密码学试题及答案

1、密码学试题及答案【篇一：现代密码学期终考试试卷和答案】txt> 密封线一选择题1 、关于密码学的讨论中，下列（d ）观点是不正确的。a 、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综合技术b、密码学的两大分支是密码编码学和密码分析学c、密码并不是提供安全的单一的手段，而是一组技术d、密码学中存在一次一密的密码体制，它是绝对安全的2、在以下古典密码体制中，属于置换密码的是（b）。a、移位密码b、倒序密码c、仿射密码d、playfair密码3、一个完整的密码体制，不包括以下（ c）要素。a、明文空间b、密文空间c、数字签名d、密钥空间4 、关于 des 算法，除了

2、（c ）以外，下列描述des 算法子密钥产生过程是正确的。a、首先将des算法所接受的输入密钥 k （64位），去除奇偶校验位，得到56 位密钥（即经过 pc-1 置换，得到56 位密钥）b 、在计算第i 轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i 的值，这些经过循环移位的值作为下一次循环左移的输入c 、在计算第i 轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为下一次循环左移的输入d 、然后将每轮循环移位后的值经pc-2 置换，所得到的置换结果即为第 i 轮所需的子密钥ki 5 、 2000 年 10 月 2 日， nist 正式

3、宣布将（ b ）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。a 、 marsb 、 rijndaelc 、 twofish d 、 bluefish*6、根据所依据的数学难题，除了（a ）以外，公钥密码体制可以分为以下几类。a、模窑运算问题 b、大整数因子分解问题 c、离散对数问题d 、椭圆曲线离散对数问题7 、密码学中的杂凑函数（hash 函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不编号系别专业 班级姓名学号 密封线带密钥的杂凑函数，下面（c ）是带密钥的杂凑函数。a、 md4 b、sha-1c 、 whirlpoold 、 md58 、完整的数字签名过程（包

4、括从发送方发送消息到接收方安全的接收到消息）包括（c ）和验证过程。a、加密b、解密c、签名d、保密传输*9、除了（ d ）以外，下列都属于公钥的分配方法。a、公用目录表b 、公钥管理机构c 、公钥证书d 、秘密传输10、密码学在信息安全中的应用是多样的，以下（a ）不属于密码学的具体应用。a、生成种种网络协议 b、消息认证，确保信息完整性 c 、加密技术，保护传输信息d 、进行身份认证二 . 填空题1 、信息安全中所面临的威胁攻击是多种多样的，一般将这些攻击分为两大类（主动攻击）和被动攻击。其中被动攻击又分为（消息内容的泄露）和（进行业务流分析）。2 、密码技术的分类有很多种，根据加密和解密

5、所使用的密钥是否相同，可以将加密算法分为：对称密码体制和（非对称密码体制），其中对称密码体制又可分为两类，按字符逐位加密的（序列密码）和按固定数据块大小加密的（分组密码）。3 、密码分析是研究密码体制的破译问题，根据密码分析者所获得的数据资源，可以将密码分析（攻击）分为：（惟密文分析）、已知明文分析（攻击）、（选择明文分析）和选择密文分析（攻击）。4 、古典密码学体制对现代密码学的研究和学习具有十分重要的意义，实现古典密码体制的两种基本方法（代换）和（置换）仍是构造现代对称分组密码的核心方式。5 、（des ）是美国国家标准局公布的第一个数据加密标准，它的分组长度为（64）位，密钥长度为（64

6、（ 56）位。6 、 1976 年，美国两位密码学者diffe 和 hellman 在该年度的美国计算机会议上提交了一篇论编号系别专业 班级姓名学号 密封线文，提出了（公钥密码体制）的新思想，它为解决传统密码中的诸多难题提出了一种新思路。7、 elgamal 算法的安全性是基于（离散对数问题），它的最大特点就是在加密过程中引入了一个随机数，使得加密结果具有（不确定性），并且它的密文长度是明文长度的（两）倍。该算法的变体常用来进行数据签名。8 、密码系统的安全性取决于用户对于密钥的保护，实际应用中的密钥种类有很多，从密钥管理的角度可以分（初始密钥）、（会话密钥）、密钥加密密钥和（主密钥）。三、简

7、述题（每小题8 分，共 40 分）1 、古典密码体制中代换密码有哪几种，各有什么特点？2、描述说明 des 算法的加解密过程（也可以画图说明）。3 、以des 为例，画出分组密码的密码分组链接（cbc ）模式的加密解密示意图，假设加密时明文一个比特错误，对密文造成什么影响，对接收方解密会造成什么影响？4、简述公钥密码体制的基本思想以及其相对于传统密码体制的优势。5、简述数字签名的基本原理及过程。四、计算题（每题10 分，共 20 分）1 、计算通过不可约多项式x+x+x+x+1 构造的 gf（ 2）上，元素（ 83） h 的乘法逆元。2、 rsa 算法中，选择p=7,q=17,e=13, 计算

8、其公钥与私钥，并采用快速模乘（反复平方乘）方法，加密明文m=（ 19） 10。1 、答：在古典密码学中，有四种类型的代替密码：简单代替密码（或单表代替密码）（1分），它将明文字母表中的每个字母用密文字母表中的相应字母来代替，明密文表字母存在惟一的一一对应关系，然后通过明密文对照表来进行加解密，容易受到频率统计分析攻击，例如：恺撒密码、仿射密码等（1分）。多名码代替密码（1 分），将明文中的每个字母按一定规律映射到一系列密文字母，这一系列密文字母称为同音字母，它的密文的相关 分布会接近于平的，能够较好挫败频率分析，较简单代替密码难破 译（1分）。多字母代替密码（1分），通过一次加密一组字母来 使

9、密码分析更加困难，例如 playfair密码（1分）。多表代替密码（1分），使用从明文字母到密文字母的多个映射，每个映射像简单 代替密码中的一一对应，比简单代替密码更安全一些，例如，维吉 尼亚密码等（1分）。2、答：des算法是一个分组加密算法，它以 64位分组（0.5分） 对数据进行加密，其 初始密钥也是64位，它的加密过程可以描述如 下：64位密钥经子密钥产生算法产生出 168 438 编号系别专业班级姓名学号 密封线的左半部分li-1进行逐比特异或，将该运算结果作为当前轮（第 i轮） 右半部份的输出ri=li-1f（ri-1,ki） （0.5分）；将本轮输入的右半部 分数据作为本轮输出的

10、左半部分数据：li=ri-1 （0.5分）。16轮变 换结束后，交换输出数据的左右两部分：x=r16l16 （1分）。经过逆初始变换ip-1输出密文（0.5分）。对于des算法来说，其解密 过程与加密过程是同一过程，只不过使用子密钥的顺序相反（1分）。3、答：因为计算机数据自身的特殊性以及不同场合对于数据加密速 度及效率的不同需求，再采用分组对称密码进行数据加密时往往要 选择相应的工作模式，密文链接模式（cbc）就是其中的一种。以 des分组密码为例，cbc模式的加密示意图如下（2分）：以des分组密码为例，cbc模式的解密示意图如下（2分）： 加密时明文的一个比特错误，会导致该组加密密文发生

11、变化，然后这个错误反馈值会作为下一次des加密的输入值，再经过 des加密变换。会导致后面的密文都受到影响（2分）。对编号系别专业班级姓名学号 密 封线于接收方来说，加密明文的一个比特错误，只会影响对应明文块所产生的密文的正常解密，其他数据块可以正常准确地解密（2 分）。4、答：公钥密码体制的基本思想是把密钥分成两个部分：公开密钥和私有密钥（简称公钥和私钥），公钥可以向外公布，私钥则是保密的（1 分）；密钥中的任何一个可以用来加密，另一个可以用来解密（ 1 分）；公钥和私钥必须配对使用，否则不能打开加密文件（ 1 分）；已知密码算法和密钥中的一个，求解另一个在计算上是不可行的（1分）。相对于传

12、统密码体制来说，公钥密码体制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放，而私有密钥由持有者妥善地秘密保存。这样，任何人都可以通过某种公开的途径获得一个用户的公开密要，然后进行保密通信，而解密者只能是知道私钥的密钥持有者（1 分），该体制简化了密钥的分配与分发（1 分）；同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性（1 分），使得公钥密码体制不仅能像传统密码体制那样用于消息加密，实现秘密通信，还可以广泛应用于数字签名、认证等领域（1 分）。5 、答：数字签名与加密不同，它的主要目的是保证数据的完整性和真实性，一般包括两部分：签名算法和验证算法，通常

13、由公钥密码算法和杂凑函数（hash 算法）结合实现。假设发送方a 要向接收方b 发送一消息m ，并对该消息进行数字签名，其具体的原理和过程如下：发送方a采用杂凑函数生成要发送消息m的消息摘要：hash （m） （ 2分）；发送方a采用自己的私钥pra对消息m的消息摘要加密，实现签名：epra（hash（m） ，并将签名与消息m 并联形成最终要发送的消息：m| epra（hash（m）, 然后发送该消息（2分）；接收方b接收到消息后，采用发送方 a的公钥pua解密签名，恢复原始消息的摘要：hash（m）=dpua（epra（hash（m）（ 2 分）；接收方b 采用杂凑函数，重新计算消息m 的消

14、息摘要：h ash（m），并与从发送方a 接收到的消息摘要进行比较,若相等，则说明消息确实是发送方a 发送的，并且消息的内容没有被修改过（2 分）。数字签名技术对网络安全通信及各种电子交易系统的成功有重要的作用。1、；解：将元素（83） h转换为二进制数据为（10000011 ） 2（ 0.5 分）将二进制数据（10000011 ） 2转换为给定有限域上的多项式：x+x+1 （ 0.5 分）； 利用欧几里得扩展算法求解以上多项式在指定有限域上的逆多项式（每步（行）2 分）：7【篇二：现代密码学复习题 答案】为（被动攻击）和（主动攻击）。密码学的两个分支是（密码编码 学）和（密码分析学）。密码体

15、制有（单钥密码体质）和（双钥密 码体质）。现代流密码的设计思想来源于古典密码中的（维吉尼亚 密码）。现代分组密码的设计思想来源于古典密码中的（多字母代 换密码）。（二）在信息保密系统中，攻击者eve 所拥有的基本资源有哪些？eve 在不安全的公共信道上截获了密文c。eve 知道加密算法e 和解密算法d。攻击者 eve 可能拥有的更多资源有哪些？eve 可能知道密文c 所对应的明文m 。 eve 可能拥有强大的计算能力。eve 可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出密文。（此时所进行的攻击称为选择明文攻击）攻击者 eve 不可能拥有的资源是什么？eve 不知道加密密钥

16、z 和解密密钥k。（事实上，在进行安全性分析时，有时也假设eve 知道了密钥的一部分，但决不能全部知道）（三）叙述已知明文攻击。设攻击者eve截获了密文c,并且知道了密文c所对应的明文 m 。（这种情况是怎样发生的呢？当明文m 是已经过期的消息，可能无法再保密，也可能必须将其公开。因此，这种情况是经常发生的） 于是：?在解密方程 m=d（c, k）中，eve知道m和c,仅仅不知道解密密钥 k。？在加密方程c=e（m, z）中，eve知道m和c,仅仅不知道加密 密钥z。 ? 如果 eve 从解密方程m=d（c, k） 中计算出解密密钥k ，则eve今后就可以像bob 一样对任何密文c'进

17、行解密：m' =d（c ' , k） ? 如果 eve 从加密方程c=e（m, z） 中计算出加密密钥z ，则 eve 今后就可以像alice 一样对任何明文 M进行加密：c' =e（m' , z） ? 还可以给更加宽松的条件。设攻击者eve 获得了以往废弃的n 组明文 /密文对：（ml , cl ） , （ m2 , c2）,（mn , cn ）。? 于是 eve 获得了关于解密密钥k 的方程组：? m1=d（c1, k） ，? m2=d（c2, k） ，? mn=d(cn, k) 。? ( n 越大，解密密钥k 就越容易确定。)(四)叙述无条件安全性。对密码

18、体制的任何攻击，都不优于(对明文)完全盲目的猜测，这样的密码体制就称为无条件安全的(或完善保密的)。什么样的加解密方式能够实现无条件安全性？一次一密的加密方式容易实现无条件安全性。因为密钥时时更新，所以以往得到的任何明文/密文对，对于破译新的密文没有任何帮助，只能做完全盲目的猜测。(五)叙述计算安全性。计算安全是一个模糊的概念。我们可以给出以下三个级别的定义。( 1 )对密码体制的任何攻击，虽然可能优于完全盲目的猜测，但超出了攻击者的计算能力。这是最高级别的计算安全。( 2)对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但所付出的代价远远大于破译成功所得到的利益。这是第二级别的计算安

19、全。( 3)对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但破译成功所需要的时间远远大于明文本身的有效期限。这也是第二级别的计算安全。什么样的加解密方式能够实现计算安全性？(六)设明文x,密文y,密钥z1 ,密钥z2,均为8比特课文。加密算法为y=(x + z1)“ +”。其中 z2 +表示逐位 (mod2) 加法运算；“ +”表示 (mod28) 加法运算。试用 2 个明文/密文对解出密钥z1 和 z2 各自的最低位，其中明文可以任意选择。你选择什么明文？怎样解出？在解出密钥z1 和 z2 各自的最低位以后，试用2 个明文/密文对解出密钥 z1 和 z2 各自的次最低位，其中明文可

20、以任意选择。你选择什么明文？怎样解出？使用选择明文攻击，多少个经过选择的明文/密文对可以解出密钥z1 和 z2？(y1y2y3y4y5)=(x1x2x3x4x5)a+(b1b2b3b4b5)。取 6 组明文/密文对：(00000)/(10110) ， (10000)/(01110) ， (01000)/(11010) ，(00100)/(10000) ， (00010)/(10101) ， (00001)/(00111) 。试解出密钥a 和密钥 (b1b2b3b4b5) 。此加密方程能够唯一解密吗？为什么？(八)叙述golomb 随机性假设(三条假设)。(1)当n充分大时，k1k2 k3加中0

21、和1的个数各占约一半。（2）当n充分大时，在k1k2 k3 - kn中，长度为l的比特串10 Ol （称为0游程）的个数约有n/2l个；长度为l的比特串01 - -10 （称为1游程）的个数约有n/2l个。（3）若k0,当n充分大时，以下的值（称为异相自相关函数值）约为 0。1n（?1）?l?1nkl?kl?k（九）回答下列问题：1 .一个周期的布尔序列一定是线性反馈移位寄存器序列吗？为什么？定理如果一个比特流是一个周期序列，则它一定是线性反馈移位寄存器序列。证明设比特流k 的最小周期是n。 则ln 后，kl=kl-n 。因此比特流k 为n 阶线性反馈移位寄存器序列，抽头系数为c1 、c2、c

22、n=0、0、。、1（即极小多项式 f（x）=1'+'）xn初始状态为k1k2k3kn 。2 .n 阶线性反馈移位寄存器序列的最小周期的上确界是什么？（2n-1 ）最小周期达到该上确界的序列称为什么序列？（n 阶 m 序列）当n 阶线性反馈移位寄存器序列的最小周期达到该上确界时，对golomb 随机性假设的符合程度是怎样的？完全满足golomb 随机性假设 .（ 3.1 ） k 在自己的一个最小周期内（即连续2n-1 个比特内），0出现 2n-1-1 次， 1 出现 2n-1 次。（3.（2） j, 3<j qn观察k的连续2n-1个长j的比特串：klkl+1kl+2 kl

23、+jl, l=1, 2,，2n。10 01出现2n-j次；（长为j-2的0游程）0110出现2n-j次。（长为j-2的1游程）观察k 的连续2n-1 个长n+1 的比特串：klkl+n ，l=1 2n-1 。1001出现1次。（长为n-1的0游程）观察k 的连续2n-1 个长n+2 的比特串：klkl+n+1， l=1 2n-1。01- -10出现1次。（长为n-1的0游程）（3.（3） 何1WjW22i,下式接近0。（自相关函数）1n2?12n?1?1（?1）?lkl?kl?j?1?n2?1这样的序列为什么不能直接作为密钥流？不能直接作为密钥流的原因为:eve 如果得到任何一段连续2n 个比

24、特 , 就获得了一个关于抽头系数的方程组,由于加法和乘法都是在域gf（2） 上进行 （mod2 运算 ）,容易计算出抽头系数,从而被攻破。解法：如果 n 阶线性反馈移位寄存器序列用作密钥流，攻击者eve 截获了密文段c1c2c3c2n ,并知道了对应的明文段m1m2m3 m2n,因此计算出了对应的废弃密钥段k1k2k3k2n。则eve获得了关于抽头系数c1、c2、cn的以下方程组。kl=c1kl- 1'+2kl- 2 '+' '+-n,cnkl其中 l=n+1 , n+2 ,，2n。注意到这是在有限域gf（2） 上的线性方程组，很容易解出抽头系数c1、c2、cn

25、。实际上，当eve 获得了 n 阶线性反馈移位寄存器序列的任何一段的连续2n个比特kj+1kj+2kj+3kj+2n ,他就获得了关于抽头系数c1、c2、cn的以下方程组。kl=c1kl- 1 '+' c22d '+''+-n,cnkl其中 l=j+n+1 , j+n+2 ,，j+2n。?kj?nkj?n?1? kkj?n?1j?n? ? ? kkj?2n?2?j?2n?1?特， eve 就获得了整个密钥流。?kj?n?1?kj?1?c1?kj?2?c2?kj?n?2?kj?n?cn?kj?2n? 以上方程组中的加法和乘法都是在域gf（2） 上进行的（即

26、（mod2） 运算）。以上事实说明，当eve 获得了 n阶线性反馈移位寄存器序列的任意连续2n 个比【篇三：现代密码学试卷（含答案）】信息安全专业2004 级 “密码学 ”课程考试题（卷面八题，共100 分，在总成绩中占70 分）一、单表代替密码（10 分） 使加法密码算法称为对合运算的密钥k 称为对合密钥，以英文为例求出其对合密钥，并以明文m = wewi 一般而言，对于加法密码，设明文字母表和密文字母表含有n 个字母，n为）1的正整数，求出其对合密钥二、回答问题（10 分）在公钥密码的密钥管理中，公开的加密钥ke和保密的解密钥kd的秘密性、真实性和完整性都需要确保吗？说明为什么？简述公钥证

27、书的作用？三、密码比较，说明两者的特点和优缺点。（10 分）对 des 和 aes 进行比较，说明两者的特点和优缺点。四、设 a = 01 , 02, 03, 04t, b = b0,b1,b2,b3t ,利用反对数表查表计算aes 中的列混淆，求出b。（ 10 分）五、设 g（x）=x4+x2+1 ， g（x） 为 gf（ 2）上的多项式，以其为连接多项式组成线性移位寄存器。画出逻辑框图。设法遍历其所有状态，并写出其状态变迁及相应的输出序列。（ 15 分）六、考虑rsa 密码体制：（15 分）1 . 取 e=3 有何优缺点？取d=3 安全吗？为什么？2 .设n=35 ,已截获发给某用户的密文

28、c= 10,并查到该用户的公钥e=5 ,求出明文m。七、令素数p=29, 椭圆曲线为y2=x3+4x+20 mod 29, 求出其所有解点，并构成解点群，其解点群是循环群吗？为什么？。（15 分）八、在下述站点认证协议中函数f 起什么作用？去掉f 行不行？为什么 ?（ 15 分）设a， b 是两个站点，a 是发方，b 是收方。它们共享会话密钥ks ，f 是公开的简单函数。a 认证 b 是否是他的意定通信站点的协议如下：1. a产生一个随机数 rn ,并用ks对其进行加密：c = e （rn, ks）, 并发c给b。同时a对rn进行f 变换，得到f（rn） 。2. b收到c后，解密得到rn =d

29、 （c, ks ）。b也又rn进行f变换，得到f（ rn ），并将其加密成c=e （f （rn ） , ks ）,然后发 c'给 a。3. a对收到的c'解密得到f （rn）,并将其与自己在第步得到的f（ rn ）比较。若两者相等，则a认为 b 是自己的意定通信站点。否则a 认为 b 不是自己的意定通信站点。参考答案（卷面八题，共100 分，在总成绩中占70 分）一、单表代替密码（10 分） 使加法密码算法称为对合运算的密钥k 称为对合密钥，以英文为例求出其对合密钥，并以明文 m = wewillmeetatmornin 一般而言，对于加法密码，设明文字母表和密文字母表含有n个

30、字母，n为）1的正整数，求出其对合密钥k。解答：1. 加法密码的明密文字母表的映射公式：a 为明文字母表,即英文字母表，b 为密文字母表，其映射关系为：j=i k mod 26显然当 k=13 时， j=i 13 mod 26 ，于是有i = j 13 mod 26 。此时加法密码是对合的。称此密钥k=13 为对合密钥。举例：因为k=13 ，所以明文字母表a 和密文字母表b 为第一次加密：m = w e w i l l m e e t a t m o r n i n gc = j r j v y y z r r g o g z b e a v a t第二次加密：c =w e w i l l m

31、 e e t a t m o r n i n g? 还原出明文， 这说明当k=13时，加法密码是对合的。称此密钥为对 设n为模, 若 n 为偶数，则k=n/2 为对合密钥。若n 为奇数，n/2 不是整数，故不存在对合密钥。二、回答问题（10 分）1）在公钥密码的密钥管理中，公开的加密钥ke 和保密的解密钥kd的秘密性、真实性和完整性都需要确保吗？说明为什么？解答：公开的加密钥 ke ：秘密性不需确保，真实性和完整性都需要确保。因为公钥是公开的，所以不需要保密。但是如果其被篡改或种安全性将受到破坏，坏人将可冒充别人而获得非法利益。保密的解密钥kd ：秘密性、真实性和完整性都需要确保。因为解密钥是

32、保密的，如果其秘密性不能确保，则数据的秘密性和真性将 不能确保。举例（a）攻击者c用自己的公钥置换pkdb中a的公钥：（b）设b要向a发送保密数据，则要用 a的公钥加密，但此时已被换为 c 的公钥，因此实际上是用c 的公钥加密。（ c） c 截获密文，用自己的解密钥解密获得数据。2） 简述公钥证书的作用？公钥证书是一种包含持证主体标识，持证主体公钥等信息，并由可信任的签证机构（ca ）签名的信息集合。公钥证书主要用于确组织机构或其它主体。公钥证书能以明文的形式进行存储和分配。任何一个用户只要知道签证机构（ca）的公钥，就能检查对证公钥是真实的，而且这个公钥就是证书所标识的那个主体的合法的公钥。从而确保用户公钥的完整性。三、密码比较，说明两者的特点和优缺点。（10 分）对 d