息安全各方面的研究，能够解决所有信息安全的问题。（） （5）从密码学的发展历史可以看出，整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。（） （6）信息隐藏技术其实也是一种信息保密技术。（） （7）传统密码系统本质上均属于对称密码学范畴。（） （8）早期密码的研究基本上是秘密地进行的，而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。（） （9）1976年后，美国数据加密标准（DES）的公布使密码学的研究公开，从而开创了现代密码学的新纪元，是密码学发展史上的一次质的飞跃。（） （10）密码标准化工作是一项长期的、艰巨的基础性工作，也是衡量国家商用密码发展水平的重要标志。（） 2.选择题 （1）1949年，（）发表题为《保密系统的通信理论》，为密码系统建立了理论基础，从此密码学成了一门科学。 A.Shannon B.Diffie C.Hellman D.Shamir （2）截取的攻击形式是针对信息（）的攻击。 A.机密性 B.完整性 C.认证性 D.不可抵赖性 （3）篡改的攻击形式是针对信息（）的攻击。

A.机密性 B.完整性 C.认证性 D.不可抵赖性 （4）伪造的攻击形式是针对信息（）的攻击。 A.机密性 B.完整性 C.认证性 D.不可抵赖性 （5）在公钥密码思想提出大约一年后的1978年，美国麻省理工学院的Rivest、（）和Adleman提出RSA的公钥密码体制，这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。 A.Shannon B.Diffie C.Hellman D.Shamir 3.填空题 （1）信息安全的主要目标是指、、 和、可用性。 （2）经典的信息安全三要素、、，是信息安全的核心原则。 （3）根据对信息流造成的影响，可以把攻击分为五类：、、、和重放，进一步可概括为两类：和 （4）1949年，香农发表题为，为密码系统建立了理论基础，从此密码学成了一门科学。 （5）密码学的发展大致经历了两个阶段：、 （6）1976年，W.Diffie 和M.Hellman在一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。 （7）密码学的发展过程中，两个质的飞跃分别指和。（8）是社会信息化密码管理的依据。 4.术语解释 （1）机密性 （2）完整性 （3）认证性 （4）不可抵赖性 5.简答题 （1）信息安全中常用的攻击分别指是什么？分别使用什么密码技术能抵御这些攻击。（2）简述密码学和信息安全的关系。

密码学期末考试复习

填空题 1、密码学的主要任务是实现性、鉴别、数据完整性、抗抵赖性。 1、性是一种允许特定用户访问和阅读信息，而非授权用户对信息容不可理解的安全属性。在密码学中，信息的性通过加密技术实现。 2、完整性数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属性。密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。 3、鉴别是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数据源的鉴别。对于一次通信，必须确信通信的对端是预期的实体，这就涉及到身份的鉴别。 4、抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关容的安全特性。密码学通过对称加密或非对称加密，以及数字签名等技术，并借助可信机构或证书机构的辅助来提供这种服务。 5、密码编码学的主要任务是寻求有效密码算法和协议，以保证信息的性或认证性的方法。它主要研究密码算法的构造与设计，也就是密码体制的构造。它是密码理论的基础，也是系统设计的基础。 6、密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息的解析方法进行研究。 7、明文（Plaintext）是待伪装或加密的消息（Message）。在通信系统中它可能是比特流，如文本、位图、数字化的语音流或数字化的视频图像等。 8、密文(Ciphertext)是对明文施加某种伪装或变换后的输出，也可认为是不可直接理的字符或比特集，密文常用c表示。 9、加密（Encrypt ）是把原始的信息（明文）转换为密文的信息变换过程。 10、解密（Decrypt）是把己加密的信息（密文）恢复成原始信息明文的过程。 11、密码算法(Cryptography Algorithm)也简称密码（Cipher），通常是指加、解密过程所使用的信息变换规则，是用于信息加密和解密的数学函数。对明文进行加密时所采用的规则称作加密算法，而对密文进行解密时所采用的规则称作解密算法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 11、密钥（Secret Key ）密码算法中的一个可变参数，通常是一组满足一定条件的随机序列 12、替代密码是指先建立一个替换表，加密时将需要加密的明文依次通过查表，替换为相应的字符，明文字符被逐个替换后，生成无任何意义的字符串，即密文，替代密码的密钥就是其替换表。

密码学试卷3

《密码学》课程试卷3 一、单项选择题（本题满分10分，共含5道小题，每小题2分） 1、古典密码算法中体现的思想_______和_______虽然很简单，但是反映了密码设计和破译的 思想，是学习密码学的基本入口。( ) A.代换 扩散 B.置换 扩散 C.替代 置换 D.扩散 混淆 2、“decrypt ”这个单词，经过位置置换σ??? ? ? ?=17364527654321变换，得到的对应密文为_______。 A.tperycd B.tdycerp C.tdyecpr D.tpdyecr 3、仿射密码是指在n 个字符表中，使得映射j i x x f =)(，j=1k i +0k mod n ，10-≤≤n i ， 若字符表字符个数为29，有效加密密钥K=(1k ,0k )共_______个。 A. 783 B. 784 C. 785 D. 786 4、在公钥体制中，每一用户U 都有自己的公开钥U PK 和秘密钥U SK 。 如果任意两个用 户A 、B 按以下方式通信，A 发给B 消息(B PK E (m), A) ，B 收到后，自动向A 返回消 息(A PK E (m), B) 以通知A ，B 确实收到报文m ，用户C 通过修改A 发给B 消息为______ 就可以获取报文m 。 A. (A PK E (m), A) B. (B PK E (m), C) C. (B PK E (m), B) D. (A PK E (m), B) 5、 IDEA 密码算法中的MA 结构如下图所示，其中M 是指16位二进制向量模_______乘 法，A 是指16位二进制向量模________加法。

密码学复习题

一、选择 1.若一个单向函数存在一个附加信息，当不知道该附加信息时从函数值求原像是困难的，但是知道 该附加信息时从函数求原像是容易的，则该单向函数是 A.陷门单向函数 B.门陷单向函数 C.完全单向函数D容量单向函数 2.标志着公钥密码学诞生的事件是 A. C.Shannon发表的保密系统的通信理论 B.W.Diffle和M.Hellman发表“密码学的新方向”一文 C. C.RSA加密公钥的提出 D.维吉利亚密码体制的提出。 3.下列密码体制中，被认为无条件安全的是 A.一次一密乱码本(one-time pad) B.ElGamal C.RSA D.Cramer-Shop 4.下列密码体制中，不属该分组密码的是 A.IDEA B.AES C.ElGamal D.DES 5.目前通称的AES算法指的是 A.Terpent算法 B.RCG算法 C.Rijndael算法 D.Tuofish算法 二、填空 1.按照一个明文字母是否总是被一个固定的字母代换进行划分，代换密码可分为单表代换密码和 多表代换密码。 2.经典密码学的2个分支：密码编码学和密码分析学。 3.根据攻击者所拥有的信息不同，对数字签名方案的攻击主要有惟密钥攻击，已知消息攻击，选 择消息攻击，适应性选择消息攻击四种常见的类型。 4.分组密码主要有电子密码本模式(ECB) ，密码分组链接模式(CBC) ，密码反馈模式(CFB) ， 输出反馈模式(OFB) 。 5.根据密码分析者破译时已具备的条件，把对密码系统的常见攻击分为惟密文攻击，已知明文攻 击，选择明文攻击，选择密文攻击。 三、问答 1.Feistel 密码结构主要部件是哪些？它在迭代运算中起到什么作用？ ANS：Feistel密码是通过代替和置换(S-P网络)交替的方式来构造分组密码，其实就是基于混乱和扩散原理实现加解密运算。 S盒变换：它把输入的一个n长的比特串转化为另一个m长的比特串输出。 P盒变换：通过把一个比特串中各比特的位置次序重新排列而得到新的比特串的变换。 2.数字签名的四个特征？ ANS：数字签名具有以下特征： (1) 收方能够确认或证实发方的签名，但不能伪造。 (2) 发方发出签名的消息给收方后，就不能再否认他所签发的消息。 (3) 收方对已收到的签名消息不能否认。 (4) 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。 3.分组密码主要优点是什么？其设计原则应考虑哪些问题？ ANS：分组密码的优点是：明文信息良好的扩展性，对插入的敏感性，不需要密钥同步，较强的适用性，适合作为加密标准。在分组密码具体设计中，还需重点考虑的有：S盒的设计、P盒的设计、轮函数F的设计、迭代轮数以及密钥扩展算法等。

现代密码学试卷(含答案)

武汉大学计算机学院 信息安全专业2004级“密码学”课程考试题 （卷面八题，共100分，在总成绩中占70分） 参考答案 （卷面八题，共100分，在总成绩中占70分） 一、单表代替密码（10分） ①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文 M＝WEWILLMEETATMORNING 为例进行加解密，说明其对合性。 ②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。 解答： 1.加法密码的明密文字母表的映射公式： A为明文字母表,即英文字母表，B为密文字母表，其映射关系为： j=i＋k mod 26 显然当k=13时，j=i＋13 mod 26，于是有i = j＋13 mod 26。此时加法密码是对合的。称此密钥k=13为对合密钥。举例：因为k=13，所以明文字母表A和密文字母表B为 a b c d e f g h i j k l m n o p q r s t u v w x y z n o p q r s t u v w x y z a b c d e f g h i j k l m 第一次加密：M＝W E W I L L M E E T A T M O R N I N G C＝J R J V Y Y Z R R G O G Z B E A V A T

第二次加密：C＝W E W I L L M E E T A T M O R N I N G?? 还原出明文，这说明当k=13时，加法密码是对合的。 称此密钥为对合密钥。 ②设n为模，若n为偶数，则k=n/2为对合密钥。若n为奇数，n/2不是整数，故不存在对合密钥。 二、回答问题（10分） 1)在公钥密码的密钥管理中，公开的加密钥Ke和保密的解密钥Kd的秘密性、真实性和完整性都需要确保吗？说明为什么？解答： ①公开的加密钥Ke：秘密性不需确保，真实性和完整性都需要确保。因为公钥是公开的，所以不需要保密。 但是如果其被篡改或出现错误，则不能正确进行加密操作。如果其被坏人置换，则基于公钥的各种安全性将受到破坏， 坏人将可冒充别人而获得非法利益。 ②保密的解密钥Kd：秘密性、真实性和完整性都需要确保。因为解密钥是保密的，如果其秘密性不能确保， 则数据的秘密性和真实性将不能确保。如果其真实性和完整性受到破坏，则数据的秘密性和真实性将不能确保。 ③举例 （A）攻击者C用自己的公钥置换PKDB中A的公钥： （B）设B要向A发送保密数据，则要用A的公钥加密，但此时已被换为C的公钥，因此实际上是用C的公钥加密。 （C）C截获密文，用自己的解密钥解密获得数据。 2)简述公钥证书的作用？ 公钥证书是一种包含持证主体标识，持证主体公钥等信息，并由可信任的签证机构（CA）签名的信息集合。 公钥证书主要用于确保公钥及其与用户绑定关系的安全。公钥证书的持证主体可以是人、设备、组织机构或其它主体。

《密码学》期末考试试卷

新乡学院 2013-2014 学年度第一学期 《密码学》期末考试试卷 2010级信息与计算科学专业，考试时间：100分钟，考试方式：随堂考，满分100分 一、判断题（每小题2分，正确的在后面的括号内打“√”，错误的在后面的括号内打“×”） 1. 1976年，美国数据加密标准（DES）的公布使密码学的研究公开，从而开创了现在密码 学的新纪元，失眠墓穴发展史上的一次质的飞跃。（） 2. 密码学的发展大致经历了两个阶段：传统密码学和现在密码学。（） 3. 现在密码体质的安全性不应取决于不易改变的算法，而应取决于可是随时改变的密钥。 （） 4. Hash函数也称为散列函数、哈希函数、杂凑函数等，是一个从消息空间到像空间的可逆 映射。（） 5. 成熟的公钥密码算法出现以后，对称密码算法在实际中已无太大利用价值了。（） 二、选择题（每小题2分，将正确答案的标号写在后面的括号内） 1. 若Alice要向Bob分发一个会话密钥，采用ElGamal公钥加密算法，那么Alice对该回 话密钥进行加密应该选用的是（）（A）Alice的公钥（B）Alice的私钥（C）Bob的公钥（D）Bob的私钥 2. 下列算法中，不具有雪崩效应的是（） （A）DES加密算法（B）序列密码的生成算法（C）哈希函数（D）RSA加密算法 3. 下列选项中，不是Hash函数的主要应用的是（） （A）数据加密（B）数字签名（C）文件校验（D）认证协议 4. 对于二元域上的n元布尔函数，其总个数为（）（A）n2（B）n22（C）n2（D）以上答案都不对 5. 下列密码算法中，不属于序列密码范畴的是（） （A）RC4算法（B）A5算法（C）DES算法（D）WAKE算法 三、填空题（每小题1分，共20分） 1. 序列密码通常可以分为____序列密码和____序列密码。 2. 布尔函数是对称密码中策重要组件，其表示方法主要有____表示、____表示、____表示、 ____表示、____表示、____表示等。 3. 为了抗击各种已有的攻击方法，密码体制中的布尔函数的设计需要满足各种相应的设计 准则，这些设计准则主要有：________、________、________、________、________。 4. Hash函数就是把任意的长度的输入，通过散列函数，变换成固定长度的输出，该输出称 为____，Hash函数的单向性是指：____________________，Hash函数的抗碰撞性是指：________________。 5. 常用的公钥密码算法有：________、________、________、________。 四、简答题（每小题10分，共30分） 1. 简述RSA公钥密码体制中的密钥对的生成步骤、主要攻击方法以及防范措施。 2. 简述ElGamal公钥密码体制中的加密和解密过程。

密码学复习试题

一填空题 1.密码学发展的四个阶段：、、 、。 2.DES的分组长度是比特，密钥长度是比特，密文长度是64比特。 3.数字签名方案是指由、、 、、组成的五元组。 4.信息安全的核心是；密码学研究的主要问题是 5.加密算法模式有四种，分别是：，， 5.DES的分组长度是比特，密钥长度是比特，密文长度是比特。 6.AES的密钥长度可以是、、；AES圈变换的由四 个不同的变换组成，它们分别是、、 、。 7.柯可霍夫原则指出密码系统的安全性不能取决于，而应取决于。 8.柯可霍夫原则指出密码系统的安全性不能取决于，而应取决 于。 9.根据加密内容的不同，密钥可以分 为、、 10.对称密码体制可以分为和两类。 11.哈希函数MD5和SHA-1的输出长度分别是和比特。 12.密码学由和组成。 13.分组密码的加解密算法中最关键部分是非线性运算部分，那么，DES加密算法的非 线性预算部分是指非线性代换，AES加密算法的非线性运算部分是指。 14. DES与AES有许多相同之处，也有一些不同之处，请指出两处不同： AES密钥长 度可变DES不可变， DES面向比特运算AES面向字节运算。 15. MD5的主循环有（4 ）轮。 16. SHA1接收任何长度的输入消息，并产生长度为（160）bit的Hash值。 17.分组加密算法（如AES）与散列函数算法（如SHA）的实现过称最大不同是（可逆）。 18.Hash函数就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输 出称为。 19.Hash函数的单向性是指对任意给它的散列值h找到满足H（x)＝h的x 在计算上 是不可行的。 20.公钥密码体制的思想是基于陷门单向函数，公钥用于该函数的正向（加密）计 算，私钥用于该函数的反向（解密）计算。 21.1976 年，W.Diffie和M.Hellman在密码学新方向一文中提出了公钥密码的思 想，从而开创了线代密码学的新领域。

JNU2012密码学期末真题考题

密码学作业 作业要求 1按下面各题要求回答问题； 2上机进行实验 3索引二篇公开发表有关计算机密码学的文章。时间发表在2009年以后 4考试当日，答题前交到监考老师处（二篇文章，本作业） 二.密码体制分类 密码体制从原理上可分为两大类，即单钥体制和双钥体制。 单钥体制的加密密钥和解密密钥相同。采用单钥体制的系统的保密性主要取决于密钥的保密性，与算法的保密性无关，即由密文和加解密算法不可能得到明文。换句话说，算法无需保密，需保密的仅是密钥。 换句话说，算法无需保密，需保密的仅是密钥。根据单钥密码体制的这种特性，单钥加解密算法可通过低费用的芯片来实现。密钥可由发送方产生然后再经一个安全可靠的途径（如信使递送）送至接收方，或由第三方产生后安全可靠地分配给通信双方。如何产生满足保密要求的密钥以及如何将密钥安全可靠地分配给通信双方是这类体制设计和实现的主要课题。密钥产生、分配、存储、销毁等问题，统称为密钥管理。这是影响系统安全的关键因素，即使密码算法再好，若密钥管理问题处理不好，就很难保证系统的安全保密。单钥体制对明文消息的加密有两种方式：一是明文消息按字符（如二元数字）逐位地加密，称之为流密码；另一种是将明文消息分组（含有多个字符），逐组地进行加密，称之为分组密码。单钥体制不仅可用于数据加密，也可用于消息的认证。 双钥体制是由Diffie和Hellman于1976年首先引入的。采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公布；另一个则是秘密的。因此双钥体制又称为公钥体制。 双钥密码体制的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的消息只能由一个用户解读，或由一个用户加密的消息而使多个用户可以解读。前者可用于公共网络中实现保密通信，而后者可用于实现对用户的认证。 三.扩散和混淆 扩散和混淆是由Shannon提出的设计密码系统的两个基本方法，目的是抗击敌手对密码系统的统计分析。 所谓扩散，就是将明文的统计特性散布到密文中去，实现方式是使得明文的每一位影响密文中多位的值，等价于说密文中每一位均受明文中多位影响。 混淆是使密文和密钥之间的统计关系变得尽可能复杂，以使敌手无法得到密钥。因此即使敌手能得到密文的一些统计关系，由于密钥和密文之间的统计关系复杂化，敌手也无法得到密钥。 七.什么是零知识证明?下图表示一个简单的迷宫，C与D之间有一道门，需要知道秘密口令才能将其打开。P向V证明自己能打开这道门，但又不愿向V泄露秘密口令。可采用什么协议?

西工大密码学复习题

复 习 题 11.. 传传统统密密码码 [1] 若加法密码中密钥K ＝7，试求明文good night 的密文。 [2] 若乘法密码中密钥K ＝5，试对明文network 的加密。 [3] 已知仿射变换为c ＝5m +7(mod26)，试对明文help me 加密。 [4] 已知仿射变换为c ＝5m +7(mod26)，试对密文VMWZ 解密。 [5] 已知下列密文是通过单表代替密码加密的结果，试求其明文。 YIF QFMZRW QFYV ECFMD ZPCVMRZW NMD ZVEJB TXCDD UMJN DIFEFMDZ CD MQ ZKCEYFCJMYR NCW JCSZR EXCHZ UNMXZ NZ UCDRJ XYYSMRT M EYIFZW DYVZ VYFZ UMRZ CRW NZ DZJJXZW GCHS MR NMD HNCMF QCHZ JMXJZW IE JYUCFWD JNZ DIR. [6] 设已知Vigenere 密码的密钥为matrix ，试对明文some simple cryptosystem 加密。 [7] 若代数密码中密钥为best ，试对明文good 加密。 [8] 假设Hill 密码加密使用密钥?? ????=7394K ，试对明文best 加密。 [9] 假设Hill 密码加密使用密钥?? ????=7394K ，试对密文UMFL 解密。 [10] 假设明文friday 利用2l =的Hill 密码加密，得到密文PQCFKU ，试求密钥K 。

22.. 分分组组密密码码 [1] 设DES 数据加密标准中： 明文m = 0011 1000 1101 0101 1011 1000 0100 0010 1101 0101 0011 1001 1001 0101 1110 0111 密钥K = 1010 1011 0011 0100 1000 0110 1001 0100 1101 1001 0111 0011 1010 0010 1101 0011 试求L 1与R 1。 [2] 已知IDEA 密码算中: 明文m = 01011100 10001101 10101001 11011110 10101101 00110101 00010011 10010011 密钥K = 00101001 10101100 11011000 11100111 10100101 01010011 10100010 01011001 00101000 01011001 11001010 11100111 10100010 00101010 11010101 00110101 求第一轮的输出与第二轮的输入。 [3] 已知IDEA 密码算中: )1(1Z = 1000010010011101 求[]1)1(1-Z 与)1(1Z -。 [4] 已知FEAL 密码中 明文m = 0011 1010 1101 0111 0010 1010 1100 0010 1101 0111 1011 1000 0101 1101 0100 1000 密钥K = 1001 0010 1001 0010 1111 1000 0110 0001 1101 0101 0011 1000 0100 1000 1101 1110 求L 0与R 0。

密码学习题集参考答案

1、请分别举例说明什么就是保密性原则？完整性原则？认证原则？不可 抵赖原则？访问控制原则？可用性原则？为了实现这六个安全原则,主要采用哪些密码技术？ 答: （1）保密性原则就是指不经过授权,不能访问或利用信息,只有发送者与接受者能访问信息内容,信息不能被截获; （2）完整性原则就是指信息不经过授权,不能被修改得特性,即信息在传输得过程中不能被偶然或蓄意得修改、删除或者插入,即不 能被篡改; （3）认证原则就是指信息需要明确得身份证明,通过认证过程保证正确得消息来源,与信息接收方建立信任关系,缺乏认证机制可 能会导致伪造; （4）不可抵赖原则就是指信息得发送者不可否认已发出得信息, （5）访问控制原则就是指定与控制用户能够访问哪些信息,能够有什么样得操作,通常包括角色管理与规则管理; （6）可用性原则就是指就是信息可被授权实体访问并按需求使用得特性,不因中断等攻击停止服务或降低服务标准。 可以通过信息加密、信息隐形、夹带信息等方式来实现信息得保密性,可以通过特定得安全协议、信息摘要、密码校验与等方法实现信息得完整性,通过口令认证、认证令牌、数字证书、消息认证码、公钥算法等方式实现信息得认证,通过数字签名得方法实现信息得完整性与不可抵赖性,通过用户角色认证、防火墙与IDS等方式实现访问控制与可用性原

则。 2、一般病毒、蠕虫、特洛伊木马三者之间最主要得差别就是什么？ 答: 病毒可以将自己得代码嵌入到其她合法得程序中,导致计算机系统或网络得破坏; 蠕虫一般不篡改程序,只就是不断得复制自己,最终导致计算机资源或网络大量得消耗从而无法使用,蠕虫不进行任何得破坏性操作,只就是耗尽系统,使其停滞; 特洛伊木马也像病毒一样具有隐蔽性,但一般不像病毒与蠕虫那样不断复制自己,其主要得目得就是为入侵者获得某些用户得保密信息。 简单得说,病毒破坏您得信息,木马窃取您得信息,而蠕虫则攻击系统与网络服务能力。 3、什么就是密码技术？替换加密法与置换加密法有什么区别？请分别 举例说明替换加密法与置换加密法。 答: 密码技术就是加密与解密技术得组合,加密就是通过把信息编码使其从可读得明文转换成不可读得密文得过程,从而获得信息得安全性,而解密则就是通过信息解码把信息从不可读得密文转变为可读明文

《现代密码学》期终考试试卷和答案

? ? 一．选择题 ? ? 1、关于密码学的讨论中，下列（D ）观点是不正确的。 ? ? A 、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 ? ?合技术 号 ? 学 ? ? B 、密码学的两大分支是密码编码学和密码分析学 ? ? C 、密码并不是提供安全的单一的手段，而是一组技术 ? ? D 、密码学中存在一次一密的密码体制，它是绝对安全的 ? 线 2、在以下古典密码体制中，属于置换密码的是（B ）。 名 ? 姓 ? A 、移位密码 B 、倒序密码 ? ? ? C 、仿射密码 D 、PlayFair 密码 ? ? 3、一个完整的密码体制，不包括以下（C ）要素。 ? ? A 、明文空间 B 、密文空间 ? 级 ? C 、数字签名 D 、密钥空间 班 ?? 4、关于 DES 算法，除了（ C ）以外，下列描 述 DES 算法子密钥产生过程是正确的。 ? 封 ? A 、首先将 DES 算法所接受的输入密钥 K （ 64 位），去除奇偶校验位，得到 56 位密钥（即经过 PC-1 置换，得到 56 位 密钥） ? ? B 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于 i 的值，这些经过循环移位的值作为 下一次 ? ? 循环左移的输入 ? 业 ? ? C 、在计算第 i 轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的 值作为下一次 专 ? 循环左移的输入 ? ? ? D 、然后将每轮循环移位后的值经 PC-2 置换，所得到的置换结果即为第 i 轮所需的子密钥 Ki ? ? 5、2000 年 10 月 2 日， NIST 正式宣布将（ B ）候选算法作为高级数据加密标准，该算法是由两位比利时密 码学者提出的。 ? ? A 、MARS B 、 Rijndael 别 密 系 ? C 、 Twofish D 、Bluefish ? ? ? *6 、根据所依据的数学难题，除了（A ）以外，公钥密码体制可以分为以下几类。 ? ? A 、模幂运算问题 B 、大整数因子分解问题 ? ? C 、离散对数问题 D 、椭圆曲线离散对数问题 ?