现代密码学-第4章公钥密码体制

伪造：对真实性进行攻击
在网络中插入伪造的消息冒充消息发送者，在文件中插入伪造记录等 重放、假冒、诽谤、中间人攻击（Man-in-the-Middle，简称“MITM”）
主动攻击很难完全防止，因为它是不断变化的
13/
第一章 绪论 ：1.1 信息安全面临的威胁
*** 安全威胁的来源
安全威胁主要来自于黑客(又称入侵者)和恶意代码(包括病 毒)的非法入侵
各种自然灾害(洪水，雷电等)，恶劣的场地环境(漏水，烟火，粉 尘，温湿度失调，害虫)、电磁辐射与干扰，系统故障(网络设备 自然老化、电源、软硬件故障、通讯故障)等等。
对信息系统具有摧毁性，故障性，秘密泄漏。
人为威胁：
对信息及信息系统的人为攻击 ▪ 通过寻找系统的弱点，以便达到破坏，欺骗，窃取数据等目的 ▪ 人为威胁可区分为有意和无意两种
犯罪分子
非法窃取系统资源，对数据进行未授权的修改或破坏计算机系统。 如盗用信用卡号和密码，银行转帐，网络钓鱼等
17/
第一章 绪论 ：1.1 信息安全面临的威胁
*** 安全威胁的来源
威胁来源之恶意代码
恶意代码指病毒、蠕虫等恶意程序，往往是黑客编写使用的工具或 者具有独立执行能力的病毒等软件
恶意代码可分为两类：
*** 安全威胁的来源
从黑客性质上又可分为如下几种：
无恶意的人(白帽子、灰帽子)
仅仅是破译和进入一个计算机系统，为了展示自己在计算机网络 方面的才能，满足某种心理需求(病毒编写者，黑客软件编写者和 使用者)
心怀不轨，有报复心理的人
对计算机系统实施破坏，以达到某种心理平衡。比如不满的雇员， 竞争的对手
、密钥的窃取等等都是现实的威胁
安全漏洞(Vulnerability)是信息及信息系统产生安全问题 的内因

选择两个不同的大素数p和q， 计算n=p*q和φ(n)=(p-1)*(q-1)。 选择整数e，使得1<e<φ(n)且e 与φ(n)互质。计算d，使得 d*e≡1(mod φ(n))。公钥为 (n,e)，私钥为(n,d)。
将明文信息M（M<n）加密为 密文C，加密公式为 C=M^e(mod n)。
将密文C解密为明文信息M，解 密公式为M=C^d(mod n)。
课程特点
杨波教授的现代密码学课程系统介绍了密码学的基本原 理、核心算法和最新进展。课程注重理论与实践相结合， 通过大量的案例分析和编程实践，帮助学生深入理解和 掌握密码学的精髓。
课后习题的目的与意义
01 巩固课堂知识
课后习题是对课堂知识的有效补充和延伸，通过 解题可以帮助学生加深对课堂内容的理解和记忆。
不要重复使用密码
避免在多个账户或应用中使用相同的密码， 以减少被攻击的风险。
注意网络钓鱼和诈骗邮件
数字签名与认证技术习题讲
05
解
数字签名基本概念和原理
数字签名的定义
数字签名的应用场景
数字签名是一种用于验证数字文档或 电子交易真实性和完整性的加密技术。
电子商务、电子政务、电子合同、软 件分发等。
数字签名的基本原理
利用公钥密码学中的私钥对消息进行签 名，公钥用于验证签名的正确性。签名 过程具有不可抵赖性和不可伪造性。
Diffie-Hellman密钥交换协议分析
Diffie-Hellman密钥交换协议的原理
该协议利用数学上的离散对数问题，使得两个通信双方可以在不安全的通信通道上协商出一个共 享的密钥。
Diffie-Hellman密钥交换协议的安全性
该协议在理论上被证明是安全的，可以抵抗被动攻击和中间人攻击。

Ｋ ｙｗｏｄ ：ｕ ｌ ｅ ｒｐｏ ｒｐ ｙ ｄｓｒｔ ｇｒｈ ｐｏ ｌｍ ；ａｔ ｅｒｄ ｃｉｎ ｑ ａ ｔｍ ｉｈ ｒ ｂ ｉ ｒｕ ｓ ｅ ｒｓｐ ｂｉ ｋ ｙｃｙ ｔｇａ ｈ ； ｉ ｅｅｌ ａ ｔｍ ｒｂｅ ｌｔｃ ｅ ｕ ｔ ； ｕ ｎｕ ｃ ｅ； ｒ ｄ ｇｏ ｐ ｃ ｃ ｏ ｉ ｉ ｏ ｐ ａ
序列， ｌ３ ４ ９ １ ，５不是超递 增序列。一个背包 问题称 为是 而ｆ， ， ， ，５ ２ ）
易 解 的 。 果 其重 量 序 列 是 一 个 超 递 增 序 列 。超 递 增 背 包 问题 可 如
在时间 ０ｎ内很容易地解决 ， （ ） 如果有解 ， 解一定是唯一的。
实 际 上 存 在 两类 不 同 的背 包 问题 ，一 类 在 线 性 时 间 内 可解 ． 即易 解 的背 包 ， 另一 类 只能 在 指 数 时 间 内可 解 。 背 包 体 制 的思 而 想 是 选 取 一 个 易 解 的 背 包 问 题 。 后 将 它 伪 装 成 非 常 难 解 的一 般 然 的背 包 问 题 。 原 来 的背 包 集 可 以 当作 私 钥 ， 换 后 的 背 包 集 作 则 变
维普资讯
、． ． 。
本 责 编 冯 栏目 任 辑： 墨
公钥密码体制的现状与发展
卓 泽 朋 ’魏 仕 民 。 。 曹浩 ’
（， １淮北煤炭师 范学院 数 学系； 安徽 淮北 ２５ ０ ； ， ３０ ０ ２淮北煤炭师范学院 计算机科学与技术 系； 安徽 淮北 ２ ５ ０ ） ３０ ０
zcmdllforrandomas4dimsaslongstext1textput41sclose4endsub4结束语本文介绍了在用vb60编写的应用程序中进行软件注册的详细实现过程主要是通过利用api函数getvolumeinformation来获取硬盘卷序列号对该序列号进行加密操作生成注册码后提供给用户完成软件注册功能的在这里提供了详细的实现步骤在实际应用中软件开发者可以根据不同的加密算法来生成不同的软件注册码实现对应用软件的有效保护

57 10 63 14
49 2 55 6
41 59 47 61
33 51 39 53
25 43 31 45
17 35 23 37
9 27 15 29
1 19 7 21
58 11 62 13
50 3 54 5
42 60 46 28
34 52 38 20
26 44 30 12
18 36 22 4
第4章 网络安全密码学基本理论
密码学是一门研究信息安全保护的科学。它最早可追溯到 几千年前，主要用于军事和外交通信。随着网络与信息技术的 发展，密码学的应用不再局限于军事、政治、外交领域，而是 逐步应用于社会各个领域，例如电子商务、个人安全通信、网 络安全管理等。 密码学的发展可大致划分为四个阶段：
第4章 网络安全密码学基本理论 第一个阶段：从古代到1949年。该时期的密码学没有数学
第4章 网络安全密码学基本理论 4.1.2 密码学基本概念
密码学，是保护明文的秘密以防止攻击者获知的科学。
密码分，析学是在不知道密钥的情况下识别出明文的科学。
明文，是指需要采用密码技术进行保护的消息。
密文，是指用密码技术处理“明文”后的结果，通常称为加
密消息。
第4章 网络安全密码学基本理论
将明文变换成密文的过程称作加密(encryption)。 其逆过程，即由密文恢复出原明文的过程称作解密
道交换密钥，以保证发送消息或接收消息时能够有供使用的密钥。
第4章 网络安全密码学基本理论
加密
解密
明文
密文
密文
明文
图4-1 私钥密码体制原理示意图
第4章 网络安全密码学基本理论 密钥分配和管理是极为重要的问题。 为了保证加密消息的安全，密钥分配必须使用安全途径， 例如由专门人员负责护送密钥给接收者。 同时，消息发送方和接收方都需要安全保管密钥，防止非 法用户读取。 另外的问题是密钥量。由于加密和解密使用同一个密钥， 因此，与不同的接收者进行加密通信时，需要有几个不同的密

混乱：
指明文、密钥和密文之间的统计关系尽可能
复杂，使得攻击者无法理出三者的相互依赖 关系。

s-p网络的轮函数包括3个变换：代换、 置换、密钥混合。
4.3.2 DES数据加密标准

1 算法简介

数据加密标准(Data Encryption Standard,DES) 是使用 最广泛的密码系统。1973年美国国家标准局征求国家 密码标准文字，IBM公司于1974年提交，于1977年被 采纳为DES。 DES出现后20年间，在数据加密方面发挥了不可替代的 作用。20世纪90年代后，随着技术的发展，密钥长度 偏短，DES不断传出被破译的进展情况。1998年12月 美国国家标准局不再用DES作为官方机密，推荐为一般 商业应用，于2001年11月发布了高级加密标准 （AES）。
字母表是循环的，Z后面的是A，能定义替换
表，即密钥。 明文：a b c d e f g h I j k l m n o p q r s t uvwxyz 密文: D E F G H I J K L M N O P Q R S T U VWXYZABC

Caesar算法能用如下公式表示： C=E(3,m)=(m+3) mod 26 如果对字母表中的每个字母用它之后的第k个 字母来代换，而不是固定其后面第3个字母， 则得到了一般的Caesar算法： C=E(k,m)=(m+k) mod 26

如果加密、解密用不同的密钥，是非对 称加密。图解
Ek1(P)=C
Dk2(C)=P Dk2(Ek1(P))=P
4.1.3密码的分类 1按应用技术分：

手工密码 机械密码 电子机内乱密码
通过电子电线，程序进行逻辑运算，以少量制乱

✓ 二十世纪末的AES算法征集活动使密码学界又掀起了一次分组密码研究的 高潮。同时，在公钥密码领域，椭圆曲线密码体制由于其安全性高、计算 速度快等优点引起了人们的普遍关注和研究，并在公钥密码技术中取得重 大进展。
✓ 在密码应用方面，各种有实用价值的密码体制的快速实现受到高度重视， 许多密码标准、应用软件和产品被开发和应用，美国、德国、日本和我国 等许多国家已经颁布了数字签名法，使数字签名在电子商务和电子政务等
同时在公钥密码领域椭囿曲线密码体制由于其安全性高计算速度快等优点引起了人们的普遍关注和研究幵在公钥密码技术中叏得重在密码应用斱面各种有实用价值的密码体制的快速实现叐到高度重视许多密码标准应用软件和产品被开収和应用美国德国日本和我国等许多国家巫经颁布了数字签名法使数字签名在电子商务和电子政务等领域得到了法律的认可推劢了密码学研究和应用的収展
可以对用该密钥加密的任何新的消息进行解密。
④ 选择密文攻击(Chosen—ciphenext attack)
选择密文攻击是指密码分析者可以选择一些密文，并得到相应的明文
1.3.3 对密码系统的攻击
密码分析者破译或攻击密码的方法主要有穷举攻击法、统计分析法和数学分 析攻击法。
（1）穷举攻击法
穷举攻击法又称为强力或蛮力（Brute force）攻击。这种攻击方法是 对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的 可理解的转换；或使用不变的密钥对所有可能的明文加密直到得到与截获到 的密文一致为止。
1.3.1密码学的主要任务（续）
③ 鉴别
这是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份 的鉴别和对数据源的鉴别。对于一次通信，必须确信通信的对端是预期的实 体，这就涉及到身份的鉴别。

5.1.5 密钥的控制使用
密钥可根据其不同用途分为会话密钥和主密钥 两种类型，会话密钥又称为数据加密密钥，主密钥 又称为密钥加密密钥。 如果主密钥泄露了，则相应的会话密钥也将泄 露，因此主密钥的安全性应高于会话密钥的安全性。 一般主密钥都是物理上安全的，如果把主密钥 当作会话密钥注入加密设备，那么其安全性则降低。 由于密钥的用途不同，因此对密钥自己注册的公开钥。 （如果由于自己的公开钥用过的次数太多或由于与公开钥 相关的秘密钥已被泄露）。 ④ 管理员定期公布或定期更新目录表。例如，像 电话号码本一样公布目录表或在发行量很大的报纸 上公布目录表的更新。 ⑤ 用户可通过电子手段访问目录表，这时从管理 员到用户必须有安全的认证通信。
图5.2 无中心的密钥分配
5.2 公钥加密体制的密钥管理
本节介绍两方面内容： 一是公钥密码体制所用的公开密钥的分配， 二是如何用公钥体制来分配单钥密码体制所需的密 钥。
5.2.1 公钥的分配
1. 公开发布 公开发布指用户将自己的公钥发给每一其他用户， 或向某一团体广播。 例如PGP（pretty good privacy）中采用了RSA算 法，它的很多用户都是将自己的公钥发送到公开 （公共）区域。
单钥体制中的密钥控制技术有以下两种。 (1) 密钥标签 用于DES的密钥控制，将DES的64比特密钥中的8 个校验位作为控制使用这一密钥的标签。标签中各 比特的含义为： • 一个比特表示这个密钥是会话密钥还是主密钥； • 一个比特表示这个密钥是否能用于加密； • 一个比特表示这个密钥是否能用于解密； • 其他比特无特定含义，留待以后使用。
5.1.3 密钥的分层控制
网络中如果用户数目非常多而且分布的地域非常广， 一个KDC就无法承担为用户分配密钥的重任。问 题的解决方法是使用多个KDC的分层结构。例如， 在每个小范围（如一个LAN或一个建筑物）内，都 建立一个本地KDC。同一范围的用户在进行保密 通信时，由本地KDC为他们分配密钥。如果两个 不同范围的用户想获得共享密钥，则可通过各自的 本地KDC，而两个本地KDC的沟通又需经过一个 全局KDC。这样就建立了两层KDC。类似地，根 据网络中用户的数目及分布的地域，可建立3层或 多层KDC。

S-DES －－ P4置换
1 2 2 4 3 3 4 1
S-DES －－ 密钥的生成
P10 5 LS-1 5 K1 8 P8 5 LS-1 5
设10bit的密钥为（ k1,k2,…,k10 ) 置换P10(k1,k2,…,k10) =(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) 置换P8 (k1,k2,…,k10) =(k6,k3,k7,k4,k8,k5,k10,k9 )
n4+k11,n1+k12,n2+k13,n3+k14 n2+k15,n3+k16,n4+k17,n1+k18
把它们重记为8位：
P0,0 P0,1 P0,2 P0,3 P1,0 P1,1 P1,2 P1,3
上述第一行输入进S盒S0，产生2位的输出； 第二行输入进S盒S1，产生2位的输出。
S-DES －－ S0、S1运算
LS-1为循环左移1位， LS-2为循环左移2位 例： 按照上述条件，若K选为 (1010000010)， 产生的两个子密钥分别为 K1=(1 0 1 0 0 1 0 0) K2=(0 1 0 0 0 0 1 1)
LS-2 5
P8
LS-2 5
K2
8
S-DES方案示意图
加密 8bit明文 IP fk
密码系统模型
现代密码学中分组密码算法 设计指导原则

Diffusion(发散)

小扰动的影响波及到全局 明文或密钥的一位影响密文的多位，密文没有统计特 征

Confusion(混淆)


强调密钥的作用 增加密文与明文及密钥之间关系的复杂性 无法从数学上描述，或从统计上去分析

公钥密码体制的研究与发展的基本理解Abstract:⽂中对于公钥密码体制的研究与发展进⾏了介绍，其中着重介绍了⼏个⽐较常⽤的公钥密码体制RSA，EIGamal Keywords: 公钥密码体制，RSA，离散对数问题1. 引⾔公钥密码体制⼜称公开密钥密码体系，公钥密码体制是现代密码学的最重要的发明和进展，在1976年，Whitfield Diffie和Martin Hellman发表了“New directions in cryptography”这篇划时代的⽂章奠定了公钥密码系统的基础。

在公钥密码体制之中，加密密匙和解密密匙是不⼀样的，⽆法通过加密密匙的反推得到解密密匙，所以加密密匙是可以公开的，并且不会危及密码体制的安全性。

因为对称密钥密码体制有⼀个缺点是必须要在Alice和Bob之间⾸先在传输密⽂之前使⽤⼀个安全信道交换密钥。

实际上，这是很难达到的，⽽公钥密码体制改善了这⼀点，Alice可以利⽤公钥加密规则发出⼀条加密的消息给Bob，Bob是唯⼀能够运⽤解密规则对其解密的⼈，例如保险箱的传递，只有接收的⼈知道密码并且能够打开。

【1】要在⾃从公钥密码的概念被提出以来，相继提出了许多公钥密码⽅案，如RSA、ElGamal、基于离散对数问题的公钥密码体制等[2]。

2. 预备知识公钥密码的理论基础,在公钥密码中，加密密钥和解密密钥是不⼀样的，加密密钥为公钥，解密密钥为私钥。

⼀个问题是难解的，直观上讲，就是不存在⼀个计算该问题的有效算法，也可称之为按照⽬前的计算能⼒，⽆法在⼀个相对的短时间内完成，即解决这个问题所付出的成本远远超过了解决之后得到的结果，计算应⼀个难解的问题所需要的时间⼀般是以输⼊数据长度的指数函数形式递增，所以随着输⼊数据的增多，复杂度会急剧的增⼤，对于⼀个问题，如果存在⼀个求其解的有效算法，则称其为有效问题，否则为⽆效问题。

在公钥密码机制之中，进⾏破译已经加密后的密码应该是⼀个难解问题。

第一章 基本概念1. 密钥体制组成部分：明文空间，密文空间，密钥空间，加密算法，解密算法 2、一个好密钥体制至少应满足的两个条件：（1）已知明文和加密密钥计算密文容易；在已知密文和解密密钥计算明文容易； （2）在不知解密密钥的情况下，不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法： （1）穷举攻击 （解决方法:增大密钥量）（2）统计分析攻击（解决方法：使明文的统计特性与密文的统计特性不一样） （3）解密变换攻击（解决方法：选用足够复杂的加密算法） 4、四种常见攻击（1）唯密文攻击：仅知道一些密文（2）已知明文攻击：知道一些密文和相应的明文（3）选择明文攻击：密码分析者可以选择一些明文并得到相应的密文 （4）选择密文攻击：密码分析者可以选择一些密文，并得到相应的明文【注：①以上攻击都建立在已知算法的基础之上；②以上攻击器攻击强度依次增加；③密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码（一）单表古典密码1、定义：明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数，}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q（1）加法密码 ①加密算法：κκ∈∈===k X m Z Z Y X q q ;,;对任意，密文为：q k m m E c k m od )()(+== ②密钥量：q （2）乘法密码 ①加密算法：κκ∈∈===k X m Z Z Y X q q ;,;*对任意，密文为：q km m E c k m od )(== ②解密算法：q c k c D m k mod )(1-==③密钥量：)(q ϕ （3）仿射密码 ①加密算法：κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意；密文q m k k m E c k m od )()(21+==②解密算法：q k c k c D m k mod )()(112-==-③密钥量：)(q q ϕ （4）置换密码 ①加密算法：κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为，密文)()(m m E c k σ==②密钥量：!q③仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 （1）Caeser 体制：密钥k=3 （2）标准字头密码体制： 4.单表古典密码的统计分析（二）多表古典密码1.定义：明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 （1）简单加法密码 ①加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文：),...,()(11n n k k m k m m E c ++==②密钥量：nq （2）简单乘法密码 ①密钥量：n q )(ϕ 1.简单仿射密码①密钥量：n n q q )(ϕ2.简单置换密码 ①密钥量：nq )!( （3）换位密码 ①密钥量：!n（4）广义置换密码①密钥量：)!(nq（5）广义仿射密码 ①密钥量：n n r q3.几种典型的多表古典密码体制 （1）Playfair 体制： ①密钥为一个5X5的矩阵②加密步骤：a.在适当位置闯入一些特定字母，譬如q,使得明文字母串的长度为偶数，并且将明文字母串按两个字母一组进行分组，每组中的两个字母不同。

课程名称：现代密码学课程编码：学分：2适用学科：理工科硕士研究生现代密码学Modern Cryptography教学大纲一、课程性质《现代密码学》是应用数学硕士研究生的一门专业方向选修课程。

随着计算机和通信网络的应用，信息的安全性受到人们的普遍重视，现代的信息安全除了涉及国家安全外，也涉及个人权益、企业生存和金融防范等。

密码学是信息安全的重要领域，它的理论和技术随着计算机技术的发展也得到了迅速发展和广泛应用。

本课程主要就是学习密码学的基本内容。

二、课程教学目的通过学习密码学理论，信息与计算科学和应用数学专业的学生应能正确理解其基本概念和理论，掌握常用的密码算法。

本课程将培养学生基础理论与应用结合的能力，并为后续课程的学习和本课程的进一步运用打下良好的基础。

三、教学基本内容与要求第一章引言1、了解密码学的发展概况2、熟练掌握密码学的基本概念第二章古典密码1、熟练掌握古典密码中的基本加密运算2、理解几种典型的古典密码体制3、了解古典密码的统计分析第三章香农理论1、熟练掌握密码体制的数学模型2、掌握熵及其性质3、了解伪密钥和唯一解距离4、了解密码体制的完善保密性5、理解乘积密码体制第四章分组密码1、熟练掌握分组密码的基本原理2、理解数据加密标准DES3、了解多重DES及DES的工作模式4、理解高级加密标准AES第五章公钥密码1、熟练掌握公钥密码的理论基础2、掌握RSA公钥密码3、掌握大素数的生成方法4、了解椭圆曲线上的Menezes- Vanstone公钥密码第六章序列密码与移位寄存器1、熟练掌握序列密码的基本原理2、理解移位寄存器与移位寄存器序列3、掌握移位寄存器的表示方法4、了解线性移位寄存器序列的周期性、序列空间和极小多项式5、知道m-序列的伪随机性几点说明本课程教学时数为48学时，根据不同章节难易程度安排上机练习。

课程内容要求的高低用不同词汇加以区分：对于概念、理论，从高到低以“理解”、“了解”、“知道”三级区分；对于运算、方法，以“熟练掌握”、“掌握”、“会”或“能”三级区分。

设置密码答案【篇一：现代密码学试卷(含答案)】信息安全专业2004级“密码学”课程考试题（卷面八题，共100分，在总成绩中占70分）一、单表代替密码（10分）①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文m＝wewi②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥１的正整数，求出其对合密钥二、回答问题（10分）①在公钥密码的密钥管理中，公开的加密钥ke和保密的解密钥kd 的秘密性、真实性和完整性都需要确保吗？说明为什么？②简述公钥证书的作用？三、密码比较，说明两者的特点和优缺点。

（10分）对des和aes进行比较，说明两者的特点和优缺点。

（10分）五、设g(x)=x4+x2+1，g(x)为gf（2）上的多项式，以其为连接多项式组成线性移位寄存器。

画出逻辑框图。

设法遍历其所有状态，并写出其状态变迁及相应的输出序列。

（15分）六、考虑rsa密码体制：（15分）1. 取e=3有何优缺点？取d=3安全吗？为什么？2. 设n=35，已截获发给某用户的密文c＝10，并查到该用户的公钥e=5，求出明文m。

七、令素数p=29,椭圆曲线为y2=x3+4x+20 mod 29,求出其所有解点，并构成解点群，其解点群是循环群吗？为什么？。

（15分）八、在下述站点认证协议中函数f起什么作用？去掉f行不行？为什么?（15分）设a，b是两个站点，a是发方，b是收方。

它们共享会话密钥ks ，f是公开的简单函数。

a认证b是否是他的意定通信站点的协议如下：1. a产生一个随机数rn，并用ks对其进行加密：c＝e（rn，ks），并发c给b。

同时a对rn进行f变换，得到f(rn)。

2. b收到c后，解密得到rn＝d（c，ks）。

b也对rn进行f变换，得到f（rn），并将其加密成c’＝e（f（rn），ks），然后发c’给a 。

3. a对收到的c’解密得到f（rn），并将其与自己在第①步得到的f （rn）比较。

现代密码学
1.2.3 密码体制的攻击方法
密码分析者攻击密码体制的方法： （1）穷举攻击：通过试遍所有的密钥来进行破译。
对抗：可增大密钥的数量。 （2）统计分析攻击：通过分析密文和明文的统计规律来破译。
对抗：设法使明文和密文的统计规律不一样。 （3）解密变换攻击：针对加密变换的数学基础，通过数学求 解设法找到解密变换。
1928年开始使用。 ➢1933年，纳粹最高统帅部通信部决定将
“ENIGMA”作为德国国防军新式闪击部队 的通信装置。 ➢ 1940年，盟军破译ENIGMA
电子科技大学
现代密码学
传说，古时候有一对夫妻，男的名叫李石匠，女的叫张 小花。李石匠靠手艺赚钱，张小花在家纺纱织布。一年， 李石匠参加修建石桥，因工程紧张，十一个月也没回家 一次。张小花独自在家只有纺车做伴。一天石匠工地回 来一个工友路过她家，她托这个工友给丈夫带去一封书 信。
明文
加密 密钥
加密
密文
解密 密钥
解密
原始明文
电子科技大学
现代密码学
密码学起源
大约在4000年以前，在古埃及的尼罗河畔，一位 擅长书写者在贵族的基碑上书写铭文时有意用加 以变形的象形文字而不是普通的象形文字来写铭 文，从而揭开了有文字记载的密码史。这篇颇具 神秘感的碑文，已具备了密码的基本特征：把一 种符号(明文)用另一种符号(密文)代替
电子科技大学
现代密码学
1.2 密码学的基本概念
明文（plaintext）: 没有加密的信息 密文（ciphertext）: 加密后的信息 加密变换（encryption）: 从明文到密文的变换
解密变换（decryption）: 从密文到明文的变换
密钥(key): 加密和解密是在密钥控制下进行的。

非对称密码体制
非对称密码体制的基本概念 非对称密码体制的原理 RSA算法 RSA算法中的计算问题 RSA算法的安全性 非对称密码体制的应用
非对称密码体制的基本概念
非对称密码（公钥密码）与所有以前的密码方法的不同点
基于的基本思想不同 密钥的使用方式不同
公钥密码算法的密钥具有如下特点
是加密密钥与解密密钥是本质上不同的 是大多数公钥密码算法的加密密钥和解密密钥具有互换的性质，即两者是相对的
网络信息安全技术
非对称密码体制
非对称密码体制（Asymmetric CryptoSystem），也称为公钥密码体制（Public Key Cryptosystem），是现代密码学的重要组成部 分。公钥密码的思想在1976年由Diffie和Hellman在 其《密码学新方向》一文中提出。Rivest、Shamir 和Adleman在1978年提出了首个非对称密码体制， 即著名的RSA公钥密码体制。非对称密码体制的发明 是现代密码的具有里程碑意义的重要事件，它的出现 标志着现代密码学的创立。
可以通过加密算法生成密文：
C EPKB (M )
接收方B使用私有密钥容易通过解密算法对密文进行解密，以恢复原来的明文
从公开密钥PKB推出私有密钥SKB，在计算上是不可行的
非对称密码体制的原理
定义 单向陷门函数满足下列条件的函数f:D→V
1）对于任意给定的x∈D，计算y=f(x)是容易的。 2）对于几乎所有任意给定y∈V，计算x∈D使得y=f(x)，
RSA算法中的计算问题
即计算(m)cmod N是RSA非对称密码 体制中的主要运算，其计算可以由 c-1次的模乘来实现，然而当比较
(m)c mod N 的有大效时计，算这问不题是一个好的算法，因为

第七章 简答题及计算题⑴公钥密码体制与对称密码体制相比有哪些优点和不足？答：对称密码一般要求： 1、加密解密用相同的密钥 2、收发双方必须共享密钥安全性要求： 1、密钥必须保密 2、没有密钥，解密不可行 3、知道算法和若干密文不足以确定密钥 公钥密码一般要求：1、加密解密算法相同，但使用不同的密钥2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥 安全性要求： 1、两个密钥之一必须保密 2、无解密密钥，解密不可行3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥⑵RSA 算法中n ＝11413，e ＝7467，密文是5859，利用分解11413＝101×113，求明文。

解：10111311413n p q =⨯=⨯=()(1)(1)(1001)(1131)11088n p q ϕ=--=--=显然，公钥e=7467，满足1＜e ＜()n ϕ，且满足gcd(,())1e n ϕ=，通过公式1mod11088d e ⨯≡求出1mod ()3d e n ϕ-≡=，由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡==⑶在RSA 算法中，对素数p 和q 的选取的规定一些限制，例如：①p 和q 的长度相差不能太大，相差比较大； ②P-1和q-1都应有大的素因子；请说明原因。

答：对于p ，q 参数的选取是为了起到防范的作用，防止密码体制被攻击①p ，q 长度不能相差太大是为了避免椭圆曲线因子分解法。

②因为需要p ，q 为强素数，所以需要大的素因子 ⑸在ElGamal 密码系统中，Alice 发送密文（7，6），请确定明文m 。

⑺11Z 上的椭圆曲线E ：236y x x =++，且m=3。

①请确定该椭圆曲线上所有的点；②生成元G=（2,7），私钥(5,2)2B B n P ==，明文消息编码到(9,1)m P =上，加密是选取随机数k=3，求加解密过程。