现代密码学原理与应用第3章 .pptVIP

设移位寄存器的当前状态为 则 将 作为移位寄存器的输入，代替第n个位置上的值，而驱使寄存器的所有位向右移，达到新的状态 且输出 。由此可以得到序列 显然，当移位寄存器的反馈函数f是的线性函数时，称移位寄存器为线性反馈移位寄存器LFSR，否则，为非线性反馈移位寄存器NLFSR。 线性移位寄存器的反馈函数f可表示为 其中 或1(i=1,2,…,n)称为反馈系数，其中至少有一个非零，一般总假定 。 的作用就相当于一个开关，用断开和闭合来表示0和1，这样的线性函数共个 【例3-6】有一个6级线性反馈移位寄存器如图3-10所示。其中初始状态为(0,1,1,0,1,0)，输出序列为 0 1 0 1 1 0 1 0 0 1 0… 周期为8。 图3-10 一个6级线性反馈移位寄存器 LFSR的输出序列 满足以下递推关系： 其中i为正整数。 这种递推关系描述了LFSR的数学结构，可用一个GF(2)上的一元n次多项式表示 称此多项式为n位LFSR的特征多项式。 图3-10所示的LFSR的特征多项式为。 n位LFSR产生的周期为2n-1的序列被称为该LFSR的m序列。m序列具有良好的伪随机性，满足Golomb随机性的三个假设。 对于多项式 ，能够被其整除的多项式 的最小的k称为 的周期或阶。可以证明，一个n位LFSR能够产生m序列的充要条件是其特征多项式为阶 为的不可约多项式（即本原多项式）。 对于二元加法流密码，有以下两种典型的攻击方法：插入攻击法和已知明文攻击法。 3.5 二元加法流密码的破译 3.5.1 插入攻击法 攻击方法：在明文流中插入一个位，并截获密文流。下面对此攻击进行分析。假设原始明文、密钥流和密文分别为： 假如能在明文流的已知位（如第一位的后面）中插入一个m，然后用同样的密钥加密后发送，结果将是： 如果攻击者已知插入位和两个密文流，则可以构建如下方程组： 就可以按照顺序 解出明文。 【例3-9】如果原始明文、密钥流为 10011…，11001…， 密文为01010…， 攻击者获取了这个密文，并在明文的第二个位置插入1，得到明文110011，仍用相同的密钥流110010…进行加密，得到密文000001，攻击者也截取了此密文。则攻击者由明文的第二个位置的1和密文可以解出 根据LFSR输出序列的递推关系 如果以输出流 直接作为密钥流，即 在此方程中，将反馈系数 看做未知数，如果能够用已知的密钥流 构建一个关于 的线性方程组，则有可能解出n个反馈系数，从而得到反馈函数。要使这个线性方程组有唯一解，则需要如下n个方程构成方程组： 3.5.2 已知明文攻击法 = * 第3章 流密码 3.1 随机数 随机数在密码学的应用过程中，要求随机数序列满足随机性和不可预测性。 1．随机性 随机性主要体现在以下几个方面： ? 具有均匀分布总体良好的随机统计特征。能通过均匀性检验、独立性检验、游程检验等基本的统计特性检验。 ? 不能重复产生。在完全相同的条件下，将得到两个不相关的随机序列。 3.1.1 随机数的性质 2．不可预测性 不可预测性是指即使给出产生序列的硬件和所有以前产生的序列的全部知识，也不可能预测下一个随机位是什么。因此，随机序列是非周期的。 3.1.2 随机数的生成方法 随机数的生成主要有以下两类方法： 一类是物理方法，即利用自然界的一些真的随机物理量，如放射性衰变、电子设备的热噪音、宇宙射线的触发时间等等。 另外一类是使用计算机来产生随机数的方法，即数学方法。这类方法由一个初始状态（称为“种子”）开始，通过一个确定的算法来生成随机数。一旦给定算法和种子值，输出序列就是确定的了，因此有一定的周期性，规律性和重复性，不是真正的随机数，通常称之为伪随机数。产生伪随机数的算法或硬件一般称为伪随机数发生器。 3.1.3 伪随机数发生器 一个良好的伪随机数发生器应当具备以下特性： ? 产生的随机数要具有均匀总体随机样本的统计特性，如分布均匀性，独立性，抽样的随机性等，能通过基本的统计检验。 ? 不可预测性。即使给出产生序列的算法或硬件和所有以前产生的比特流的全部知识，也不可