密码学复习资料.doc

密码学复习资料密码学复习资料一、DES1.穷举攻击分析（1）穷举攻击就是对所有可能的密钥逐个进行解密测试, 直到找到正确密钥为止的一种攻击方法.（2）穷举攻击判断正确密钥的方法将利用试验密钥解密得到的可能明文与已掌握的明文的信息相比较，并将最吻合的那个试验密钥作为算法输出的正确密钥3）穷举攻击又称为穷尽攻击、强力攻击、蛮干攻击等只要明文不是随机的，就可实施穷举攻击2.简述 DES 算法中 S 盒的特点：答：（1）具有良好的非线性，既输出的每一个比特与全部输入比特有关；（2）每一行包括所有的 16 种 4 位二进制；（3）两个输入相差 1bit 时，输出相差 2bit；（4）如果两个输入刚在中间 2 个比特上不同，则输出至少有两个比特不同；（5）如果两个输入前两位比特不同而最后两位相同，则输出一定不同；（6）相差 6bit 的输入共有 32 对，在这 32 对中有不超过 8 对的输出相同；（7）S 盒是 DES 中唯一非线性部分3.为什么二重 DES 并不像人们想象的那样可以提高密钥长度到 112bit，而相当于 57bit？简要说明原因 答：已知明文攻击可以成功攻击密钥长度为 112 位的二重 DES，其计算量级位 2 的 56 次方，与攻击 DES 所需的计算复杂度 2 的 55 次方相当，两者基本在同一个数量级，因此，二重 DES 并不能从根本上提高其安全性。

4.DES 的 S 盒的设计标准:1.S 盒的每一位输出都不是输入的线性或仿射函数2.S 盒的输入发生 1 比特变化，输出至少有 2 比特发生变化3.当固定 S 盒的 1 位输入时，S 盒的每一位输出中 0 和 1 的个数尽可能平衡5.在 DES 算法中，如果给定初始密钥 K，经子密钥产生的各个子密钥都相同，则称该密钥 K 为弱密钥，DES 算法弱密钥的个数为（4）6.DES 算法可以划分两步：第一步是子密钥的生产，第二步是数据处理它的分组长度是 64 位，有效密钥长度 56 位3DES 是 DES 的一种变种，如它采用 3 个不同的工作密钥，使得整个密钥的长度为【168 】位7.Feistel 模型是分组密码的经典模型；它的实现依赖于哪些参数它们分别如何影响安全性?答：1 分组长度：分组较长意味安全性越高，但是会降低加密和解密的速度2 密钥长度：密钥较长意味安全性越高，但是会降低加密和解密的速度3 迭代轮数;虽然本质在于单轮不能提供足够安全性而多轮加密可取很高安全性典型值 164子密钥产生算法：子密钥产生越复杂，密码分析攻击就越困难5轮函数;越复杂越安全8.使用多个 DES 密钥执行多重加密可以增加安全性；但是双重 DES由于中间相遇攻击而并没有相应地增加安全性。

9.DES 算法提出以后；密码分析方法也取得相应进展，提出了差分和线性密码分析，其中差分密码分析只有在有相当多的密文条件下，才具有理论意义10.写出 Feistel 网络的算法步骤答：将明文 m 分为等长的两部分m=(L(0), R(0))；使用由密钥 k 控制的高度非线性函数 F，（1）计算：(L’, R’)=(L(0)‘+’F(R(0), k), R(0))；（2）计算密文：c=(L(1), R(1))= (R’, L’)11.DES 加密法需要经过 E 盒、 S 盒、 P 盒三个过程二、AES,1.简述 DES 与 AES 的相同之处： 二者的圈函数都是由 3 层构成，非线性层，线性混合层，子密钥异或，只是顺序不同； AES 的子密钥异或对应于 DES 中 S 盒之前的子密钥异或；AES 的列混合运算的目的是让不同的字节相互影响，而 DES 中的 F 函数的输出与左边的一半数据相加也有类似的效果； AES 的非线性运算是字节代换，对应于 DES 中唯一的非线性运算 S 盒： 行移位运算保证了每一行的字节不仅仅影响其他行对应的字节，而且影响其他行所有的字节，这与DES 中置换 P 相似。

2.AES 算法由四个操作构成：字节代换、行移位、列混淆、轮密钥加3.分组密码的加解密算法中最关键部分是非线性运算部分，那么，DES 加密算法的非线性预算部分是指 非线性代换，AES 加密算法的非线性运算部分是指字节代换 4.在高级加密标准 AES 规范中，分组长度只能是 128 位，密钥的长度可以是 128 位、 192 位、 256 位中的任意一种5.DES 与 AES 不同之处： AES 密钥长度可变 DES 不可变 ， DES 面向比特运算 AES 面向字节运算 6.写出 Rijndael 轮函数（普通轮）的四个不同的计算部件名称答：RIJNDAEL 的轮函数由四个不同的计算部件所组成，分别是：字节代替（ByteSub）行移位（ShiftRow）列混合（MixColumn）加密钥（AddRoundKey）设 Rijndael 的字节代替函数为 y=bytesub(x)计算 sub(0)1）首先，将字节看作 GF(28)上的元素，映射到自己的乘法逆；0字节影射到它自身 （2）其次，将字节看作 GF(2)上的 8 维向量，做如下的（GF(2)上的；可逆的）仿射变换：三、RSA,1.写出 RSA 的密钥生成过程。

密钥的产生：（1）选择两个保密的大素数 p 和 q；（2）计算 n=p×q，j(n)=(p-1)(q-1)，其中 j(n)是 n 的欧拉函数值；（3）选一整数 e，满足 1

六、欧拉函数：设 n 是一正整数，小于 n 且与 n 互素的正整数的个数称为 n 的欧拉函数，记为 φ(n)欧拉定理：若 a 和 n 互素，则 a（（φ(n)） ）≡1 mod n七、中国剩余定理，八、简述密码分析者对密码系统的四种攻击答：密码分析者对密码系统的常见的攻击方法有：1)唯密文攻击：攻击者有一些消息的密文，这些密文都是采用同一种加密方法生成的2)已知明文攻击：攻击者知道一些消息的明文和相应的密文3)选择明文攻击：攻击者不仅知道一些消息的明文和相应的密文，而且也可以选择被加密的明文4)选择密文攻击：攻击者能选择不同的被加密的密文，并得到对应的明文九、RSA 计算过程，十、公钥分配过程单钥密码体制在进行密钥分配时, 要求通信双方或者已经有一个共享的密钥，或者可籍助于一个密钥分配中心① 用户 A 向公钥管理机构发送一个带时戳的消息，消息中有获取用户 B 的当前公钥的请求② 管理机构对 A 的请求作出应答，应答由一个消息表示，该消息由管理机构用自己的秘密钥 SKAU 加密，因此 A 能用管理机构的公开钥解密，并使 A 相信这个消息的确是来源于管理机构③ A 用 B 的公开钥对一个消息加密后发往 B，这个消息有两个数据项: 一是 A 的身份 IDA，二是一个一次性随机数 N1，用于惟一地标识这次业务。

④ B 以相同方式从管理机构获取 A 的公开钥（与步骤①、②类似） 这时，A 和 B 都已安全地得到了对方的公钥，所以可进行保密通信然而，他们也许还希望有以下两步，以认证对方⑤ B 用 PKA 对一个消息加密后发往 A，该消息的数据项有 A 的一次性随机数 N1 和 B 产生的一个一次性随机数 N2因为只有 B 能解密③的消息，所以 A 收到的消息中的 N1 可使其相信通信的另一方的确是 B⑥ A 用 B 的公开钥对 N2 加密后返回给 B，可使 B 相信通信的另一方的确是 A十一、密码分类：代换密码、置换密码、HILL 密码、轮转密码密码学分类 单钥体制 双钥体制 十二、攻击分类：1.被动攻击（窃听）2.主动攻击（中断、篡改、伪造）十三、预防十四、各种算法输入输出位数DES 64 比特明文 56 比特密钥 输出 64 比特密文AES 128 192 256 比特RSA 输入 664 比特 MD5 输入 512 比特分组 128 比特输出十五、秘钥分配管理，1 密钥分配管理两个用户 A 和 B 获得共享密钥的方法包括：① 密钥由 A 选取并通过物理手段发送给 B② 密钥由第三方选取并通过物理手段发送给 A 和 B。

③ 如果 A、B 事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方④ 如果 A 和 B 与第三方 C 分别有一保密信道，则 C 为 A、B 选取密钥后，分别在两个保密信道上发送给 A、B2 密钥分配① A 向 KDC 发出会话密钥请求② KDC 为 A 的请求发出应答② A 存储会话密钥，并向 B 转发 EKB[KS‖IDA]④ B 用会话密钥 KS 加密另一个一次性随机数 N2，并将加密结果发送给 A⑤ A 以 f(N2)作为对 B 的应答，其中 f 是对 N2 进行某种变换（例如加 1）的函数，并将应答用会话密钥加密后发送给 B3 公钥分配① 用户 A 向公钥管理机构发送一个带时戳的消息，消息中有获取用户 B 的当前公钥的请求② 管理机构对 A 的请求作出应答，应答由一个消息表示，该消息由管理机构用自己的秘密钥 SKAU 加密，因此 A 能用管理机构的公开钥解密，并使 A 相信这个消息的确是来源于管理机构③ A 用 B 的公开钥对一个消息加密后发往 B，这个消息有两个数据项: 一是 A 的身份 IDA，二是一个一次性随机数 N1，用于惟一地标识这次业务。

④ B 以相同方式从管理机构获取 A 的公开钥（与步骤①、②类似） 这时，A 和 B 都已安全地得到了对方的公钥，所以可进行保密通信然而，他们也许还希望有以下两步，以认证对方⑤ B 用 PKA 对一个消息加密后发往 A，该消息的数据项有 A 的一次性随机数 N1 和 B 产生的一个一次性随机数 N2因为只有 B 能解密③的消息，所以 A 收到的消息中的 N1 可使其相信通信的另一方的确是 B⑥ A 用 B 的公开钥对 N2 加密后返回给 B，可使 B 相信通信的另一方的确是 A十六、杂凑、强单向杂凑，1.叙述杂凑函数应该满足的 3 条性质答：1.等长性,2.单向性.3.无碰撞性.十七、欧几里得，扩展的欧几里得1. 求最大公因子Euclid 算法是基于下面一个基本结论：对任意非负整数 a 和正整数b，有 gcd(a, b)=gcd(b, a mod b)2. 求乘法逆元如果 gcd(a, b)=1 ，则 b 在 mod a 下有乘法逆元（不妨设 b

1. 求最大公因子Euclid 算法是基于下面一个基本结论：对任意非负整数 a 和正整数b，有 gcd(a, b)=gcd(b, a mod b)2. 求乘法逆元如果 gcd(a, b)=1 ，则 b 在 mod a 下有乘法逆元（不妨设 b