收藏
下载资源

现代密码学复习题答案

上传人:飞*** 文档编号:54098121 上传时间:2018-09-07 格式:PDF 页数:20 大小:120.95KB
返回 下载 相关 举报
现代密码学复习题答案_第1页
第1页 / 共20页
现代密码学复习题答案_第2页
第2页 / 共20页
现代密码学复习题答案_第3页
第3页 / 共20页
现代密码学复习题答案_第4页
第4页 / 共20页
现代密码学复习题答案_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《现代密码学复习题答案》由会员分享,可在线阅读,更多相关《现代密码学复习题答案(20页珍藏版)》请在金锄头文库上搜索。

1、(一)信息的载体有 (媒质) 和(信道) 。对信息载体的两种攻击为 (被动攻击)和(主动攻击)。密码学的两个分支是 (密码编码学) 和(密码分析学)。密码体制有(单钥密码体质) 和(双钥密码体质)。现代流密码的设计思想来源于古典密码中的 (维吉尼亚密码)。现代分组密码的设计思想来源于古典密码中的(多字母代换密码)。(二)在信息保密系统中,攻击者Eve所拥有的基本资源有哪些?Eve在不安全的公共信道上截获了密文c。Eve知道加密算法 E和解密算法 D。攻击者 Eve可能拥有的更多资源有哪些?Eve可能知道密文 c 所对应的明文 m 。 (此时所进行的攻击称为已知明文攻击)Eve可能拥有强大的计算

2、能力。Eve可能缴获了一台加密机(也称为加密黑盒子),可以任意地输入明文,输出密文。 (此时所进行的攻击称为选择明文攻击)攻击者 Eve不可能拥有的资源是什么?Eve不知道加密密钥z和解密密钥 k。(事实上,在进行安全性分析时,有时也假设Eve 知道了密钥的一部分,但决不能全部知道)(三)叙述已知明文攻击。设攻击者 Eve截获了密文 c,并且知道了密文c 所对应的明文 m 。 (这种情况是怎样发生的呢?当明文m 是已经过期的消息,可能无法再保密,也可能必须将其公开。因此,这种情况是经常发生的)于是:?在解密方程 m=D(c, k)中,Eve知道 m 和 c,仅仅不知道解密密钥k。?在加密方程

3、c=E (m, z)中,Eve知道 m 和 c,仅仅不知道加密密钥z。?如果 Eve从解密方程 m=D(c, k)中计算出解密密钥k ,则 Eve今后就可以像 Bob一样对任何密文c 进行解密:m =D (c , k)。?如果 Eve从加密方程 c=E(m, z)中计算出加密密钥z , 则 Eve今后就可以像Alice一样对任何明文m 进行加密:c=E(m , z)。?还可以给更加宽松的条件。设攻击者Eve获得了以往废弃的n组明文 /密文对: (m1,c1) , (m2,c2) , , (mn,cn) 。?于是 Eve获得了关于解密密钥k 的方程组:?m1=D(c1, k) ,?m2=D(c2

4、, k) ,? ,?mn=D(cn, k) 。?(n 越大,解密密钥 k 就越容易确定。)(四)叙述无条件安全性。对密码体制的任何攻击,都不优于(对明文)完全盲目的猜测,这样的密码体制就称为无条件安全的(或完善保密的) 。什么样的加解密方式能够实现无条件安全性?一次一密的加密方式容易实现无条件安全性。因为密钥时时更新, 所以以往得到的任何明文 /密文对,对于破译新的密文没有任何帮助,只能做完全盲目的猜测。(五)叙述计算安全性。计算安全是一个模糊的概念。我们可以给出以下三个级别的定义。(1)对密码体制的任何攻击,虽然可能优于完全盲目的猜测,但超出了攻击者的计算能力。这是最高级别的计算安全。(2)

5、对密码体制的任何攻击,虽然可能没有超出攻击者的计算能力,但所付出的代价远远大于破译成功所得到的利益。这是第二级别的计算安全。(3)对密码体制的任何攻击,虽然可能没有超出攻击者的计算能力,但破译成功所需要的时间远远大于明文本身的有效期限。这也是第二级别的计算安全。什么样的加解密方式能够实现计算安全性?(六)设明文 x,密文 y,密钥 z1,密钥 z2,均为 8 比特课文。加密算法为y=(x+z1) “+”z2。其中 +表示逐位 (mod2)加法运算; “+”表示(mod28)加法运算。试用 2 个明文 /密文对解出密钥 z1和 z2各自的最低位,其中明文可以任意选择。你选择什么明文?怎样解出?在

6、解出密钥 z1和 z2各自的最低位以后,试用2 个明文 /密文对解出密钥z1和 z2各自的次最低位,其中明文可以任意选择。你选择什么明文?怎样解出?使用选择明文攻击,多少个经过选择的明文/密文对可以解出密钥z1和 z2?(七)设明文 (x1x2x3x4x5), 密文(y1y2y3y4y5),密钥 A(5 5 阶方阵 ),密钥(b1b2b3b4b5),满足域 GF (2)上的如下加密方程:(y1y2y3y4y5)=(x1x2x3x4x5)A+(b1b2b3b4b5)。取 6 组明文 /密文对:(00000)/(10110),(10000)/(01110),(01000)/(11010),(001

7、00)/(10000),(00010)/(10101),(00001)/(00111)。试解出密钥 A 和密钥 (b1b2b3b4b5)。此加密方程能够唯一解密吗?为什么?(八)叙述 Golomb 随机性假设(三条假设) 。(1)当 n 充分大时,k1k2 k3 kn中 0 和 1 的个数各占约一半。(2)当 n 充分大时,在 k1k2 k3 kn中,长度为 l 的比特串 10 01 (称为 0 游程)的个数约有 n/2l个; 长度为 l 的比特串 01 10 (称为 1 游程) 的个数约有 n/2l个。(3)若 k0,当 n 充分大时,以下的值(称为异相自相关函数值)约为0。nlkkkll

8、n1)1(1(九)回答下列问题:1.一个周期的布尔序列一定是线性反馈移位寄存器序列吗?为什么?定理如果一个比特流是一个周期序列, 则它一定是线性反馈移位寄存器序列。证明设比特流 k 的最小周期是 N。 则lN 后,kl=kl-N。因此比特流 k 为 N 阶线性反馈移位寄存器序列,抽头系数为c1、 c2 、 、cN=0、0 、 0 、1(即极小多项式 f(x)=1+xN) ,初始状态为 k1k2k3 kN。2.n 阶线性反馈移位寄存器序列的最小周期的上确界是什么?(2n-1)最小周期达到该上确界的序列称为什么序列?(n 阶 m 序列)当 n 阶线性反馈移位寄存器序列的最小周期达到该上确界时,对

9、Golomb 随机性假设的符合程度是怎样的?完全满足 GOLOMB随机性假设 . (3.1) k 在自己的一个最小周期内(即连续2n-1 个比特内),0 出现 2n-1-1 次,1出现 2n-1次。(3.2) 取定 j, 3 j n, 观察 k 的连续 2n-1 个长 j 的比特串:klkl+1kl+2 kl+j-1, l=1, 2, , 2n-1。10 01 出现 2n-j次; (长为 j-2 的 0 游程)01 10 出现 2n-j次。 (长为 j-2 的 1 游程)观察 k 的连续 2n-1 个长 n+1的比特串: klkl+n,l=1 2n-1。10 01 出现 1 次。 (长为 n-

10、1 的 0 游程)观察 k 的连续 2n-1 个长 n+2的比特串: klkl+n+1,l=1 2n-1。0110出现 1 次。 (长为 n-1 的 0 游程)(3.3)对任何 1 j2n-2 ,下式接近 0。 (自相关函数)121121) 1( 121njlllnkkn这样的序列为什么不能直接作为密钥流?不能直接作为密钥流的原因为:EVE如果得到任何一段连续2N个比特 ,就获得了一个关于抽头系数的方程组,由于加法和乘法都是在域GF(2) 上进行 (MOD2 运算),容易计算出抽头系数 ,从而被攻破。解法:如果 n 阶线性反馈移位寄存器序列用作密钥流, 攻击者 Eve截获了密文段 c1c2c3

11、 c2n,并知道了对应的明文段m1m2m3 m2n,因此计算出了对应的废弃密钥段k1k2k3 k2n。则 Eve获得了关于抽头系数 c1、 c2 、 、 cn的以下方程组。kl=c1kl-1 + c2kl-2 + + cnkl-n,其中 l=n+1,n+2, ,2n。注意到这是在有限域GF(2)上的线性方程组, 很容易解出抽头系数 c1、 c2 、 、cn。实际上,当 Eve获得了 n 阶线性反馈移位寄存器序列的任何一段的连续2n 个比特 kj+1kj+2kj+3 kj+2n, 他就获得了关于抽头系数 c1、 c2 、 、 cn的以下方程组。kl=c1kl-1 + c2kl-2 + + cnk

12、l-n,其中 l=j+n+1,j+n+2, ,j+2n。以上方程组中的加法和乘法都是在域GF (2)上进行的(即 (mod2)运算) 。以上事实说明,当Eve获得了 n 阶线性反馈移位寄存器序列的任意连续2n 个比特, Eve就获得了整个密钥流。njnjnjnnjnjnjjnjnjjnjnjkkkccckkkkkkkkk2212122122111(3)当一个周期的布尔序列的线性复杂度为n 时,该序列的长度为2n 的串就能完全解出(综合出)该序列。怎样解出?(两种算法)序列的综合的两种最著名的算法是B-M 算法和 Games-Chan算法。(十)当非线性前馈序列用作密钥流时,哪三个部分可能作为通

13、信伙伴的原始密钥?初始状态,极小多项式,非线性布尔函数。(十一)分组密码与流密码相比,有什么优点?(分组密码与流密码相比,优点:加解密算法简洁快速 ,占用的计算资源小 ,易于软件和硬件的实现 ;加解密算法参数固定 ,比流密码容易实现标准化 ;由于明文流被分段加密 ,因此容易实现同步 ,而且传输错误不会向后扩散.)有什么缺点?(不容易使用硬件实现 ,安全性很难被证明 ,至多证明局部安全性 .)分组密码的 5 个设计准则是什么?(安全性 ,简洁性 ,有效性 ,透明性和灵活性 ,加解密的相似性 .)(十二)写出 Feistel网络的算法步骤,并画出图。将明文 m 分为等长的两部分m=(L(0), R

14、(0);使用由密钥 k 控制的高度非线性函数F,(1)计算:(L, R)=(L(0) +F(R(0), k), R(0);(2)计算密文: c=(L(1), R(1)= (R, L)。L (0)R (0)Fk+L (1)R (1)LR(十三)在 DES中,32 比特课文 X扩充变换 E +48比特密钥 k8个 S盒32比特课文 Y是可逆的;这就是说,当密钥k 确定时,不同的 X一定得到不同的 Y。说明这是为什么。这种可逆性设计有什么意义。为了使扩充变换 E8个 S盒(32比特 32比特)整体是一个可逆函数, 必须使得 8 个 S盒总体输出是 8 个 S盒总体输入的第25、 811、 1417、

15、 2023、 2629、3235、3841、4447比特的可逆函数。(回顾扩充变换 E:扩充变换 E的作用是将 32 比特的课文膨胀为 48 比特,且扩充变换后的第1、6、7、12、13、18、19、24、25、30、31、36、37、42、43、48 比特为扩充部分。)(十四)在 DES 、Rijndael、Safer+ 中,不具有加解密相似性的有() 。DES是加解密相似的。RIJNDAEL 不是加解密相似的。SAFER+ 解密算法就是简单地将加密算法的操作逆向进行。(十五) IDEA是加解密相似的。设加密算法的密钥子块的标号顺序为(z11, z12, z13, z14);(z15, z1

16、6);(z21, z22, z23, z24);(z25, z26); ;(z81, z82, z83, z84);(z85, z86);(z91, z92, z93, z94)。现在把解密过程用加密算法来实现,问:第3 轮的 6 个密钥子块依次是什么?((z71-1, -z 73, -z72, z74-1 );(z 65, z66))第 8 轮的 10 个密钥子块依次是什么?( (z21-1, -z 23, -z22, z24-1 );(z 15, z16);(z11-1, -z 12, -z13, z14-1 ) )在 IDEA中, “”表示 (mod216+1)乘法运算。计算 215“”215。 (49153)(十六)写出 Rijndael轮函数(普通轮)的四个不同的计算部件名称。RIJNDAEL 的轮函数由四个不同的计算部件所组成,分别是:字节代替( B

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 其它文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号