现代密码学-第5章Hash函数与消息认证习题与解答-20091202

《现代密码学习题》答案第一章判断题×√√√√×√√选择题1、1949年，（A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理论基础，从此密码学成了一门科学。

A、ShannonB、DiffieC、HellmanD、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，而其安全性是由（D）决定的。

A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（B ）。

A无条件安全B计算安全C可证明安全D实际安全4、根据密码分析者所掌握的分析资料的不通，密码分析一般可分为4类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（D ）。

A、唯密文攻击B、已知明文攻击C、选择明文攻击D、选择密文攻击填空题：5、1976年，W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。

6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。

7、密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分析学。

8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。

9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为对称和非对称。

10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。

第二章判断题：×√√√选择题：1、字母频率分析法对（B ）算法最有效。

A、置换密码B、单表代换密码C、多表代换密码D、序列密码2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。

A仿射密码B维吉利亚密码C轮转密码D希尔密码3、重合指数法对（C）算法的破解最有效。

证算法为
(5-10)
其中:
e1=h(m)s-1 mod q, e2=rs-1 mod q
(5-11)
第5章签名与认证
实际上，由k={h(m)+xr}s-1 mod q知:
DSS的公布引起了学术界和商业界的激烈反应: 赞成的人 认为它长度小、速度快、成本低，对金融业特别有用；反对 的人则认为它不与国际标准(以RSA为标准的ISO、CCITT、 SWIFT等)兼容。从技术上讲，s不能等于零，要加以排除，否 则危及安全性。
则理论上可以推知
成立的概率为
它表明，如果B想用其他d值来否认y是他的签名，其结果就
很难使等式成立(立刻会被发现)。因此，B能愚弄A的概率只
有 。只要q充分大，B就没有理由否认自己的签名。
第5章签名与认证
5.1.5群签名
1991年，Chaum和VanHeyst基于以下问题提出群签名 (GroupSignature)方案:
第5章签名与认证
第5章 签名与认证
1. 数字签名 2. 单向散列(Hash)函数 3. 身份识别 4. 消息认证码(MAC) 习题 5 实践练习 5
第5章签名与认证
信息技术带来现代社会变革的一个重大方面是电子商务, 它极大地促进了传统商务模式的改变和结构的更新。而电子商 务的发展, 对信息安全技术又提出了多方位的新要求, 主要表 现在形形色色的签名与认证需求方面。密码技术近年来的巨大 发展, 也正集中体现在这些方面。
杂性要求；α∈ 是 域中q次单位元根, 1≤α≤q-1 。设G表示阶为q的 的乘法子群，且定义:
K={(p,α,β,a):β=αa mod p} 其中, 私有密钥为a；公开密钥为p、α、β
。
第5章签名与认证

一、古典密码（1,2,4）解：设解密变换为m=D(c)≡a*c+b (mod 26)由题目可知密文ed 解密后为if，即有：D(e)=i ：8≡4a+b (mod 26) D(d)=f ：5≡3a+b (mod 26) 由上述两式，可求得a=3，b=22。

因此，解密变换为m=D(c)≡3c+22 (mod 26)密文用数字表示为：c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为m=3*c+22 (mod 26)=[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17]= ifyoucanreadthisthankateahcer4. 设多表代换密码C i≡ AM i + B (mod 26) 中，A是2×2 矩阵，B是0 矩阵，又知明文“dont”被加密为“elni”，求矩阵A。

解：dont = (3,14,13,19) => elni = (4,11,13,8)二、流密码 （1,3,4）1. 3 级 线 性 反 馈 移 位 寄 存 器 在 c 3=1 时 可 有 4 种 线 性 反 馈 函 数 ， 设 其 初 始 状 态 为 (a 1,a 2,a 3)=(1,0,1)，求各线性反馈函数的输出序列及周期。

解：设反馈函数为 f(a 1,a 2,a 3) = a 1⊕c 2a 2⊕c 1a 3当 c1=0，c2=0 时，f(a 1,a 2,a 3) = a 1，输出序列为 101101…，周期为 3。

当 c1=0，c2=1 时，f(a 1,a 2,a 3) = a 1⊕a 2，输出序列如下 10111001011100…，周期为 7。

当 c1=1，c2=0 时，f(a 1,a 2,a 3) = a 1⊕a 3，输出序列为 10100111010011…，周期为 7。

分组密码体制1.设算法中盒的输入为，求其输出。

2.（1）设是的逐比特取补，证明在中，如果对明文分组和加密密钥都逐比特取补，那么得到的密文也是原密文的逐比特取补，即如果那么提示：对任意两个长度相等的比特串和，证明。

（2）对进行穷搜索时，需要在由个密钥构成的密钥空间进行。

能否根据（1）的结论减小穷搜索攻击时所用的密钥空间。

3.证明的解密变换是加密变换的逆。

4.计算上的多项式乘法（1）（2）（3）（4）5.设算法分组长度为，输入的明文和密钥分别为求的第轮输出。

6.在的模式中，如果在密文分组中有一个错误，解密后仅相应的明文分组受到影响。

然而在模式中，将有错误传播。

例如在图3-11中中的一个错误明显影响到和的结果。

（1） 后的分组是否受到影响？（2） 设加密前的明文分组中有一个比特的错误，问这一错误将在多少个密文分组中传播？对接收者产生什么影响？7.在比特模式中，如果在密文字符中出现比特的错误，问该错误能传播多远？Hash 函数1.指出强抗碰撞函数与弱抗碰撞函数之间的区别。

2.考虑函数。

设、是两个素数，，是的生成元。

作为公钥，与作为签名者的私钥。

对任意消息，其摘要定义为（1） 令，。

分别计算消息，的摘要。

（2） 证明：如果得到了两个碰撞的消息，那么就可以求出的分解。

（3） 证明：如果得到了的分解，那么就可以找到碰撞的消息。

3.设是一个素数，、是的两个生成元，使得离散对数的计算是困难的。

对任意消息，定义函数的摘要为（1） 设，，。

分别计算消息，的摘要。

（2） 证明：求解函数的碰撞等价于计算离散对数。

4.设是一个从到的函数，这里，。

对任意整数，按下述方法定义一个从到的函数：对任意，设其中，定义假设是抗碰撞的，试证也是强抗碰撞的。

5.考虑用公钥加密算法构造函数。

假设使用公钥加密算法，首先将消息进行分组；用加密第个分组；将加密结果与第个分组作异或，再对其进行加密；一直进行下去。

例如，如果消息被分成两个分组和，则其值为。

• SHA–1产生音讯摘要的过程类似MD5，如下图
填充位
L×512 bit＝ N×32 bit K bit
这一步为MD5的主循环，包括四轮。每个循环 都以当前的正在处置的512比特分组Yq和128比 特缓冲值ABCD为输入，然后更新缓冲内容。
3.MD5的输出
由A、B、C、D四个存放器的输出按低位字节在 前的顺序(即以A的低字节开场、D的高字节终 了)得到128位的音讯摘要。
• 单个512比特分组的MD5主循环处置：
对散列函数必需具有的性质的了解： 系统能够存在的伪造方式 伪造方式一：假设攻击者截获某一音讯摘要h,假
设H的逆函数H-1是易求的，可算出H-1(h)=m, 满足h=H(m)。为防止这一点，必需求求散列 函数H为单向的，即计算H的逆函数H-1在计算 上是不可行的。 伪造方式二：从一个有效签名(m,y)开场，此处y= sigk(H(m))。首先计算h=H(m)，并企图找到一 个m’=m满足H(m’)=H(m)。假设做到这一点， 那么(m’,y)也将为有效签名。为防止这一点， 要求函数h具有弱抗冲突特性，即，对给定音 讯m，在计算上几乎找不到不同于m的m’ ∈ X 使H(m)=H(m’)。
(1)单向性：对任何给定的码h，寻觅m使得 H(m) = h在计算上是不可行的
(2)具有弱抗碰撞性〔week collision resistance〕 ：对于任何给定的音讯m， 寻觅一个与m不同的音讯m’使得 H(m)=H(m’)在计算上不可行。
(3)具有强抗碰撞性〔 strong collision resistance 〕：寻觅恣意两个不同的音讯 m和m’使得使得H(m)=H(m’)在计算上不 可行。
对散列函数的生日攻击
• 假定其输出为m比特，那么寻觅一个音讯，使其散 列值与给定散列值一样那么需求计算2m次；而寻 觅两个音讯具有一样的散列值仅需求实验2m/2个 随机的音讯。

9.选择题
答案：DCCCC. 7B
10.填空题
1.公钥密码体制的思想是基于陷门单向函数，公钥用于该函数的正向（加密）计算，私钥用于该函数的反向（解密）计算。
2.1976年，W.Diffie和M.Hellman在密码学新方向一文中提出了公钥密码的思想，从而开创了线代密码学的新领域。
3.公钥密码体制的出现，解决了对称密码体制很难解决的一些问题，主要体现一下三个方面：密钥分发问题、密钥管理问题和数字签名问题。
4.公钥密码算法一般是建立在对一个特定的数学难题求解上，那么RSA算法是基于大整数因子分解困难性、ElGamal算法是基于有限域乘法群上离散对数的困难性。
5.Rabin公钥密码体制是1979你M.O.Rabin在论文《Digital Signature Public-Key as Factorization》中提出的一种新的公钥密码体制，它是基于合数模下求解平方根的困难性（等价于分解大整数）构造的一种公钥密码体制。
1.Hash函数就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出称为散列值。
2.13、Hash函数的单向性是指对任意给它的散列值h找到满足H（x)＝h的x。
3.14、Hash函数的抗碰撞性是指。
4.与以往攻击者的目标不通，散列函数的攻击不是恢复原始的明文，而是寻找散列函数的过程，最常用的攻击方法是生日攻击，中途相遇攻击。
4.1949年，香农发表《保密系统的通信理论》，为密码系统建立了理论基础，从此密码学成为了一门学科。
5.密码学的发展大致经历了两个阶段：传统密码学和现代密码学。
6.1976年，W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。

存储会话密钥， 转发E ③ A存储会话密钥，并向 转发 KB[KS‖IDA]。因 存储会话密钥 并向B转发 。 为转发的是由K 加密后的密文， 为转发的是由 B加密后的密文，所以转发过程不 会被窃听。B收到后，可得会话密钥KS，并从IDA 会被窃听。 收到后，可得会话密钥 并从 收到后 可知另一方是A，而且还从E 知道K 可知另一方是 ，而且还从 KB知道 S的确来自 KDC。 。 这一步完成后，会话密钥就安全地分配给了 、 。 这一步完成后，会话密钥就安全地分配给了A、B。 然而还能继续以下两步工作： 然而还能继续以下两步工作：
两个用户A和 获得共享密钥的方法包括： 获得共享密钥的方法包括 两个用户 和B获得共享密钥的方法包括： 密钥由A选取并通过物理手段发送给 选取并通过物理手段发送给B。 ① 密钥由 选取并通过物理手段发送给 。 密钥由第三方选取并通过物理手段发送给A和 。 ② 密钥由第三方选取并通过物理手段发送给 和B。 如果A、 事先已有一密钥 事先已有一密钥， ③ 如果 、B事先已有一密钥，则其中一方选取新密 钥后，用已有的密钥加密新密钥并发送给另一方。 钥后，用已有的密钥加密新密钥并发送给另一方。 如果A和 与第三方 分别有一保密信道， 与第三方C分别有一保密信道 ④ 如果 和B与第三方 分别有一保密信道，则C为A、 为 、 B选取密钥后，分别在两个保密信道上发送给 、B。 选取密钥后， 选取密钥后 分别在• 假定两个用户 、B分别与密钥分配中心 假定两个用户A、 分别与密钥分配中心 分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥 A和KB， 有一个共享的主密钥K 有一个共享的主密钥 A希望与 建立一个共享的一次性会话密钥，可通 希望与B建立一个共享的一次性会话密钥 希望与 建立一个共享的一次性会话密钥， 过以下几步来完成（ 过以下几步来完成（图5.1 ）： • ① A向KDC发出会话密钥请求。表示请求的消息由 发出会话密钥请求。 向 发出会话密钥请求 两个数据项组成， 项是A和 的身份 的身份， 两个数据项组成，第1项是 和B的身份，第2项是 项是 项是 这次业务的惟一识别符N1， 为一次性随机数， 这次业务的惟一识别符 ，称N1为一次性随机数， 为一次性随机数 可以是时戳、计数器或随机数。每次请求所用的N1 可以是时戳、计数器或随机数。每次请求所用的 都应不同，且为防止假冒，应使敌手对N1难以猜测 难以猜测。 都应不同，且为防止假冒，应使敌手对 难以猜测。 因此用随机数作为这个识别符最为合适。 因此用随机数作为这个识别符最为合适。

s0 = (a1 , a2 ,L , am −1 , am ) = (0,1,..., 0,1)
注：s个01
am + k = c1am + k −1 + c2 am −1 + L cm ak ,
s
k ≥1
am +1 = c1am + c2 am −1 + L cm a1 = ∑ c2 j −1 = 0
第 3 页
NCUT
密码学 – 习题与答案
2010
穷举搜索密钥空间 K1/2，对于某个 k∈K1/2，假设 (i) Ek(x)=y1，如果 y1=y，则说明 k0=k 而且 k0∈K1/2。 (ii) Ek(x’)=y2，如果 y2=y’，则说明 k= k0’，即 k0= k’ 而且 k0∈K’1/2。 综上可知：对于选定的明文密文对(x,y)，只需遍历 K1/2 中的所有密钥即可，此时密钥空间 大小少为 255。 2. 证明 DES 的解密变换是加密变换的逆。 证明：定义 T 是把 64 位数据左右两半交换位置的操作，即 T(L,R)=(R,L)，则 T2(L,R)=(L,R)， 即 T2=I，其中 I 为恒等变换。 定义 DES 中第 i 轮的主要运算为 fi，即
状态(a1,a2,a3,a4) f(a1,a2,a3,a4) 1 1 1 0 1 1 … 输出 1 1 0 1 1 1 …
(1,1,0,1)
(1,0,1,1) (0,1,1,1) (1,1,1,1) (1,1,1,0)
(1,1,0,1)
…
因此，输出序列为 11011 11011 …，周期为 5。 4. 密钥流由 m=2s 级的 LFSR 产生，前 m+2 个比特是(01)s+1，即 s+1 个 01，请问第 m+3 个 比特有无可能是 1，为什么？ 解： 根据题目条件，可知初始状态 s0 为： 设该 LFSR 的输出序列满足如下递推关系： 则第 m+1, m+2 个比特为：

5.4.1 随机数的使用
很多密码算法都需使用随机数，例如： 很多密码算法都需使用随机数，例如： • 相互认证。在密钥分配中需使用一次性随机数来 相互认证。 防止重放攻击。 防止重放攻击。 • 会话密钥的产生。 会话密钥的产生。 • 公钥密码算法中密钥的产生，用随机数作为公钥 公钥密码算法中密钥的产生， 密码算法中的密钥， 密码算法中的密钥，或以随机数来产生公钥密码算 法中的密钥。 法中的密钥。 在随机数的上述应用中， 在随机数的上述应用中，都要求随机数序列满 随机性和不可预测性。 足随机性和不可预测性。
一种方法是将高质量的随机数作为随机数库编 一种方法是将高质量的随机数作为随机数库编 辑成书，供用户使用。 辑成书，供用户使用。然而与网络安全对随机数巨 大的需求相比，这种方式提供的随机数数目非常有 大的需求相比，这种方式提供的随机数数目非常有 再者， 限。再者，虽然这时的随机数的确可被证明具有随 机性，但由于敌手也能得到这个随机数源， 机性，但由于敌手也能得到这个随机数源，而难以 保证随机数的不可预测性。 保证随机数的不可预测性。 网络安全中所需的随机数都借助于安全的密码 网络安全中所需的随机数都借助于安全的密码 算法来产生。但由于算法是确定性的， 算法来产生。但由于算法是确定性的，因此产生的 数列不是随机的。然而如果算法设计得好， 数列不是随机的。然而如果算法设计得好，产生的 数列就能通过各种随机性检验，这种数就是伪随机 数列就能通过各种随机性检验，这种数就是伪随机 数。
如果取a=7，其他值不变，则产生的数列为 5, 25, ，其他值不变，则产生的数列为{1, 如果取 29, 17, 21, 9, 13, 1,…}，周期增加到 。 ，周期增加到8。 周期尽可能大， 应尽可能大 应尽可能大。 为使随机数数列的周期尽可能大 为使随机数数列的周期尽可能大，m应尽可能大。 普遍原则是选 接近等于计算机能表示的最大整数 接近等于计算机能表示的最大整数， 普遍原则是选m接近等于计算机能表示的最大整数， 如接近或等于2 如接近或等于231。

1、是非判断题（10分）1.差分分析是一种攻击迭代密码体制的选择明文攻击方法，所以，对于DES和AES都有一定的攻击效果。

（对）2.反馈移位寄存器输出序列生成过程中，抽头位对输出周期长度的影响起着决定性的作用，而初态对输出周期长度没影响。

（对）3.被撤销的公钥证书都需放入到证书撤销列表中，但证书撤销列表长度不一定会增加。

（对）4..非保护代理者的代理签名和保护代理者的代理签名之间的差别在于是否具有不可伪造性。

（错：可识别性）（非保护代理者的代理签名：验证者不能识别出代理者的身份）5.SSL协议是指在网络层之上提供的一种用于客户端浏览器和Web服务器之间的安全连接技术。

（错）（工作在传输层和应用层之间，与应用层协议无关）6.零知识证明是指证明者能够在不向验证者提供任何有用的信息的情况下，使验证者能相信某个论断是正确的。

（对）7.SET协议是一个应用层协议，在相关应用中比SSL协议具有更多优点，也是更复杂的密码应用协议。

（对）8.公钥证书应用于用户身份的鉴别，而属性证书应用于用户权限的管理。

（对）2、选择题（15分）1.公钥密码体制至少能抵御的攻击是（C.选择明文攻击）2.适合文件加密，而且有少量错误时不会造成同步失败，是软件加密的最好选择，这种分组密码的操作模式是指（D.输出反馈模式）3.按目前的计算能力，RC4算法的密钥长度至少应为（C.128）位才能保证安全强度。

4.密钥在其生命生命周期中处于不同的状态，每种状态包含若干时期，那么密钥备份时期是密钥处于（B.使用状态）5.SSL协议中，（A）具体实施客户端和服务器之间通信信息的保密。

A.记录协议(为高层协议提供基本的安全服务，记录层封装各种高层协议，具体实施加解密、计算和校验MAC等与安全有关的操作)B.修改密码规程协议（切换状态，把密码参数设置为当前状态。

在握手协议中，当安全参数协商一致后，发送此消息）C.告警协议(显示信息交换过程中所发生的错误)D.握手协议（会话密钥的协商）6.量子密码更适合实现下面哪项密码技术。

《现代密码学》练习题（含答案）一、填空题（每空1分，共7分）1. 加密算法的功能是实现信息的保密性。

2. 数据认证算法的功能是实现数据的完整性即消息的真实性。

3. 密码编码学或代数中的有限域又称为伽罗华(Galois)域。

记为GF(pn)4. 数字签名算法可实现不可否认性即抗依赖性。

信息安全基本要求：可用性、保密性、完整性、不可否认性、可控性、真实性。

5. Two-Track-MAC算法基于带密钥的RIPEMD-160。

密钥和输出MAC值都是20B6. AES和Whirlpool算法是根据宽轨迹策略设计的。

7. 序列密码的加密的基本原理是：用一个密钥序列与明文序列进行叠加来产生密文。

8. Rabin密码体制是利用合数模下求解平方根的困难性构造了一种非对称/公钥/双钥密码体制。

1. 现代对称密码的设计基础是：扩散和混淆。

2. 加密和解密都是在密钥控制下进行的。

3. 在一个密码系统模型中，只截取信道上传送信息的攻击方式被称为被动攻击。

4. Caesar密码体制属于单表代换密码体制。

（字母平移）5. 尽管双重DES不等价于使用一个56位密钥的单重DES，但有一种被称为中途相遇攻击的破译方法会对它构成威胁。

（成倍减少要解密的加密文本）6. 设计序列密码体制的关键就是要设计一种产生密钥流的方法。

2. 椭圆曲线密码是利用有限域GF(2n)上的椭圆曲线上点集所构成的群上定义的离散对数系统，构造出的公钥/非对称密码体制。

3. 在公钥密码体制中，加密密钥和解密密钥是不一样的，加密密钥可以公开传播而不会危及密码体制的安全性。

2. 密码学上的Hash函数是一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。

3. 数字签名主要是用于对数字消息进行签名，以防止消息的伪造或篡改，也可以用于通信双方的身份认证。

2. CTR/计数器加密模式与CBC认证模式组合构成CCM模式；GMAX算法与CTR加密模式组合构成GCM模式。

第5章 Hash 函数与消息认证习题及参考答案1. 指出强抗碰撞Hash 函数与弱抗碰撞Hash 函数之间的区别。

答：弱抗碰撞Hash 函数是任给一个消息x,寻找另一个不同的消息x ，使得他们的Hash 函数值相等是不可行；强抗碰撞Hash 函数是同时寻找两个不同的消息使得他们的Hash 函数值相等是计算上不看行的，可以看出强抗碰撞Hash 函数一定是弱抗碰撞的。

2. 考虑Gibson Hash 函数h 。

设p 、q 是两个素数，N =p ⨯q ，g 是(Z N )*的生成元。

N 作为公钥，p 与q 作为签名者的私钥。

对任意消息m ，其摘要定义为：h (m )= g m mod N 。

(1) 令N =4897，g =2231。

分别计算消息m =132748，m '=75676的摘要。

(2) 证明：如果得到了两个碰撞的消息，那么就可以求出N 的分解。

(3) 证明：如果得到了N 的分解，那么就可以找到碰撞的消息。

解：(1)由h (m )= g m mod N 。

所以h (132748)=2231132748mod4897=2611 h(75676)=2611(2)证明：若h (m)= h (m ')则有g m mod N= g m ' mod N假设 N 的分解为 N=p*q 所以代入 然后根据中国剩余定理可以解得 p ，q 。

3. 设p 是一个素数，g 1、g 2是(Z p )*的两个生成元，使得离散对数 p g g mod log 21的计算是困难的。

对任意消息m =(m 1, m 2)，定义Hash 函数h 的摘要为：p g g m m h m m mod ),(212121⨯=。

(1) 设p =65867，g 1=11638，g 2=22770。

分别计算消息m =(33123, 11789)，m '=(55781, 9871)的摘要。

(2) 证明：求解Hash 函数h 的碰撞等价于计算离散对数p g g mod log 21。

2019/4/1 5
一、杂凑函数
（单向性的准确解释：或许已经知道了许多对 (x*， y*)，满足y*=H(x*)；或许一个新的y确实存在 一个x满足y=H(x)；然而实际找到这样的x却很困 难，在计算上行不通。 无碰撞性的准确解释：或许已经知道了许多对 (x*， y*)，满足y*=H(x*)；或许确实存在(x1，x2)满 足： x1≠x2，H(x1)= H(x2)，实际找到这样的(x1，x2) 却很困难，在计算上行不通。 ）
201682728在上述方案中密文变成了消息m解密方程变成了签名方程sdm明文变成了签名值s加密方程变成了验证方程mes任何人只要拥有alice的公钥z都可以对签名消息ms进行验证
第五章：数字签名
一、杂凑函数 二、数字签名的基本概念 三、几种常用的数字签名 四、特殊用途的数字签名
2019/4/1
1
一、杂凑函数
2019/4/1
14
一、杂凑函数
Alice (1):y1=H(x1,r1) Bob
(2):y2=H(x2,r2) (5): (6): 验证 验证 是否 是否 (3):(x1,r1) y2= y1= H(x2,r2) H(x1,r1) (4):(x2,r2)
2019/4/1 15
一、杂凑函数
方案分析： Alice发送y1给Bob，Bob发送y2给Alice ，这叫做 承诺。 Alice发送(x1, r1)给Bob，Bob发送(x2, r2)给Alice ， 这叫做践诺。 当承诺值确定以后，无法改变践诺值。 当对方发送来了承诺值以后，己方无法计算出对 方的践诺值，因而无法“随机应变地”确定自 己的践诺值，以重合或避开对方的践诺值。 综上所述，杂凑函数阻止了双方作弊。
2019/4/1 6

1
1
1
1
1
0
0
1
1
1
1
1
….
….
习题
6.已知流密码的密文串1010110110和相应的明文串 0100010001，而且还已知密钥流是使用3级线性反馈移位 寄存器产生的，试破译该密码系统。
解：由已知可得相应的密钥流序列为 1010110110⊕0100010001 =1110100111，又因为是3级线 性反馈移位寄存器，可得以下方程：
Li Ri1 Ri Li1 f (Ri1, Ki )
习题
习题
3. 在 DES 的 ECB 模式中，如果在密文分组中有一个错误，解密后 仅相应的明文分组受到影响。然而在 CBC 模式中，将有错误传播。 例如在图 3-11 中 C1 中的一个错误明显地将影响到 P1和 P2 的结 果。 (1) P2 后的分组是否受到影响? (2) 设加密前的明文分组 P1 中有 1 比特的错误，问这一错误将在 多少个密文分组中传播? 对接收者产生什么影响?
c3c2c1 0101
0
1
101
1 1 0
由此可得密钥流的递推关系为：
ai3 c3ai c1ai2 ai ai2
第三章 分组密码体 制
习题
2. 证明 DES 的解密变换是加密变换的逆。 明文分组、密钥
加密阶段：初始置换、16轮变换、逆初始置换
每轮迭代的结构和Feistel结构一样：
定义2.2 设p(x)是GF(2)上的多项式，使p(x)|(xp-1) 的最小p称为p(x)的周期或阶。 定理2.3 若序列{ai}的特征多项式p(x)定义在GF(2) 上，p是p(x)的周期，则{ai}的周期r | p。
习题

现代密码学课后题整理目录chap 1 (3)信息安全中常用的攻击分别指什么？分别使用什么密码技术能抵御这些攻击？ (3)简述密码学和信息安全的关系。

(3)简述密码发展史。

(3)公钥密码体制与对称密码体制相比有哪些优点和不足？ (3)简述密码体制的原则。

(4)简述保密系统的攻击方法。

(4)chap 2 (4)多表代换密码体制的分析方法 (4)Kasiski测试法 (4)重合指数法 (5)chap 3 (5)欧拉定理 (5)费马定理 (5)Blum整数 (5)chap 4 (5)分组密码的设计应满足的要求是什么？ (5)简述分组密码设计的准则。

(6)简述DES算法中S盒的特点。

(6)DES算法具有互补性，而这个特性会使DES在选择明文攻击下所需的工作量减半。

简要说明原因。

(6)为什么二重DES并不像人们想象的那样可提高密钥长度到112bit，而相当57bit？请简要说明原因。

(6)简述利用差分分析攻击DES算法的基本过程。

(7)简述线性攻击的基本原理。

(7)简述AES算法的正变换矩阵比逆变换矩阵简单的原因。

(7)简述AES的子密钥生成过程。

(7)简述DES与AES的相同之处和不同之处。

(7)简述设计分组密码的工作模式应遵循的基本原则。

(8)chap 5 (8)简述序列密码算法和分组密码算法的不同 (8)密钥序列生成器是序列密码算法的核心，请说出至少5点关于密钥序列生成器的基本要求 (8)chap 6 (9)MD5在MD4基础上做了哪些改进，其改进目的是什么？ (9)简述利用生日攻击方法攻击Hash函数的过程 (9)chap 7 (9)与RSA密码体制和ElGamal体制相比，简述ECC密码体制的特点。

(9)Chapter 8 (9)1简述数字签名的特点。

(9)2为什么对称密码体制不能实现消息的不可否认性？ (10)4 计算不考 (10)5 ElGamal、Schnorr、DSA这3种签名方案的联系与区别。

现代密码学-第6章数字签名习题与解答-20091202第6章数字签名习题及参考答案（注意：由于本章习题数字较大，所以需要调用大数库进行计算。

但由于期末考试题中的数字都是较小的数，且要求手算，所以希望大家参考书中例题和习题的题型代入一些2、3位的数进行手算练习）1. 对于RSA数字签名体制，假设p=839，q=983，N=p×q=824737。

已知私钥d=132111，计算公钥e和对消息m=23547的签名。

解：由RSA签名体制可以得e=d-1modφ(N)=132111-1mod882916=26959，对消息m的签名为s= m d mod N=23547132111mod824737=266749。

2. 对于RSA数字签名体制，假设模N=824737，公钥e=26959。

(1) 已知消息m的签名是s=8798，求消息m。

(2) 数据对(m, s)=(167058, 366314 )是有效的消息?签名对吗？(3) 已知两个有效的消息?签名对(m, s) = (629489, 445587)与(m′, s′) = (203821, 229149)，求m×m′的签名。

解：(1) 由公式可得：m = s e mod N = 879826959mod824737 = 123456(2) 因为m’= s e mod N = 36631426959mod824737 = 167058 = m，所以是有效的消息?签名对。

(3) m×m’的签名为：y = (m×m’)d mod N = s×s’mod N = 4455587×229149mod824737 = 75915。

3. 在ElGamal数字签名体制中，假设p=19，g=13。

如果签名者A选取的私钥为x=10，试计算公钥。

设签名者A要对消息M=15进行签名，且选取随机数k=11，求签名者A 对M=15的签名。

在设计密码算法时，经常使用似乎是随机的数 列，称为伪随机数列，例如RSA算法中素数的产生。 一般来说，决定一个大数N是否为素数是很困难的。 最原始的方法是用小于 的每个数去除N，如果N N 很大，比如10150，这一方法则超出了人类的分析能 力和计算能力。很多有效的算法是通过使用随机选 择的整数序列作为相对简单计算的输入，可检测一 个数的素性。如果随机选择的序列足够长（当然， 远小于 ），就可比较肯定地得出这个数的素 10150 性。这种方法称为随机化，在设计密码算法时经常 使用。
2. 不可预测性 在诸如相互认证和会话密钥的产生等应用中， 不仅要求数列具有随机性而且要求对数列中以后的 数是不可预测的。
对于真随机数列来说，数列中每个数都独立于 其他数，因此是不可预测的。 对于伪随机数来说，就需要特别注意防止敌手 从数列前边的数预测出后边的数。
5.4.2 随机数源
• 真随机数很难获得，物理噪声产生器，如离子辐射 脉冲检测器、气体放电管、漏电容等都可作为随机 数源，但在网络安全系统中很少采用，一方面是因 为数的随机性和精度不够，另一方面这些设备又很 难连接到网络系统中。
a n mod m 1 n 1, 2, , m 2 m1 a mod m 1
时，产生的数列是整周期的。例如, a=75=16807即 为m=231-1的一个本原根，由此得到的随机数产生 器Xn+1=(aXn)mod (231-1)已被广泛应用，而且与其 他产生器相比，经历过更多的检验，这种产生器常 用于统计和模拟工作。
EDE表示两个密钥的三重DES。
本方案具有非常高的密码强度，因为：
•采用了112比特长的密钥和9个DES加密；
•算法由两个伪随机数输入驱动，一个是当前的日 期和时间，另一个是算法上次产生的新种子； •即使某次产生的随机数Ri泄露了，但由于Ri又经一 次EDE加密才产生新种子Vi+1，所以别人即使得到 Ri也得不到Vi+1，从而得不到新随机数Ri+1。