现代密码理论(复习)

1、现代密码理论现代密码理论复习复习 2/15 考试时间考试时间 o 时间时间:5月月23日日(周五周五)下午下午14:1016:10 o 地点地点:待定待定,请看学院网站通知请看学院网站通知 o 考察和考试的同学都需要参加考试考察和考试的同学都需要参加考试(闭卷闭卷) 3/15 题型题型 o 填空题填空题(20个个,每个每个1分分,共计共计20分分) o 选择题选择题(10个个,每个每个2分分,共计共计20分分) o 问答题问答题(6个个,每个每个5分分,共计共计30分分) o 计算题计算题(3个个,每个每个10分分,共计共计30分分) 4/15 题型举例题型举例-填空题填空题 o 在在DES算

2、法中，数据以算法中，数据以 64 位分组进行加位分组进行加 密，总共执行密，总共执行 16 轮的迭代变换。轮的迭代变换。 o 在密码学中，我们把没有加密的信息称为在密码学中，我们把没有加密的信息称为 明文明文 ，加密后的信息称为密文。，加密后的信息称为密文。 5/15 题型举例题型举例-选择题选择题 o 下列算法只能签名，不能加密的是下列算法只能签名，不能加密的是 A 。 A、DSA B、RSA C、ElGamal D、背包系、背包系 统统 o 下列算法能提供不可否认性的是下列算法能提供不可否认性的是 B 。 A、AES B、DSA C、MD5 D、DES o 在在Hash函数中，已知函数中，

3、已知x，找到，找到y(yx)满足满足 h(y)=h(x)在计算上是不可行的，这一性质称为在计算上是不可行的，这一性质称为 C 。 A、抗强碰撞性、抗强碰撞性 B、单向性、单向性 C、抗弱碰撞性、抗弱碰撞性 D、 杂凑性杂凑性 6/15 题型举例题型举例-问答题问答题 o 在在DSA签名算法中，签名算法中，p、q和和g是公开参数，是公开参数，y 为用户公钥，为用户公钥，x为用户私钥。对于消息为用户私钥。对于消息m， 首先随机选取一个整数首先随机选取一个整数k, 0kq，然后计，然后计 算算 r=(gk mod p) mod q, s=k-1(h(m)+xr) mod q 则则m的签名为的签名为(

4、r, s)，其中，其中h为为Hash函数。试函数。试 给出其签名的验证过程。给出其签名的验证过程。 7/15 o 答：对于消息签名对(m, (r, s)，首先计算 然后验证 如果等式成立，则(r, s)是m的有效签名；否则 签名无效。 1 1 mod , ( )mod wsquh m wq 12 2 mod , (mod )mod uu urwqvg ypq vr 8/15 题型举例题型举例-问答题问答题 o 利用公钥技术对一个文件做数字签名时，利用公钥技术对一个文件做数字签名时， 为什么要先使用为什么要先使用Hash函数对文件进行压缩，函数对文件进行压缩， 再对再对Hash值进行签名？试说明

5、这样做的好值进行签名？试说明这样做的好 处和不这样做的坏处。处和不这样做的坏处。 9/15 o 答：答：Hash函数可以将任意长度的消息压缩函数可以将任意长度的消息压缩 成某一固定长度的成某一固定长度的Hash值。值。Hash值通常要值通常要 比消息本身小得多，因此对比消息本身小得多，因此对Hash值进行签值进行签 名要比对消息本身直接签名高效得多，所名要比对消息本身直接签名高效得多，所 以数字签名通常都是对消息摘要进行处理。以数字签名通常都是对消息摘要进行处理。 不这样做的坏处是效率低，有些签名体制不这样做的坏处是效率低，有些签名体制 不使用不使用Hash函数还可以伪造签名。函数还可以伪造签

6、名。 10/15 题型举例题型举例-计算题计算题 o 在在RSA签名方案中，设签名方案中，设p=3, q=11，公钥，公钥e=3， 消息消息m的的Hash值为值为11，试计算私钥，试计算私钥d并给出并给出 对该消息的对该消息的Hash值的签名和验证过程。值的签名和验证过程。 11/15 题型举例题型举例-计算题计算题 o 椭圆曲线椭圆曲线E23(1,1)表示表示y2=x3+x+1 mod 23。设。设 P=(3, 10)，Q=(9, 7)，试计算，试计算P+Q的值。的值。 12/15 复习提纲复习提纲第一章第一章-引言引言 o 密码学基本概念密码学基本概念,如密码编码学、密码分析如密码编码学、

7、密码分析 学、明文、密文、加密、解密学、明文、密文、加密、解密 o 对称密码体制和非对称密码体制对称密码体制和非对称密码体制 o 古典密码体制，如置换密码、单表代换密码、古典密码体制，如置换密码、单表代换密码、 多表代换密码（要会计算）多表代换密码（要会计算） 13/15 第二章第二章-流密码流密码 o 流密码基本概念、特点流密码基本概念、特点 o 线性反馈移位寄存器线性反馈移位寄存器 14/15 第三章第三章 分组密码分组密码 o 分组密码基本概念、特点分组密码基本概念、特点 o Feistel网络网络 o DES，密钥长度、分组长度、，密钥长度、分组长度、S盒、多重盒、多重 DES o 分

8、组密码的四种运行模式分组密码的四种运行模式 o AES，密钥长度、分组长度，密钥长度、分组长度 15/15 第四章第四章 公钥密码公钥密码 o 公钥密码与对称密码体制的区别公钥密码与对称密码体制的区别 o 陷门单项函数陷门单项函数 o RSA、Rabin、ElGamal（会计算，要记住（会计算，要记住 这些算法）这些算法） o 椭圆曲线密码的优点、点乘运算规则、椭圆曲线密码的优点、点乘运算规则、 椭椭 圆曲线上的圆曲线上的ElGamal、椭圆曲线上的、椭圆曲线上的Diffie- Hellman密钥交换协议（会计算，要记住这密钥交换协议（会计算，要记住这 些算法）些算法） 16/15 第五章第五

9、章-密钥管理密钥管理 o 利用对称加密体制来分配密钥利用对称加密体制来分配密钥 o Needham-Schroeder协议协议 o 利用公钥加密体制来分配密钥利用公钥加密体制来分配密钥 o 利用密钥协商协议来分配密钥利用密钥协商协议来分配密钥 o Diffie-Hellman协议协议 o 记住这些协议，要知道每一步的作用，给定记住这些协议，要知道每一步的作用，给定 一个协议，能说明其用途一个协议，能说明其用途 17/15 第六章第六章-消息认证与杂凑算法消息认证与杂凑算法 o Hash函数的作用、原理函数的作用、原理 o 弱碰撞性和强碰撞性的区别弱碰撞性和强碰撞性的区别 o 迭代型迭代型Has

10、h函数的一般结构函数的一般结构 o MD5，输出长度（知道大致过程，不用记住），输出长度（知道大致过程，不用记住） o SHA，输出长度（知道大致过程，不用记住），输出长度（知道大致过程，不用记住） 18/15 第七章第七章-数字签名和密码协议数字签名和密码协议 o 数字签名的基本概念数字签名的基本概念 o RSA、DSA、ElGamal、Schnorr签名（记签名（记 住这四个算法，会计算）住这四个算法，会计算） o 零知识证明零知识证明 o 秘密分享技术、秘密分享技术、Shamir 门限方案（会计算）门限方案（会计算） 19/15 第八章第八章 基于身份的密钥体制和无证书密基于身份的密钥体

11、制和无证书密 码体制码体制 o PKI的缺点的缺点 o 基于身份的密码体制的概念、原理基于身份的密码体制的概念、原理 o 无证书密码体制的概念、原理无证书密码体制的概念、原理 o Boneh-Franklin基于身份的加密方案基于身份的加密方案 o Hess基于身份的签名方案基于身份的签名方案 o Smart密钥协商协议密钥协商协议 o Joux一三方密钥协商协议一三方密钥协商协议 o Al-Riyami-Paterson无证书加密方案无证书加密方案 o Zhang-Wong-Xu-Feng无证书签名方案无证书签名方案 o 不用记住上述算法，知道其原理，给定一个未知的算法不用记住上述算法，知道其原理，给定一个未知的算法 前半部分，会写出后半部分前半部分，会写出后半部分 20/15 第九章第九章 可证明安全性可证明安全性 o 可证明安全性的基本概念、语义安全性、存可证明安全性的基本概念、语义安全性、存 在不可伪造性在不可伪造性 o 公钥加密体制安全概念，选择明文攻击、选公钥加密体制安全概念，选择明文攻击、