密码学复习资料

密码学知识要点1.安全袭击的种类及对应的安全服务种类：被动袭击：消息内容泄露、流量分析积极袭击：伪装、重放、消息修改、拒绝服务安全服务：认证（伪装、重放）、访问控制（消息修改）、数据保密性（泄露、流量分析）、数据完整性（消息修改、拒绝服务）、不可否认性（抵赖）、可用性服务（拒绝服务）*2.密码系统的构成要素有哪些？密码系统(cryptosystem)由算法以及所有也许的明文、密文和密钥构成。包括三个特性：用于将明文转换为密文操作的类型。所有加密算法基于两个基本原则：①替代(substitution)即明文中的每个元素（比特、字母、比特组合或字母组合）被映射为另一种元素；②置换(permutation)即在明文中的元素被重排列。所使用密钥的数量。假如发送者和接受者双方使用相似的密钥，该系统称为对称加密、单密钥加密、秘密密钥加密或常规加密。假如发送者和接受者各自使用一种不一样的密钥，则该系统称为非对称加密、双密钥加密或公开密钥加密。明文处理的方式。分组加密一次处理一块元素的输入，对每个输入块产生一种输出块。流（序列）加密持续地处理输入元素，并伴随该过程的进行，一次产生一种元素的输出。*3.密码体制的分类（按密钥特点或消息明文消息处理方式）按密钥特点：对称算法和公开密钥算法按明文处理方式：序列算法和分组算法4.加密信息的袭击类型？惟密文袭击、已知明文袭击、选择明文袭击、选择密文袭击、选择文本袭击、选择密钥袭击仅知（唯）密文袭击(Ciphertext-onlyattack)在这种袭击中，密码破译员有几种信息的密文，所有的信息使用相似加密算法加密。为将相似密钥加密的信息解密，密码破译员会尽量多地恢复信息的明文，或者更好地是导出用于加密信息的密钥。已知：C1=Ek(P1),C2=Ek(P2),…Ci=Ek(Pi)导出：P1,P2,…Pi,K或导出从Ci+1=EK(Pi+1)得知Pi+1的算法.5.无条件安全和计算上安全的概念和区别假如无论破译员有多少密文，仍无足够信息能恢复明文，这样的算法是无条件安全(unconditionallysecure)的假如一种算法用（目前或未来）可得到的资源都不能破译，这个算法则被认为在计算上是安全(computationallysecure)的加密算法的安全准则：破译该密码的成本超过被加密信息的价值。破译该密码的时间超过该信息有用的生命周期。6.穷举袭击的概念穷举袭击：试遍所有密钥直到有一种合法的密钥可以把密文还原成明文//7.老式密码使用的两种技术8.仿射密码的特点（习题2.1、2.2）特点：1.已知加密和解密算法；2.需要测试的密钥只有25个；3.明文所用的语言是已知的，且其意义易于识别。习题：2.1a)对b的取值没有限制，b只有移位作用；b)a可取1、3、5、7、9、11、15、17、19、21、23、25；不可取2、4、6、8、10、12、13、14、16、18、20、22、24、26。当a取与26不互素的数时，就也许出现p不一样，不过密文相似的状况，导致不能解密。2.2有12*26=312种。//9.密码学研究的重要问题？？10.密码学发展史上的标志性成果？11.分组密码的工作模式？电码本模式（ECB）：用相似的密钥分别对明文组加密；密文分组链接模式（CBC）：加密算法的输入是上一种密文组和下一种明文组的异或；密文反馈模式（CFB）：一次处理j位，上一块密文作为加密算法的输入，用产生的一种伪随机数输出与明文异或作为下一块的输入；输出反馈模式（OFB）：与CFB基本相似，只是加密算法的输入是上一次DES的输出；计数器模式（CTR）：每个明文分组都与一种加密计数器相异或，对每个后续分组计数器递增。12.混淆和扩散的基本概念和区别，雪崩效应的概念扩散：将明文的记录特性消散到密文中，让明文的每个数字影响许多密文数字的取值，亦即每个密文数字被许多明文数字影响。混淆（扰乱）：明文分组到密文分组的变换依赖于密钥，使得密文的记录特性与加密密钥的取值之间的关系尽量复杂，使得虽然袭击者掌握了密文的某些记录特性，由于密钥产生密文的方式是如此复杂以至于袭击者难于从中推测出密钥。区别：扩散是通过多次反复的置换实现的；混淆是通过复杂的非线性代换函数实现的。雪崩效应：明文或密钥的微小变化将对密文产生很大的影响。？*13.DES中S盒的性质？*14.DES、2DES、3DES的安全强度？（明文分组长度、实际密钥长度）//15.分组密码的设计原理？16.中间相遇袭击法？（针对2DES的举例）若给出一种已知的明密文对(P,C)做：对256个所有密钥K1做对明文P的加密，得到一张密钥K1对应于密文X的一张表；类似地对256个所有也许的密钥K2做对密文C的解密，得到对应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到至少一对密钥K1,K2（X相似）。再用一种新的已知的明密文对(P,C)检测所得到的K1、K2，如再次匹配X，就可确定该K1、K2为对的的密钥。给定一种明文P，经二重DES加密有264个也许的密文。而二重DES所用密钥的长度应是112bits，因此选择密钥有2112个也许性。于是对给定明文P加密成密文C平均有2112/264=248种也许。大概有248种虚警如再给一种已知明文-密文对，虚警的比例约为248/264=2-16。这样，对已知明文-密文对的中间相遇袭击成功的概率为1-2-16。袭击用的代价{加密或解密所用运算次数}≦256+256=257因此：Double-DES的强度仅到达25717.中间人袭击？这种袭击模式是通过多种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”可以与原始计算机建立活动连接并容许其读取或篡改传递的信息，然而两个原始计算机顾客却认为他们是在互相通信。P215//18.生日袭击？19.密码功能的设置位置？链路加密：在通信链路两端加上加密设备。端到端加密：在端系统中进行，由源主机或终端加密数据。//20.怎样对抗通信量分析？21.密钥分派的模式？1）密钥由A选择，并亲自交给B2）第三方选择，并亲自交给A和B3）用近来使用的密钥加密新密钥并发给对方4）使用秘密信道22.对抗重放袭击的措施？对付重放袭击的常用措施：为消息分派一种序号；时间戳：仅当消息包括时间戳并且在A看来这个时间戳与其所认为的目前时间足够靠近时，A才认为收到的消息是新消息，这种措施规定通信各方的时钟应保持同步，不适合于面向连接的应用；挑战/响应：现时消息（nonce）若A要接受B发来的消息，则A首先给B发送一种临时交互号（挑战），并规定B发来的消息（应答）包括该临时交互号，不适合于无连接的应用。//23.随机数的评价原则？*24.RSA算法、ECC算法等公钥算法的安全基础？1）产生一对密钥，在计算上是轻易的；2）已知公钥和加密的消息，产生对应的密文在计算上是轻易的；3）使用私钥解密以恢复明文在计算上是轻易的；4）已知公钥，袭击者推导出私钥在计算上是不可行的；5）已知公钥和密文，袭击者恢复明文在计算上是不可行的；6）加密和解密函数的次序可以互换。单向函数（one-wayfunction）：1）它将一种定义域映射到一种值域，使得每个函数值有一种惟一的原像；2）函数值计算很轻易，而逆计算是不可行的。陷阱门单向函数：除非懂得某种附加的信息，否则这样的函数在一种方向上轻易计算，而在此外的方向上要计算是不可行的。有了附加信息，函数的逆就可以在多项式时间内计算出来。25.ECC体制中点群的运算法则？1）¥是加法的单位元（additiveidentity）。因而¥=-¥；对于椭圆曲线上的任何一点P有P+¥=P。2）一条垂直的线和曲线相交与两个有相似的x坐标的点，即P1=(x,y)和P2=(x,-y)。它也和曲线相交于无穷点。因此有P1+P2+¥=¥和P1=-P2。因而一种点的负值是一种有着相似的x坐标和负的y坐标的点。3）要对具有不一样的x坐标的两个点P和Q进行相加，先在它们之间画一条直线并求出第三个交点R。轻易看出这种交点是惟一的（除非这条直线在P或Q处是曲线的切线，这时分别取R=P或者R=Q）。那么注意到P+Q+R=O，因此有P+Q=-R。4）要对一种点Q加倍，画一条切线并求出另一种交点S。那么Q+Q=2Q=-S。有限域上的椭圆曲线加法规则1）P+¥=P。2）假如P=(x,y)，那么P+(x,-y)=¥。点(x,-y)是P的负值，记为-P。假如P=(x1,y1)和Q=(x2,y2)，而P≠Q，3）那么P+Q=(x3,y3)由下列规则确定：x3=z2-x1-x2(modp);y3=z(x1-x3)-y1(modp)其中：z=(y2-y1)/(x2-x1)(p!=q);z=(3x12+a)/2y1(p=q)。？26.公钥密码与对称密码的比较？27.RSA算法的原理和计算？密钥生成算法：第1步，选用两个大素数p和q，计算n=p×q和欧拉函数j(n)=(p-1)(q-1)；第2步，随机选用整数e，1<e<j(n)，满足gcd(e,j(n))=1，计算d=e-1modj(n);第3步，公开公钥(n,e)，保密私钥(p,q,d)。加密算法：约定RSA密码系统的明文和密文空间均为：Zn=(0,1,…,n-1).为了给顾客A发送明文m，B进行如下操作：第1步，首先获得A的公钥(n,e)；第2步，计算密文c=memodn.第3步，将密文c发送给A。解密算法：为了恢复明文m，接受者A运用其私钥d计算：m=cdmodn算法的一致性证明，即解密算法的对的性：m=cdmodn基本原理：Fermat定理mp-1=1modp28.针对RSA的袭击类型？强行袭击（穷举）：这包括对所有的私有密钥都进行尝试。数学袭击：有几种措施，实际上都等效于对两个素数乘积的因子分解。定期袭击：这依赖于解密算法的运行时间。目前常用的数学方式袭击RSA的目的：1）将n分解为两个素数因子。这就可以使我们计算φ(n)=(p–1)×(q–1)，然后可以确定d=e-1modφ(n)。2）在不先确定p和q的状况下直接确定φ(n)。同样这样可以确定d=e-1modφ(n)。3）不先确定φ(n)而直接确定d。详细的袭击措施有：因子分解袭击、共模袭击、选择密文袭击、低加密指数袭击、低解密指数袭击29.欧拉函数、扩展欧几里德算法？对正整数n，欧拉函数是少于或等于n的数中与n互质的数的数目。//30.单向陷门函数？31.D-H密钥互换协议？（原理、计算及安全性分析）原理：1）有两个公开的数字：一种素数q和一种q的一种原根a；2）顾客A选择一种随机数XA<q，并计算YA=aXAmodq；3）顾客B选择一种随机数XB<q，并计算YB=aXBmodq；4）每一方都对X的值保密寄存而使得Y的值对于另一方可以公开得到；5）顾客A计算密钥的方式是K=(YB)XAmodq，而顾客B计算密钥的方式是K=(YA)XBmodq。K=(YB)XAmodq

=(aXBmodq)XAmodq

=(aXB)XAmodq

=(aXA)XBmodq

=(aXAmodq)XBmodq

=(YA)XBmodq因而，两方已经互换了一种秘密密钥。此外，由于XA和XB是保密的，一种敌对方只有下列可以运用的材料：q，a，YA和YB，因而敌对方被迫取离散对数来确定密钥。安全性：基于离散对数困难问题不能抵御中间人袭击（积极袭击）//32.ECC和RSA的安全强度？//33.网络通信环境下面临的安全威胁？*34.消息认证码（MAC）的基本概念及应用(设计*)消息认证码（MAC）：以一种消息的公共函数和用于产生一种定长值的密钥作为认证码。MAC，也称为密码检查和，由如下形式的函数C生成MAC＝CK(M)其中M是变长的消息，K是仅由收发双方共享的密钥，CK(M)是定长的认证码。该方案使用一种密钥产生一种短小的定长数据分组，即所谓的密码检查（MAC），并将它附加在消息中。MAC为消息和密钥K的函数值：MAC=CK(M).接受者对收到的消息计算并得出新的MAC。将收到的MAC与计算得出的MAC进行比较，就可以实现认证。HMAC算法逻辑描述:HMACK=H[(K+⊕opad)||H[(K+⊕ipad)||M]]其中：H=嵌入的散列函数（如MD5，SHA-l，RIPEMD-160）M=HMAC的输入消息（包括嵌入散列函数所需的填充比特）Yi=M中的第i个分组，0≤i≤L-1L=M中的分组数b=一种分组的比特数n=嵌入散列函数产生的散列码长度K=密钥；假如密钥的长度不小于b，该密钥输入散列函数产生一种n比特的密钥；推荐密钥长度不小于等于nK+=在K的左边填充0，使总长度等于bipad=将00110110反复b／8次opad=将01011010反复b／8次35.散列函数的概念、性质（单向性、抗强碰撞、抗弱碰撞之间的关系和区别）散列函数（Hash）：一种将任意长度的消息映射为定长的散列值的公共函数，以散列值作为认证码。散列值以如下形式的函数H产生的：h＝H(M)其中M是变长的消息，H(M)是定长的散列值。散列函数的目的是为文献、消息或其他的分组数据产生“指纹”。性质：1）H能用于任何大小的数据分组；2）H产生定长输出；3）对任何给定的x，H(x)要相对易于计算，4）使得硬件和软件实现成为实际可行；5)对任何给定的散列码h，寻找x使得H(x)=h在计算上是不可行的。即单向性质；6)对任何给定的分组x，寻找不等于x的y，使得H(x)=H(y)在计算上是不可行的。有时将此称为抗弱碰撞（weekcollisionresistance）；7)寻找对任何的(x,y)偶对使得H(x)=H(y)在计算上是不可行的。有时将此称为抗强碰撞（strongcollisionresistance）；8)所有散列函数的操作使用下列一般性原则。输入（消息、文献等）被视作长度为n-bit的分组序列。输入的处理方式是，以迭代的方式每次处理一种分组，以产生一种n-bit的散列函数。（总结）安全散列函数的性质对任意的消息x，计算H(x)是轻易的；H是单向的；H是抗弱碰撞的或是抗强碰撞的。//36.消息认证？37.散列函数的基本用途a)A→B：EK[M||H(M)]提供保密——仅A和B共享K提供认证——加密保护H(M)b)A→B：M||EK[H(M)]提供认证——加密保护H(M)c)A→B：M||EKRa[H(M)]提供认证和数字签名加密保护H(M)仅A能生成EKRa[H(M)]d)A→B：EK[M||EKRa[H(M)]]提供认证和数字认证提供保密——仅A和B共享Ke)A→B：M||H(M||S)提供认证——仅A和B共享Sf)A→B：EK[M||H(M)||S]提供认证和数字签名——仅A和B共享S提供保密——仅A和B共享K*38.认证协议的作用，及其面临的安全问题？可用来保护通信双方免受任何第三方的袭击。无法用来防止通信双方的互相袭击，无法处理通信双方也许存在多种形式的争执。原因：接受方也许伪造并声称它来自发送方。接受方只要简朴地生成一种消息，并附加使用由发送方和接受方所共享的密钥生成的认证码即可。发送方可以否认发送过该消息。由于接受方伪造一种消息是也许的，无法证明发送方发送过该消息这一事实。（习题*）39.数字签名的基本概念数字签名是一种认证机制，它使得消息的产生者可以添加一种起签名作用的码字。通过计算消息的散列值并用产生者的私钥加密散列值来生产签名，签名保证了消息的来源和完整性。（算法P285）//40.DSS的功能？//41.数字签名方案的原型？//42.Kerberos协议流程极其安全性？43.Kerberos中Ticket与Authenticator的作用？Kerberos票据的形式TicketS=EKS[KC,S||IDC||ADC||IDS||TS||Lifetime]票据对单个服务器和单个客户机是有益的，它具有客户机名、服务器名、客户机的网络地址、邮戳和会话密钥，这些信息用服务器的私钥加密。客户机一旦得到这个票据，她就可以多次使用票据访问服务器，直到票据期满。客户机不能把票据解密（由于不懂得服务器的私钥），不过可以以加密的形式呈交给服务器，当票据通过网络时，没有一位监听网络的人可以阅读或修改票据。Kerberos鉴别符格式AuthenticatorC=EKC,S[IDC||ADC||TS]客户机每次要在服务器上使用服务时生成鉴别符，它具有客户机、时戳、可选的附加会话密钥，所有都用客户机与服务器共享的会话密钥加密。与票据不一样，它只能使用一次，然而，由于客户机在需要时可以生成鉴别符（它懂得共享的私钥），这也不成问题。鉴别符有二个作用，第一是它具有以会话密钥加密的某些明文，这阐明鉴别符的发送者也懂得这个密钥，并且密封的明文内具有日期时间，因此记录了票据和鉴别符的窃听者也不能在此后重发。44.构成X.509证书的关键要素？X.509证书要素版本：不一样版本间证书格式的差异；默认是第1版。假如提供了颁发者惟一标识符或主体惟一标识符，那么值必须是第2版。假如出现一种或多种扩展，那么版本必须是第3版。序列号：在公布证书中的一种有惟一性的整数值，是与这张证书明确联络的。签名算法标识符：用来签名证书的算法以及某些有关的参数。由于这个信息与在证书尾部签名字段的内容反复，因此这个字段几乎没有作用。颁发者名字：创立和签名这个证书的CA的X.500名字。有效期：由两个日期构成：证书的有效起始时间和结束时间。主体名：这张证书提及的顾客名。也就是这张证书证明了持有对应私人密钥主体的公开密钥。主体的公开密钥信息：主体的公开密钥加上这个密钥使用算法的表达符，以及算法的有关参数。颁发者的惟一标识符：一种可选的比特串字段用来惟一证明CA，假如该X.500名字已经被不一样的实体重新使用。主体的惟一标识符：一种可选的比特串字段用来惟一证明主体，假如该X.500名字已经被不一样的实体重新使用。扩展：包括一种或多种扩展字段的集合。扩展仅在第3版中加入。签名：包括证书的其他所有字段；它包括用CA私有密钥加密的其他字段的散列码。这个字段还包括签名算法标识符。45.公