第2章古典密码学-PPT课件

1、第2章 古典密码学2.1古典密码学体制2.1.1定义和分类一个密码系统（Cryptosystem）是一个五元组（P,C,K,E,D)满足条件：（1）P是可能明文的有限集；（明文空间）（2）C是可能密文的有限集；（密文空间）（3）K是一切可能密钥构成的有限集；（密钥空间）（4）任意 ,有一个加密算法 和相应的解密算法 ，使得 和 分别为加密、解密函数，满足 。 xxAlice加密解密密钥源安全信道窃听者OscarkyBob实用密码体系每个加密函数和每个解密函数应当能有效地被计算。 即使看到密文串y，窃听者Oscar确定所用的密钥k或明文串x是不可行的。已知密文串y的情况下试图计算密钥k的过程称为

2、密码分析（Cryptanalysis）。古典密码学分类代换（Substitution）密码和置换（Permutation）密码 2.1.2 代换密码 将明文字母表抽象地表示为一个整数集 。在加密时通常将明文消息划分成长为L的消息单元，称为明文组，以m表示，如 。 m也称作L报文，它可以看作是定义在 上的随机变量 这时明文空间 。密文字母表抽象表示成整数集 。密文单元或组为 。c是定义在 上的随机变量。密文空间 。一般地，明文和密文由同一字母表构成。代换密码可以看作是从 到 的映射。L1时，称作单字母代换，也称作流密码（Stream cipher）。L1时，称作多字母代换，亦称分组密码（Bloc

3、k cipher）。 1. 单表代换密码 单表代换密码是对明文的所有字母都用一个固定的明文字母表到密文字母表的映射，即 。令明文 ,则相应地密文为 。 几类简单的单表代换密码 移位密码（Shift Cipher）设 定义 且 例21 恺撒（Caesar）密码是k3的情况。即通过简单的向右移动源字母表3个字母则形成如下代换字母表 若明文为： please confirm receipt则密文为：SOHDVE FRQILUP UHFHLSW :abcdefghijklm:DEFGHIJKLMNOPnopqrstuvwxyzQRSTUVWXYZABC安全性分析移位密码是极不安全的（mod26），因为

4、它可被穷举密钥搜索所分析：仅有26个可能的密钥，尝试每一个可能的加密规则，直到一个有意义的明文串被获得。平均地说，一个明文在尝试26/213解密规则后将显现出来。 替换密码设 ，密钥空间K由所有可能的26个符号0，1，.，25的置换组成。对每一个置换 ，定义 则 ，其中 的逆置换。 例2.2 密钥句子为：the message was transmitted an hour ago 。源字母表为： a b c d e f g h i j k l m n o p q r s t u v w x y z 代换字母表为：THEMSAGWRNIDOUBCFJKLPQVXYZ明文：please conf

5、irm receipt 密文：CDSTKS EBUARJO JSESRCL安全性分析替换密码的密钥是由26个字母的置换组成。这些置换的数目是26！，超过，一个非常大的数。这样即使对现代计算机来说，穷举密钥搜索也是不可行的。然而，以后我们会看到，替换密码容易被其他的分析方法所破译。 仿射密码 设 ，且 对 ，定义 且 例2.3 假定 ， ，加密函数为 ，则相应的解密函数为 ，其中所有的运算都是在 中。容易验证 。 加密明文hot。 首先转化这三个字母分别为数字7，14和19。然后加密密文串为AGX。 多表代换密码 多表代换密码是以一系列（两个以上）代换表依次对明文消息的字母进行代换的加密方法。令

6、明文字母表为 ， 为代换序列，明文字母序列 ，则相应的密文字母序列为 。若f是非周期的无限序列，则相应的密码称为非周期多表代换密码。这类密码，对每个明文字母都采用不同的代换表（或密钥）进行加密，称作一次一密密码（One-time pad cipher）,这是一种理论上唯一不可破的密码 。有名的多表代换密码有Vigenre、Beaufort、Running-Key、Vernam和转轮机（Rotor machine）等密码。 Vigenre密码设m是某固定的正整数，定义 ，对一个密钥 ，我们定义 且 所有的运算都在 中。 例 2.4 设m6，且密钥字是CIPHER,这相应于密钥。假定明文串是 th

7、is cryptosystem is not secure 首先将明文串转化为数字串，按6个一组分段，然后模26“加”上密钥字得：相应的密文串将是:VPXZGIAXIVWPUBTTMJPWIZITWZT解密过程与加密过程类似,不同的只是进行模26减,而不是模26加。 多字母代换密码（Polygram substitution cipher）Hill 密码 设m是某个固定的正整数， ，又设 ；对任意 ，定义 ， 则 。其中所有的运算都是在 中进行。 例 2.5 假定密钥是，则。现在我们加密明文july分为两个明文组（9，20）（相应于ju）和（11，24）（相应于ly）。计算如下： 因此，jul

8、y的加密是DELW。 2.1.3置换密码（Permutation Cipher） 设m是某个固定的整数。 ，且由所有 的置换组成。对一个密钥 （即一个置换），定义 ， 其中， 。 例 2.6 假定m6，密钥是以下置换 ： ； 则逆置换 为： 。 给出明文 shesellsseashellsbytheseashore. 首先把明文分为6个字母一组： shesel lsseas hellsb ythese ashore . 每六个字母按重排，得密文： EESLSHSALSESLSHBLEHSYEETHRAEOS 用 类似地解密。 安全性分析Hill密码解密等价于用逆置换 的置换密码解密。 22 古

9、典密码体制分析 Kerckhoff假设：攻击方知道所用的密码系统。简单的单表代换密码，如移位密码，仅统计标出最高频度字母再与明文字母表字母对应决定出移位量，就差不多得到正确解了。也很容易用穷举密钥搜索来破译。 一般的仿射密码，多考虑几个密文字母统计表与明文字母统计表的匹配关系也不难解出。结论：一个密码系统是安全的一个必要条件是密钥空间必须足够大，使得穷举密钥搜索破译是不可行的。唯密文攻击法分析单表和多表代换密码是可行的。但用唯密文攻击法分析多字母代换密码如Hill密码是比较困难的。分析多字母代换多用已知明文攻击法。 2.2.1 单表代换密码分析 例 2.7 假设从仿射密码获得的密文为：FMXV

10、EDKAPHFERBNDKRXRSREFMORUDSDKDVSHVUFEDKAPRKDLYEVLRHHRH 仅有57个密文字母，但足够分析仿射密码。最高频的密文字母是：R(8次)，D（6次），E，H，K（各五次），F，S，V（各四次）。开始，我们可以假定R是e的加密且D是t的加密，因为e和t分别是两个最常见的字母。数值化后，我们有 。回忆加密函数 。所以得到两个含两个未知量的线性方程组： 表2.3 26个英文字母的概率分布字母概率字母概率A0.082N0.067B0.015O0.075C0.028P0.019D0.043Q0.001E0.127R0.060F0.022S0.063G0.020T

11、0.091H0.061U0.028I0.070V0.010J0.002W0.023K0.008X0.001L0.040Y0.020M0.024Z0.001 这个系统有唯一的解 。但这是一个非法的密钥，因为 。所以我们假设有误。 我们下一个猜想可能是R是e的加密，E是t的加密。得 ，又是不可能的。继续假定R是e的加密且K是t的加密。这产生了 ，至少是一个合法的密钥。剩下的事是计算相应于k（3，5）的解密函数，然后解密密文看是否得到了有意义的英文串。容易证明这是一个有效的密钥。 最后的密文是： algorithms are quite general definitions of arithmet

12、ic processes 2.2.2 多表代换密码分析 分析Vigenre密码的方法:Kasiski测试法 若用给定的m个密钥表周期地对明文字母加密，则当明文中有两个相同字母组在明文序列中间隔的字母数为m的倍数时，这两个明文字母组对应的密文字母组必相同。但反过来，若密文中出现两个相同的字母组，它们所对应的明文字母组未必相同，但相同的可能性很大。如果我们将密文中相同的字母组找出来，并对其相同字母数综合研究，找出它们的相同字母数的最大公因子，就有可能提取出有关密钥字的长度m的信息。 例子： 明文：REQUESTS ADDITIONAL TEST 密钥：TELEXTEL EXTELEXTEL EXT

13、E密钥：CAVKTBLT EUQWSWJGEA LTBL一个给定密文包含下列重复的序列，且有距离：因为3是出现最频繁的因子，所以密文的周期最有可能是3。 字母序列距离PQA150=252 3RET42=723FRT10=25ROPY81=34DER57=193RUN117=1332重合指数法（Coincidence Index）设一门语言由n个字母构成，每个字母发生的概率为 ，则重合指数是指其中两个随机元素相同的概率，记为 。 判断文本是用单表还是用多表代换加密。提供对两个不同密文的洞察力 。 Chi 测试 比较两个频率分布 ，决定是否同样或不同的代换被采用 简化多表代换为单表代换 例：明文：

14、EXECUTE THESE COMMANDS密钥：RADIORA DIORA DIORADIO密文：VXHKIKE WPSJE FWADAQLG VOVTLKVKYVJVTFDDREUJRADIO09121723RADIOVXHKIKEWPSJEFWADAQLG 例2.8 在相距很短的时间间隔内我们收到了两段密文： 密文1：k o o m m a c o m o q e g l x x m q c c k u e y f c u ry l y l i g z s x c z v b c k m y o p n p o g d g i a zt x d d i a k n v o m x h i

15、 e m r d e z v x b m z r n lz a y q i q x g k k k p n e v h o v v b k k t c s s e pk g d h x y v j m r d k b c j u e f m a k n t d r x b ie m r d p r r j b x f q n e m x d r l b c j h p z t v vi x y e t n i i a w d r g n o m r z r r e i k i o x r us x c r e t v密文 2：z a o z y g y u k n d w p i o u o r i y r h h b z x r ce a y v x u v r x k c m a x s t x s e p b r x c s 1 r uk v b x t g z u g g d w h x m x c s x b i k t n s l r jz h b x m s p u n g z r g k u d x n a u f c m r z x j ry w y m i （1） 假定两段文本的确是用同样方式加密的。 （2）采用Kasiski测试 确认是用多表代换加密（3）转化多表代换的密文为某个单个的单表代换加密的密文 （4）用一