密码学复习提纲与解答

密码学复习要点第一章引言密码学的基本概念：1.什么是密码体制？（五大部分）2.根据密码分析者所拥有的资源来看，对密码体制的攻击通常有哪几种方式？其攻击强弱程度排序。

（四种方式）。

3.密码体制的安全性的几个不同概念？4.什么是公钥（非对称）密码体制？什么是（对称）私钥密码体制？第二章古典密码1.欧几里得算法求公因子及求逆的过程。

2.单表代替密码(仿射密码)的加解密流程。

第三章Shannon 理论1.熵的定义。

（熵，条件熵，联合熵）2.贝叶斯公式。

3.密码体制中各部分熵的计算。

例3.1第四章分组密码1.Shannon提出的分组密码设计的两种基本方法。

（扩散和混乱）2.分组密码的两种基本结构：Feistel网络和SP网络.3.DES和AES分组密码算法的基本结构。

（主要参数，圈变换主要组成部件）4.分组密码的工作模式。

第五章公钥密码1.欧拉定理，费马定理，利用欧拉定理或费马定理进行快速模幂运算。

例5.4 例5.72.RSA公钥密码体制的详细加解密流程及解密正确性证明。

3.ElGamal公钥加密体制的详细加解密流程。

4.椭圆曲线上点的计算（P+Q和2P）注意是有限域上的点。

第六章序列密码与移位寄存器1.线性反馈移位寄存器的反馈函数、递推关系、联系多项式的定义。

2.给定联系多项式和初态，求输出序列及其周期。

3.求线性反馈移位寄存器序列的线性综合解。

（B-M算法）第七章数字签名1.RSA数字签名算法及其签名有效性证明。

（参考加密体制的证明）2.ElGamal数字签名算法。

第八章Hash函数1.Hash函数的抗强碰撞性（弱无碰撞性）和抗强碰撞性（强无碰撞性）2.MD5和SHA-1的一些基本结构和重要参数：消息摘要长度，消息填充格式。

第九章密码协议1.密码协议的基本概念和特点。

2.几种密码协议的基本用途和设计思想。

会进行简单的协议分析。

3.ＤＨ密钥交换协议及中间人攻击。

《密码学》课程复习部分1、（1 ）画出保密通信系统模型；（2 ）说明在私钥密码体制和公钥密码体制下，该保密通信系统模型的差别主要体现在什么方面？解：（1 ）保密通信系统模型如下图所示：（2 ）在私钥密码体制和公钥密码体制下，该模型的差别主要体现在加密密钥的分发或传递上（即虚线部分所体现的差别）。

私钥密码体制下，接收方和发送方的共享密钥必须通过安全信道传递。

而在公钥密码体制下，发送方只需要认证所使用的加密密钥是接收方的。

2、设p=23 ，E 是由y 2 ≡x 3 +x+1(mod 23)所确定的有限域Z23 上的椭圆曲线。

（1 ）设P=(x 1 ,y 1 )，Q=(x 2 ,y 2 )，P ≠－Q 是椭圆曲线E p (a,b)上的点，给出计算P+Q=(x 3 ,y 3 )的规则（提示：分成P ＝Q 和P ≠Q 两种情况）（2 ）已知该椭圆曲线上有P=(13,7)，Q=(3,10)两点，计算P+Q（3 ）已知该椭圆曲线上有P=(13,7)，计算2P答案:略。

3、简述密码体制的组成及其密码体制的分类。

答：密码体制就是完成加密和解密功能的密码方案或密码算法。

一个密码体制（Cryptosystem ）或密码算法通常由以下5个部分构成：① 明文空间M （全体明文的集合）；② 密文空间C （全体密文的集合）；③ 密钥空间K （全体密钥的集合）；④ 加密器或加密变换（算法）E ，由加密密钥控制的加密变换的集合，即K k C c M m c m E K ∈∈∈=,,,)(；⑤ 解密器或解密变换（算法）D ，由解密密钥控制的解密变换的集合，即K k C c M m m c D K ∈∈∈=,,,)(。

密码体制的分类：（1）根据密文数据段是否与明文数据段在整个明文中的位置有关否，可以将密码体制分为分组密码体制和序列密码体制。

（2）根据加密变换是否可逆，可以将密码体制分为单向变换密码体制和双向变换密码体制。

（3）根据在加密过程中是否引入客观随机因素，可以将密码体制分为确定型密码体制和概率密码体制。

《密码学与信息安全》复习提纲第1章引言安全攻击的两种类型。

被动攻击的概念。

主动攻击的概念。

常见的被动攻击和主动攻击各有哪些？安全服务包括哪些类型？安全机制分为特定安全机制和普遍的安全机制。

常见的特定安全机制主要有哪些？第2章传统加密技术对称加密方案的5个基本成分。

密码编码学系统对明文的处理方法。

攻击传统的密码体制的两种一般方法。

基于密码分析者知道信息的多少而产生的密码攻击的几种类型。

无条件安全的概念。

计算上安全的概念。

传统对称密码使用的两种技术。

单表代换密码的加密过程。

对单表代换密码的统计学攻击过程。

Playfair密码中密钥矩阵的构成方法。

Playfair密码的加密和解密过程。

Hill密码的加密和解密过程。

一次一密的概念。

实现一次一密的两个基本难点。

置换技术的概念。

转轮机的基本原理。

第3章分组密码和数据加密标准流密码与分组密码的区别。

乘积密码的概念。

混淆和扩散的概念及区别。

Feistel密码的典型结构。

其具体实现依赖于哪些参数？Feistel密码加密过程和解密过程的异同点。

数据加密标准DES的加密过程。

DES密钥的产生过程。

两种重要的密码分析方法：差分分析和线性分析。

Feistel密码的强度来自于三个方面：迭代轮数、轮函数、密钥扩展算法。

轮函数的三个设计标准：非线性、严格雪崩效应、位独立。

第5章高级加密标准三重DES的优缺点。

计时攻击和能量分析攻击的概念。

AES轮函数由四个不同的阶段组成：字节代换、行移位、列混淆、轮密钥加。

高级加密标准AES的加密过程。

AES密钥的产生过程。

第6章对称密码的其他内容多重加密的概念。

对称密码有5种标准的工作模式：电子密码本、密文分组链接、密文反馈、输出反馈、计数器模式。

对双重DES进行中间相遇攻击的过程。

密文分组链接模式（CBC）对明文的处理过程。

密文反馈模式和输出反馈模式的区别。

设计流密码需要考虑的三个主要因素。

流密码RC4的密钥流产生过程。

密文窃取模式（CTS）对明文的处理过程。

《计算机密码学》复习范围第1章引言信息安全属性保密性，完整性，可用性，真实性，实时性，不可否认性。

1.什么是被动攻击和主动攻击，各有几种类型？分别是对信息系统的什么性质进行的攻击？1.被动攻击被动攻击即窃听，是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝等，以获取他人的信息。

➢被动攻击又分为两类，一类是获取消息的内容第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得敌手从截获的消息无法得到消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的位置和身份以及通信的次数和消息的长度，这些信息可能对通信双方来说是敏感的。

被动攻击因不对消息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。

2.主动攻击这种攻击包括对数据流的某些篡改或产生某些假的数据流。

主动攻击又可分为以下三个子类：①中断：是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。

②篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。

③伪造：是对系统的真实性进行攻击。

如在网络中插入伪造的消息或在文件中插入伪造的记录。

➢抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。

2. 恶意程序的分类：是否需要主程序、能否自我复制？➢恶意软件指病毒、蠕虫等恶意程序，可分为两类,一类可自我复制:蠕虫，病毒➢不可复制的：特洛伊木马，逻辑炸弹，陷门3.安全业务分为哪5种？各有什么含义？保密业务，认证业务，不可否认业务，访问控制4. 信息安全的基本模型？信息系统的保护模型？信息安全的基本模型:➢通信双方欲传递某个消息，需通过以下方式建立一个逻辑上的信息通道：➢首先在网络中定义从发送方到接收方的一个路由，然后在该路由上共同执行通信协议。

➢如果需要保护所传信息以防敌手对其保密性、认证性等构成的威胁，则需要考虑通信的安全性。

安全传输技术有以下两个基本成分：① 消息的安全传输，包括对消息的加密和认证。

经典密码学与现代密码学复习总结一、简答题（包括名词解释）1、DES 算法中，S1为14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7, 0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8, 4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0, 15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13,输入为110000，求选择函数S1的输出；并说明其的作用和特点？。

答：DES 算法中的S 盒的输出为15=(1111)2s 盒是DES 算法的核心，它是算法中唯一的非线性部分，是算法安全的关键；有8个s 盒，每个s 盒输入6位，输出四位，即输入48位，输出32位；输入的6位中的第一位和第六位表示行数，中间四位表示列数，找到s 盒中对应的数值2、简述密码算法中对称、非对称算法各自的优缺点，及分析如何将两者结合。

答：对称密码体制的基本特征是加密密钥与解密密钥相同。

对称密码体制的优缺点：（1）优点：加密、解密处理速度快、保密度高等。

（2）缺点：①密钥是保密通信安全的关键，发信方必须安全、妥善地把密钥护送到收信方，不能泄露其内容，如何才能把密钥安全地送到收信方，是对称密码算法的突出问题。

对称密码算　法的密钥分发过程十分复杂，所花代价高。

②多人通信时密钥组合的数量会出现爆炸性膨胀，使密钥分发更加复杂化，个人进行两两通信，总共需要的密钥数为。

N ()21NC N N =-③通信双方必须统一密钥，才能发送保密的信息。

如果发信者与收信人素不相识，这就无法向对方发送秘密信息了。

④除了密钥管理与分发问题，对称密码算法还存在数字签名困难问题（通信双方拥有同样的消息，接收方可以伪造签名，发送方也可以否认发送过某消息）。

非对称密码体制是加密密钥与解密密钥不同，形成一个密钥对，用其中一个密钥加密的结果，可以用另一个密钥来解密的密码体制。

非对称密码体制的优缺点：（1）优点：①网络中的每一个用户只需要保存自己的私有密钥，则个用N户仅需产生对密钥。

《计算机密码学》复习范围第1章引言1．什么是被动攻击和主动攻击，各有几种类型？分别是对信息系统的什么性质进行的攻击？1.被动攻击被动攻击即窃听，是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝等，以获取他人的信息。

被动攻击又分为两类，一类是获取消息的内容第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得敌手从截获的消息无法得到消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的位置和身份以及通信的次数和消息的长度，这些信息可能对通信双方来说是敏感的。

被动攻击因不对消息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。

2.主动攻击这种攻击包括对数据流的某些篡改或产生某些假的数据流。

主动攻击又可分为以下三个子类：①中断：是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。

②篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。

③伪造：是对系统的真实性进行攻击。

如在网络中插入伪造的消息或在文件中插入伪造的记录。

抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。

2. 恶意程序的分类：是否需要主程序、能否自我复制？恶意软件指病毒、蠕虫等恶意程序，可分为两类,一类可自我复制:蠕虫，病毒不可复制的：特洛伊木马，逻辑炸弹，陷门3. 安全业务分为哪5种？各有什么含义？4. 信息安全的基本模型？信息系统的保护模型？信息安全的基本模型:通信双方欲传递某个消息，需通过以下方式建立一个逻辑上的信息通道：首先在网络中定义从发送方到接收方的一个路由，然后在该路由上共同执行通信协议。

如果需要保护所传信息以防敌手对其保密性、认证性等构成的威胁，则需要考虑通信的安全性。

安全传输技术有以下两个基本成分：①消息的安全传输，包括对消息的加密和认证。

加密的目的是将消息搞乱以使敌手无法读懂，认证的目的是检查发送者的身份。

1.网络信息安全的根源网络自身先天不足网络的开放性人为因素2.引起网络信息安全的人为因素无意失误黑客攻击管理不善3.安全服务有哪些方面机密性完整性鉴别（身份认证）非否认性（抗抵赖）访问控制可用性（产品对用户来说有效、易学、高效、好记、少错和令人满意的程度）4.安全性攻击有哪些主要形式析出消息内容、通信量分析中断、篡改、伪造、否认、重放5.什么是穷举秘钥攻击指密码分析者测试所有可能的秘钥，即假设密码分析者知道所使用的密码算法和秘钥域（所有可能的秘钥组成的一个列表），然后他利用秘钥域中的每一个可能的秘钥来解密截获的密文，直到得到的明文看起来有意义。

6.被动攻击和主动攻击的特点被动攻击攻击者仅获取信息或流量对信息本身及服务不构成威胁难以检测与发现抗击的重点是防范主动攻击攻击者改变原有信息流对信息本身及系统服务均构成威胁难以防范抗击的重点是检测7.分组置换总数的计算N位长度的置换总数为2N!8.Vigenere算法使用维吉尼亚方阵，它的基本方阵是26列26行。

方阵的第一行是a到z按正常顺序排列的字母表，第二行是第一行左移循环一位得到得，其他各行依次类推。

记Z26={0,1,2,3,…,25}，选择k=3、5、7、9、11、15、17、19、21、23、25之一和b∈ Z26组成密钥(k,b)9.仿射密码体制及计算加密公式：c = k · p+b (mod 26)解密公式： p = k-1 · c - k-1 · b ( mod 26 )p = k-1 · c + b’( mod 26 )其中：k-1是k关于26的逆元，即k-1 k=1 (mod 26)假设在针对明文空间{0,1,2,…,77}的放射密码体制下选择密钥k=<17,35>，则加密函数Ek(M)=(11×M＋7 ) (mod 78)；解密函数Dk(C)=(17×C＋5 ) (mod 78)；对于消息明文M=9，加密后形成密文C=106 =1 ×78＋44 =44 (mod 78)；而该密文C解密后将还原成明文M=753=12 ×78＋9=9 (mod 78)加密：Ek(M)=(k1*M+k2) (mod 78)；解密：Dk(C)=(k1^(-1)*C+b’) (mod 78)10.用对称密码体制实现多点通讯的个数N个点实现多点通讯的个数位N*(N-1)/211.DES算法的四个参数分组长度：64位子秘钥长度：48位子秘钥个数 ：16个秘钥长度：56位或64位12.S-DES算法的子秘钥生成13.DES中的S盒计算S盒的6位输入的第一和最后一个比特构成一个两位二进制数，用来选择S盒中4行所定义的4中替代的一种，中间的4个比特则选出一列。

2016级《密码学》复习提纲1．密码学概念及安全性基础（1）密码学的四个发展阶段。

（2）掌握三个经典的古典密码算法Caesar, Vigenere, 以及Playfair。

（3）柯可霍夫原则指出密码系统的安全性不能取决于算法,而应取决于密钥。

（4）密码学的基本原理(含流程图)及有关步骤说明。

（5）两类重要密码体制，即对称密码体制和非对称密码体制的主要特点。

（6）公钥密码体制的安全基础是某些数学上的计算困难性问题。

根据公钥密码体系的安全性基础来分类，现在被认为安全、实用、有效的公钥密码体系有三类。

请说明这三类问题的具体含义。

（7）密钥的生命周期有哪些阶段。

2．分组密码体制（1）分组密码的特点、基本要求（2）分组密码原理与概念（3）数据加密标准DES、AES等算法原理与基本特性（如分组大小、密钥长度、循环次数、圈变换由哪4个变换组成等）; DES和AES进行比较，各有什么特点和优缺点3．公钥密码体制（1）对称密码算法和公钥密码算法的区别？（2）公钥密码算法用于加密与签名的主要不同之处是什么?（3）RSA与ElGamal加密与签名算法的整个步骤（4）熟练掌握RSA与ElGamal加密算法的应用方法(实例计算)。

（5）椭圆曲线EC上的基本运算及概念（点加、倍点等）4．散列函数与消息鉴别（1）密码散列函数的概念和基本性质（2）MD5、SHA－1典型散列函数的基本特性（单向散列性、输出位数, 即消息摘要长度）5．数字签名（1）数字签名的概念，基本特性,由哪几部分组成?（2）数字签名的应用过程（3）熟练掌握典型公开密钥密码体制的数字签名算法(RSA、ElGamal)原理、计算方法与应用6．密钥管理（1）密钥管理基本内容和概念(CA , TA, KDC)（2）理解密钥分配与密钥协商的目标与特点（3）秘钥的类型：会话密钥，密钥加密密钥，主密钥。

他们的作用是什么？（4）掌握公钥证书的概念与基本内容（5）掌握Diffie-Hellman密钥交换算法及安全性基础，并能熟练掌握该算法建立一个双方共享的密钥(实例)。

第一章引言1.信息安全面临的威胁，被动攻击与主动攻击，入侵者和病毒2.5种安全业务3.信息安全模型（图1-3），信息安全的两个基本成分，安全通信网络的4个方面4.信息系统的保护模型，两道防线5.信息安全的3个层次：系统安全，数据安全，内容安全6.保密通信系统模型，密码分析，密码分析学7.保密通信系统应该满足的要求8.密码体制分类：单钥体制，双钥体制，流密码，分组密码9.对密码系统的4种攻击类型10.单表代换密码11.多表代换密码12.课后习题：1，2，3第二章流密码1.同步流密码，自同步流密码，同步流密码的加密器构成2.有限自动状态机3.密钥流产生器的结构p154.线性反馈寄存器，反馈函数，M序列5.特征多项式，生成函数，特征多项式的阶，不可约多项式，本原多项式6.定理2-3到2-67.M序列的伪随机性:Golomb提出的3个随机性公设，伪随机序列满足的条件8.Geffe序列生成器9.JK触发器10.Pless生成器11.钟控序列生成器12.课后习题：1，3，4，8，9第三章分组密码体制1.分组密码设计应该满足的要求2.代换，扩散，混淆3.Feistel密码结构4.DES,二重DES,三重DES5.分组密码的运行模式：ECB, CBC, CFB, OFB, (图3-10到图3-13)6.IDEA算法（设计原理）7.AES算法第四章公钥密码1.密码学常用的数学知识（密码学学习用到的部分一定要掌握）2.公钥密码体制原理（图4-1到4-3）3.公钥密码算法应满足的要求，陷门单向函数4.RSA算法5.背包密码体制6.Rabin密码体制7.椭圆曲线密码体制8.课后习题：3，4，5，6，7，8，10，13，14，15，17，18，19，20第5章密钥分配与密钥管理1.密钥分配的基本方法p1352. 密钥的分层控制3. 会话密钥的有效期4. 无中心的密钥控制5. 密钥的控制使用：密钥标签，控制矢量6．公钥的分配方法：公开发布、公用目录表、公钥管理机构、公钥证书7. 用公钥加密分配单钥密码体制的密钥(图5-6，图5-7)8. Diffie-Hellman密钥交换9. 随机数的随机性和不可预测性10. 线性同余算法，整周期11. 伪随机数产生器，幂形式：RSA生成器，平方生成器，离散指数形式12. 基于密码算法的伪随机数产生器：循环加密，DES的OFB模式, ANSI X9.17的伪随机数产生器13. 随机比特产生器：BBS产生器，Rabin产生器, 离散指数产生器14. Shamir门限方案15.基于中国剩余定理的门限方案16. 课后习题：3，4，5，6第6章消息认证和哈希函数1. 消息认证码2. MAC的基本使用方式3.产生MAC的函数应该满足的要求p1584.哈希函数，认证符，消息摘要5.哈希函数的基本使用方式图6-46.哈希函数应满足的条件7.迭代型哈希函数的一般结构9.MD5算法10.SHA算法11.HMAC算法第7章数字签名和认证协议1. 数字签名应具有的性质2. 数字签名应满足的要求3. 数字签名的产生方式：由加密算法产生的数字签名，由签名算法产生的数字签名4. 数字签名的执行方式：直接方式，仲裁方式5. DSS, DSA6．离散对数签名体制：DSA, ElGamal, Schnorr, Neberg-Rueppel, Okamoto7. 基于大数分解问题的数字签名体制：Fiat-Shamir, Guillo-Quisquater8. 相互认证，单向认证9.保证消息实时性常用的方法：时间戳询问-应答10.课后习题：1，2/*第8章密码协议1. 密码协议的概念2. 智力扑克3. 掷硬币协议：平方根，单向函数，二次剩余4. 数字承诺：二次剩余，Perdersen5. 不经意传输：基于大数分解，基于离散对数，多对一，大数分解的多对一*/第10章网络加密与认证1.开放系统互连和TCP/IP分层模型2.网络加密的基本方式：链路加密，端端加密3.端端加密的逻辑位置4.Kerberos V4流程5.Kerberos区域，两区域的Kerberos服务6.X.509公钥证书的格式7.证书的获取，CA的层次结构，证书链8.证书吊销列表CRL9.X.509的三种认证过程10.PGP的5种业务：电子邮件的兼容性。

1. 信息安全的基本属性有哪些。

保密性、完整性、可用性、可控性、可靠性（真实性）、不可抵赖性2. 古典密码技术的基本加密单元。

字符3. 密码学的两个分支。

密码编码学、密码分析学4. 密码学中的几个术语的基本概念：明文：需要加密的信息 密文：加密后的信息密钥：加密和解密算法的操作通常都是在一组密钥的控制下进行 加密算法：对明文加密时所采用的编码规则 解密算法：对密文解密时所采用的规则密码体制：所有可能的明文，密文，密钥，加密算法，解密算法5. 密码系统（密码体制）的概念、组成、形式化描述、分类等 P18概念：一个用于加解密能够解决网络安全中的机密性、完整性、可用性、可控性和真实 性等问题中的一个或几个的系统，称为一个密码体制。

组成：密码体制可以定义为一个五元组（Ｐ，Ｃ，Ｋ，Ｅ，Ｄ），其中：Ｐ称为明文空间，是所有可能的明文构成的集合； Ｃ称为密文空间，是所有可能的密文构成的集合； Ｋ称为密钥空间，是所有可能的密钥构成的集合；形式化描述：Ｅ和Ｄ分别表示加密算法和解密算法的集合，它们满足：对每一个k ∈K ， 必然存在一个加密算法E e k∈和一个解密算法D dk∈，使得对任意P m ∈，恒有m m e d kk=))((。

分类：第8题6. 密码体制的安全性取决于什么。

所使用的密码算法的强度7. DES 、AES 算法的前身、密钥长度、明文长度。

DES Lucifer 密钥长度：64位（有效密钥长度56位） 明文分组长度：64位AES Rijndael 密钥长度和明文分组长度：128,192或256位8. 根据依据的对象不同，密码算法可如何进行分类，分为几类。

（1）按保密的内容：基于受限算法的密码系统 基于密钥的密码系统 （2）按基本加密算法：替换 置换（3）按明文加密时处理单元：分组密码流密码（4）按密钥数量（是否使用相同的密钥）：单密钥系统（对称密码、秘密密钥密码）双密钥系统（非对称密码、公开密钥密码）（5）按应用技术：手工密码机械密码电子机内乱密码计算机密码9.常见的对称密码、非对称密码、置换密码、替换密码有哪些。