现代密码学

现代密码学 样卷

著作权所有，你的阳光学习频道 https://yoursunny.com/study/ ，保留所有权利

允许转载，允许打印、复印，必须保留著作权声明

如你发现技术错误，请联系作者，联系方式 https://yoursunny.com/m/

题目中数值均为随机产生http://bbs.sjtu.edu.cn/bbscon?board=IS&file=M.1225633522.A

Ⅰ 安全威胁与防护措施

⒈对安全的攻击，从信息流的角度可以分为中断、截获、篡改、伪造。

⒉篡改攻击是一种主动攻击。

Ⅱ 古典加密

⒈用恺撒密码加密the quick brown fox jumps over the lazy dog，密钥为6。

znk waoiq hxuct lud pasvy ubkx znk rgfe jum

⒉恺撒密码可以扩充为单字母随机替换，用于26个英文字母时密钥空间是多大？

密钥空间是26!。

a可以选择26个字母的任何一个，b在剩下25个字母中选择……

⒊为什么恺撒密码不安全？

密钥空间太小。

密文显示了明文的统计规律；例如已知明文为英语，密文足够长时，出现最多的密文字母一定是e。

⒋用Hill密码加密yoursunny，密钥为

sgotjiqxo

⒌用Hill密码解密idzugi，密钥为

首先求出逆矩阵（从起，作初等变换成）

然后解密得sjtuis

⒍分组长度为3的Hill密码，已知明文bbssjtucn对应的密文是ofwfmbwbb，破解密钥？

bbssjtucn=[1,1,18,18,9,19,20,2,13]

ofwfmbwbb=[14,5,22,5,12,1,22,1,1]

列出线性方程组，解得

Ⅲ 分组加密

⒈解密密钥可以从加密密钥直接推出的密码算法是对称密码算法。

⒉Fiestel结构有扩散和扰乱的作用，为统计分析制造障碍

⒊根据如图的Fiestel结构解密框图，画出加密框图

加密框图是

⒋求P盒[1 7 5 2 4 3 6 9 10 8]的逆

[1 4 6 5 3 7 2 10 8 9]

⒌用S-DES加密……，密钥为……，根据框图加密

略

Ⅳ 对称加密算法

⒈DES算法的分组长度64bit，密钥长度56bit，分为16轮；IDEA算法的分组长度64bit，密钥长度128bit，分为8轮

⒉如图的工作模式加密框图，画出对应的解密框图

答案略

⒊IDEA⊙运算的快速运算表示为，其中的C_L、C_H、C₀是什么？

http://ieeexplore.ieee.org/iel5/6910/18613/00858836.pdf?arnumber=858836

http://www.cqvip.com/QK/98180A/2006002/21840184.html

C_L=ab mod 2ⁿ，C_H=ab / 2ⁿ，

⒋AES，对state矩阵的一列作列混淆运算，，系数矩阵为

将这一列与系数矩阵在有限域上相乘，（使用有限域上的加法）

Ⅴ 保密通讯

⒈链路加密的缺点是报文多次加解密造成时延，交换机上出现明文，用户无法控制报文安全性……

⒉端到端加密的缺点是不能隐藏通信流量……

Ⅵ 公钥密码

⒈公钥密码比传统密码更安全，正确吗？

错误。任何加密算法的安全性依赖于密钥的长度和破译密文所需要的计算量。从抗密码分析的角度看，原则上不能说传统密码优于公钥密码，也不能说公钥密码优于传统密码。

⒉公钥密码是一种通用的方法，传统密码已经过时，正确吗？

现有的公钥密码方法所需的计算量大，所以取代传统密码似乎不太可能。

⒊什么是“陷门单向函数”？

满足下列3个条件的函数f，称为“陷门单向函数”：

⑴给定x，容易计算y=f(x)

⑵给定y，计算x使得y=f(x)很困难

⑶存在“陷门信息”δ；已知δ时，给定y，若对应的x存在，容易计算x使得y=f(x)

⒋多项式广义欧几里德除法，欧拉定理：略

Ⅶ RSA算法

⒈已知RSA加密算法和解密算法，为什么解密结果等于明文？

⒉给定RSA的密钥参数p=7,q=13,e=5，求公钥和私钥

n=pq=91

φ(n)=(p-1)(q-1)=72

d=e^-1 mod φ(n)=29

公钥为{e=5,n=91}，私钥为{d=29,n=91}

⒊给定RSA公钥{e=5,n=91}，加密M=62

模重复平方计算法计算62⁵=69 mod 91，密文D=69

⒋RSA-OAEP对RSA的改进是从确定性算法变为概率性算法从而抵抗适应性选择密文攻击，其代价是密文扩张为明文的两倍长度。

Ⅷ ECC

F_q上ECC曲线方程

椭圆曲线方程上，平常点A(x,y)的切线的斜率http://tech.csai.cn/web/200604021704531906.htm

⒈q=23,a=1,b=1，P(17,20)、Q(7,12)，求-P、P+Q、2P

⑴-P=(17,-20)=(17,3)

⑵设过P、Q的直线为y=kx+c，解得k=10、c=11；根据根与系数关系有，解得x₃=7；-(P+Q)=(7,12)，P+Q=(7,-12)=(7,11)
注意：这个要记住；使用有限域运算；最后不要忘了取负

⑶设过P的切线为y=kx+c，根据公式求得k=(3×17²+1)/(2×20)=17/17=1、c=3；根据根与系数关系有，解得x₃=13；-(2P)=(13,1)，2P=(13,-1)=(13,22)

⒉ECC算法的密钥生成方法：选定Ep(a,b)、K=kG，公钥为{Ep,K,G}、私钥为{Ep,k}；加密算法：明文编码到点M，产生随机整数r，计算C1=M+rK、C2=rG，密文为{C1,C2}。问，解密算法是什么？

M=C1-kC2

Ⅸ 散列函数

⒈什么是散列函数的单向性？

给定x，计算y=H(x)容易；给定y，求x使y=H(x)困难

⒉什么是散列函数的弱抗攻击性？

给定x，求y≠x使得H(x)=H(y)困难

⒊什么是散列函数的强抗攻击性？

寻找任何(x,y)使得H(x)=H(y)困难

⒋MD5算法分组长度512bit，输出长度128bit；SHA1算法分组长度512bit，输出长度160bit

Ⅹ 数字签名

RSA签名方案是

⒈如何验证一个RSA签名？

若，则报文未被篡改

⒉为什么要对H(Message)签名、而不是？

⑴当Message很长，运算量太大

⑵已知Message的签名是S，那么任何人都可以计算的签名是S²，无法达到来源认证

⑶对M^e签名，将导致报文被解密

Ⅺ 密钥管理

⒈证书至少应包含哪些字段？

所有者的用户名，公钥，证书颁发者对{用户名,公钥}的签名