现代密码学 复习题 答案.doc

（一）信息的载体有（媒质）和（信道）。对信息载体的两种攻击为（被动攻击）和（主动攻击）。密码学的两个分支是（密码编码学）和（密码分析学）。密码体制有（单钥密码体质）和（双钥密码体质）。现代流密码的设计思想来源于古典密码中的（维吉尼亚密码）。现代分组密码的设计思想来源于古典密码中的（多字母代换密码）。 （二）在信息保密系统中，攻击者Eve所拥有的基本资源有哪些？ Eve在不安全的公共信道上截获了密文c。 Eve知道加密算法E和解密算法D。 攻击者Eve可能拥有的更多资源有哪些？ Eve可能知道密文c所对应的明文m 。（此时所进行的攻击称为已知明文攻击） Eve可能拥有强大的计算能力。 Eve可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出密文。（此时所进行的攻击称为选择明文攻击） 攻击者Eve不可能拥有的资源是什么？ Eve不知道加密密钥z和解密密钥k。 （事实上，在进行安全性分析时，有时也假设Eve 知道了密钥的一部分，但决不能全部知道） （三）叙述已知明文攻击。 设攻击者Eve截获了密文c，并且知道了密文c所对应的明文m 。（这种情况是怎样发生的呢？当明文m 是已经过期的消息，可能无法再保密，也可能必须将其公开。因此，这种情况是经常发生的）于是： 在解密方程m=D(c, k)中，Eve知道m 和c，仅仅不知道解密密钥k。 在加密方程c=E(m, z)中，Eve知道m 和c，仅仅不知道加密密钥z。 如果Eve从解密方程m=D(c, k)中计算出解密密钥k ，则Eve今后就可以像Bob一样对任何密文c’进行解密： m’=D(c’, k)。 如果Eve从加密方程c=E(m, z)中计算出加密密钥z ，则Eve今后就可以像Alice一样对任何明文m’进行加密： c’=E(m’, z)。 还可以给更加宽松的条件。设攻击者Eve获得了以往废弃的n组明文/密文对：（m1，c1），（m2，c2），…， （mn，cn）。 于是Eve获得了关于解密密钥k 的方程组： m1=D(c1, k) ， m2=D(c2, k) ， …， mn=D(cn, k) 。 （n越大，解密密钥k 就越容易确定。） （四）叙述无条件安全性。 对密码体制的任何攻击，都不优于（对明文）完全盲目的猜测，这样的密码体制就称为无条件安全的（或完善保密的）。 什么样的加解密方式能够实现无条件安全性？ 一次一密的加密方式容易实现无条件安全性。因为密钥时时更新，所以以往得到的任何明文/密文对，对于破译新的密文没有任何帮助，只能做完全盲目的猜测。 （五）叙述计算安全性。 计算安全是一个模糊的概念。我们可以给出以下三个级别的定义。 （1）对密码体制的任何攻击，虽然可能优于完全盲目的猜测，但超出了攻击者的计算能力。这是最高级别的计算安全。 （2）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但所付出的代价远远大于破译成功所得到的利益。这是第二级别的计算安全。 （3）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但破译成功所需要的时间远远大于明文本身的有效期限。这也是第二级别的计算安全。 什么样的加解密方式能够实现计算安全性？ （六）设明文x，密文y，密钥z1，密钥z2，均为8比特课文。加密算法为 y=(x‘+’z1)“+”z2。其中‘+’表示逐位(mod2)加法运算；“+”表示(mod28)加法运算。 试用2个明文/密文对解出密钥z1和z2各自的最低位，其中明文可以任意选择。你选择什么明文？怎样解出？ 在解出密钥z1和z2各自的最低位以后，试用2个明文/密文对解出密钥z1和z2各自的次最低位，其中明文可以任意选择。你选择什么明文？怎样解出？ 使用选择明文攻击，多少个经过选择的明文/密文对可以解出密钥z1和z2？ （七）设明文(x1x2x3x4x5)，密文(y1y2y3y4y5)，密钥A(5×5阶方阵)，密钥(b1b2b3b4b5)，满足域GF(2)上的如下加密方程： (y1y2y3y4y5)=(x1x2x3x4x5)A+(b1b2b3b4b5)。 取6组明文/密文对： (00000)/(10110)，(10000)/(01110)，(01000)/(11010)， (00100)/(10000)，(00010)/(10101)，(00001)/(00111)。 试解出密钥A和密钥(b1b2b3b4b5)。 此加密方程能够唯一解密吗？为什么？ （八）叙述Golomb随机性假设（三条假设）。 （1）当n充分大时， k1k2 k3 …kn中0和1的个数各占约一半。 （2）当n充分大时，在k1k2 k3 …kn中，长度为l的比特串10 …01 （称为0游程）的个数约有n/2l 个；长度为l的比特串01 …10 （称为1游程）的个数约有n/2l 个。