第2单元.信息安全与信息论.pptVIP

信息安全的数学基础---信息论及与信息安全的关系 北京师范大学应用数学学院 杨进 信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学  信息论与密码学 证明：令Ml，Cl和K都是二元序列集。K和Cl之间平均互信息为 I(K; Cl)=H(Cl)－K(Cl /K) (2—29) 对于典型的密码系统，当l足够小时，二元密文序列的前l bit实际上是完全随机的二元数字，因而有 H(Cl )?l bits (2—30) 由熵的性质有 H(MlCl /K)=H(Ml/K)＋H(Cl/MlK) =H(Cl /K)＋H(Ml /ClK) (2—31) 式中： H(Cl /Ml K)=0 (2—32) H(Ml /Cl K)=0 (2—33) 又由所有密码系统的明文和密钥统计独立，即 H(Ml /K)=H(Ml) (2—34) 将上述三式代入式(2-5-49) 得 H(Cl /K)=H(Ml) (2—35) 对于多数密码系统和相应的明文源，在l不太大时，例如l?L，不确定性H(Cl /K)随l近似于线性关系增加，因而可将上式写成 H(Cl |K)?H(ML) 1? l?L (2—36) 将式(2-5-48)和式(2-5-54)代入式(2-5-47)得 (2—37) 由式(2-5-41)知，上式括号中的量是L长二元信源序列的多余度，故有 I(K; CL)=l?L 0? ?L ? 1 (2—38) 又由于 信息论与密码学 I(K; CL)=H(K)－H(K/Cl) 因而有 H(K/Cl)?H(K)－l?L (2—39) 由此可见，当l足够小时，密钥含糊度将随截获的密文长度l线性地降低，直到当H(K?Cl)变得相当小为止。 由式(2-5-57)及唯一解距离?0的定义可得 ?0?H(K)/?L (2—40) 讨论： ? 若?L=0，即当明文经过最佳数据压缩编码后，其惟一解距离?0??。虽然这时系统不一定满足H(K)?H(ML)的完善保密条件，但不管截获的密报量有多大，密钥的含糊度仍为H(K/Cl)?H(K)，即可能的密钥解有2H(K)个之多! 信息论与密码学 ? 实际中不可能实现?L =0，但是在消息进行加密之 前，先进行压缩编码来减小多余度，对于提高系统安全性是绝对必要的! 多余度的存在，使得任何密码体制在有限密钥下(H(K)为有限)，其惟一解距离都将是有限的，因而在理论上都将是可破的。 ? 一些使数据扩展的方式对于密码的安全是不利的。 ? 增大H(K)是提高保密系统安全性的途径，即采用复杂的密码体制，直至一次一密钥体制。 信息论与密码学 例2-2 英语单表代换密码的密钥量|K?=26!，其密钥空间的熵为H(K)=lb(26!)=88.4 bits。由例2-1知，??=3.2bits/字母，所以这一密码体制的唯一解距离ν=88.4/3.2=27.6字母。 此例说明，只要截获到28个字母长的密文，原则上就可能破译英语单表代换密码。这和著名密码分析家W. F. Friedman的经验值25个字母相符。例如，当密文量?=40字母，若每个字母的多余度以δ=1.5计算，一个有意义的脱密消息的期望数仅为1.2×10-10。因此，当得到一个有意义的解时显然是可信赖的。但若以ν=20个密文字母破译，有意义的脱密解高达2.2×107个之多，如果得到了一个有意义的解，其可信度是很低的。 信息论与密码学 例2-3 下面给出几种密码体制