第三章作业.doc

第三章作业 1．(1)设M(是M的逐比特取反，证明：若Y＝DESK(X)则Y(= DESK((X() 证：①以PD记DES中的所有置换，包括循环移位、左右交换，则PD满足如下性质： 若T=PD(Z)，则T(=PD(Z() 在DES中，异或运算显然满足性质a((b(＝a(b，及a((b＝(a(b)( 因而DES中的函数F(Ri－1, Ki)在S盒前是异或运算，所以F(R(i－1, K(i)＝F(Ri－1, Ki) ②由密钥编排方案中的运算部件知， 若K的子密钥为K1,K2,…,K16，那么K(的子密钥为K(1,K(2,…,K(16 ③若X经初始置换IP后记为L0||R0，则X(经初始置换IP后记为L(0||R(0， 用K对X加密的第i轮输入为Li－1||Ri－1，输出为Li||Ri， 其中，Li＝Ri－1，Ri＝Li－1(F(Ri－1, Ki) 设用K(对X(加密的第i轮输入为L(i－1||R(i－1，则其第i轮的输出满足 左半部分＝R(i－1＝L(i 右半部分＝L(i－1(F(R(i－1, K(i)＝L(i－1(F(Ri－1, Ki)＝(Li－1(F(Ri－1, Ki))(＝R(i 即L(i||R(i， ④由归纳法知，前16轮的输出均满足逐比特取反的关系，在经过左右交换盒IP-1两个置换运算，输出密文也满足取反关系 # (2)由(1)的结论，在对DES进行穷搜索攻击时，选择两个明密文对(M,C1)和(M(,C2)，然后选择K(F256，对M加密C＝DESK(M)，判断C=C1或C(=C2则分别说明K或K(为正确密钥，否则K和K(都不是密钥，从而一次加密运算可同时验证一对互反密钥，使搜索量减少一半 2．证明：DES的解密变换是加密变换的逆 证：DES的加密变换由IP，16轮迭代，左右交换，IP-1四部分构成，注意到解密时子密钥逆续使用，16轮迭代与左右交换一起刚好构成Feistel网络，若Feistel网络输入为X，输出为Y，即Y＝Feistel(X,K)，其中K为密钥，如果K的子密钥逆续使用则记为Inv(K)，那么由Feistel网络的性质有X=Feistel(Y,Inv(K))。 对任意的明文消息M加密可表示为C=IP-1[Feistel(IP(M),K)] 即IP(C)=Feistel(IP(M),K) 由Feistel网络的性质有IP(M)=Feistel(IP(C),Inv(K)) 而对密文C解密，即为明文＝IP-1[Feistel(IP(C),Inv(K))]＝IP-1[IP(M)]＝M，所以解密变换是加密变换的逆 # 3．在DES的CBC模式中C1的一个错误明显地将影响P1和P2的结果 （1）P2以后的分组不受影响，这是因为C1以后的密文都是正确的，而恢复明文主要看对应密文分组和其前一个密文分组的正确性。 （2）加密前的明文分组P1有1比特错误，则这一错误将在所有后续密文分组中传播，但接受者能够正确解密，除了P1的一个错误比特之外。这是因为相当于发送者将明文改变了1比特得到一个新明文，而该明文的对应密文正确的传送给了接受方。 4．在8bitCFB中密文字符中出现1比特错误，该错误将影响包括该密文的连续9组密文的解密。 5．在实现IDEA时，最困难的部分是模216＋1乘法运算，设a和b是两个n比特的非0整数，记(ab mod 2n)为ab的n个最低有效位，(ab div 2n)为ab右移n位 (1) 证明存在惟一的非负整数q和r，使得ab＝q(2n+1)+r 证：令q为ab/(2n+1)的商，r为ab/(2n+1)的余数，均非负，则ab＝q(2n+1)+r 若存在另一对数q1，r1满足ab＝q1(2n+1)+r1 两式相减的(r1－r)＝(q－q1)(2n+1) 由于|(r1－r)|(2n，所以当且仅当r1＝r，q1＝q时上式才成立 # (2) 求q和r的上下界 解：由(1)知，r为余数，所以有0(r(2n 又a和b的最大值为2n－1，所以0(q([ab/(2n+1)]([(2n－1)2/(2n－1)]＝[2n－3＋4/(2n+1)]= 2n－3对于n(2时都成立，当n＝1时，q＝0 所以，q的上下界为0(q(2n－3 （n(2）n＝1时，q＝0 (3) 证明q＋r2n+1 证：q＋r(2n－3＋2n＝2n+1－32n+1 (4)，(5) 求(ab div 2n)关于q的表达式和(ab mod 2n)关于q和r的表达式 解：设ab＝q12n+r1，则显然有q1＝(ab div 2n)，r1＝(ab mod 2n) 又ab＝q(2n+1)+r，记为(a)式 当q1( r1时，ab＝q12n