現(xiàn)代密碼學(xué)試題A卷

1、班級：_學(xué)號：_ 班內(nèi)序號_ 姓名：_-裝-訂-線-北京郵電大學(xué)20052006學(xué)年第二學(xué)期現(xiàn)代密碼學(xué)期末考試試題（a卷）考試注意事項(xiàng)一、學(xué)生參加考試須帶學(xué)生證或?qū)W院證明，未帶者不準(zhǔn)進(jìn)入考場。學(xué)生必須按照監(jiān)考教師指定座位就坐。二、書本、參考資料、書包等與考試無關(guān)的東西一律放到考場指定位置。三、學(xué)生不得另行攜帶、使用稿紙，要遵守北京郵電大學(xué)考場規(guī)則，有考場違紀(jì)或作弊行為者，按相應(yīng)規(guī)定嚴(yán)肅處理。四、學(xué)生必須將答題內(nèi)容做在專用答題紙上，做在試卷、草稿紙上一律無效?？荚囌n程考試時間 年 月 日題號一二三四五六七八總分滿分得分閱卷教師試題一（10分）：密碼系統(tǒng)安全性的定義有幾種？它們的含義是什么？答：現(xiàn)

2、有兩種定義“安全性”的方法。一種是基于信息論的方法（經(jīng)典方法）。另一種是基于計(jì)算復(fù)雜性理論的方法（現(xiàn)代方法）?；谛畔⒄摰亩x是用密文中是否蘊(yùn)含明文的信息作為標(biāo)準(zhǔn)。不嚴(yán)格地說，若密文中不含明文的任何信息，則認(rèn)為該密碼體制是安全的，否則就認(rèn)為是不安全的。基于計(jì)算復(fù)雜性理論的安全性定義則不考慮密文中是否蘊(yùn)含明文的信息，而是考慮這些信息是否能有效地被提取出來。換句話說，把搭線者提取明文信息的可能性改為搭線者提取明文信息的可行性，這種安全性稱為有條件安全性，即搭線者在一定的計(jì)算資源條件下，他不能從密文恢復(fù)出明文。試題二(10分)： 假設(shè)hill密碼加密使用密鑰，試對明文abcd加密。 答：（a,b）=

3、(0,1)加密后變?yōu)椋?,1）=(3,7)=(d,h)； 同理（c,d）=(2,3) 加密后變?yōu)椋?,3）=(31,37)=(5,11)=(f,l)。所以，明文(abcd)經(jīng)過hill密碼加密后，變?yōu)槊芪模╠hfl）。試題三（10分）：設(shè)有這樣一個密碼系統(tǒng)，它的明文空間的概率分布為；它的密鑰空間的概率分布為；它的密文空間，假定該密碼系統(tǒng)的加密函數(shù)為：。請計(jì)算：（1） 密文空間的概率分布；（2） 明文關(guān)于密文的條件分布；（3） 明文空間的熵。答：（1）密文空間的概率分布為：1/8；7/16；1/4；3/16 （2）明文關(guān)于密文的條件分布表如下： mxy11021/76/731/43/4401（3

4、）明文空間的熵為：試題四（10分）設(shè)des密碼中的初始密鑰是k=（，），記des加密算法中16輪加密過程中所使用的子密鑰分別為。請你計(jì)算出第一個子密鑰的數(shù)學(xué)表達(dá)式。答：先對初始密鑰k=（，）進(jìn)行一個密鑰置換pc-1（見下pc-1表1），將初始密鑰的8個奇偶校驗(yàn)位剔除掉，而留下真正的56比特初始密鑰（）。接著分別對及進(jìn)行左一位循環(huán)，得到與 ，連成56比特?cái)?shù)據(jù)。再依密鑰置換pc-2（如下pc-2表2）做重排，便可得到子密鑰。 表1：密鑰置換pc1 表2 密鑰置換pc2pc1574941332517915850423426181025951433527191136052443663554739312

5、31576254463830221466153453729211352820124pc21417112415328156211023191242681672720132415231374755304051453348444939563453464250362932試題五（10分）設(shè)p和q是兩個大于2的素?cái)?shù)，并且n=pq。記是比正整數(shù)m小，但與m互素的正整數(shù)個數(shù)。再設(shè)e和d是兩個正整數(shù)，分別滿足gcd(e, )=1 ，ed1(mod)。設(shè)函數(shù)e(m)和d（c）分別定義為e（m）m(mod n)和d(c) c(mod n)。請問（1）等于多少？ （2）請證明對于任何正整數(shù)m，都成立恒等式d（e（m

6、）=m。 答：（1）=(p-1)(q-1)。 （2）其實(shí)，只需要證明rsa的解密正確性就行了。當(dāng)（m,n）=1時，則由歐拉定理可知m。當(dāng)（m,n）1時，由于n=pq， 故（m,n）必含p,q之一。不妨設(shè)（m,n）=p，則m=cp,（1cq）,由歐拉定理知 m。因此，對于任何k，總有m， m，即m。于是存在h(h是某個整數(shù))滿足m+hq=1。由假定m=cp。故m= m+hcpq= m+hcn。這就證明了m=m(mod n)。因此對于n及任何m（mn），恒有m。所以，d(e（m）)=d(c) c=m=m=m(mod n)。命題得證。 試題六（10分）：（1）請利用著名的rsa公鑰密碼算法設(shè)計(jì)一個數(shù)

7、字簽名算法（稱為rsa簽名算法）。（2）由于rsa簽名算法每次只能對一個固定長度（比如n比特）的消息進(jìn)行簽名，為了對任意長度的消息進(jìn)行簽名，有人建議了這樣一種處理方法：首先將長消息切割成固定長度n比特的數(shù)據(jù)塊，然后用rsa簽名算法對每個數(shù)據(jù)塊進(jìn)行簽名，最后將這些簽名塊拼接起來就得到了長消息的簽名。請問這種切割處理方法所獲得的簽名算法安全嗎？為什么？ 答：（1）rsa簽名算法的系統(tǒng)參數(shù)可設(shè)為n=pq,且p和q是兩個大素?cái)?shù)，則 m=a=z,定義=（n,d,p,q,e）這里e和d 滿足ed1(mod(n)( ()是歐拉函數(shù))。公開密鑰 n,d；私有密鑰 p,q,e； 簽名算法為sig (x)=x m

8、od n；簽名驗(yàn)證算法為 ver(x,y)=truexy(modn). (x,y)zz。更直觀地說，用rsa解密算法作為簽名，用rsa的加密作為驗(yàn)證，于是，只有合法用戶自己才能簽名，而任何人都可以驗(yàn)證簽名的真實(shí)性。其實(shí)，基于任何一個加、解密算法順序可交換的密碼算法都可用于設(shè)計(jì)一個數(shù)字簽名算法，只需要以解密做簽名，以加密做驗(yàn)證就行了。 （2）切割和拼接處理方法所獲得的簽名算法不安全。因?yàn)椋偃鏼和n是兩個n比特的消息，那么，黑客可以通過已知的m和n的簽名s(m)s(n)，至少獲得另一個消息nm的合法簽名s(n)s(m)。試題七（10分）：（1）請?jiān)敿?xì)敘述diffie-hellman密鑰預(yù)分配協(xié)議

9、；（2）如果去掉diffie-hellman密鑰預(yù)分配協(xié)議中的證書（即不存在可信中心），請你給出一種有效的中間人攻擊方法，即攻擊者截獲通信雙方通信的內(nèi)容后可分別冒充通信雙方，以獲得通信雙方協(xié)商的密鑰。 答：（1）為完整描述diffie-hellman密鑰預(yù)分配協(xié)議，用id（u）表示網(wǎng)絡(luò)中用戶u的某些識別信息。每個用戶u有一個秘密指數(shù)和一個相應(yīng)的公鑰。可信中心有一個簽名方案，該簽名方案的公開驗(yàn)證算法記為verta,秘密簽名算法記為sigta。當(dāng)一個用戶u入網(wǎng)時，可信中心需給他頒發(fā)一個證書：c(u)=(id(u),bu,sigta(id(u),bu)。可信中心對證書的簽名允許網(wǎng)絡(luò)中的任何人能驗(yàn)證它所包含的信息。u和v計(jì)算共同的密鑰的協(xié)議，即，diffie-hellman密鑰預(yù)分配協(xié)議如下：1） 公開一個素?cái)?shù)和一個本原元。2） v使用他自己的秘密值及從u的證書中獲得的公開值，計(jì)算 3） u使用他自己的秘密值及從v的證書中獲得的公開值，計(jì)算 （2）如果在上述diffie-hellman密鑰預(yù)分配協(xié)議中去掉了可信中心和證書，那么，黑客可以按如下步驟分別與u和v約定合法的密鑰，從而，竊聽u和v的全部通信過程：黑客以v的身份，與u完成預(yù)分配協(xié)議，獲得一個與u共享的密鑰a； 同時，黑客以u的身份，與v完