1
分组密码(四)
《现代密码学》第四讲
上讲内容回顾
AES算法的整体结构
AES算法的轮函数
AES算法的密钥编排算法 AES的解密变换
本节主要内容
SMS4加/解密算法
SMS4密钥编排算法
分组密码算法的运行模式
4
2006年1月,国家密码管理局公布了无线局域网产品中适用的建议密码算法,其中包括分组密码SMS4.
SMS4密码算法是国内官方公布的一个商用分组密码算法
128比特明文128比特密文
X i+3X i+2X i+1X i X i+3
函数X35X34X33X32
初始化赋值反序变换R
32轮运算
’函数
rk i+3rk i+2rk i+1rk i CK i rk i+4
初始化赋值
32轮运算
6
128比特明文分为4个32比特字(中元素),
分别赋值给四个寄存器A、B,C,D(D为最高). 进行32轮F运算,设每轮输入为寄存器当前状态值和轮密钥为,则轮函数F为:
将寄存器最右边字A的值移出,高三个字顺次右移32位,F函数的输出赋值给最左边的寄存器字D. 32轮的输出进行反序变换R ,
然后输出密文.
Z 32
2()4
32(D,C,B,)2
Z A ∈
32
i 2rk Z ∈
(,,,,)()
i i F D C B A rk A T B C D rk =⊕⊕⊕⊕35343332()X X X X 3534333232333435()()
R X X X X X X X X =
7
轮函数F 以字为单位进行运算,输入寄存器值和轮密钥: 合成置换T
T :是一个可逆变换,由非线性变换τ和
线性变换L 复合而成, 即T(.)=L(τ(.))
4123321(,,,;)()i i i i i i i i i i i F X X X X T rk rk X X X X X +++++++==⊕⊕⊕⊕0,1,...,31i =321(,,,)i i i i X X X X +++i rk 3232
22Z Z →
非线性变换τ由4个并行的S 盒构成,
设输入,输出则 线性变换L
设输入为
输出为,则()432108(,,,)2Y y y y y Z =∈()4
3210
8(,,,)2Z z z z z Z =∈32103210(,,,)()((),(),(),())Y Sbox Sbox Sbox Sbox y y y y z z z z τ∈=322,Z Z ∈322W Z ∈()(2)(10)(18)(24)
W L Y Y Y Y Y Y ==⊕<<<⊕<<<⊕<<<⊕<<<
9
10
本算法的解密变换与加密变换结构相同,不同的仅是轮密钥的使用顺序。
加密时轮密钥的使用顺序为:
解密时轮密钥的使用顺序为:
()
0131,,...,r k rk rk ()
31300,,...,r k rk rk
课堂练习:
证明SMS4的迭代结构是加解密相似的
广义Feistel结构
13
密钥及密钥参量
1)加密密钥长度为128比特, 其中为字;
2)轮密钥表示为,其中为字
3)为系统参数,为固定参数,用于密钥扩展算法,其中均为字.
0123MK=()MK MK MK MK ,,,0131()rk rk rk ,
,......,0123FK=()FK FK FK FK ,,,0131CK=(......)
CK CK CK ,,,i (i=0,......,31)rk i (i=0,1,2,3)MK i (i=0,......,3)FK i (i=0,......,31)C K
14密钥扩展算法
加密密钥,轮密钥为,其生成方法为:
1)系统参数FK 的取值,采用16进制表示为:
2)对i=0,1,2,…,31322,i 0,1,2,3i M K Z ∈=012301230123(,,,)=(,,,)FK FK FK FK K K K K MK MK MK MK ⊕⊕⊕⊕322,0,1,...,31i i rk Z ∈=0123MK=(,,,)MK MK MK MK 0123
(A3B1BAC6),(56AA3350),=(677D9197), (B27022DC) .FK FK FK FK ===
'
41i 23()
i i i i i i rk CK K K T K K K ++++==⊕⊕⊕⊕
15
说明:
T’变换与加密算法轮函数中的T 基本相同,只将其中的线性变换L 修改为:
固定参数CK i 的取值方法为:
设为的第j 字节(i=0,1,…,31
;j =0,1,2,3,即,
则.
()(13)(23)L Y Y Y Y ′=⊕<<<⊕<<<()4
,0,1,2,38(,,,)2i i i i i ck ck ck ck ck Z =∈,(47)(mod 256)i j i j ck =+,i j ck CK i
16
32个固定参数,其16
进制表示为:
CK i
17
分组密码在加密时,明文分组的长度是固定的,而实际应用中待加密消息的数据量是不定的,数据格式多种多样.
1) 为了能在各种应用场合使用DES ,美国在FIPS PUS 74和81中定义了DES 的4种运行模式: ECB, CBC, CFB, OFB
2) FIPS PUB 140-2 推荐了AES 的另外一种运行模式:CTR
18
1 ECB (electronic codebook) 模式
最简单的运行模式,首先将明文分为
64比特(调用
的分组密码算法的分组长度)的明文块,它一次对一个64比特长的明文分组加密,每次的加密密钥都相同.
19
分组密码的运行模式
如果明文长于64比特,首先将其分为长为64比特的分组; 若最后一个分组如果不够64比特,则需要填充;
明文加密过程和解密过程分别调用加密算法和解密算法. 不需要额外的初始向量.
分组密码的运行模式
密文块可以分别独立解密,无顺序要求.
密钥相同时,明文中相同的64比特分组产生相同的64比特密文块;
不存在错误传播,一块密文传送错误只导致对应明文解密错误;
主要用于发送少数量的分组数据.
现代密码学教程第二版 谷利泽郑世慧杨义先 欢迎私信指正,共同奉献 第一章 1.判断题 2.选择题 3.填空题 1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。 2.经典的信息安全三要素--机密性,完整性和可用性,是信息安全的核心原则。 3.根据对信息流造成的影响,可以把攻击分为5类中断、截取、篡改、伪造和重放,进一 步可概括为两类主动攻击和被动攻击。
4.1949年,香农发表《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学 成为了一门学科。 5.密码学的发展大致经历了两个阶段:传统密码学和现代密码学。 6.1976年,W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的 思想,从而开创了现代密码学的新领域。 7.密码学的发展过程中,两个质的飞跃分别指 1949年香农发表的《保密系统的通信理 论》和 1978年,Rivest,Shamir和Adleman提出RSA公钥密码体制。 8.密码法规是社会信息化密码管理的依据。 第二章 1.判断题 答案×√×√√√√××
2.选择题 答案:DCAAC ADA
3.填空题 1.密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分 析学。 2.8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成的。 3.9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和 非对称。 4.10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列 密码。
第三章5.判断 6.选择题
《现代密码学习题》答案 第一章 1、1949 年,( A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理 论基础,从此密码学成了一门科学。 A、Shannon B 、Diffie C、Hellman D 、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成,而其安全性是由( D)决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要 的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是( B )。 A 无条件安全 B计算安全 C可证明安全 D实际安全 4、根据密码分析者所掌握的分析资料的不通,密码分析一般可分为 4 类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是( D )。 A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击 5、1976 年,和在密码学的新方向一文中提出了公开密钥密码的思想, 从而开创了现代密码学的新领域。 6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通
信理论和公钥密码思想。 7、密码学是研究信息寄信息系统安全的科学,密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 对9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为 称和非对称。 10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。 第二章 1、字母频率分析法对( B )算法最有效。 A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码 2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。 A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码 3、重合指数法对( C)算法的破解最有效。 A 置换密码 B单表代换密码C多表代换密码 D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是 (C )。
第一章 基本概念 1. 密钥体制组成部分: 明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件: (1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量) (2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击 (1)唯密文攻击:仅知道一些密文 (2)已知明文攻击:知道一些密文和相应的明文 (3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文 【注:①以上攻击都建立在已知算法的基础之上;②以上攻击器攻击强度依次增加;③密码体制的安全性取决于选用的密钥的安全性】 第二章 古典密码 (一)单表古典密码 1、定义:明文字母对应的密文字母在密文中保持不变 2、基本加密运算 设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{* =∈=-=q k Z k Z q Z q q q (1)加法密码 ①加密算法: κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== ②密钥量:q (2)乘法密码 ①加密算法: κκ∈∈===k X m Z Z Y X q q ;,;* 对任意,密文为:q km m E c k m od )(== ②解密算法:q c k c D m k mod )(1 -== ③密钥量:)(q ? (3)仿射密码 ①加密算法: κκ∈=∈∈∈===),(;},,|),{(;21* 2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文
一.选择题 1、关于密码学的讨论中,下列(D )观点是不正确的。 A、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综 合技术 B、密码学的两大分支是密码编码学和密码分析学 C、密码并不是提供安全的单一的手段,而是一组技术 D、密码学中存在一次一密的密码体制,它是绝对安全的 2、在以下古典密码体制中,属于置换密码的是(B)。 A、移位密码 B、倒序密码 C、仿射密码 D、PlayFair密码 3、一个完整的密码体制,不包括以下(?C?? )要素。 A、明文空间 B、密文空间 C、数字签名 D、密钥空间 4、关于DES算法,除了(C )以外,下列描述DES算法子密钥产生过程是正确的。 A、首先将DES 算法所接受的输入密钥K(64 位),去除奇偶校验位,得到56位密钥(即经过PC-1置换,得到56位密钥) B、在计算第i轮迭代所需的子密钥时,首先进行循环左移,循环左移的位数取决于i的值,这些经过循环移位的值作为下一次 循环左移的输入 C、在计算第i轮迭代所需的子密钥时,首先进行循环左移,每轮循环左移的位数都相同,这些经过循环移位的值作为下一次循 环左移的输入 D、然后将每轮循环移位后的值经PC-2置换,所得到的置换结果即为第i轮所需的子密钥Ki 5、2000年10月2日,NIST正式宣布将(B )候选算法作为高级数据加密标准,该算法是由两位比利时密码学者提出的。 A、MARS B、Rijndael C、Twofish D、Bluefish *6、根据所依据的数学难题,除了(A )以外,公钥密码体制可以分为以下几类。 A、模幂运算问题 B、大整数因子分解问题 C、离散对数问题 D、椭圆曲线离散对数问题 7、密码学中的杂凑函数(Hash函数)按照是否使用密钥分为两大类:带密钥的杂凑函数和不带密钥的杂凑函数,下面(C )是带密钥的杂凑函数。 A、MD4 B、SHA-1
现代密码学 第五十五讲后量子密码学信息与软件工程学院
第五十七讲后量子密码学 量子计算对密码学的影响 后量子密码学的研究方向
量子计算对密码学的威胁 ?贝尔实验室,Grove算法,1996年 ?针对所有密码(包括对称密码)的通用的搜索破译算法 ?所有密码的安全参数要相应增大 ?贝尔实验室,Shor算法,1994年 ?多项式时间求解数论困难问题如大整数分解问题、求解离散对数问题等?RSA、ElGamal、ECC、DSS等公钥密码体制都不再安全
量子计算对密码学的威胁(续) 密码算法类型目的受大规模量子计算机的影响 AES对称密钥加密密钥规模增大SHA-2, SHA-3Hash函数完整性输出长度增加RSA公钥密码加密,签名,密钥建立不再安全ECDSA,ECDH公钥密码签名,密钥交换不再安全DSA公钥密码签名不再安全
量子计算机的研究进展 ?2001年,科学家在具有15个量子位的核磁共振量子计算机上成功利用Shor算法对15进行因式分解。 ?2007年2月,加拿大D-Wave系统公司宣布研制成功16位量子比特的超导量子计算机,但其作用仅限于解决一些最优化问题,与科学界公认的能运行各种量子算法的量子计算机仍有较大区别。 ?2009年11月15日,世界首台可编程的通用量子计算机正式在美国诞生。同年,英国布里斯托尔大学的科学家研制出基于量子光学的量子计算机芯片,可运行Shor算法。 ?2010年3月31日,德国于利希研究中心发表公报:德国超级计算机成功模拟42位量子计算机。 ?2011年5月11日, 加拿大的D-Wave System Inc. 发布了一款号称“全球第一款商用型量子计算机”的计算设备“D-Wave One”。
试题 2015 年~ 2016 年第1 学期 课程名称:密码学专业年级: 2013级信息安全 考生学号:考生姓名: 试卷类型: A卷■ B卷□考试方式: 开卷□闭卷■……………………………………………………………………………………………………… 一. 选择题(每题2分,共20分) 1.凯撒密码是有记录以来最为古老的一种对称加密体制,其加密算法的定义为, 任意,,那么使用凯撒密码加密SECRET的结果是什么()。 A. UGETGV B. WIGVIX C. VHFUHW D. XIVGIW 2.在一下密码系统的攻击方法中,哪一种方法的实施难度最高的()。 A. 唯密文攻击 B. 已知明文攻击 C. 选择明文攻击 D. 选择文本攻击 3.仿射密码顺利进行加解密的关键在于保证仿射函数是一个单射函数,即对于 任意的同余方程有唯一解,那么仿射密码的密钥空间大小是()。(表示中所有与m互素的数的个数) A. B. C. D. 4.为了保证分组密码算法的安全性,以下哪一点不是对密码算法的安全性要求
()。 A. 分组长度足够长 B. 由密钥确定置换的算法要足够复杂 C. 差错传播尽可能地小 D. 密钥量足够大 5.以下哪一种分组密码工作模式等价于同步序列密码()。 A. 电码本模式(ECB模式) B. 密码分组链接模式(CBC模式) C. 输出反馈模式(OFB模式) D. 密码反馈模式(CFB模式) 6.以下对自同步序列密码特性的描述,哪一点不正确()。 A.自同步性 B.无错误传播性 C.抗主动攻击性 D.明文统计扩散性 7.如下图所示的线性移位寄存器,初始值为,请问以下哪 一个选项是正确的输出序列()。 A. B. C. D. 8.以下关于消息认证码的描述,哪一点不正确()。 A.在不知道密钥的情况下,难以找到两个不同的消息具有相同的输出 B.消息认证码可以用于验证消息的发送者的身份 C.消息认证码可以用于验证信息的完整性 D.消息认证码可以用于加密消息 9.以下哪些攻击行为不属于主动攻击()。 A.偷听信道上传输的消息
计算机密码学试卷A 学号:姓名:成绩: 班级:计算机科学与技术(信息安全)031预科、031、032班 一、选择与填空:(24分,每题2分) 1、5 mod 13的乘法逆元是:,负元是:。 2、从信息论的角度看,要提高密码的保密性,应该通过两个途径,一是通过:,二是。 3、DES密码有次迭代,它的加/解密算法仅不同。 4、有限状态自动机在流密码中的作用是:。 5、两密钥三DES加密算法中的加密可以表示为:。 6、强单向杂凑函数是指:。 7、在密钥的生成、分配、管理中KDC叫,它的作用是: 。 8、设已知乘数密码明文字母 J(9)对应于密文字母 P(15),即 9k mod 26 = 15, 密钥 k是:。 9、AES算法如果密钥为192位,则种子密钥阵列为:字节的阵列。 10、对一个分组,SHA要经过轮,步运算。 11、选择明文攻击的前提是:。 12、在认证协议中,时间戳的作用是为了防止攻击。 二、简答:(20分,每题5分) 1、简述CA机构为客户颁发公钥证书的过程,X.509公钥证书中主要包含了哪些项目。
2、简述DSS数字签名标准。 3、简述分组密码的密码反馈模式的工作原理,如果按照16bit反馈,使用DES工作 于密码反馈模式,这时如果某分组的密文中出现了1bit的错误,则此错误在怎样的情况下会影响以后分组的正确性?最多会影响几个分组? 4、怎么样去找一个大素数?素性检测的原理和作用是什么? 三、计算与证明:(56分) 1、用RSA加密:p=7,q=17,e=13,M=10。(4分)
2、求: 11的所有本原根(6分)。 3、用费尔玛和欧拉定理求:6208 mod 11 (4分) (1,3)表示y≡x3+x+3 mod 11 求: 4、椭圆曲线E 11 =3,计算其公钥。(4分) ①曲线上所有的点。(5分)②生成元G(1,4),私钥n A ③若明文为Pm = (4,7),k取2,计算密文Cm。(4分) x≡ 2 mod 3 4、求同余方程组:x≡ 4 mod 5 (5分) x≡ 6 mod 7
第一章 1、1949年,(A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。 A、Shannon B、Diffie C、Hellman D、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由(D)决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是(B )。 A无条件安全B计算安全C可证明安全D实际安全 4、根据密码分析者所掌握的分析资料的不同,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是(D )。 A、唯密文攻击 B、已知明文攻击 C、选择明文攻击 D、选择密文攻击 5、1976年,W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。 6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。 7、密码学是研究信息及信息系统安全的科学,密码学又分为密码编码学和密码分析学。 8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。 10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。 第二章 1、字母频率分析法对(B )算法最有效。 A、置换密码 B、单表代换密码 C、多表代换密码 D、序列密码 2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。 A仿射密码B维吉利亚密码C轮转密码D希尔密码 3、重合指数法对(C)算法的破解最有效。 A置换密码B单表代换密码C多表代换密码D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。 A置换密码B单表代换密码C多表代换密码D序列密码 5、在1949年香农发表《保密系统的通信理论》之前,密码学算法主要通过字符间的简单置换和代换实现,一般认为这些密码体制属于传统密码学范畴。 6、传统密码体制主要有两种,分别是指置换密码和代换密码。 7、置换密码又叫换位密码,最常见的置换密码有列置换和周期转置换密码。 8、代换是传统密码体制中最基本的处理技巧,按照一个明文字母是否总是被一个固定的字母代替进行划分,代换密码主要分为两类:单表代换和多表代换密码。 9、一个有6个转轮密码机是一个周期长度为26 的6次方的多表代替密码机械装置。 第四章 1、在( C )年,美国国家标准局把IBM的Tuchman-Meyer方案确定数据加密标准,即DES。 A、1949 B、1972 C、1977 D、2001 2、密码学历史上第一个广泛应用于商用数据保密的密码算法是(B )。 A、AES B、DES C、IDEA D、RC6 3、在DES算法中,如果给定初始密钥K,经子密钥产生的各个子密钥都相同,则称该密钥K为弱密钥,DES算法弱密钥的个数为(B )。 A、2 B、4 C、8 D、16
填空题 1、密码学的主要任务是实现性、鉴别、数据完整性、抗抵赖性。 1、性是一种允许特定用户访问和阅读信息,而非授权用户对信息容不可理解的安全属性。在密码学中,信息的性通过加密技术实现。 2、完整性数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属性。密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。 3、鉴别是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数据源的鉴别。对于一次通信,必须确信通信的对端是预期的实体,这就涉及到身份的鉴别。 4、抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关容的安全特性。密码学通过对称加密或非对称加密,以及数字签名等技术,并借助可信机构或证书机构的辅助来提供这种服务。 5、密码编码学的主要任务是寻求有效密码算法和协议,以保证信息的性或认证性的方法。它主要研究密码算法的构造与设计,也就是密码体制的构造。它是密码理论的基础,也是系统设计的基础。 6、密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息的解析方法进行研究。 7、明文(Plaintext)是待伪装或加密的消息(Message)。在通信系统中它可能是比特流,如文本、位图、数字化的语音流或数字化的视频图像等。 8、密文(Ciphertext)是对明文施加某种伪装或变换后的输出,也可认为是不可直接理的字符或比特集,密文常用c表示。 9、加密(Encrypt )是把原始的信息(明文)转换为密文的信息变换过程。 10、解密(Decrypt)是把己加密的信息(密文)恢复成原始信息明文的过程。 11、密码算法(Cryptography Algorithm)也简称密码(Cipher),通常是指加、解密过程所使用的信息变换规则,是用于信息加密和解密的数学函数。对明文进行加密时所采用的规则称作加密算法,而对密文进行解密时所采用的规则称作解密算法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 11、密钥(Secret Key )密码算法中的一个可变参数,通常是一组满足一定条件的随机序列 12、替代密码是指先建立一个替换表,加密时将需要加密的明文依次通过查表,替换为相应的字符,明文字符被逐个替换后,生成无任何意义的字符串,即密文,替代密码的密钥就是其替换表。
新乡学院 2013-2014 学年度第一学期 《密码学》期末考试试卷 2010级信息与计算科学专业,考试时间:100分钟,考试方式:随堂考,满分100分 一、判断题(每小题2分,正确的在后面的括号内打“√”,错误的在后面的括号内打“×”) 1. 1976年,美国数据加密标准(DES)的公布使密码学的研究公开,从而开创了现在密码 学的新纪元,失眠墓穴发展史上的一次质的飞跃。() 2. 密码学的发展大致经历了两个阶段:传统密码学和现在密码学。() 3. 现在密码体质的安全性不应取决于不易改变的算法,而应取决于可是随时改变的密钥。 () 4. Hash函数也称为散列函数、哈希函数、杂凑函数等,是一个从消息空间到像空间的可逆 映射。() 5. 成熟的公钥密码算法出现以后,对称密码算法在实际中已无太大利用价值了。() 二、选择题(每小题2分,将正确答案的标号写在后面的括号内) 1. 若Alice要向Bob分发一个会话密钥,采用ElGamal公钥加密算法,那么Alice对该回 话密钥进行加密应该选用的是()(A)Alice的公钥(B)Alice的私钥(C)Bob的公钥(D)Bob的私钥 2. 下列算法中,不具有雪崩效应的是() (A)DES加密算法(B)序列密码的生成算法(C)哈希函数(D)RSA加密算法 3. 下列选项中,不是Hash函数的主要应用的是() (A)数据加密(B)数字签名(C)文件校验(D)认证协议 4. 对于二元域上的n元布尔函数,其总个数为()(A)n2(B)n22(C)n2(D)以上答案都不对 5. 下列密码算法中,不属于序列密码范畴的是() (A)RC4算法(B)A5算法(C)DES算法(D)WAKE算法 三、填空题(每小题1分,共20分) 1. 序列密码通常可以分为____序列密码和____序列密码。 2. 布尔函数是对称密码中策重要组件,其表示方法主要有____表示、____表示、____表示、 ____表示、____表示、____表示等。 3. 为了抗击各种已有的攻击方法,密码体制中的布尔函数的设计需要满足各种相应的设计 准则,这些设计准则主要有:________、________、________、________、________。 4. Hash函数就是把任意的长度的输入,通过散列函数,变换成固定长度的输出,该输出称 为____,Hash函数的单向性是指:____________________,Hash函数的抗碰撞性是指:________________。 5. 常用的公钥密码算法有:________、________、________、________。 四、简答题(每小题10分,共30分) 1. 简述RSA公钥密码体制中的密钥对的生成步骤、主要攻击方法以及防范措施。 2. 简述ElGamal公钥密码体制中的加密和解密过程。
密码学在电子商务中的应用
密码学在电子商务中的应用 摘要 : 随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。从而人们面对面的交易和作业变成网上相互不见面的操作,电子商务的发展前景十分诱人,但是由于没有国界、没有空间时间限制,可以利用互联网的资源和工具进行访问、攻击甚至破坏。而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对心细提供足够的保护,已经成为商家和用户都十分关心的话题。本文从密码学基础,电子商务安全问题,电子商务中的信息安全技术出发进行分析。 关键词:密码学;电子商务;交易安全问题。 收稿日期:2011-06-11 中图分类号TP391 文献标识码 B 文章编号1007 - 7731 (2011) 23 - 40 – 02 作者简介:李春丹, 女, 理科部电子商务班大二学生,40926102。 互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。一,密码学基础 现代密码学研究信息从发端到收端的安全传输和安全存储,是研
究“知己知彼”的一门科学。其核心是密码编码学和密码分析学。前者致力于建立难以被敌方或对手攻破的安全密码体制,即“知己”;后者则力图破译敌方或对手已有的密码体制,即“知彼”。 编码密码学主要致力于信息加密、信息认证、数字签名和密钥管理方面的研究。信息加密的目的在于将可读信息转变为无法识别的内容,使得截获这些信息的人无法阅读,同时信息的接收人能够验证接收到的信息是否被敌方篡改或替换过;数字签名就是信息的接收人能够确定接收到的信息是否确实是由所希望的发信人发出的;密钥管理是信息加密中最难的部分,因为信息加密的安全性在于密钥。历史上,各国军事情报机构在猎取别国的密钥管理方法上要比破译加密算法成功得多。 密码分析学与编码学的方法不同,它不依赖数学逻辑的不变真理,必须凭经验,依赖客观世界觉察得到的事实。因而,密码分析更需要发挥人们的聪明才智,更具有挑战性。 现代密码学是一门迅速发展的应用科学。随着因特网的迅速普及,人们依靠它传送大量的信息,但是这些信息在网络上的传输都是公开的。因此,对于关系到个人利益的信息必须经过加密之后才可以在网上传送,这将离不开现代密码技术。 二,电子商务安全问题。 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。
第七章 简答题及计算题 ⑴公钥密码体制与对称密码体制相比有哪些优点和不足? 答:对称密码 一般要求: 1、加密解密用相同的密钥 2、收发双方必须共享密钥 安全性要求: 1、密钥必须保密 2、没有密钥,解密不可行 3、知道算法和若干密文不足以确定密钥 公钥密码 一般要求:1、加密解密算法相同,但使用不同的密钥 2、发送方拥有加密或解密密钥,而接收方拥有另一个密钥 安全性要求: 1、两个密钥之一必须保密 2、无解密密钥,解密不可行 3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥 ⑵RSA 算法中n =11413,e =7467,密文是5859,利用分解11413=101×113,求明文。 解: 10111311413n p q =?=?= ()(1)(1)(1001)(1131)11088n p q ?=--=--= 显然,公钥e=7467,满足1<e < () n ?,且满足 gcd(,())1e n ?=,通过公式 1m o d 1108d e ?≡求出1 mod ()3d e n ?-≡=, 由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡== ⑶在RSA 算法中,对素数p 和q 的选取的规定一些限制,例如: ①p 和q 的长度相差不能太大,相差比较大; ②P-1和q-1都应有大的素因子;请说明原因。 答:对于p ,q 参数的选取是为了起到防范的作用,防止密码体制被攻击 ①p ,q 长度不能相差太大是为了避免椭圆曲线因子分解法。 ②因为需要p ,q 为强素数,所以需要大的素因子 ⑸在ElGamal 密码系统中,Alice 发送密文(7,6),请确定明文m 。 ⑺11 Z 上的椭圆曲线E : 23 6y x x =++,且m=3。 ①请确定该椭圆曲线上所有的点; ②生成元G=(2,7),私钥(5,2)2B B n P ==,明文消息编码到(9,1)m P =上,加密是选取随机 数k=3,求加解密过程。 解:①取x=0,1,…,10 并计算 23 6(mod11)y x x =++,现以x=0为例子。 因为x=0, 23006(mod11)6mod11y =++=,没有模11的平方根,所以椭圆上不存在横坐标为0 的点;同理依次可以得到椭圆上的点有(2 , 4) (2,7) (3 , 5) (3,6) (5,9) (5 , 2) (7 , 9) (7 ,2) (8 , 8) (8 , 3) (10 , 9) (10 , 2) ②密钥生成:由题得B 的公钥为{E: 236(mod11)y x x =++,(2,7)G =,(5,2)B P =},私钥为 ⑻与RSA 密码体制和ElGamal 密码体制相比,简述ECC 密码体制的特点。 答:①椭圆曲线密码体制的安全性不同于RSA 的大整数因子分解问题及ElGamal 素域乘法群离散对数问题。自公钥密码产生以来,人们基于各种数学难题提出了大量的密码方案,但能经受住时间的考验又广泛为人
密码学作业 作业要求 1按下面各题要求回答问题; 2上机进行实验 3索引二篇公开发表有关计算机密码学的文章。时间发表在2009年以后 4考试当日,答题前交到监考老师处(二篇文章,本作业) 二.密码体制分类 密码体制从原理上可分为两大类,即单钥体制和双钥体制。 单钥体制的加密密钥和解密密钥相同。采用单钥体制的系统的保密性主要取决于密钥的保密性,与算法的保密性无关,即由密文和加解密算法不可能得到明文。换句话说,算法无需保密,需保密的仅是密钥。 换句话说,算法无需保密,需保密的仅是密钥。根据单钥密码体制的这种特性,单钥加解密算法可通过低费用的芯片来实现。密钥可由发送方产生然后再经一个安全可靠的途径(如信使递送)送至接收方,或由第三方产生后安全可靠地分配给通信双方。如何产生满足保密要求的密钥以及如何将密钥安全可靠地分配给通信双方是这类体制设计和实现的主要课题。密钥产生、分配、存储、销毁等问题,统称为密钥管理。这是影响系统安全的关键因素,即使密码算法再好,若密钥管理问题处理不好,就很难保证系统的安全保密。单钥体制对明文消息的加密有两种方式:一是明文消息按字符(如二元数字)逐位地加密,称之为流密码;另一种是将明文消息分组(含有多个字符),逐组地进行加密,称之为分组密码。单钥体制不仅可用于数据加密,也可用于消息的认证。 双钥体制是由Diffie和Hellman于1976年首先引入的。采用双钥体制的每个用户都有一对选定的密钥:一个是可以公开的,可以像电话号码一样进行注册公布;另一个则是秘密的。因此双钥体制又称为公钥体制。 双钥密码体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的消息只能由一个用户解读,或由一个用户加密的消息而使多个用户可以解读。前者可用于公共网络中实现保密通信,而后者可用于实现对用户的认证。 三.扩散和混淆 扩散和混淆是由Shannon提出的设计密码系统的两个基本方法,目的是抗击敌手对密码系统的统计分析。 所谓扩散,就是将明文的统计特性散布到密文中去,实现方式是使得明文的每一位影响密文中多位的值,等价于说密文中每一位均受明文中多位影响。 混淆是使密文和密钥之间的统计关系变得尽可能复杂,以使敌手无法得到密钥。因此即使敌手能得到密文的一些统计关系,由于密钥和密文之间的统计关系复杂化,敌手也无法得到密钥。 七.什么是零知识证明?下图表示一个简单的迷宫,C与D之间有一道门,需要知道秘密口令才能将其打开。P向V证明自己能打开这道门,但又不愿向V泄露秘密口令。可采用什么协议?
试题编号: 重庆邮电大学10-11学年第2学期 《现代密码学》试卷(期末)(A卷)(闭卷) 一、选择题(本大题共10题,每小题1分,共10分) 1.一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,其安全性由()决定的。 A. 密文 B. 加密算法 C. 解密算法 D. 密钥 2.对密码的攻击可分为4类:唯密文攻击、已知明文攻击、选择明文攻击和选择密文攻击,其中破译难度最大的是()。 A. 唯密文攻击 B. 已知明文攻击 C. 选择明文攻击 D. 选择密文攻击 3.AES算法由以下4个不同的模块组成,其中()模块是非线性模块。 A. 字节代换 B. 行移位 C. 多表代换密码 D. 序列密码 4. DES密码算法中密钥长度为( ) A.64比特 B.128比特 C.256比特 D.160比特 5.目前,使用最广泛的序列密码是() A. RC4 B. A5 C. SEAL D. PKZIP 6.下列()不是Hash函数具有的特性。 A. 单向性 B. 可逆性 C. 压缩性 D. 抗碰撞性 7.设在RSA公钥密码体制中,公钥(e,n)=(13,35),则私钥d = () A. 11 B. 13 C. 15 D. 17 8.A收到B发给他的一个文件的签名,并要验证这个签名的有效性,那么签名验证算法需要A选用的密钥是() A. A的公钥 B. A的私钥 C. B的公钥 D. B的私钥 9. 在下列密钥中( )密钥的权限最高 A.工作密钥 B.会话密钥 C.密钥加密密钥 D.主密钥 《现代密码学》试卷第1页(共6页)
10. PGP是一个基于( )公钥密码体制的邮件加密软件。 A.RSA B.ElGamal C.DES D.AES 二、填空题(本大题共10空,每空1分,共10分) 1.IDEA密码算法中明文分组长度为比特,密钥长度为比特,密文长度为比特,加密和解密算法相同。 2. ElGamal公钥密码体制的安全性是基于的困难性。 3.密钥流的生成并不是独立于明文流和密文流的流密码称为。 4.SHA-1算法的主循环有四轮,每轮次操作,最后输出的摘要长度为。 5.Kerberos协议是一种向认证协议。 6.密钥托管加密体制主要由三部分组成:、和数据恢复分量。 三、名词解释(本大题共5小题,每小题4分,共20分) 1. 密码编码学 2. 数字签名 3.认证 《现代密码学》试卷第2页(共6页)
填空题 1、密码学的主要任务是实现机密性、鉴别、数据完整性、抗抵赖性。 1、机密性是一种允许特定用户访问和阅读信息,而非授权用户对信息内容不可理解的安全属性。在密码学中,信息的机密性通过加密技术实现。 2、完整性数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属性。密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。 3、鉴别是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数据源的鉴别。对于一次通信,必须确信通信的对端是预期的实体,这就涉及到身份的鉴别。 4、抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关内容的安全特性。密码学通过对称加密或非对称加密,以及数字签名等技术,并借助可信机构或证书机构的辅助来提供这种服务。 5、密码编码学的主要任务是寻求有效密码算法和协议,以保证信息的机密性或认证性的方法。它主要研究密码算法的构造与设计,也就是密码体制的构造。它是密码理论的基础,也是保密系统设计的基础。 6、密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息的解析方法进行研究。 7、明文(Plaintext)是待伪装或加密的消息(Message)。在通信系统中它可能是比特流,如文本、位图、数字化的语音流或数字化的视频图像等。 8、密文(Ciphertext)是对明文施加某种伪装或变换后的输出,也可认为是不可直接理的字符或比特集,密文常用c表示。 9、加密(Encrypt )是把原始的信息(明文)转换为密文的信息变换过程。 10、解密(Decrypt)是把己加密的信息(密文)恢复成原始信息明文的过程。 11、密码算法(Cryptography Algorithm)也简称密码(Cipher),通常是指加、解密过程所使用的信息变换规则,是用于信息加密和解密的数学函数。对明文进行加密时所采用的规则称作加密算法,而对密文进行解密时所采用的规则称作解密算法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 11、密钥(Secret Key )密码算法中的一个可变参数,通常是一组满足一定条件的随机序列 12、替代密码是指先建立一个替换表,加密时将需要加密的明文依次通过查表,替换为相应的字符,明文字符被逐个替换后,生成无任何意义的字符串,即密文,替代密码的密钥就是其替换表。 13、根据密码算法加解密时使用替换表多少的不同,替代密码又可分为单表替代密码和多
《现代密码学(基础?)》编写大纲 88888888888888888888888888888888888888888888888888888888888888888888888888888888
前言 第一章概论(HDK) 1.1信息系统安全与密码技术 1.2密码系统模型和密码体制 (密码系统模型、单钥与双钥密码体制、对密码体制的一般要求)1.3密码分析 1.4信息论与保密系统安全水平 1.4.1信息量和熵 1.4.2完善保密性与随机性 1.4.3唯一解距离、理论保密性与实际保密性 1.5复杂性理论简介 习题 第二章序列密码(T) 2.1 序列密码的一般模型 2.2 线性反馈移位寄存器序列 2.3 序列密码设计准则 2.3.1复杂度及B-M算法 2.3.2相关免疫性 2.4 非线性序列 2.4.1 一般模型 2.4.2 钟控序列、级联序列 2.4.3 FCSR及其使用FCSR的序列密码 2.5 实际算法:RC4、A5 习题 第三章分组密码(T) 3.1分组密码的一般模型及工作模式 3.2DES 3.2.1算法描述 3.2.2三重DES 3.3IDEA 3.3.1设计原理与算法描述 3.3.2安全性分析 3.4AES 3.5分组密码分析方法* 3.5.1差分分析 3.5.2线性分析 3.6NESSIE: MISTY1、Camellia、SHACAL2 习题
第四章公钥密码(M) 4.1 RSA公钥密码体制 4.1.1 RSA算法(包括介绍欧拉函数和欧拉定理) 4.1.2 对RSA的攻击与参数选取 包括因子分解复杂度,对RSA的选择密文攻击,公共模数攻击,低加密指数 攻击,低解密指数攻击,素因子的要求,确定性素性测试算法复杂度。 4.2 基于离散对数的公钥密码体制 4.2.1 EIGamal公钥密码体制 4.2.2 安全性分析(包括介绍离散对数问题、Diffie-Hellman问题及其复杂度) 4.3 椭圆曲线密码密码体制 4.4可证明性安全公钥密码体制简介* 4.4.1 公钥加密中若干安全性概念介绍 4.4.2 基于RSA的可证明性安全公钥密码体制 介绍OAEP方案、安全性结论 4.4.3基于Diffie-Hellman问题可证明性安全公钥密码体制 介绍Cramer-Shoup方案、安全性结论 4.5 其它公钥体制 包括Ranbin体制(较详细)、XTR和NTRU等(一般性点到) 习题 第五章散列函数与消息认证 5.1散列函数的性质 Hash函数 5.2散列函数的安全性 单向Hash函数;弱碰撞免疫(weakly collision-free);强碰撞免疫(strongly collision-free); 生日攻击. 5.3迭代散列函数 结构分析,算法描述,安全性讨论. 5.4散列函数MD5 设计目标,算法描述,安全性讨论. 5.5安全散列算法 算法描述,安全性讨论. 5.6消息认证 认证;认证系统;消息认证码;无条件安全认证码;HMAC算法描述与安全性讨论. 习题 第六章安全协议 6.1数字签名 6.1.1概念 6.1.2RSA数字签名 6.1.3ElGamal数字签名 6.1.4特殊类型的数字签名
CS255:Cryptography and Computer Security Winter2013 Final Exam Instructions: ?Answer all?ve questions. ?The exam is open book and open notes.Wireless devices are not allowed. ?Students are bound by the Stanford honor code. ?You have two hours and thirty minutes. Problem1.Questions from all over. a.Let p be a large prime and g∈Z?p of order p?1.Is the function f(x)=g x in Z p whose domain is{1,...,p?1}a trapdoor one-way function?Justify your answer. b.Brie?y explain the main idea for building an authenticated key exchange protocol(secure against man in the middle attacks)from the basic Di?e-Hellman protocol. c.Let(N,e)be an RSA public key.Recall that to sign messages using RSA-FDH we use a hash function H:{0,1}n→Z N and compute the signature on a message m as σ←H(m)d in Z N.Suppose the adversary can?nd two messages m1,m2such that H(m1)=H(m2)·2e in Z N.Does this let the adversary break RSA-FDH?That is,can the adversary create an existential forgery using a chosen message attack? d.Same question as part(c)except that the adversary can?nd two messages m1,m2such that H(m1)=H(m2)+1in Z N.Brie?y justify your answer. e.When storing hashed and salted passwords in a password?le,what is the purpose of using a slow hash function? Problem2.Variants of CBC encryption. a.One problem with CBC encryption is that messages need to be padded to a multiple of the block length and sometimes a dummy block needs to be added.The following?gure describes a variant of CBC that eliminates the need to pad: The method pads the last block with zeros if needed(a dummy block is never added), but the output ciphertext contains only the shaded parts of C1,C2,C3,C4.Note that, ignoring the IV,the ciphertext is the same length as the plaintext.This technique is called ciphertext stealing.(1)Explain how decryption works.(2)Can this method be used if the plaintext contains only one block? 1