應(yīng)用密碼學(xué)(1-10章全)-課件

應(yīng)用密碼學(xué)清華大學(xué)出版社2008年9月應(yīng)用密碼學(xué)清華大學(xué)出版社第1章密碼學(xué)概述 第2章古典密碼技術(shù) 第3章分組密碼第4章公鑰密碼體制第5章散列函數(shù)與消息鑒別第6章數(shù)字簽名技術(shù)第7章密鑰管理技術(shù)第8章身份鑒別技術(shù)第9章序列密碼第10章密碼技術(shù)應(yīng)用課程主要內(nèi)容第1章密碼學(xué)概述 課程主要內(nèi)容第1章密碼學(xué)概述本章主要內(nèi)容信息安全與密碼技術(shù) 密碼技術(shù)發(fā)展簡(jiǎn)介 密碼學(xué)基本概念 密碼學(xué)的主要任務(wù) 密碼系統(tǒng)的概念 對(duì)密碼系統(tǒng)的攻擊 密碼系統(tǒng)的安全性 密碼體制的分類 對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn) 第1章密碼學(xué)概述本章主要內(nèi)容第1章密碼學(xué)概述1.1信息安全與密碼技術(shù)密碼技術(shù)是一門古老的技術(shù)；信息安全服務(wù)要依賴各種安全機(jī)制來(lái)實(shí)現(xiàn)，而許多安全機(jī)制則需要依賴于密碼技術(shù)；密碼學(xué)貫穿于網(wǎng)絡(luò)信息安全的整個(gè)過(guò)程，在解決信息的機(jī)密性保護(hù)、可鑒別性、完整性保護(hù)和信息抗抵賴性等方面發(fā)揮著極其重要的作用。密碼學(xué)是信息安全學(xué)科建設(shè)和信息系統(tǒng)安全工程實(shí)踐的基礎(chǔ)理論之一。對(duì)密碼學(xué)或密碼技術(shù)一無(wú)所知的人不可能從技術(shù)層面上完全理解信息安全。

第1章密碼學(xué)概述1.1信息安全與密碼技術(shù)第1章密碼學(xué)概述1.2密碼技術(shù)發(fā)展簡(jiǎn)介

根據(jù)不同時(shí)期密碼技術(shù)采用的加密和解密實(shí)現(xiàn)手段的不同特點(diǎn)，密碼技術(shù)的發(fā)展歷史大致可以劃分為三個(gè)時(shí)期，即古典密碼、近代密碼和現(xiàn)代密碼時(shí)期。古典密碼時(shí)期這一時(shí)期為從古代到到十九世紀(jì)末，長(zhǎng)達(dá)數(shù)千年。由于這個(gè)時(shí)期社會(huì)生產(chǎn)力低下，產(chǎn)生的許多密碼體制都是以“手工作業(yè)”的方式進(jìn)行，用紙筆或簡(jiǎn)單的器械來(lái)實(shí)現(xiàn)加密/解密的，一般稱這個(gè)階段產(chǎn)生的密碼體制為“古典密碼體制”，這是密碼學(xué)發(fā)展的手工階段。

這一時(shí)期的密碼技術(shù)僅是一門文字變換藝術(shù)，其研究與應(yīng)用遠(yuǎn)沒(méi)有形成一門科學(xué)，最多只能稱其為密碼術(shù)。第1章密碼學(xué)概述1.2密碼技術(shù)發(fā)展簡(jiǎn)介第1章密碼學(xué)概述近代密碼時(shí)期近代密碼時(shí)期是指二十世紀(jì)初到二十世紀(jì)50年代左右。

從1919年以后的幾十年中，密碼研究人員設(shè)計(jì)出了各種各樣采用機(jī)電技術(shù)的轉(zhuǎn)輪密碼機(jī)（簡(jiǎn)稱轉(zhuǎn)輪機(jī)，Rotor）來(lái)取代手工編碼加密方法，實(shí)現(xiàn)保密通信的自動(dòng)編解碼。隨著轉(zhuǎn)輪機(jī)的出現(xiàn)，使得幾千年以來(lái)主要通過(guò)手工作業(yè)實(shí)現(xiàn)加密／解密的密碼技術(shù)有了很大進(jìn)展。圖1.4（a）ENIGMA密碼機(jī)圖1.4（b）TYPEX密碼機(jī)

近代密碼時(shí)期可以看作是科學(xué)密碼學(xué)的前夜，這階段的密碼技術(shù)可以說(shuō)是一種藝術(shù)，是一種技巧和經(jīng)驗(yàn)的綜合體，但還不是一種科學(xué)，密碼專家常常是憑直覺(jué)和信念來(lái)進(jìn)行密碼設(shè)計(jì)和分析，而不是推理和證明。第1章密碼學(xué)概述近代密碼時(shí)期圖1.4（a）ENIGMA第1章密碼學(xué)概述現(xiàn)代密碼時(shí)期1949年香農(nóng)（ClaudeShannon）的奠基性論文“保密系統(tǒng)的通信理論”（CommunicationTheoryofSecrecySystem）在《貝爾系統(tǒng)技術(shù)雜志》上發(fā)表，首次將信息論引入密碼技術(shù)的研究，用統(tǒng)計(jì)的觀點(diǎn)對(duì)信源、密碼源、密文進(jìn)行數(shù)學(xué)描述和定量分析，引入了不確定性、多余度、唯一解距離等安全性測(cè)度概念和計(jì)算方法，為現(xiàn)代密碼學(xué)研究與發(fā)展奠定了堅(jiān)實(shí)的理論基礎(chǔ)，把已有數(shù)千年歷史的密碼技術(shù)推向了科學(xué)的軌道，使密碼學(xué)（Cryptology）成為一門真正的科學(xué)。從1949年到1967年，密碼學(xué)文獻(xiàn)近乎空白。1967年，戴維·卡恩（DavidKahn）出版了一本專著《破譯者》（TheCodeBreaker）1977年，美國(guó)國(guó)家標(biāo)準(zhǔn)局NBS（現(xiàn)NIST）正式公布實(shí)施美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)DES1976年11月，美國(guó)斯坦福大學(xué)的著名密碼學(xué)家迪菲（W.Diffie）和赫爾曼(M.Hellman)發(fā)表了“密碼學(xué)新方向”（NewDirectioninCryptography）一文，首次提出了公鑰密碼體制的概念和設(shè)計(jì)思想，開(kāi)辟了公開(kāi)密鑰密碼學(xué)的新領(lǐng)域，掀起了公鑰密碼研究的序幕。

第1章密碼學(xué)概述現(xiàn)代密碼時(shí)期第1章密碼學(xué)概述現(xiàn)代密碼時(shí)期（續(xù)）1997年4月美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)起征集高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)（AES，AdvancedEncryptionStandard）算法的活動(dòng)。2000年10月，比利時(shí)密碼學(xué)家JoanDaemen和VincentRijmen提出的“Rijndael數(shù)據(jù)加密算法”被確定為AES算法，作為新一代數(shù)據(jù)加密標(biāo)準(zhǔn)。二十世紀(jì)末的AES算法征集活動(dòng)使密碼學(xué)界又掀起了一次分組密碼研究的高潮。同時(shí)，在公鑰密碼領(lǐng)域，橢圓曲線密碼體制由于其安全性高、計(jì)算速度快等優(yōu)點(diǎn)引起了人們的普遍關(guān)注和研究，并在公鑰密碼技術(shù)中取得重大進(jìn)展。在密碼應(yīng)用方面，各種有實(shí)用價(jià)值的密碼體制的快速實(shí)現(xiàn)受到高度重視，許多密碼標(biāo)準(zhǔn)、應(yīng)用軟件和產(chǎn)品被開(kāi)發(fā)和應(yīng)用，美國(guó)、德國(guó)、日本和我國(guó)等許多國(guó)家已經(jīng)頒布了數(shù)字簽名法，使數(shù)字簽名在電子商務(wù)和電子政務(wù)等領(lǐng)域得到了法律的認(rèn)可，推動(dòng)了密碼學(xué)研究和應(yīng)用的發(fā)展。

新的密碼技術(shù)不斷涌現(xiàn)。例如，混沌密碼、量子密碼、DNA密碼等等。這些新的密碼技術(shù)正在逐步地走向?qū)嵱没?/p>

人們甚至預(yù)測(cè)，當(dāng)量子計(jì)算機(jī)成為現(xiàn)實(shí)時(shí)，經(jīng)典密碼體制將無(wú)安全可言，而量子密碼可能是未來(lái)光通信時(shí)代保障網(wǎng)絡(luò)通信安全的可靠技術(shù)。

第1章密碼學(xué)概述現(xiàn)代密碼時(shí)期（續(xù)）第1章密碼學(xué)概述1.3密碼學(xué)基本概念

1.3.1密碼學(xué)的主要任務(wù)

在信息安全的諸多涉及面中，密碼學(xué)主要為存儲(chǔ)和傳輸中的數(shù)字信息提供如下幾個(gè)方面的安全保護(hù)：

①機(jī)密性

是一種允許特定用戶訪問(wèn)和閱讀信息，而非授權(quán)用戶對(duì)信息內(nèi)容不可理解的安全屬性。在密碼學(xué)中，信息的機(jī)密性通過(guò)加密技術(shù)實(shí)現(xiàn)。②完整性

數(shù)據(jù)完整性即用以確保數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中不被非授權(quán)修改的的安全屬性。密碼學(xué)可通過(guò)采用數(shù)據(jù)加密、報(bào)文鑒別或數(shù)字簽名等技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù)。第1章密碼學(xué)概述1.3密碼學(xué)基本概念第1章密碼學(xué)概述1.3.1密碼學(xué)的主要任務(wù)（續(xù)）③鑒別這是一種與數(shù)據(jù)來(lái)源和身份鑒別有關(guān)的安全服務(wù)。鑒別服務(wù)包括對(duì)身份的鑒別和對(duì)數(shù)據(jù)源的鑒別。對(duì)于一次通信，必須確信通信的對(duì)端是預(yù)期的實(shí)體，這就涉及到身份的鑒別。對(duì)于數(shù)據(jù)，仍然希望每一個(gè)數(shù)據(jù)單元發(fā)送到或來(lái)源于預(yù)期的實(shí)體，這就是數(shù)據(jù)源鑒別。數(shù)據(jù)源鑒別隱含地提供數(shù)據(jù)完整性服務(wù)。密碼學(xué)可通過(guò)數(shù)據(jù)加密、數(shù)字簽名或鑒別協(xié)議等技術(shù)來(lái)提供這種真實(shí)性服務(wù)。④抗抵賴性是一種用于阻止通信實(shí)體抵賴先前的通信行為及相關(guān)內(nèi)容的安全特性。密碼學(xué)通過(guò)對(duì)稱加密或非對(duì)稱加密，以及數(shù)字簽名等技術(shù)，并借助可信機(jī)構(gòu)或證書機(jī)構(gòu)的輔助來(lái)提供這種服務(wù)。密碼學(xué)的主要任務(wù)是從理論上和實(shí)踐上闡述和解決這四個(gè)問(wèn)題。它是研究信息的機(jī)密性、完整性、真實(shí)性和抗抵賴性等信息安全問(wèn)題的一門學(xué)科。第1章密碼學(xué)概述1.3.1密碼學(xué)的主要任務(wù)（續(xù)）第1章密碼學(xué)概述1.3.1密碼學(xué)的主要任務(wù)（續(xù)）密碼學(xué)研究領(lǐng)域的兩個(gè)分支：密碼編碼學(xué)（Cryptography）密碼分析學(xué)（Cryptanalytics）

密碼編碼學(xué)的主要任務(wù)是尋求有效密碼算法和協(xié)議，以保證信息的機(jī)密性或認(rèn)證性的方法。它主要研究密碼算法的構(gòu)造與設(shè)計(jì)，也就是密碼體制的構(gòu)造。它是密碼理論的基礎(chǔ)，也是保密系統(tǒng)設(shè)計(jì)的基礎(chǔ)。

密碼分析學(xué)的主要任務(wù)是研究加密信息的破譯或認(rèn)證信息的偽造。它主要是對(duì)密碼信息的解析方法進(jìn)行研究。只有密碼分析者才能評(píng)判密碼體制的安全性。

密碼編碼學(xué)和密碼分析學(xué)是密碼學(xué)的兩個(gè)方面，兩者既相互對(duì)立，又互相促進(jìn)和發(fā)展。第1章密碼學(xué)概述1.3.1密碼學(xué)的主要任務(wù)（續(xù)）第1章密碼學(xué)概述1.3.2密碼系統(tǒng)的概念密碼技術(shù)的一個(gè)基本功能是實(shí)現(xiàn)保密通信，經(jīng)典的保密通信模型如圖1.1所示。

注意：僅用一個(gè)保密通信模型來(lái)完整描述密碼系統(tǒng)，可能是并不全面和準(zhǔn)確的，因?yàn)楝F(xiàn)在的密碼系統(tǒng)不單單只提供信息的機(jī)密性服務(wù)。保密通信是密碼技術(shù)的一個(gè)基本功能。第1章密碼學(xué)概述1.3.2密碼系統(tǒng)的概念注第1章密碼學(xué)概述幾個(gè)基本概念與符號(hào)。明文（Plaintext）待偽裝或加密的消息（Message）。在通信系統(tǒng)中它可能是比特流，如文本、位圖、數(shù)字化的語(yǔ)音流或數(shù)字化的視頻圖像等。一般可以簡(jiǎn)單的認(rèn)為明文是有意義的字符或比特集，或通過(guò)某種公開(kāi)的編碼標(biāo)準(zhǔn)就能獲得的消息。明文常用m或p表示。密文(Ciphertext)對(duì)明文施加某種偽裝或變換后的輸出，也可認(rèn)為是不可直接理解的字符或比特集，密文常用c表示。加密（Encrypt）把原始的信息（明文）轉(zhuǎn)換為密文的信息變換過(guò)程。解密（Decrypt）把己加密的信息（密文）恢復(fù)成原始信息明文的過(guò)程，也稱為脫密。第1章密碼學(xué)概述幾個(gè)基本概念與符號(hào)。明文（Plaint第1章密碼學(xué)概述密碼算法(CryptographyAlgorithm)也簡(jiǎn)稱密碼（Cipher），通常是指加、解密過(guò)程所使用的信息變換規(guī)則，是用于信息加密和解密的數(shù)學(xué)函數(shù)。對(duì)明文進(jìn)行加密時(shí)所采用的規(guī)則稱作加密算法，而對(duì)密文進(jìn)行解密時(shí)所采用的規(guī)則稱作解密算法。加密算法和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的。密鑰（SecretKey）密碼算法中的一個(gè)可變參數(shù)，通常是一組滿足一定條件的隨機(jī)序列。用于加密算法的叫做加密密鑰，用于解密算法的叫做解密密鑰，加密密鑰和解密密鑰可能相同，也可能不相同。密鑰常用k表示。在密鑰k的作用下，加密變換通常記為Ek(·)，解密變換記為Dk(·)或Ek－1(·)。第1章密碼學(xué)概述密碼算法(CryptographyAlg通常一個(gè)密碼體制可以有如下幾個(gè)部分：消息空間M（又稱明文空間）：所有可能明文m的集合；密文空間C：所有可能密文c的集合；密鑰空間K：所有可能密鑰k的集合，其中每一密鑰k由加密密鑰ke和解密密鑰kd組成，即k＝（ke，kd）；加密算法E：一簇由加密密鑰控制的、從M到C的加密變換；解密算法D:

一簇由解密密鑰控制的、從C到M的解密變換。五元組{M，C，K，E，D}就稱為一個(gè)密碼系統(tǒng)。對(duì)于明文空間M中的每一個(gè)明文m，加密算法E在加密密鑰ke的控制下將明文m加密成密文c；而解密算法D則在密鑰kd的控制下將密文c解密成同一明文m，即：對(duì)m∈M，(ke，kd)∈K，有：第1章密碼學(xué)概述從數(shù)學(xué)的角度來(lái)講，一個(gè)密碼系統(tǒng)就是一族映射，它在密鑰的控制下將明文空間中的每一個(gè)元素映射到密文空間上的某個(gè)元素。這族映射由密碼方案確定，具體使用哪一個(gè)映射由密鑰決定。通常一個(gè)密碼體制可以有如下幾個(gè)部分：第1章密碼學(xué)概述第1章密碼學(xué)概述

在上面通信模型中，還存在一個(gè)密碼攻擊者或破譯者可從普通信道上攔截到的密文c，其工作目標(biāo)就是要在不知道密鑰k的情況下，試圖從密文c恢復(fù)出明文m或密鑰k。如果密碼分析者可以僅由密文推出明文或密鑰，或者可以由明文和密文推出密鑰，那么就稱該密碼系統(tǒng)是可破譯的。相反地，則稱該密碼系統(tǒng)不可破譯。1.3.3對(duì)密碼系統(tǒng)的攻擊

密碼分析者破譯或攻擊密碼的方法主要有窮舉攻擊法、統(tǒng)計(jì)分析法和數(shù)學(xué)分析攻擊法。（1）窮舉攻擊法窮舉攻擊法又稱為強(qiáng)力或蠻力（Bruteforce）攻擊。這種攻擊方法是對(duì)截獲到的密文嘗試遍歷所有可能的密鑰，直到獲得了一種從密文到明文的可理解的轉(zhuǎn)換；或使用不變的密鑰對(duì)所有可能的明文加密直到得到與截獲到的密文一致為止。第1章密碼學(xué)概述在上面通信模型第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）

（2）統(tǒng)計(jì)分析法統(tǒng)計(jì)分析攻擊就是指密碼分析者根據(jù)明文、密文和密鑰的統(tǒng)計(jì)規(guī)律來(lái)破譯密碼的方法。（3）數(shù)學(xué)分析法數(shù)學(xué)分析攻擊是指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過(guò)數(shù)學(xué)求解的方法來(lái)破譯密碼。數(shù)學(xué)分析攻擊是對(duì)基于數(shù)學(xué)難題的各種密碼算法的主要威脅。

在假設(shè)密碼分析者已知所用加密算法全部知識(shí)的情況下，根據(jù)密碼分析者對(duì)明文、密文等數(shù)據(jù)資源的掌握程度，可以將針對(duì)加密系統(tǒng)的密碼分析攻擊類型分為以下四種：①惟密文攻擊（Ciphtext-onlyattack）在惟密文攻擊中，密碼分析者知道密碼算法，但僅能根據(jù)截獲的密文進(jìn)行分析，以得出明文或密鑰。由于密碼分析者所能利用的數(shù)據(jù)資源僅為密文，這是對(duì)密碼分析者最不利的情況。第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）（2）第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）

②已知明文攻擊（Plaintext-knownattack）已知明文攻擊是指密碼分析者除了有截獲的密文外，還有一些已知的“明文—密文對(duì)”來(lái)破譯密碼。密碼分析者的任務(wù)目標(biāo)是推出用來(lái)加密的密鑰或某種算法，這種算法可以對(duì)用該密鑰加密的任何新的消息進(jìn)行解密。③選擇明文攻擊（Chosen-plaintextattack）選擇明文攻擊是指密碼分析者不僅可得到一些“明文—密文對(duì)”，還可以選擇被加密的明文，并獲得相應(yīng)的密文。這時(shí)密碼分析者能夠選擇特定的明文數(shù)據(jù)塊去加密，并比較明文和對(duì)應(yīng)的密文，已分析和發(fā)現(xiàn)更多的與密鑰相關(guān)的信息。密碼分析者的任務(wù)目標(biāo)也是推出用來(lái)加密的密鑰或某種算法，該算法可以對(duì)用該密鑰加密的任何新的消息進(jìn)行解密。④選擇密文攻擊(Chosen—ciphenextattack)選擇密文攻擊是指密碼分析者可以選擇一些密文，并得到相應(yīng)的明文。密碼分析者的任務(wù)目標(biāo)是推出密鑰。這種密碼分析多用于攻擊公鑰密碼體制。第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）②已知第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）

衡量密碼系統(tǒng)攻擊的復(fù)雜性主要考慮三個(gè)方面的因素：數(shù)據(jù)復(fù)雜性（DataComplexity）用做密碼攻擊所需要輸入的數(shù)據(jù)量；處理復(fù)雜性（ProcessingComplexity）完成攻擊所需要花費(fèi)的時(shí)間；存儲(chǔ)需求（StorageRequirement）進(jìn)行攻擊所需要的數(shù)據(jù)存儲(chǔ)空間大小。攻擊的復(fù)雜性取決于以上三個(gè)因素的最小復(fù)雜度，在實(shí)際實(shí)施攻擊時(shí)往往要考慮這三種復(fù)雜性的折衷，如存儲(chǔ)需求越大，攻擊可能越快。第1章密碼學(xué)概述1.3.3對(duì)密碼系統(tǒng)的攻擊（續(xù)）衡量密第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性一個(gè)密碼系統(tǒng)的安全性主要與兩個(gè)方面的因素有關(guān)。（1）一個(gè)是所使用密碼算法本身的保密強(qiáng)度。密碼算法的保密強(qiáng)度取決于密碼設(shè)計(jì)水平、破譯技術(shù)等。可以說(shuō)一個(gè)密碼系統(tǒng)所使用密碼算法的保密強(qiáng)度是該系統(tǒng)安全性的技術(shù)保證。（2）另外一個(gè)方面就是密碼算法之外的不安全因素。

因此，密碼算法的保密強(qiáng)度并不等價(jià)于密碼系統(tǒng)整體的安全性?！獋€(gè)密碼系統(tǒng)必須同時(shí)完善技術(shù)與管理要求，才能保證整個(gè)密碼系統(tǒng)的安全。本教材僅討論影響一個(gè)密碼系統(tǒng)安全性的技術(shù)因素，即密碼算法本身。第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性一個(gè)密碼系統(tǒng)第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）評(píng)估密碼系統(tǒng)安全性主要有三種方法：（1）無(wú)條件安全性這種評(píng)價(jià)方法考慮的是假定攻擊者擁有無(wú)限的計(jì)算資源，但仍然無(wú)法破譯該密碼系統(tǒng)。

（2）計(jì)算安全性這種方法是指使用目前最好的方法攻破它所需要的計(jì)算遠(yuǎn)遠(yuǎn)超出攻擊者的計(jì)算資源水平，則可以定義這個(gè)密碼體制是安全的。（3）可證明安全性這種方法是將密碼系統(tǒng)的安全性歸結(jié)為某個(gè)經(jīng)過(guò)深入研究的數(shù)學(xué)難題（如大整數(shù)素因子分解、計(jì)算離散對(duì)數(shù)等），數(shù)學(xué)難題被證明求解困難。這種評(píng)估方法存在的問(wèn)題是它只說(shuō)明了這個(gè)密碼方法的安全性與某個(gè)困難問(wèn)題相關(guān)，沒(méi)有完全證明問(wèn)題本身的安全性，并給出它們的等價(jià)性證明。第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）評(píng)估密第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）對(duì)于實(shí)際應(yīng)用中的密碼系統(tǒng)而言，由于至少存在一種破譯方法，即強(qiáng)力攻擊法，因此都不能滿足無(wú)條件安全性，只提供計(jì)算安全性。密碼系統(tǒng)要達(dá)到實(shí)際安全性，就要滿足以下準(zhǔn)則：（1）破譯該密碼系統(tǒng)的實(shí)際計(jì)算量（包括計(jì)算時(shí)間或費(fèi)用）十分巨大，以致于在實(shí)際上是無(wú)法實(shí)現(xiàn)的。（2）破譯該密碼系統(tǒng)所需要的計(jì)算時(shí)間超過(guò)被加密信息有用的生命周期。例如，戰(zhàn)爭(zhēng)中發(fā)起戰(zhàn)斗攻擊的作戰(zhàn)命令只需要在戰(zhàn)斗打響前需要保密；重要新聞消息在公開(kāi)報(bào)道前需要保密的時(shí)間往往也只有幾個(gè)小時(shí)。（3）破譯該密碼系統(tǒng)的費(fèi)用超過(guò)被加密信息本身的價(jià)值。

如果一個(gè)密碼系統(tǒng)能夠滿足以上準(zhǔn)則之一，就可以認(rèn)為是滿足實(shí)際安全性的。第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）密碼系統(tǒng)的柯克霍夫斯（Kerckhoffs）原則：

即使密碼系統(tǒng)中的算法為密碼分析者所知，也難以從截獲的密文推導(dǎo)出明文或密鑰。也就是說(shuō)，密碼體制的安全性僅應(yīng)依賴于對(duì)密鑰的保密，而不應(yīng)依賴于對(duì)算法的保密。只有在假設(shè)攻擊者對(duì)密碼算法有充分的研究，并且擁有足夠的計(jì)算資源的情況下仍然安全的密碼才是安全的密碼系統(tǒng)。一句話：“一切秘密寓于密鑰之中”第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）密碼系第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）對(duì)于商用密碼系統(tǒng)而言，公開(kāi)密碼算法的優(yōu)點(diǎn)包括：有利于對(duì)密碼算法的安全性進(jìn)行公開(kāi)測(cè)試評(píng)估；防止密碼算法設(shè)計(jì)者在算法中隱藏后門；易于實(shí)現(xiàn)密碼算法的標(biāo)準(zhǔn)化；有利于使用密碼算法產(chǎn)品的規(guī)?；a(chǎn)，實(shí)現(xiàn)低成本和高性能。

但是必須要指出的是，密碼設(shè)計(jì)的公開(kāi)原則并不等于所有的密碼在應(yīng)用時(shí)都一定要公開(kāi)密碼算法。例如世界各國(guó)的軍政核心密碼就都不公開(kāi)其加密算法。第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）對(duì)于商第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）綜上，一個(gè)提供機(jī)密性服務(wù)的密碼系統(tǒng)是實(shí)際可用的，必須滿足的基本要求：系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而僅依賴于密鑰的安全性?！耙磺忻孛茉⒂诿荑€之中”是密碼系統(tǒng)設(shè)計(jì)的一個(gè)重要原則。滿足實(shí)際安全性，使破譯者取得密文后在有效時(shí)間和成本范圍內(nèi)，確定密鑰或相應(yīng)明文在計(jì)算上是不可行的。加密和解密算法應(yīng)適用于明文空間、密鑰空間中的所有元素。加密和解密算法能有效地計(jì)算，密碼系統(tǒng)易于實(shí)現(xiàn)和使用。

針對(duì)密碼系統(tǒng)的攻擊可分為主動(dòng)攻擊與被動(dòng)攻擊。第1章密碼學(xué)概述1.3.4密碼系統(tǒng)的安全性（續(xù)）第1章密碼學(xué)概述1.3.5密碼體制的分類

對(duì)密碼體制的分類方法有多種，常用的分類方法有以下三種。（1）根據(jù)密碼算法所用的密鑰數(shù)量根據(jù)加密算法與解密算法所使用的密鑰是否相同，可以將密碼體制分為：

對(duì)稱密碼體制（Symmetriccipher，也稱為單鑰密碼體制、秘密密鑰密碼體制、對(duì)稱密鑰密碼體制或常規(guī)密碼體制）

非對(duì)稱密碼體制（Asymmetriccipher，也稱為雙鑰密碼體制、公開(kāi)密鑰密碼體制、非對(duì)稱密鑰密碼體制）如果一個(gè)提供保密服務(wù)的密碼系統(tǒng)，它的加密密鑰和解密密鑰相同，或者雖然不相同，但由其中的任意—個(gè)可以很容易地導(dǎo)出另外一個(gè)，那么該系統(tǒng)所采用的就是對(duì)稱密碼體制。

如果一個(gè)提供保密服務(wù)的密碼系統(tǒng)，其加密算法和解密算法分別用兩個(gè)不同的密鑰實(shí)現(xiàn)，并且由加密密鑰不能推導(dǎo)出解密密鑰，則該系統(tǒng)所采用的就是非對(duì)稱密碼體制。采用非對(duì)稱密鑰密碼體制的每個(gè)用戶都有一對(duì)選定的密鑰。其中一個(gè)是可以公開(kāi)的，稱為公開(kāi)密鑰（Publickey），簡(jiǎn)稱公鑰；另一個(gè)由用戶自己秘密保存，稱為私有密鑰（Privatekey），簡(jiǎn)稱私鑰。第1章密碼學(xué)概述1.3.5密碼體制的分類對(duì)密碼體制的第1章密碼學(xué)概述1.3.5密碼體制的分類（續(xù)）

在安全性方面，對(duì)稱密鑰密碼體制是基于復(fù)雜的非線性變換與迭代運(yùn)算實(shí)現(xiàn)算法安全性的，而非對(duì)稱密鑰密碼體制則一般是基于某個(gè)公認(rèn)的數(shù)學(xué)難題而實(shí)現(xiàn)安全性的。（2）根據(jù)對(duì)明文信息的處理方式根據(jù)密碼算法對(duì)明文信息的處理方式，可將對(duì)稱密碼體制分為：

分組密碼（Blockcipher）序列密碼（Streamcipher，也稱為流密碼）。分組密碼是將消息進(jìn)行分組，一次處理一個(gè)數(shù)據(jù)塊（分組）元素的輸入，對(duì)每個(gè)輸入塊產(chǎn)生一個(gè)輸出塊。在用分組密碼加密時(shí)，一個(gè)明文分組被當(dāng)做一個(gè)整體來(lái)產(chǎn)生一個(gè)等長(zhǎng)的密文分組輸出。分組密碼通常使用的分組大小是64比特或128比特。

序列密碼則是連續(xù)地處理輸入元素，并隨著處理過(guò)程的進(jìn)行，一次產(chǎn)生一個(gè)元素的輸出，在用序列密碼加密時(shí)，一次加密一個(gè)比特或一個(gè)字節(jié)。第1章密碼學(xué)概述1.3.5密碼體制的分類（續(xù)）第1章密碼學(xué)概述1.3.5密碼體制的分類（續(xù)）

（3）根據(jù)是否能進(jìn)行可逆的加密變換根據(jù)密碼算法是否能進(jìn)行可逆的加密變換，可以將密碼體制分為：

單向函數(shù)密碼體制雙向變換密碼體制。單向函數(shù)密碼體制是一類特殊的密碼體制，其性質(zhì)是可以很容易地把明文轉(zhuǎn)換成密文，但再把密文轉(zhuǎn)換成正確的明文卻是不可行的，有時(shí)甚至是不可能的。單向函數(shù)只適用于某種特殊的、不需要解密的應(yīng)用場(chǎng)合，如用戶口令的存儲(chǔ)和信息的完整性保護(hù)與鑒別等。雙向變換密碼體制是指能夠進(jìn)行可逆的加密、解密變換，絕大多數(shù)加密算法都屬于這一類，它要求所使用的密碼算法能夠進(jìn)行可逆的雙向加解密變換，否則接收者就無(wú)法把密文還原成明文。另外，關(guān)于密碼體制的分類，還有一些其他的方法，例如按照在加密過(guò)程中是否引入了客觀隨機(jī)因素，可以分為確定型密碼體制和概率密碼體制等等。第1章密碼學(xué)概述1.3.5密碼體制的分類（續(xù)）（3）第1章密碼學(xué)概述1.3.6對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn)對(duì)稱密碼體制的主要優(yōu)勢(shì)是：

加密、解密運(yùn)算的處理速度塊，效率高，算法安全性高。對(duì)稱密碼體制存在的局限性或不足：

（1）對(duì)稱密碼算法的密鑰分發(fā)過(guò)程復(fù)雜，所花代價(jià)高；

（2）密鑰管理量的困難；（3）保密通信系統(tǒng)的開(kāi)放性差；（4）存在數(shù)字簽名的困難性。第1章密碼學(xué)概述1.3.6對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn)第1章密碼學(xué)概述1.3.6對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn)（續(xù)）非對(duì)稱密碼體制的主要優(yōu)勢(shì)是：（1）密鑰分配簡(jiǎn)單。（2）系統(tǒng)密鑰量少，便于管理。（3）系統(tǒng)開(kāi)放性好。（4）可以實(shí)現(xiàn)數(shù)字簽名。

非對(duì)稱密碼體制存在的局限性是加密、解密運(yùn)算效率較低，處理速度較慢，同等安全強(qiáng)度下，非對(duì)稱密碼體制的密鑰位數(shù)較多。另外，由于加密密鑰是公開(kāi)發(fā)布的，客觀上存在“可能報(bào)文攻擊”的威脅。第1章密碼學(xué)概述1.3.6對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn)第1章密碼學(xué)概述本章小結(jié)本章主要介紹了密碼學(xué)與信息安全、密碼技術(shù)發(fā)展概況，重點(diǎn)闡述了密碼學(xué)的有關(guān)基本概念，包括：密碼學(xué)的主要任務(wù)密碼系統(tǒng)的概念對(duì)密碼系統(tǒng)的攻擊密碼系統(tǒng)的安全性密碼體制的分類對(duì)稱與非對(duì)稱密碼體制的主要特點(diǎn)

第1章密碼學(xué)概述本章小結(jié)本章主要介紹了密碼學(xué)與信第1章密碼學(xué)概述 第2章古典密碼技術(shù)

第3章分組密碼第4章公鑰密碼體制第5章散列函數(shù)與消息鑒別第6章數(shù)字簽名技術(shù)第7章密鑰管理技術(shù)第8章身份鑒別技術(shù)第9章序列密碼第10章密碼技術(shù)應(yīng)用課程主要內(nèi)容第1章密碼學(xué)概述 課程主要內(nèi)容第2章古典密碼技術(shù)

本章主要內(nèi)容替代密碼

置換密碼周期置換密碼列置換密碼轉(zhuǎn)輪機(jī)密碼

古典密碼的統(tǒng)計(jì)分析

單表替代密碼分析多表替代密碼分析 對(duì)Hill密碼的已知明文分析

第2章古典密碼技術(shù)本章主要內(nèi)容第2章古典密碼技術(shù)2.1替代密碼替代是古典密碼中用到的最基本的處理技巧之一

；替代密碼是指先建立一個(gè)替換表，加密時(shí)將需要加密的明文依次通過(guò)查表，替換為相應(yīng)的字符，明文字符被逐個(gè)替換后，生成無(wú)任何意義的字符串，即密文，替代密碼的密鑰就是其替換表；根據(jù)密碼算法加解密時(shí)使用替換表多少的不同，替代密碼又可分為單表替代密碼和多表替代密碼。單表替代密碼的密碼算法加解密時(shí)使用一個(gè)固定的替換表；多表替代密碼的密碼算法加解密時(shí)使用多個(gè)替換表。

第2章古典密碼技術(shù)2.1替代密碼第2章古典密碼技術(shù)2.1.1單表替代密碼

單表替代密碼對(duì)明文中的所有字母都使用一個(gè)固定的映射（明文字母表到密文字母表）。設(shè)A＝{a0,a1,…,an-1}為包含了n個(gè)字母的明文字母表；

B＝{b0,b1,…,bn-1}為包含n個(gè)字母的密文字母表，單表替代密碼使用了A到B的映射關(guān)系：

f：A→B，f(ai)＝bj

一般情況下，f

是一一映射，以保證加密的可逆性。加密變換過(guò)程就是將明文中的每一個(gè)字母替換為密文字母表的一個(gè)字母。而單表替代密碼的密鑰就是映射f或密文字母表。經(jīng)常密文字母表與明文字母表的字符集是相同的，這時(shí)的密鑰就是映射f。下面給出幾種典型的單表替代密碼。第2章古典密碼技術(shù)2.1.1單表替代密碼第2章古典密碼技術(shù)一般單表替代密碼

一般單表替代密碼的原理是以26個(gè)英文字母集合上的一個(gè)置換π為密鑰，對(duì)明文消息中的每個(gè)字母依次進(jìn)行變換?？擅枋鰹椋好魑目臻gM和密文空間C都是26個(gè)英文字母的集合，密鑰空間K={π：Z26→Z26|π是置換}，是所有可能置換的集合。對(duì)任意π∈K，定義:

加密變換：eπ(m)=π(m)=c

解密變換：dπ(c)=π-1(c)=m，

π-1是π的逆置換。

【例2.1】設(shè)置換π的對(duì)應(yīng)關(guān)系如下：abcdefghijklmnopqrstuvwxyzqwertyuiopasdfghjklzxcvbnm

試用單表替代密碼以π為密鑰對(duì)明文消息message加密，然后寫出逆置換，并對(duì)密文解密。解：以π為密鑰用單表替代密碼對(duì)明文消息message加密，所得密文消息為：π(m)π(e)π(s)π(s)π(a)π(g)π(e)=dtllqut

2.1.1單表替代密碼（續(xù)）第2章古典密碼技術(shù)一般單表替代密碼2.1.1第2章古典密碼技術(shù)一般單表替代密碼算法特點(diǎn)：密鑰空間K很大，|K|=26!=4×1026，破譯者窮舉搜索計(jì)算不可行，1微秒試一個(gè)密鑰，遍歷全部密鑰需要1013

年。移位密碼體制是替換密碼體制的一個(gè)特例，它僅含26個(gè)置換做為密鑰空間。密鑰π不便記憶。針對(duì)一般替換密碼密鑰π不便記憶的問(wèn)題，又衍生出了各種形式單表替代密碼。移位密碼

明文空間M、密文空間C都是和密鑰空間K滿足即把26個(gè)英文字母與整數(shù)0，1，2，…，25一一對(duì)應(yīng)，如表2.1所示。

2.1.1單表替代密碼（續(xù)）表2.1字母數(shù)字映射表第2章古典密碼技術(shù)一般單表替代密碼算法特點(diǎn)：2.1.1第2章古典密碼技術(shù)加密變換，E={E:Z26→Z26,Ek(m)=m+k(mod26)|m∈M,k∈K}解密變換，D={D:Z26→Z26,Dk(c)=c－k(mod26)|c∈C,k∈K}

解密后再把Z26中的元素轉(zhuǎn)換英文字母。

顯然，移位密碼是前面一般單表替代密碼的一個(gè)特例。當(dāng)移位密碼的密鑰k=3時(shí)，就是歷史上著名的凱撒密碼（Caesar）。根據(jù)其加密函數(shù)特點(diǎn)，移位密碼也稱為加法密碼。

仿射密碼仿射密碼也是一般單表替代密碼的一個(gè)特例，是一種線性變換。仿射密碼的明文空間和密文空間與移位密碼相同，但密鑰空間為

K={(k1，k2)|k1，k2∈Z26，gcd(k1，26)=1}

對(duì)任意m∈M，c∈C，k=(k1，k2)∈K，定義加密變換為

c=Ek(m)=k1m+k2(mod26)相應(yīng)解密變換為：

m=Dk(c)=k1－1(c－k2)(mod26)2.1.1單表替代密碼（續(xù)）第2章古典密碼技術(shù)加密變換，E={E:Z26→Z26,E第2章古典密碼技術(shù)相應(yīng)解密變換為：其中，。很明顯，k1=1時(shí)即為移位密碼，而k2=1則稱為乘法密碼。

【例2.3】設(shè)明文消息為china，密鑰試用仿射密碼對(duì)其進(jìn)行加密，然后再進(jìn)行解密。解：利用擴(kuò)展的歐幾里德算法（參見(jiàn)附錄A.1.2）可計(jì)算出

加密變換為：

解密變換為：

明文消息對(duì)應(yīng)的數(shù)字依次為2，7，8，13，0，用仿射密碼對(duì)明文進(jìn)行加密如下：

2.1.1單表替代密碼（續(xù)）第2章古典密碼技術(shù)相應(yīng)解密變換為：2.1.1單表替代密第2章古典密碼技術(shù)密文消息為unwpc。而解密過(guò)程如下：

即恢復(fù)明文消息為china。

仿射密碼要求(k1,26)=1，否則就會(huì)有多個(gè)明文字母對(duì)應(yīng)一個(gè)密文字母的情況。由于與26互素的整數(shù)有12個(gè)，故仿射密碼密鑰空間大小為|K|=12×26=312。

若將仿射密碼的加密函數(shù)換為多項(xiàng)式函數(shù)時(shí)，即為多項(xiàng)式密碼。密鑰短語(yǔ)密碼

選用一個(gè)英文短語(yǔ)或單詞串作為密鑰，去掉其中重復(fù)的字母得到一個(gè)無(wú)重復(fù)字母的字符串，然后再將字母表中的其它字母依次寫于此字母串后，就可構(gòu)造出一個(gè)字母替代表。如密鑰為key時(shí)，替代表如表2.2所示。2.1.1單表替代密碼（續(xù)）第2章古典密碼技術(shù)密文消息為unwpc。而解密過(guò)程如第2章古典密碼技術(shù)

表2.2密鑰為key的單表替代密碼

當(dāng)選擇上面的密鑰進(jìn)行加密時(shí)，若明文為“china”，則密文為“yfgmk”。顯然，不同的密鑰可以得到不同的替換表，對(duì)于明文為英文單詞或短語(yǔ)的情況時(shí)，密鑰短語(yǔ)密碼最多可能有26!=4×1026個(gè)不同的替換表。2.1.2多表替代密碼單表替代密碼表現(xiàn)出明文中單字母出現(xiàn)的頻率分布與密文中相同，多表替代密碼使用從明文字母到密文字母的多個(gè)映射來(lái)隱藏單字母出現(xiàn)的頻率分布，每個(gè)映射是簡(jiǎn)單替代密碼中的一對(duì)一映射多表替代密碼將明文字母劃分為長(zhǎng)度相同的消息單元，稱為明文分組，對(duì)明文成組地進(jìn)行替代，同一個(gè)字母有不同的密文，改變了單表替代密碼中密文的唯一性，使密碼分析更加困難。

第2章古典密碼技術(shù)表第2章古典密碼技術(shù)多表替代密碼的特點(diǎn)是使用了兩個(gè)或兩個(gè)以上的替代表。著名的維吉尼亞密碼和Hill密碼等均是多表替代密碼。1.維吉尼亞密碼維吉尼亞密碼是最古老而且最著名的多表替代密碼體制之一，與位移密碼體制相似，但維吉尼亞密碼的密鑰是動(dòng)態(tài)周期變化的。該密碼體制有一個(gè)參數(shù)n。在加解密時(shí)，同樣把英文字母映射為0－25的數(shù)字再進(jìn)行運(yùn)算，并按n個(gè)字母一組進(jìn)行變換。明文空間、密文空間及密鑰空間都是長(zhǎng)度為n的英文字母串的集合，因此可表示

加密變換定義如下：設(shè)密鑰k=(k1,k2,…,kn),明文m=(m1,m2,…,mn),加密變換為：

Ek(m)=(c1,c2,…,cn),

其中ci(mi+ki)(mod26)，i=1,2,…,n對(duì)密文c=(c1,c2,…,cn),解密變換為：

Dk(c)=(m1,m2,…,mn),其中mi=(ci－ki)(mod26)，i=1,2,…,n2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)多表替代密碼的特點(diǎn)是使用了兩個(gè)或第2章古典密碼技術(shù)【例2.4】設(shè)密鑰k=cipher，明文消息appliedcryptosystem，試用維吉尼亞密碼對(duì)其進(jìn)行加密，然后再進(jìn)行解密。解：由密鑰k=cipher，得n=6，密鑰對(duì)應(yīng)的數(shù)字序列為(2，8，15，7，4，17)。然后將明文按每6個(gè)字母進(jìn)行分組，并轉(zhuǎn)換這些明文字母為相應(yīng)的數(shù)字，再用模26加上對(duì)應(yīng)密鑰數(shù)字，其加密過(guò)程如表2.3所示。

表2.3密鑰為cipher的維吉尼亞密碼加密過(guò)程

密文為：cxtsmvfkgftkqanzxvo。解密使用相同的密鑰，但用模26的減法代替模26加法，這里不再贅述。2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)【例2.4】設(shè)密鑰k=cipher，明2.希爾（Hill）密碼Hill密碼算法的基本思想是將n個(gè)明文字母通過(guò)線性變換，將它們轉(zhuǎn)換為n個(gè)密文字母。解密只需做一次逆變換即可。算法的密鑰K=﹛上的可逆矩陣﹜，明文M與密文C均為n維向量，記為其中，

或?qū)懗山饷茏儞Q則為：

第2章古典密碼技術(shù)2.1.2多表替代密碼（續(xù)）2.希爾（Hill）密碼第2章古典密碼技術(shù)2.1.2多第2章古典密碼技術(shù)

其中，K

–1為K在模26上的逆矩陣，滿足：K

K

–1=K

–1K=I(mod26)這里I為單位矩陣。定理2.1：假設(shè)A=(ai,j)為一個(gè)定義在Z26上的n×n矩陣，若A在模26上可逆，則有：A–1=(detA)–1A*(mod26

)

；這里A*為矩陣A的伴隨矩陣在n=2的情況下，有下列推論：假設(shè)

A=，是一個(gè)Z26上的2×2矩陣，它的行列式：

是可逆的，那么：例如，

2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)其中，K–1為K在模26上的逆第2章古典密碼技術(shù)這時(shí)，所以K的逆矩陣為：【例2.5】設(shè)明文消息為good，試用n＝2，密鑰的Hill密碼對(duì)其進(jìn)行加密，然后再進(jìn)行解密。解：將明文劃分為兩組：(g，o)和(o，d)，即（6，14）和（14，3）。加密過(guò)程如下：因此，good的加密結(jié)果是wmwl。顯然，明文不同位置的字母“o”加密成的密文字母不同。為了解密，由前面計(jì)算有，可由密文解密計(jì)算出明文：2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)這時(shí)，第2章古典密碼技術(shù)

因此，解密得到正確的明文“good”。

Hill密碼特點(diǎn)：可以較好地抑制自然語(yǔ)言的統(tǒng)計(jì)特性，不再有單字母替換的一一對(duì)應(yīng)關(guān)系，對(duì)抗“惟密文攻擊”有較高安全強(qiáng)度。密鑰空間較大，在忽略密鑰矩陣K可逆限制條件下，|K|=26n×n

易受已知明文攻擊及選擇明文攻擊（詳見(jiàn)2.3節(jié)相關(guān)分析）。3．一次一密密碼（OneTimePad）若替代碼的密鑰是一個(gè)隨機(jī)且不重復(fù)的字符序列，這種密碼則稱為一次一密密碼，因?yàn)樗拿荑€只使用一次。

該密碼體制是美國(guó)電話電報(bào)公司的JosephMauborgne在1917年為電報(bào)通信設(shè)計(jì)的一種密碼，所以又稱為Vernam密碼。Vernam密碼在對(duì)明文加密前首先將明文編碼為（0，1）序列，然后再進(jìn)行加密變換。2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)設(shè)m=(m1

m2m3…

mi…)為明文,k=(k1

k2k3…

ki…)為密鑰,其中mi,ki

∈(0,1),i≥1,

則加密變換為：c=(c1

c2c3…

ci…),其中ci＝mi

ki

,i≥1,

2.1.2多表替代密碼（續(xù)）m=(m1

m2m3…

mi…),其中mi＝ci

ki

,i≥1,

這里為模2加法（或異或運(yùn)算）解密變換為：在應(yīng)用Vernam密碼時(shí)，如果對(duì)不同的明文使用不同的隨機(jī)密鑰，這時(shí)Vernam密碼為一次一密密碼。由于每一密鑰序列都是等概率隨機(jī)產(chǎn)生的，敵手沒(méi)有任何信息用來(lái)對(duì)密文進(jìn)行密碼分析。香農(nóng)（ClaudeShannon）從信息論的角度證明了這種密碼體制在理論上是不可破譯的。但如果重復(fù)使用同一個(gè)密鑰加密不同的明文，則這時(shí)的Vernam密碼就較為容易破譯。若敵手獲得了一個(gè)密文c=(c1

c2c3…

ci…)和對(duì)應(yīng)明文m=(m1

m2m3…

mi…)時(shí)，就很容易得出密鑰k=(k1

k2k3…

ki…)，其中ki＝ci

mi

，i≥1。故若重復(fù)使用密鑰，該密碼體制就很不安全。第2章古典密碼技術(shù)設(shè)m=(m1m2m3…mi…)第2章古典密碼技術(shù)實(shí)際上Vernam密碼屬于序列密碼，加密解密方法都使用模2加，這使軟硬件實(shí)現(xiàn)都非常簡(jiǎn)單。但是，這種密碼體制雖然理論上是不可破譯的，然而在實(shí)際應(yīng)用中，真正的一次一密系統(tǒng)卻受到很大的限制，其主要原因在于該密碼體制要求：

①密鑰是真正的隨機(jī)序列；②密鑰長(zhǎng)度大于等于明文長(zhǎng)度；③每個(gè)密鑰只用一次（一次一密）。這樣，分發(fā)和存儲(chǔ)這樣的隨機(jī)密鑰序列，并確保密鑰的安全都是很因難的；另外，如何生成真正的隨機(jī)序列也是一個(gè)現(xiàn)實(shí)問(wèn)題。因此，人們轉(zhuǎn)而尋求實(shí)際上不對(duì)攻破的密碼系統(tǒng)。4．Playfair密碼Playfair密碼是一種著名的雙字母單表替代密碼，實(shí)際上Playfair密碼屬于一種多字母替代密碼，它將明文中的雙字母作為一個(gè)單元對(duì)待，并將這些單元轉(zhuǎn)換為密文字母組合。2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)實(shí)際上Vernam密碼屬于序列密第2章古典密碼技術(shù)替代時(shí)基于一個(gè)5×5的字母矩陣。字母矩陣構(gòu)造方法同密鑰短語(yǔ)密碼類似，即選用一個(gè)英文短語(yǔ)或單詞串作為密鑰，去掉其中重復(fù)的字母得到一個(gè)無(wú)重復(fù)字母的字符串，然后再將字母表中剩下的字母依次從左到右、從上往下填入矩陣中，字母I，j占同一個(gè)位置。例如，密鑰K=playfairisadigramcipher，去除重復(fù)字母后，K=playfirsdgmche，可得字母矩陣如圖2.1。

圖2.1Playfair密碼字母矩陣示例

2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)替代時(shí)基于一個(gè)5×5的字母矩陣。字第2章古典密碼技術(shù)

對(duì)每一明文字母對(duì)P1、P2的加密方法如下：（1）若P1、P2在同一行，密文C1、C2分別是緊靠P1、P2右端的字母；（2）若P1、P2在同一列，密文C1、C2分別是緊靠P1、P2下方的字母；（3）若P1、P2不在同一行，也不在同一列，則C1、C2是由P1、P2確定的矩形其它兩角的字母，且C1和P1在同一行，C2和P2在同一行；（4）若P1＝P2，則兩個(gè)字母間插入一個(gè)預(yù)先約定的字母，如x，并用前述方法處理；如balloon，則以balxloon來(lái)加密。（5）若明文字母數(shù)為奇數(shù)，則在明文尾填充約定字母。

算法還約定字母矩陣中第一列看做最后一列的右邊一列，表中第一行看做最后一行的下一行。2.1.2多表替代密碼（續(xù)）第2章古典密碼技術(shù)對(duì)每一明文字母對(duì)P1、P2的加密第2章古典密碼技術(shù)

置換密碼又稱為換位密碼；置換密碼通過(guò)改變明文消息各元素的相對(duì)位置，但明文消息元素本身的取值或內(nèi)容形式不變；在前面的替代密碼中，則可以認(rèn)為是保持明文的符號(hào)順序，但是將它們用其它符號(hào)來(lái)替代；這種密碼是把明文中各字符的位置次序重新排列來(lái)得到密文的一種密碼體制。實(shí)現(xiàn)的方法多種多樣。直接把明文順序倒過(guò)來(lái)，然后排成固定長(zhǎng)度的字母組作為密文就是一種最簡(jiǎn)單的置換密碼。下面再給出幾種典型的置換密碼算法。2.2.1周期置換密碼周期置換密碼是將明文字符按一定長(zhǎng)度n分組，把每組中的字符按1，2，…，n的一個(gè)置換π重排位置次序來(lái)得到密文的一種加密方法。其中的密鑰就是置換π，在π的描述中包含了分組長(zhǎng)度的信息。解密時(shí)，對(duì)密文字符按長(zhǎng)度n分組，并按π的逆置換把每組字符重排位置次序來(lái)得到明文。周期置換密碼可描述為：2.2置換密碼(PermutationCipher)第2章古典密碼技術(shù)置換密碼又稱為換位密碼；2.2置換第2章古典密碼技術(shù)2.2.1周期置換密碼（續(xù)）設(shè)n為固定的正整數(shù)，P=C=(Z26)n

,K是由{1，2，…，n}的所有置換構(gòu)成。對(duì)一個(gè)密鑰π∈K，定義：加密變換：

E(m1,m2,..,mn)=(m(1),...,m(n))=(c1,c2,..,cn)

解密變換：

;這里π－1為π的逆置換注意，這里的加密與解密變換僅僅用了置換，無(wú)代數(shù)運(yùn)算。

=(351642)的置換密碼對(duì)其進(jìn)行加密，然后再對(duì)密文進(jìn)行解密。解：密鑰長(zhǎng)度是6，所以按周期長(zhǎng)度6對(duì)明文分組，對(duì)每組字母用密鑰π進(jìn)行重排得到對(duì)應(yīng)的加密結(jié)果。明文分組為：crypto|graphy，再利用置換密鑰π進(jìn)行加密變換，得：E(crypto)=(ytcopr);E(graphy)=(ahgypr)即密文消息為ytcoprahgypr。【例2.7】給定明文為cryptography，試用密鑰π=

第2章古典密碼技術(shù)2.2.1周期置換密碼（續(xù)）第2章古典密碼技術(shù)

顯然由加密置換可求出逆置換，=（361524），根據(jù)密文和逆置換即可直接明文。必須要指出的是，置換密碼在實(shí)質(zhì)上是Hill密碼的特例，下面給出分析。給定一個(gè)集合{1，2，...，n}的置換π，寫出置換矩陣為：這時(shí)，置換矩陣是每一行和每一列都剛好有一個(gè)“1”，而其余元素為“0”的稀疏矩陣。如例2.7的加解密置換π=(351642)，=（361524），對(duì)應(yīng)的置換矩陣為：2.2.1周期置換密碼（續(xù)）；表示僅第i行中第(i)個(gè)元素為1，其余為零。第2章古典密碼技術(shù)顯然由加密置換可求出逆置換，第2章古典密碼技術(shù)

加密變換：

解密變換：

=所以，置換密碼實(shí)質(zhì)上是輸入分組的一個(gè)線性變換。

2.2.1周期置換密碼（續(xù)）第2章古典密碼技術(shù)2.2.1周期置換密碼（續(xù)）第2章古典密碼技術(shù)這種密碼的加密方法就是將明文按行填寫到一個(gè)列寬固定（設(shè)為m）的表格或矩陣中；然后按（1，2，…，m）的一個(gè)置換交換列的位置次序，再按列讀出即得密文。解密時(shí)，將密文按列填寫到一個(gè)行數(shù)固定（也為m）的表格或矩陣中，按置換的逆置換交換列的位置次序，然后按行讀出即得到明文。置換可看成是算法的密鑰。

例2.8略，參見(jiàn)課本，請(qǐng)讀者思考，在例2.8列置換密碼中，如果明文字母的長(zhǎng)度不是列寬m的整倍數(shù)，加解密時(shí)會(huì)有什么問(wèn)題，應(yīng)如何處理？由于置換密碼只需打亂原明文字符的排列順序形成亂碼來(lái)實(shí)現(xiàn)加密變換，因此，置換的方法還有很多，例如，圖形置換密碼就是先按一定的方向把明文輸入到某種預(yù)先規(guī)定的圖形中，再按另一種方向輸出密文字符，不足部分填入隨機(jī)字符，這里就不一一列舉了。2.2.2列置換密碼第2章古典密碼技術(shù)這種密碼的加密方法就是將明文按行填寫到一第2章古典密碼技術(shù)2.3轉(zhuǎn)輪機(jī)密碼轉(zhuǎn)輪機(jī)的基本結(jié)構(gòu)由一個(gè)鍵盤、若干燈泡和一系列轉(zhuǎn)輪組成，如圖1.4（a）所示。鍵盤一共有26個(gè)鍵，鍵盤上方就是標(biāo)示了字母的26個(gè)小燈泡，當(dāng)鍵盤上的某個(gè)鍵被按下時(shí)，與這個(gè)字母被加密后的密文字母所對(duì)應(yīng)的小燈泡就亮了起來(lái)。在顯示器的上方是幾個(gè)轉(zhuǎn)輪，每個(gè)轉(zhuǎn)輪是26個(gè)字母的任意組合。如圖2.2是一個(gè)三轉(zhuǎn)輪的原理示意圖，圖中3個(gè)矩形框代表3個(gè)轉(zhuǎn)輪，從左到右分別稱為慢轉(zhuǎn)子、中轉(zhuǎn)子和快轉(zhuǎn)子。每個(gè)轉(zhuǎn)輪有26個(gè)輸入引腳和26個(gè)輸出引腳，其內(nèi)部連線將每個(gè)輸入引腳連接到一個(gè)對(duì)應(yīng)的輸出引腳，這樣每個(gè)轉(zhuǎn)輪內(nèi)部相當(dāng)于一個(gè)單表替代。當(dāng)按下某一鍵時(shí)，電信號(hào)從慢轉(zhuǎn)子的輸入引腳進(jìn)入，通過(guò)內(nèi)部連線經(jīng)過(guò)每個(gè)轉(zhuǎn)輪，最后從快轉(zhuǎn)子的輸出引腳信號(hào)輸出對(duì)應(yīng)密文字母（點(diǎn)亮）。例如，在圖2.2（a）中，如果按下字母B，則相應(yīng)電信號(hào)被加到慢轉(zhuǎn)子的輸入引腳25，并通過(guò)內(nèi)部連線連接到慢轉(zhuǎn)子的輸出引腳25，經(jīng)過(guò)中轉(zhuǎn)子的輸入引腳22和輸出引腳22，連接到快轉(zhuǎn)子的輸入引腳13，最后從快轉(zhuǎn)子的輸出引腳13輸出密文字母（I）。

第2章古典密碼技術(shù)2.3轉(zhuǎn)輪機(jī)密碼轉(zhuǎn)輪機(jī)的基本結(jié)構(gòu)由第2章古典密碼技術(shù)如果轉(zhuǎn)輪密碼機(jī)始終保持圖2.2（a）的連接狀態(tài)，則按下字母鍵B，輸出的密文字母始終是I（按下字母鍵A，輸出的密文字母則始終是B，等等），轉(zhuǎn)輪密碼機(jī)為了能夠?qū)崿F(xiàn)復(fù)雜的多表替代密碼，打破明文與密文之間固定的替代關(guān)系，在每次擊鍵輸出密文字母后，快轉(zhuǎn)子都要轉(zhuǎn)動(dòng)一個(gè)位置，以改變中轉(zhuǎn)子與快轉(zhuǎn)子之間的對(duì)應(yīng)關(guān)系。例如，在圖2.2（a）的初始狀態(tài)下，如果按下任意一個(gè)鍵（如B鍵）后，轉(zhuǎn)輪密碼機(jī)輸出密文字母（B鍵對(duì)應(yīng)密文字母為I），然后快轉(zhuǎn)子轉(zhuǎn)動(dòng)一個(gè)位置，即快轉(zhuǎn)子的所有引腳向下循環(huán)移動(dòng)一個(gè)位置，此時(shí)轉(zhuǎn)輪密碼機(jī)的狀態(tài)如圖2.2（b）所示。顯然，這時(shí)若再按下B鍵，最后從快轉(zhuǎn)子輸出的密文變?yōu)樽帜窺，而不是上一次的字母I。

轉(zhuǎn)輪密碼機(jī)的每個(gè)轉(zhuǎn)子都有可能轉(zhuǎn)動(dòng)，當(dāng)快轉(zhuǎn)子轉(zhuǎn)動(dòng)26次后，中轉(zhuǎn)子就轉(zhuǎn)動(dòng)一個(gè)位置；當(dāng)中轉(zhuǎn)子轉(zhuǎn)動(dòng)26次后，慢轉(zhuǎn)子就轉(zhuǎn)動(dòng)一個(gè)位置。因此，在加密（或解密）26×26×26＝17576個(gè)字母后，所有轉(zhuǎn)輪就會(huì)恢復(fù)到初始狀態(tài)。也就是說(shuō)，有n個(gè)轉(zhuǎn)輪的轉(zhuǎn)輪密碼機(jī)是一個(gè)周期長(zhǎng)度為的多表替代密碼。實(shí)際上，轉(zhuǎn)輪密碼機(jī)還利用了鍵盤和第一個(gè)轉(zhuǎn)子之間的連接板實(shí)現(xiàn)的簡(jiǎn)單替換，以增加輸出的可能性來(lái)對(duì)抗窮舉破譯法，其詳細(xì)過(guò)程這里就不再贅述。

第2章古典密碼技術(shù)如果轉(zhuǎn)輪密碼機(jī)始終保持圖2.2（a）ABCDEFGHIJKLMNOPQRSTUVWXYZ242526010203040506070809101112131415161718192021222321031501191014262008160722041105170912231802250624132601020304050607080910111213141516171819202122232425200106041503141223051602221911182524130710082109261726010203040506070809101112131415161718192021222324251408182617202210031311042305240912251619061521020701ABCDEFGHIJKLMNOPQRSTUVWXYZ慢中快在一次擊鍵后的設(shè)置ABCDEFGHIJKLMNOPQRSTUVWXYZ242526010203040506070809101112131415161718192021222321031501191014262008160722041105170912231802250624132601020304050607080910111213141516171819202122232425200106041503141223051602221911182524130710082109261701020304050607080910111213141516171819202122232425260818261720221003131104230524091225161906152102070114ABCDEFGHIJKLMNOPQRSTUVWXYZ慢中快初始設(shè)置A→BB→IC→E……A→EB→QC→T……ABCDEFGHIJKLMNOPQRSTUVWXYZ2425第2章古典密碼技術(shù)使用轉(zhuǎn)輪密碼機(jī)通信時(shí)，發(fā)送方首先要調(diào)節(jié)各個(gè)轉(zhuǎn)輪的位置（這個(gè)轉(zhuǎn)輪的初始位置就是密鑰），然后依次鍵入明文，并把顯示器上燈泡閃亮的字母依次記下來(lái)，最后把記錄下的閃亮字母按照順序用正常的電報(bào)方式發(fā)送出去；接收方收到電文后，只要也使用同樣一臺(tái)轉(zhuǎn)輪機(jī)，并按照原來(lái)的約定，把轉(zhuǎn)輪的位置調(diào)整到和發(fā)送方相同的初始位置上，然后依次鍵入收到的密文，顯示器上自動(dòng)閃亮的字母就是明文了。第2章古典密碼技術(shù)使用轉(zhuǎn)輪密碼機(jī)通信時(shí)，發(fā)送方首先要調(diào)節(jié)各第2章古典密碼技術(shù)2.4古典密碼的統(tǒng)計(jì)分析在對(duì)密碼進(jìn)行安全分析時(shí)，一般假設(shè)密碼分析者知道密碼體制，這就是Kerckhoffs假設(shè)，密碼分析重點(diǎn)在獲取密鑰。移位密碼、仿射密碼、維吉尼亞密碼、置換密碼等對(duì)己知明文攻擊都是非常脆弱的。即使用惟密文攻擊，大多數(shù)古典密碼體制都容易被攻破。大多數(shù)古典密碼體制都不能很好隱藏明文消息的統(tǒng)汁特征。下面就針對(duì)單表替代密碼、多表替代密碼和Hill密碼來(lái)介紹利用英文語(yǔ)言的統(tǒng)計(jì)特征和密碼特點(diǎn)，運(yùn)用惟密文攻擊或已知明文攻擊等方式破譯古典密碼的基本方法。2.4.1單表替代密碼分析

對(duì)于單表替代密碼，加法密碼和乘法密碼的密鑰量比較小，可利用窮舉密鑰的方法進(jìn)行破譯。仿射密碼、多項(xiàng)式密碼的密鑰量也只有成百上千，古代密碼分析者企圖用窮舉全部密鑰的方法破譯密碼可能會(huì)有一定困難，然而計(jì)算機(jī)出現(xiàn)后這就很容易了。第2章古典密碼技術(shù)2.4古典密碼的統(tǒng)計(jì)分析在對(duì)密碼第2章古典密碼技術(shù)2.4.1單表替代密碼分析（續(xù)）

本質(zhì)上，密文字母表是明文字母表的一種排列。但企圖使用計(jì)算機(jī)窮舉一切密鑰來(lái)破譯密鑰詞組替代密碼也是計(jì)算不可行的。窮舉不是攻擊密碼的惟一方法，密碼分析者便可利用語(yǔ)言的統(tǒng)計(jì)特性進(jìn)行分析。如果明文語(yǔ)言的這種統(tǒng)計(jì)特性在明文中有所反映，密碼分析者便可通過(guò)分析明文和密文的統(tǒng)計(jì)規(guī)律而破譯密碼。通過(guò)對(duì)大量英文語(yǔ)言的研究可以發(fā)現(xiàn)，每個(gè)字母出現(xiàn)的頻率不一樣，e出現(xiàn)的頻率最高。如果所統(tǒng)計(jì)的文獻(xiàn)足夠長(zhǎng)，便可發(fā)現(xiàn)各字母出現(xiàn)的頻率比較穩(wěn)定。如表2.4所示（表中字母出現(xiàn)頻率為字母出現(xiàn)次數(shù)除以文本字母總數(shù)）。第2章古典密碼技術(shù)2.4.1單表替代密碼分析（續(xù)）第2章古典密碼技術(shù)表2.426個(gè)英文字母出現(xiàn)頻率統(tǒng)計(jì)表

2.4.1單表替代密碼分析（續(xù)）字母出現(xiàn)頻率字母出現(xiàn)頻率a0.0856n0.0707b0.0139o0.0797c0.0279p0.0199d0.0378q0.0012e0.1304r0.0677f0.0289s0.0607g0.0199t0.1045h0.0528u0.0249i0.0627v0.0092j0.0013w0.0149k0.0042x0.0017l0.0339y0.0199m0.0249z0.0008第2章古典密碼技術(shù)表2.426個(gè)英文字母第2章古典密碼技術(shù)通過(guò)對(duì)26個(gè)英文字母出現(xiàn)頻率的分析，可以有以下結(jié)果：

（1）e出現(xiàn)的頻率最大，約為0.13；（2）t，a，o，i，n，s，h，r出現(xiàn)的頻率約在0.06～0.1之間；（3）d，l出現(xiàn)的頻率在0.04附近；（4）c，u，m，w，f，g，y，p，b出現(xiàn)的頻率約在0.015～

0.029之間；（5）v，k，j，x，q，z出現(xiàn)的頻率小于0.01。在密碼分析中，除了考慮單字母統(tǒng)計(jì)特性外，掌握雙字母、三字母的統(tǒng)計(jì)特性以及字母之間的連綴關(guān)系等信息也是很有用的。出現(xiàn)頻率最高的30個(gè)雙字母組合依次是：

th he in er an re ed on es st en at to nt ha 2.4.1單表替代密碼分析（續(xù)）第2章古典密碼技術(shù)通過(guò)對(duì)26個(gè)英文字母出現(xiàn)頻率的分析，第2章古典密碼技術(shù)nd ou ea ng as or ti is et it ar te se hi of

出現(xiàn)頻率最高的20個(gè)三字母組合依次是：特別的，the出現(xiàn)的頻率幾乎是ing的3倍，這在密碼分析中很有用。此外，統(tǒng)計(jì)資料還表明：英文單詞以e，s，d，t字母結(jié)尾的超過(guò)一半。英文單詞以t，a，s，w為起始字母的約占一半。以上這些統(tǒng)計(jì)數(shù)據(jù)是通過(guò)非專業(yè)性文獻(xiàn)中的字母進(jìn)行統(tǒng)計(jì)得到的。對(duì)于密碼分析者來(lái)說(shuō)，這些都是十分有用的信息。除此之外，密碼分析者對(duì)明文相關(guān)知識(shí)的掌握對(duì)破譯密碼也是十分重要的。2.4.1單表替代密碼分析（續(xù)）

the ing and her ere ent tha nth waseth for dth hat she ion int his sth ersver第2章古典密碼技術(shù)nd ou ea ng as第2章古典密碼技術(shù)字母和字母組的統(tǒng)計(jì)數(shù)據(jù)對(duì)于密碼分析者是十分重要的。因?yàn)樗鼈兛梢蕴峁┯嘘P(guān)密鑰的許多信息。對(duì)于字母e比其它字母的頻率都高得多，如果是單表替代密碼，可以預(yù)計(jì)大多數(shù)密文都將包含一個(gè)頻率比其它字母都高的字母。當(dāng)出現(xiàn)這種情況時(shí)，猜測(cè)這個(gè)字母所對(duì)應(yīng)的明文字母為e，進(jìn)一步比較密文和明文的各種統(tǒng)計(jì)數(shù)據(jù)及其分布，便可確定出密鑰，從而破譯單表替代密碼。下面通過(guò)一個(gè)具體實(shí)例來(lái)說(shuō)明如何借助于英文語(yǔ)言的統(tǒng)計(jì)規(guī)律來(lái)破譯單表替代密碼。該例子取自參考文獻(xiàn)[1]?！纠?.9】設(shè)某一段明文經(jīng)單表替代密碼加密后的密文如下，

YIFQFMZRWQFYVECFMDZPCVMRZWNMDZVEJBTXCDDUMJNDIFEFMDZCDMQZKCEYFCJMYRNCWJCSZREXCHZUNMXZNZUCDRJXYYSMRTMEYIFZWDYVZVYFZUMRZCRWNZDZJJXZWGCHSMRNMDHNCMFQCHZJMXJZWIEJYUCFWDJNZDIR試分析出對(duì)應(yīng)密文。為了表述更加清楚，本例的密文用大寫字母，明文用小寫字母。2.4.1單表替代密碼分析（續(xù)）第2章古典密碼技術(shù)字母和字母組的統(tǒng)計(jì)數(shù)據(jù)對(duì)于密碼分析者是十第2章古典密碼技術(shù)解：將加密變換記為Ek，解密變換記為Dk，密文中共有168個(gè)字母。第一步：統(tǒng)計(jì)密文中各個(gè)字母的出現(xiàn)次數(shù)和頻率，如表2.5所示。表2.5例2.9中各個(gè)密文字母的出現(xiàn)次數(shù)和頻率2.4.1單表替代密碼分析（續(xù)）第2章古典密碼技術(shù)解：將加密變換記為Ek，解密變換記為D第2章古典密碼技術(shù)

第二步：從出現(xiàn)頻率最高的幾個(gè)字母及雙字母組合、三字母組合開(kāi)始，并假定它們是英語(yǔ)言中出現(xiàn)頻率較高的字母及字母組合對(duì)應(yīng)的密文，逐步推測(cè)各密文字母對(duì)應(yīng)的明文字母。

從表2.5可以看出，密文字母Z出現(xiàn)的次數(shù)高于任何其他密文字母，出現(xiàn)頻率約為0.12。因此，可以猜測(cè)：，除Z外，出現(xiàn)至少10次的密文字母為C，D，F(xiàn)，J，M，R，Y，它們的出現(xiàn)頻率約在0.06～0.095之間。因此，可以猜測(cè)密文字母{C，D，F(xiàn)，J，M，R，Y}可能對(duì)應(yīng)于明文字母集合{t，a，o，i，n，s，h，r}中的字母，但不能肯定是哪一個(gè)。因?yàn)橐呀?jīng)假設(shè)密文Z解密成e，現(xiàn)在考慮密文中形如－Z和Z－的雙字母的出現(xiàn)情況，Z的雙字母情況如表2.6所示。2.4.1單表替代密碼分析（續(xù)）第2章古典密碼技術(shù)第二步：從出現(xiàn)頻率最高的幾個(gè)字第2章古典密碼技術(shù)表2.6例2.9密文中包含字母Z的雙字母出現(xiàn)次數(shù)

從表2.6可以發(fā)現(xiàn)，DZ和ZW出現(xiàn)4次；NZ和ZU出現(xiàn)3次；RZ，HZ，XZ，F(xiàn)Z，ZR，ZV