第5,6讲--伪密钥与唯一解距离.ppt

§3.3 伪密钥和唯一解距离 例1 如果由64个二进制数构成的某类密钥 的熵平均是56比特,则该类密钥的熵为0.875比特. 56/64=0.875 例2 如果由64个二进制数构成的某类密钥的熵平均是56比特,则该类密钥的冗余度是 1 - 0.875 = 0.125 比特 即:平均每个密钥比特有0.125个比特是多余的. 定理3.5 设S=(M,C,K,E,D)是一个密码体制，设X是明文字母表，Y是密文字母表，并且|X|=|Y|,设RL是明文语言的冗余度，假设密钥的选取满足均匀分布，则对于任意一个长度为n的密文字母串，当n充分大时，伪密钥的期望数目满足： 3.5乘积密码体制 设密码体制S1 = (M,M,K1,E1,D1)， S2 = (M,M,K2,E2,D2)， 定义S1×S2=（M,M,K1×K2,E,D)为新的乘积密码体制，其中密钥k=（k1,k2） 加密算法：E(m,k) = E2(E1(m,k1),k2) 解密算法：D(c,k) = D1(D2(c,k2),k1) 可以看出，D(E(m,k))=m 3.5乘积密码体制 例：定义乘法密码体制S1： 密钥k在Z26中选取,满足gcd(k,26) = 1 加密算法：E(m,k)=km mod 26 解密算法：D(c,k)=k-1c mod 26 设移位密码体制为S2， 则可以得到乘积密码S=S1×S2 S为仿射密码 可以证明S2×S1=S1×S2 3.5乘积密码体制 乘积密码可结合 (S1×S2) ×S3 = S1× (S2×S3) = S1×S2×S3 乘积密码一般不满足交换 若S×S = S，则称S为幂等的 移位，仿射，希尔，维吉尼亚，置换密码都是幂等的。 如果密码体制不是幂等的，则可以通过多次迭代来提高安全性，如DES使用16轮迭代 一种方法是使用两个不同的简单密码体制做乘积 * * §3.3 伪密钥和唯一解距离 主要内容: 利用Shannon信息论,研究密文、明文和密钥的信息量。 分析唯密文攻击条件下要唯一确定密钥时至少需要的密文长度。 定理3.4 设M,K,C分别是明文空间、密钥空间和密文空间上的随机变量，则有 根据条件熵与联合熵之间的关系,有 证明: 由于知道密文和密钥,自然也知道明文,因而密钥和密文都知道时提供的信息量H(K,C)等于密钥、密文和明文都知道时提供的信息量H(K,M,C),即 下证之. 由 和条件熵与联合熵的关系知 同理,有 ,故由密钥与明文独立知 截获密文C后,就可将密钥唯一确定等价于 下面根据这个条件,计算至少需要多少密文才能将密钥唯一确定. 将密钥唯一确定所需要的最少的密文的数量,就称为该密码体制的唯一解距离. 要求唯一解距离,需要首先计算出n长明文M的熵H(M)和n长密文的熵H(C). 定理3.4说明: 截获密文C后,就可将密钥唯一确定等价于 (A) n长密文熵的计算 我们需要做一个合理的假设: 假设: 密文是随机的! 设密文字母表为Y,则n长密文就是由字母表Y中n 个字母 组成的密文字母串 . 结论: 设n长密文服从均匀分布,则n长密文的熵为 证明: 因n长密文共有 个,从而由n长密文服从均匀分布和熵的性质知 如何刻划明文本身包含的未知信息量呢?我们 给出如下的定义： 设明文字母表为X,则n长明文就是由字母表X中n 个字母 组成的明文字母串 . (B) n长明文熵的计算 定义3.5 （2）设L是一种语言,则称 为该语言L的冗余度(Redundancy) . 定义3.5 (1) 设L是一种语言,则称 为该语言L的(单字母)熵. 下面转到分析需要截获多少密文才能将密钥唯一确定的问题. 定义3.6 称将密钥唯一确定所平均需要的最少的密文的数量为该密码体制的唯一解码量. 唯一解码量也称为唯一解距离. 将密钥唯一确定等价于H(K|Y)=0.下面根据定理3.4的结论 计算一个密码体制的唯一解码量. 当截获n长明文X(n)对应