Shannon与现代密码学

H (X | Y) p( yi ) H (X | y j ) p( yi ) p( xi | y j ) log2 p( xi | y j )
j 1 j 1 i 1
12
m
m
n
熵和无条件保密
若将X视为一个系统的输入空间，Y视为系统 的输出空间，在通信中，通常将条件熵 H(X|Y)称作含糊度，X和Y之间的平均互信 息定义为： I(X,Y)=H(X)-H(X|Y) 它表示X熵减少量。
分组密码设计思想
P= p1 p2 p3 p4 p5
E: pi^ki = ci D: ci^ki = pi 已知明密文比特：pi^ci = ki
K=
k1 k2 k3 k4 k5
C=
c1 c2 c3 c4 c5
密钥不可重复使用
分组密码设计思想
事例：珍珠港事件
日本人偷袭珍珠港得手以后，山本五十六又制订了中途岛作战计划。 美军太平洋舰队新任司令尼米兹的手里有一个密码破译小组，虽然有 些情报还不能够完全破译，但是这个小组发现当日军开始向中途岛进 发的时候，在日军来往的电报中，经常出现的“AF”这两个字母，究竟 指什么？一时难以敲定。初步的判断，这可能是日军下一步要进攻的 目标，但是究竟是哪呢？也有人猜出来是中途岛，但是不能确定。 美军情报官让中途岛的美军，给太平洋舰队的总部发一份电报，内容 是 “本岛淡水设备发生故障。” 日军截获并破译了这封电报，同时向 它的司令部大本营报告。美军截获日军法网大本营的电报 “AF很可能 缺少淡水。” 于是确认了美军的判断——AF就是中途岛。 推论得到证实以后，太平洋舰队司令官尼米兹将军命令整个舰队严阵 以待，6月4日中途岛大战爆发，美军以损失一艘航空母舰的代价，一 举击沉了日本四艘航空母舰，而且都全是它的重型航空母舰，使日本 的联合舰队，遭受了空前的灭顶之灾。

2.1.4 现代密码学主要技术(续)
签名和认证函数必须满足的性质 1) 当且仅当Vk’ (m, s)=True时，s是消息m的合法签 名。 2) 对于任何签名者以外的实体在计算上不可能得 到任意的一组mf和sf满足Vk’ (mf , sf)=True。 数字签名的争议解决(不可否认) 如果签名者和验证者对签名发生争议，可由验证 者带着签名 (m, s) 提交给可信任第三方 (TTP) ，由 TTP验证该签名，最后进行仲裁。
2.1.4 现代密码学主要技术(续)
证书链和证书路径
图2.5 证书链
2.1.4 现代密码学主要技术(续)
(3) 认证与鉴别技术 鉴别或实体认证 定义 9 鉴别或实体认证是一个过程。在这个过程 中一方通过获得一些确定的证据来确认参加实体 认证的另一方的身份，而具有相应身份的实体也 确实就是正在参与这一认证过程的另一方。 例子1 实体A与B通电话，如果A与B认识就可以通 过声音来确定对方的真实性。 例子2 实体A通过信用卡在银行ATM机上取钱。 # 特点：时实性。
2.1.4 现代密码学主要技术(续)
公钥加密 定义 7 一个由加密函数集{Ee: eK}和解密函数集 {Dd: dK} 组成加密方案，每一个相关联的加 / 解 密密钥对(e, d)，加密密钥e公开，称为公开密钥， 而解密密钥d保密，称为秘密密钥。 # 显然安全公钥密码系统要求从 e 计算 d 为不可能。
2.1.4 现代密码学主要技术(续)
加密方案 加密方案是由一个加密函数集 {Ee: eK} 和解密函 数集{Dd: dK}构成，并且满足任意一个加密密钥 eK存在唯一一个解密密钥dK使 Dd=Ee1，也就是 对于所有明文消息mM ，存在Dd(Ee(m)) = m，(e, d)称为密钥对。设计加密方案就是确定M、 C、 K、 {Ee: eK}、{Dd:dK}的过程。

现代密码学课程论文学习︽现代密码学︾后的感受院系：数学与信息科学系班级：姓名：学号：对现代密码学的认识一、密码学的发展历程密码学在公元前400多年就早已经产生了，正如《破译者》一书中所说“人类使用密码的历史几乎与使用文字的时间一样长”。

密码学的起源的确要追溯到人类刚刚出现，并且尝试去学习如何通信的时候，为了确保他们的通信的机密，最先是有意识的使用一些简单的方法来加密信息，通过一些（密码）象形文字相互传达信息。

接着由于文字的出现和使用，确保通信的机密性就成为一种艺术，古代发明了不少加密信息和传达信息的方法。

例如我国古代的烽火就是一种传递军情的方法，再如古代的兵符就是用来传达信息的密令。

就连闯荡江湖的侠士，都有秘密的黑道行话，更何况是那些不堪忍受压迫义士在秘密起义前进行地下联络的暗语，这都促进了密码学的发展。

事实上，密码学真正成为科学是在19世纪末和20世纪初期，由于军事、数学、通讯等相关技术的发展，特别是两次世界大战中对军事信息保密传递和破获敌方信息的需求，密码学得到了空前的发展，并广泛的用于军事情报部门的决策。

例如在希特勒一上台时，德国就试验并使用了一种命名为“谜”的密码机，“谜”型机能产生220亿种不同的密钥组合，假如一个人日夜不停地工作，每分钟测试一种密钥的话，需要约4.2万年才能将所有的密钥可能组合试完，希特勒完全相信了这种密码机的安全性。

然而，英国获知了“谜”型机的密码原理，完成了一部针对“谜”型机的绰号叫“炸弹”的密码破译机，每秒钟可处理2000个字符，它几乎可以破译截获德国的所有情报。

后来又研制出一种每秒钟可处理5000个字符的“巨人”型密码破译机并投入使用，至此同盟国几乎掌握了德国纳粹的绝大多数军事秘密和机密，而德国军方却对此一无所知；太平洋战争中，美军成功破译了日本海军的密码机，读懂了日本舰队司令官山本五十六发给各指挥官的命令，在中途岛彻底击溃了日本海军，击毙了山本五十六，导致了太平洋战争的决定性转折。

现代密码学实验报告院系：理学院班级：信安二班姓名：学号：前言密码学（Cryptology）是研究秘密通信的原理和破译秘密信息的方法的一门学科。

密码学的基本技术就是对数据进行一组可逆的数学变换，使未授权者不能理解它的真实含义。

密码学包括密码编码学（Cryptography）和密码分析学（Cryptanalyst）两个既对立又统一的主要分支学科。

研究密码变化的规律并用之于编制密码以保护信息安全的科学，称为密码编码学。

研究密码变化的规律并用之于密码以获取信息情报的科学，称为密码分析学，也叫密码破译学。

密码学在信息安全中占有非常重要的地位，能够为信息安全提供关键理论与技术。

密码学是一门古老而深奥的学问，按其发展进程，经历了古典密码和现代密码学两个阶段。

现代密码学（Modern Cryptology）通常被归类为理论数学的一个分支学科，主要以可靠的数学方法和理论为基础，为保证信息的机密性、完整性、可认证性、可控性、不可抵赖性等提供关键理论与技术。

古典密码算法实验在密码编码体制中有两种基本也是古老的编码体制一直沿用至今，它们是代替密码和置换密码，其历史悠久并且是现代密码体制的基本组成部分，在密码学中占有重要地位。

古典密码是密码学发展的一个阶段，也是近代密码学产生的渊源，一般把Shannon 在1949 年发表“保密系统的通信理论”之前的时期称为古典密码时期。

尽管古典密码大多比较简单，一般可用手工或机械方式实现，且都可用统计分析方法破译，目前已很少采用。

但是，古典密码所采用的代替技术和置换技术仍然是现代分组密码算法设计的基础，了解它们的设计原理，有助于理解、设计和分析现代密码。

一、实验目的通过编程实现经典的代替密码算法和置换密码，包括移位密码、维吉尼亚密码、周期置换密码、列置换密码，加深对代替技术的了解，为现代分组密码实验奠定基础。

二、实验原理代替（Substitution）是古典密码中基本的处理技巧，就是将明文字母由其他字母表中的字母替换的一种方法。

现代密码学
21
密码系统模型
第1周第2次课
现代密码学
22
思考题：请找出下列数字的规 律，并续写几行？
11 21 1211 111221 312211 …………
第1周第2次课 现代密2次课 现代密码学 24
Thanks For Your Attentions
第1周第2次课
现代密码学
4
第1章 引 言
1.1 密码学的发展概况 1.2 密码学的基本概念
5
第1周第2次课
现代密码学
1.1 密码学的发展概况
第1周第2次课
现代密码学
6
第1周第2次课
现代密码学
7
第1周第2次课
现代密码学
8
第1周第2次课
现代密码学
9
1.2 密码学的基本概念
第1周第2次课
现代密码学
10
第1周第2次课
现 代 密 码 学
主讲教师：张 龙
黑龙江大学数学科学学院
Email：zl_168@
第1周第2次课
现代密码学
1
教材及参考书目
1. 2.
3.
4.
现代密码学， 陈鲁生、沈世镒编著，科学出 版社 密码学原理与实践（第二版），D R.Stinson 著，冯登国译，电子工业出版社 密码学导引，冯登国、裴定一编著，科学出 版社 现代密码学--原理与实践，Wenbo Mao著， 王继林等译，王育民等审校，电子工业出版 社
第1周第2次课 现代密码学 2
课程主要内容安排
第1章 第2章 第3章 第4章 第5章 第6章 第7章 第8章 第9章
第1周第2次课
引言 古典密码学 Shannon理论 分组密码 序列密码与移位寄存器 公钥密码 数字签名 Hash函数 密码协议

熵
有限值
确定值 与信源是否输出无关 信源的平均不确定度
信息量
可为无穷大
一般为随机量 接收后才得到信息 消除不定度所需信息
信源熵与信息量的比较
总括起来，信源熵有三种物理含义： 1 信源熵H(X)表示信源输出后，离散消息
所提供的平均信息量。
2 3
信源熵H(X)表示信源输出前，信源的平 均不确定度。 信源熵H(X)反映了变量X的随机性
2
条件熵
p(ai b j ) I (ai b j )
j 1 i 1
m
H ( X Y ) E[ I (ai b j )]
m n
p(ai b j ) log p(ai b j )
j 1 i 1
n
H (Y X ) E[ I (b j ai )]
p(ai b j ) log p(b j ai )
对消息ai 确定一个非负的实数 i , 作为消 息的 重量 ，即权重系数。
构造重量空间
X a1 , a2 , , ai , , an W ( X ) , ,, ,, 1 1 i n
定义信息的 加权熵
n
加权熵从某种 程度上反映了 人的主观因素。
提醒:不确定度表示含有多少信息，信息量表示随机事件
发生后可以得到多少信息。
2
联合自信息量
I (aib j ) log p(aib j )
当X与Y相互独立时 ,有 p(ai b j ) p(ai ) p(b j )，
有
I (ai b j ) log p(ai ) log p(b j ) I (ai ) I (b j )
信息论与密码学
之后，信息理论安全模型又引入到模糊提 取中，即从生物特征等模糊保密数据中直接提 取出密码体制中所需要的密钥。无条件安全密 钥协商和模糊提取有共同之处，都需要纠错和 从部分保密的数据中提取密钥，因此信息论、 纠错码、无条件认证码等理论与技术的成熟为 无条件安全密钥协商和模糊提取的研究奠定了 坚实的基础。

m
显然,当 m n 时等号不成立; 1 当m n 时,只有当诸 全相等时,等号才成立.
25
pi
现代密码学
定理3.1 设b>1,则有 (1) 0 H ( X )
p( x ) log
i 1 i
n
b
p( xi ) logb n ;
(2) H ( X ) logb n 当且仅当i ,都有 p( xi ) 1 ; n (3) H ( X ) 0 当且仅当存在i : 1 i n 使得 p( xi ) 1 且 j i ,都有p( xi ) 0; 证明 (1) 由logb p( xi ) 0 可知 H ( X ) 0 ,再由Jensen 不等式的推论1
17
现代密码学
例3 设电脑彩票由8个10进制数组成，在开奖之前， 108个可能号码成为特等奖的概率相同,都是10-8.一旦 开奖,我们就知道了特等奖的8个具体号码,因而就获 得了8个十进制数的信息。 我们获得的信息量与开奖前每个可能号码成为 特等奖的概率10-8有何关系? 显然,有 8 = - log10 10-8 信息量的定量刻划: 定义2 设 p( Ai )是一个实验中事件 Ai 发生的概率, 则称 I ( Ai ) log p( Ai ) 为事件 Ai 包含的自信息量.
18
现代密码学
熵的数学定义
定义3.1(随机事件的熵):设一个实验X有 x1, x2 ,, xn 共n个可能的结果,则称 I ( xi ) log p( xi ) 的数学期 望
H ( X ) p( xi ) I ( xi ) p( xi ) log p( xi )
i 1 i 1 n n
i 1 i 1 m m
pi logb pi

24
估计一个系统的实际保密性
理论上，当截获的密报量大于唯一解距 离时，原则上就可破译。 由于自然语言的复杂性，没有任何一种 分析方法能够假定分析者能利用明文语言的 全部统计知识，所以，一般破译所需的密文 量都远大于理论值。 没有涉及为了得到唯一解需完成多少 计算量。从实际破译来看，有时虽然截获的 密文量远大于唯一解距离，但由于所需的工 作量还太大而难以实现破译。
25
估计一个系统的实际保密性
理论保密性是假定密码分析者有无限的时间、 设备和资金的条件下，研究唯密文攻击时密码系 统的安全性。比如一次一密体制。 实际安全性又称为计算上的安全性，这个方法 关心的是破译一个具体的密码系统所需的计算量。 在实际中，人们说一个密码系统是“计算上 安全的”，意指利用已有的最好的方法破译该系 统所需要的努力超过了敌手的破译能力（诸如时 间、空间、和资金等资源）或破译该系统的难度 等价于解数学上的某个已知难题
21
理论安全性和实际安全性
图 密钥，消息和密钥显现含糊度作为S的函数
22
语言的多余度
定义4 假如L是一种自然语言，语言L的熵 为 语言的多余度定义为 其中A表示语言L的字母集，表示A中字 母的个数， 表示所有明文n－字母报构成 的全体。
23
密钥含糊度
定理6 密钥含糊度有下列下界 其中，S表示接受到的密文序列长度， 表示明文语言的冗余度， 表示密文空间中 符号或字母的数目。 定理7 当明文由一个离散独立信源产生，如 果 ，其中 是字母表的大小。 密钥的含糊度能变为零。
26
估计一个系统的实际保密性
฀ 密码分析者的计算能力； ฀ 他所采用的破译算法的有效性。
27
Shannon关于设计密码的一些基本观点 关于设计密码的一些基本观点 通过合并简单密码系统而形成它们的 “积”挫败统计分析的观点： ฀ 在加密之前将语言的一些多余度除去。 ฀ 采用所谓的“扩散（Diffusion）”和 “混淆（Confusion）”这两种加密技术扩 散或混淆多余度。

《现代密码学》练习题（含答案）一、填空题（每空1分，共7分）1. 加密算法的功能是实现信息的保密性。

2. 数据认证算法的功能是实现数据的完整性即消息的真实性。

3. 密码编码学或代数中的有限域又称为伽罗华(Galois)域。

记为GF(pn)4. 数字签名算法可实现不可否认性即抗依赖性。

信息安全基本要求：可用性、保密性、完整性、不可否认性、可控性、真实性。

5. Two-Track-MAC算法基于带密钥的RIPEMD-160。

密钥和输出MAC值都是20B6. AES和Whirlpool算法是根据宽轨迹策略设计的。

7. 序列密码的加密的基本原理是：用一个密钥序列与明文序列进行叠加来产生密文。

8. Rabin密码体制是利用合数模下求解平方根的困难性构造了一种非对称/公钥/双钥密码体制。

1. 现代对称密码的设计基础是：扩散和混淆。

2. 加密和解密都是在密钥控制下进行的。

3. 在一个密码系统模型中，只截取信道上传送信息的攻击方式被称为被动攻击。

4. Caesar密码体制属于单表代换密码体制。

（字母平移）5. 尽管双重DES不等价于使用一个56位密钥的单重DES，但有一种被称为中途相遇攻击的破译方法会对它构成威胁。

（成倍减少要解密的加密文本）6. 设计序列密码体制的关键就是要设计一种产生密钥流的方法。

2. 椭圆曲线密码是利用有限域GF(2n)上的椭圆曲线上点集所构成的群上定义的离散对数系统，构造出的公钥/非对称密码体制。

3. 在公钥密码体制中，加密密钥和解密密钥是不一样的，加密密钥可以公开传播而不会危及密码体制的安全性。

2. 密码学上的Hash函数是一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。

3. 数字签名主要是用于对数字消息进行签名，以防止消息的伪造或篡改，也可以用于通信双方的身份认证。

2. CTR/计数器加密模式与CBC认证模式组合构成CCM模式；GMAX算法与CTR加密模式组合构成GCM模式。

• 在shamir门限方案中会恢复密钥、多项式
考试
• 简答题（共15分） • 计算题（共55分） • 证明题（共20分） • 论述题（共10分）
注意： 1. 按步给分，别只写答案 2. 闭卷，该记的公式要记住（AES列变换矩
阵不用记）
数字签名
• 了解数字签名的特点，与传统物理签名的 区别
• 掌握ElGamal签名方案的签名和验证算法 (记)
Hash函数
• 弱无碰撞和强无碰撞的定义及相关证明 • 了解分组密码构造Hash函数的方法
密码协议
• 了解密钥分配，秘密共享，身份识别，零 知识证明协议所解决的问题是什么
• 了解为何Diffie—Hellman密钥交换协议容易 受到中间人攻击，以及改进的端到端协议
古典密码
• 了解常见的古典密码体制 • 仿射密码的加解密过程 • Hill密码的加解密过程 • 了解几种古典密码体制所采用的分析方法
Shannon理论
• 完善保密性的定义，并证明一些简单密组密码中的扩散和混淆（混乱）的含义 • 数据加密标准DES：分组长度，密钥长度，
每一轮的轮函数，大体流程 • 高级加密标准AES：分组长度，密钥长度，
大体流程；会进行列混合中的代数运算 • 知道分组密码的四种工作模式的加解密操
作，了解它们的不同。
流密码
• 掌握线性移位寄存器的特征多项式表示、 递推关系表示
• 会画线性移位寄存器的示意图 • 会求生成序列及周期，判断生成序列是否
为m序列。
公钥密码
• 了解什么是难解问题、（陷门）单向函数 • 欧拉函数的求值；欧拉定理 • 雅可比记号的计算（注意各结论的应用条件，如
互反律；记基本结果） • 计算模n下的逆元 • 掌握RSA密码体制：密钥的产生和加解密算法。 • 了解背包密码体制加解密算法 • 掌握椭圆曲线上点的基本计算：加法、数乘

11
1.密码学基本概念
对一个保密通信系统采取截获密文进行 分析的这类攻击称为被动攻击。 现代信息系统还可能遭受的另一类攻 击是主动攻击，非法入侵者、攻击者或黑客 主动向系统窜扰，采用删除、增添、重放、 伪造等窜改手段向系统注入假消息，达到利 己害人的目的。这是现代信息系统中更为棘 手的问题。
12
1.密码学基本概念
19
密码体制的定义
一个密码体制可以可以描述为一个五元 组(P,C,K,E,D)，必须满足下面的条件： 1 P是可能明文的有限集。 2 C是可能密文的有限集。 3 k是可能的密钥的有限集。
对于每一个k
K，都有一个加密规则
dk D
ek E
和相应的解密规则
每一个
ek : P C
和 dk : C P 是一个函数，它满足：对于每一个明文
13
非法接 入者
密码分 析员
m'
信源 m M
加密器
c Ek1 (m)
m'
解密器
m
c
m Dk2 (c)
k2 密钥源 K2
信宿
k1 密钥源 K1
密钥信道
密码学上保密通信系统的模型
14
1.密码学基本概念
称总体(M,C,K1,K2,EK1,DK2)为保密通信 系统。对于给定明文消息m∈M，密钥 k1∈K1，加密变换将明文m变换为密文c，即 c=f(m,k1)=Ek1(m) m∈M,k1∈K1。 接收方利用通过安全信道送来的密钥k （k∈K，单钥体制下）或用本地密钥发生器 产生的解密密钥k2（k2∈K2，双钥体制下） 控制解密操作D，对收到的密文进行变换得 到恢复的明文消息，即： m=Dk2(c) m∈M,k2∈K2

现代密码学总结第一讲绪论1、密码学是保障信息安全的核心2、安全服务包括：机密性、完整性、认证性、不可否认性、可用性3、一个密码体制或密码系统是指由明文（m或p）、密文（c）、密钥（k）、加密算法（E）和解密算法（D）组成的五元组。

4、现代密码学分类：（1）对称密码体制：（又称为秘密密钥密码体制，单钥密码体制或传统密码体制）密钥完全保密；加解密密钥相同；典型算法：DES、3DES、AES、IDEA、RC4、A5 （2）非对称密码体制：（又称为双钥密码体制或公开密钥密码体制）典型算法：RSA、ECC第二讲古典密码学1、代换密码：古典密码中用到的最基本的处理技巧。

将明文中的一个字母由其它字母、数字或符号替代的一种方法。

（1）凯撒密码：c = E(p) = (p + k) mod (26)p = D(c) = (c –k) mod (26)（2）仿射密码：明文p ∈Z26，密文c ∈Z26 ，密钥k=(a,b)ap+b = c mod (26)（3）单表代换、多表代换Hill密码：（多表代换的一种）——明文p ∈(Z26)m，密文c ∈(Z26)m，密钥K ∈{定义在Z26上m*m的可逆矩阵}——加密 c = p * K mod 26解密p = c * K-1 mod 26Vigenere密码：查表解答（4）转轮密码机：2、置换密码：将明文字符按照某种规律重新排列而形成密文的过程列置换，周期置换3、密码分析：（1）统计分析法：移位密码、仿射密码和单表代换密码都没有破坏明文的频率统计规律，可以直接用统计分析法（2）重合指数法⏹ 完全随机的文本CI=0.0385，一个有意义的英文文本CI=0.065⏹实际使用CI 的估计值CI ’：L ：密文长。

fi ：密文符号i 发生的数目。

第三讲密码学基础第一部分密码学的信息论基础1、 Shannon 的保密通信系统模型（1） 对称密码体制（2）（3） 一个密码体制是一个六元组：（P , C, K 1, K 2, E, D )P--明文空间C--密文空间K 1 --加密密钥空间 K 2--解密密钥空间E --加密变换D --解密变换对任一k ∈K 1,都能找到k’∈K 2，使得D k’ (E k (m ))=m ，∀m ∈M.2、 熵和无条件保密（1） 设随机变量X={xi | i=1,2,…,n}, xi 出现的概率为Pr(xi) ≧0, 且, 则X 的不确定性或熵定义为熵H(X)表示集X 中出现一个事件平均所需的信息量(观察前)；或集X 中每出现一个事件平均所给出的信息量(观测后).（2） 设X={x i |i=1,2,…,n}, x i 出现的概率为p (x i ) ≥0，且∑i=1,…,n p (x i )=1;0 )(1log )()(≥=∑ii ai x p x p X HY={y i |i=1,2,…,m}, y i 出现的概率为p (y i ) ≥0，且∑i=1,…,m p (y i )=1; 则集X 相对于集Y 的条件熵定义为（3） X 视为一个系统的输入空间，Y 视为系统的输出空间，通常将条件熵H (X|Y)称作含糊度，X 和Y 之间的平均互信息定义为：I (X,Y)=H (X)-H (X|Y) 表示X 熵减少量。

Shannon与现代密码学王育民西安电子科技大学教育部计算机网络与信息安全重点实验室1949年Shannon公开发表了《保密系统的通信理论》[8]，开辟了用信息论研究密码学的新方向，使他成为密码学的先驱、近代密码理论的奠基人。

这篇文章是他在1945年为贝尔实验室所完成的一篇机密报告《A Mathematical Theory of Cryptograph》[1，[24]]。

Boston 环球报称此文将密码从艺术变成为科学。

（Transformed cryptography from an art to a science.）。

本文发表后促使他被聘为美国政府密码事务顾问。

这一工作的背景是他在1941年在贝尔曾从事密码学研究工作，接触到SIGSAL Y电话，这是一种马桶大小的语言置乱设备，供丘吉尔和罗斯福进行热线联系。

这一电话保密机所用的密码就是在今天也破不了[1，p.xx]。

SIGSAL Y电话机这篇文章对于研究密码的人来说是需要认真读的一篇经典著作。

本文奠定了现代密码理论的基础。

可以说，最近几十年来密码领域的几个重要进展都与Shannon这篇文章所提出的思想有密切关系。

1.保密通信系统的数学模型Shannon以概率统计的观点对消息源、密钥源、接收和截获的消息进行数学描述和分析，用不确定性和唯一解距离来度量密码体制的保密性，阐明了密码系统、完善保密性、纯密码、理论保密性和实际保密性等重要概念，从而大大深化了人们对于保密学的理解。

这使信息论成为研究密码学和密码分析学的一个重要理论基础，宣告了科学的密码学时代的到来。

2.2. 正确区分信息隐藏和信息保密Shannon在引论中就明确区分了信息隐藏（隐匿信息的存在）和信息保密（隐匿信息的真意），以及模拟保密变换和数字信号加密（密码）不同之处。

Shannon称后者为真保密系统（True secrecy system）3. 密码系统与传信系统的对偶性传信系统是对抗系统中存在的干扰（系统中固有的或敌手有意施放的），实现有效、可靠传信。

《现代密码学习题》答案第一章1、1949年，（ A ）发表题为《保密系统de通信理论》de文章，为密码系统建立了理论基础，从此密码学成了一门科学。

A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由（ D）决定de。

A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统de计算量下限，利用已有de最好方法破译它de所需要de代价超出了破译者de 破译能力（如时间、空间、资金等资源），那么该密码系统de安全性是（ B ）。

A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握de分析资料de不通，密码分析一般可分为4类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大de是（ D ）。

A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击5、1976年，W.Diffie和M.Hellman在密码学de新方向一文中提出了公开密钥密码de思想，从而开创了现代密码学de新领域。

6、密码学de发展过程中，两个质de飞跃分别指 1949年香农发表de保密系统de通信理论和公钥密码思想。

7、密码学是研究信息寄信息系统安全de科学，密码学又分为密码编码学和密码分析学。

8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法 5部分组成de。

9、密码体制是指实现加密和解密功能de密码方案，从使用密钥策略上，可分为对称和非对称。

10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。

第二章1、字母频率分析法对（B ）算法最有效。

A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。

A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对（C）算法de破解最有效。

A置换密码B单表代换密码C多表代换密码D序列密码4、维吉利亚密码是古典密码体制比较有代表性de一种密码，其密码体制采用de是（C ）。

随机变量和概率分布
在密码学中，我们考虑的函数一般都是定义在离 散空间中的。离散空间S一般有有限个或可数个离 散的点。
例1、RSA体制：y=me mod N 例2、DL体制：y=gx mod P
随机变量和概率分布
离散随机变量和其分布函数
1、一个离散随机变量定义在一个离散的样本空间上的函数 ，它是一个试验的某个数字表示结果。 2、令S为离散空间，X为随机变量。那么X的离散分布函数 就是一个由S R的离散值的映射：
生日悖论
1、在一个房间里，至少需要多少人，才可以找到一个与 Alice的生日为同一天的概率大于1/2？ 2、在一个房间里，至少需要多少人，才可以找到两个人的 生日为同一天的概率大于1/2 ？ Answer：P=1- (364/365）t-1 t=183
The Birthday Problem
What is the probability that at least two of k randomly selected people have the same birthday? (Same month and day, but not necessarily the same year.)
11
The Birthday Paradox
How large must k be so that the probability is greater than 50 percent? The answer is 23
It is a paradox in the sense that a mathematical truth contradicts common intuition.
k 2 2n
18
Collision Search-4

shannon提出的密码系统设计基本原则Shannon提出的密码系统设计基本原则在密码学领域中，Claude Shannon被公认为是现代密码学的奠基人之一。

他在1949年的论文中提出了密码系统设计的一些基本原则，这些原则至今仍被广泛应用于密码算法和协议的开发中。

本文将介绍Shannon提出的密码系统设计基本原则，并探讨它们在保障信息安全方面的重要性。

首先，Shannon强调了保密性的重要性。

他认为，一个好的密码系统应该能够保证密文的机密性，以防止未经授权的个体访问敏感信息。

为了实现这一目标，密码系统必须采用强大的加密算法和密钥管理机制。

加密算法应该是不可逆的，即使攻击者拥有大量的密文和明文对，也无法从中推导出加密密钥的价值。

密钥管理机制应该确保只有授权的用户才能访问和使用密钥。

其次，Shannon提出了完整性的原则。

在密码系统中，完整性是指确保信息在传输和存储过程中没有被篡改或损坏。

为了实现这一目标，密码系统应该采用完整性保护机制，如消息认证码和数字签名。

消息认证码可以用于验证消息的完整性和真实性，防止被篡改。

数字签名则可以用于验证消息的真实性和不可否认性，确保消息的发送方无法否认其发送过该消息。

此外，Shannon还强调了密码系统的可用性。

一个好的密码系统应该能够提供高效、可靠的服务，使得合法用户能够快速、方便地访问和使用信息。

为了实现这一目标，密码系统的设计应该考虑到用户友好性、性能优化和容错能力。

密码算法和密钥管理机制应该能够在保证安全性的前提下，提供高速的加密和解密操作。

此外，密码系统还应该具备灵活性，能够适应不同环境和应用场景的需求。

最后，Shannon强调了密码系统的可扩展性和可维护性。

一个好的密码系统应该能够随着技术和安全需求的变化不断进行升级和维护，以应对不断演化的威胁。

密码系统的设计应该具备模块化和可配置性，使得新的加密算法和密钥管理机制可以方便地集成进来。

此外，密码系统的设计应该考虑到系统的可扩展性，以便在需要时能够轻松地增加新的功能和功能模块。

Pr( b 2 )
6 7 3
Pr( a 3 )
1
Pr( b 3 )
4 Pr( a 4 ) 0
4 Pr( b 4 ) 1
于是
H ( M C ) Pr( 1) H ( M 1) Pr( 2 ) H ( M 2 ) Pr( 3) H ( M 3) Pr( 4 ) H ( M 4 )
i i0
p 1
长为s的密钥：Κ k k 1 , k 2 , , k s k i B ,1 i s
加密变换：将明文在密钥的控制下变为密文，即


c 1 , c 2 , , c t E k m 1 , m 2 , , m r
t和r为何不等呢？
密文空间的统计特性由明文空间和密钥空间的统计特性决定：
编码器 信道 干扰源 解码器 m 接收者
保密系统：设计目的是使窃听者即使完全准确地接收到了信道上的传 输信号也无法恢复原始信息。
密码分析者 信源 加密器 信道 解密器 接收者
m
k
密钥源
c
c
m
k
秘密信道 密钥源
信源字母表： X a i i 0 ,1, 2 , , q 1


且 a i 的概率为
第三章 Shannon理论
3.1 密码体制的数学模型
3.2 熵及其性质
3.3 伪密钥和惟一解距离
3.4 密码体制的完善保密性
3.5 乘积密码体制
3.1 密码体制的数学模型
密码注定与通信密不可分,不需通信也就不需要密码了。通信系统：设计 目的是在信道有干扰的情况下,使接收的信息无差错或差错尽可能地小。 信源 m
称为随机变量X和Y的联合熵。 n def 定义3.3 H ( X y j ) Pr( x i y j ) log 2 Pr( x i y j )