密钥 - read.ppt

定理2.3：对任意有限事件集合X、Y有： (1)H(XY)=H(YX)=H(X)+H(Y|X)=H(Y)+H(X|Y) (2)H(X|Y)≤H(X)，等式成立当且仅当X和Y统计独立。 (3)H(Y|X)≤H(Y)，等式成立当且仅当X和Y统计独立。 当p(xi|yj)p(xi)时，I(xi;yj)0； 当p(xi|yj)=p(xi)时，I(xi;yj)=0； 当p(xi|yj)p(xi)时，I(xi;yj)0； 因为p(xiyj)=p(xi)p(yj|xi)=p(yj)p(xi|yj)； 所以有I(xi;yj)=I(yj;xi)。 。 这说明两个集合中的一对事件可以相互提供的信息量相等。 例2.8：令X={x1,x2}，Y={y1,y2}，I(X;Y)=H(Y)-H(Y|X)=H(Y)+plog2p+ (1-p)log2(1-p)， 对于H(Y),当p(y1)=p(y2)=1/2时，H(Y)取最大值1， 故C=1-H(p)=1+plog2p+(1-p)log2(1-p)。 称这样的系统为二元对称信道。 2.5.2完善保密性 令明文熵为H(ML)，密钥熵为H(Y)，密文熵为H(CV)(L为明文分组长度，V为密文分组长度) 在已知密文条件下明文的含糊度为 H(ML|CV)，在已知密文条件下密钥的含糊度为H(Y|CV)。 从唯密文破译来看，密码分析者的任务是从截获的密文中提取有关明文的信息：I(ML;CV)=H(ML)- H(ML|CV)， 或从密文中提取有关密钥的信息：I(Y;CV)=H(Y)- H(Y|CV)。 对于合法接受者来说，则是在已知密钥和密文条件下提取明文信息， 由加密变换的可逆性知，H(ML|CVY)=0， 故有I(ML;CVY)=H(ML)。 H(Y|CV)和H(ML|CV)越大，窃听者从密文中能提取的有关明文和密钥的信息就越小。 定理2.4：对任意密码系统有：I(ML;CV)?H(ML)- H(Y) 证明留作习题。 定义4.6：一个密码系统，若其明文与密文之间的互信息I(ML;CV)=0，则称该系统为完善的密码系统。 0=I(ML;CV)=H(ML)-H(ML|CV)， 即H(ML|CV)=H(ML)。 由定理2.3(2)(H(X|Y)≤H(X)，等式成立当且仅当X和Y统计独立)知， ML和CV统计独立， 即对任意的mi?ML，cj?CV，必有p(m|c)=p(m)。 定理2.5：存在完善的密码系统。 证明：采用构造法。不失一般性，假定明文是二元数字序列m=(m1,m2,…,mL)，这里mi?GF(2)。 令密钥序列k=(k1,k2,…,kr)和密文序列c=(c1,c2,…,cv)也为二元序列，这里m和k彼此独立。 选L=r=v，并令k为随机数字序列，即对一切k?K，有pK(k)=1/2L。 加密变换采用弗纳姆密码体制，则有c=Ek(m)=m?k，其中加法是逐位按模2进行，即cl(m)=ml?kl。 解密变换为m=Dk(c)=c?k，加法也是逐位按模2进行。 要证明I(M;C)=0，即证明H(M)=H(M|C)，也就是证明M和C统计独立，即对任意的m?M，c?C，必有p(m|c)=p(m)。 定理2.5构造的系统在唯密文破译下是安全的，但在已知明文攻击下是不安全的。 若知道明文——密文对(m,c)，则由c=m?k可求得k= m?c。 因此为抗已知明文攻击，就要求密钥不能重复使用，即采用一次一密体制。 在此体制下，任何已知明文——密文对都无助于破译以后收到的密文。 Shannon最先证明这种体制是完善保密的，且可抗已知明文——密文对攻击。 但在实际使用中，每通信一次就要更换密钥，而密钥传送的安全性就构成一个薄弱环节。 Shannon理论中一个最大的弱点就是没有考虑密钥传送问题，即认为密钥的传送不经过密码系统本身。 2.5.3实际保密性 在讨论完善保密性时，是假定分析者有无限时间、设备和资金条件下，研究唯密文攻击时密码系统的安全性。 一个密码系统的破译，如果对手有无限资源可利用，而在截获任意多密文下仍不能被破译，则在理论上是保密的。 实际上，密码分析者所具有资金设备和时间总是有限的，且可采用统计分析、已知明文——密文对等手段攻击。 在这种情况下，研究密码体制的安全性，就是研究系统的实际保密性。 一个密码系统的破译所需努力，如超过对手的能力时，该系统实际上是保密的 理论上不安全的系统可能提供实际上的安全保密性。而理论上安全的，在实际上也可能是脆弱的。 估计一个系统的实际保密性？ 最主要的是须考虑两个因素：一是密码分析者的计算能力，二是他所采用的破译算法的有效性。 密码分析者的计算能力取决于他所拥有的资源条件。 在估计系统的保密性时，首先要估计破译它所需的基本运算次数和存储量，而后考虑在先有设备条件下所需时间。 破译算法