信息安全导论（以问题为导向） 习题答案 李景涛

第一章古典密码学参考答案：密码分析者搜索截获密文中的至少包含三个字符的字符串片段。如果找到重复出现的两个同样的片段，它们之间的距离为d，则密码分析者可以假设d|m(即m是d的约数)，其中m是密钥长度。如果找到更多的有重复的片段，这些重复片段之间的距离分别为d1、d2、…、dn，则不妨假设gcd(d1、d2、...、dn)|m，并猜测m的取值。这种假设是有道理的，因为如果重复的两个字符串片段(比如’the’)在明文中相隔k×m(k=1、2、…)个字符，它们将被同一组字母表(对应相同的密钥字符串)加密，那么它们在密文中相同且相隔k×m个字符。搜索至少含三个字符的字符串片段，是为了避免密钥中的字符串不同但密文中字符串相同的情况。对于第二步，一旦确定了密钥长度，密码分析者将密文分成m个不同的部分，并使用单字母表的词频分析等方法来破解。每个密文部分可以解密并组合成完整的明文。换句话说，虽然整个密文不保留明文的单字母频率，但是每个部分都保留了。密钥、密文、密钥、明文、置换密码、字母频率ABCD第二章现代分组密码参考答案：替代-置换网络（Substitution-PermutationNetwork）是乘积密码和分组加密的一种。SPN是一系列被应用于分组密码中相关的数学运算，这种加密网络使用明文块和密钥块作为输入，并通过交错的若干“轮”（或“层”）替代操作和置换操作产生密文块。替代和置换分别被称作S盒（S-boxes）和P盒（P-boxes）。Feistel密码结构中，输入明文和一组密钥K=(K1,K2…,Ki)。首先将明文按照2w比特大小进行分组，由于每一组明文均经过相同Feistel结构，我们关注单个明文分组的处理过程。对于每一组明文再均分成两组L0(左一半)和R0(右一半)，每组大小为BA第三章公开密钥密码学参考答案：对称加密与非对称加密的概念：对称加密：又称为单钥加密。这种体制的加密密钥和解密密钥相同或者本质上相同（即从其中一个可以很容易地推出另一个）。非对称加密：又称为双钥加密（或公钥）加密。这种体制的加密密钥和解密密钥不相同，而且从其中一个很难推出另一个。这样加密密钥可以公开，而解密密钥可由用户自已秘密保存。两者的区别：对称加密：（1）常规加密技术的算法基于置换和替换，并且是对称的。（2）常规加密技术中加密和解密使用同一个密钥（秘密密钥）和同一算法。（3）发送方和接受方必须共享密钥和算法。（4）密钥必须保密非对称加密：（1）公开密钥的算法基于数学函数，是非对称的。（2）公开密钥用同一算法进行加密和解密，但密钥为一对，一个用于加密（公开密钥），一个用于解密（私有密钥）。（3）发送方和接受方拥有一对密钥中不同的一个。（4）两个密钥中的一个必须保密。优缺点：对称加密：加密解密速度快，需要可靠的通道完成密钥的分发和传递，密钥管理复杂。非对称加密：加密解密速度慢，密钥分发和管理相对较容易。初始化：通信双方A和B事先共享一个生成元g和一个大素数p；A随机选取0<x<p-1，计算X=gxmodp后，将X传给BB随机选取0<y<p-1，计算Y=gymodp后，将Y传给AA计算Yxmodp得到双方共同的会话密钥B计算Xymodp得到双方共同的会话密钥对称密钥密码：加密和解密秘钥相同，或者由一个能很容易的推出另一个。优点：效率高，算法简单，系统开销小；适合加密大量数据加密；明文长度和密文相同缺点：需要以安全方式进行密钥交换；密钥管理复杂；公开密钥密码：加密和解密秘钥不相同。其中，对外公开的秘钥，称为公钥。不对外公开的秘钥，称为私钥。如：RSA加密算法优点：解决密钥传递问题、密钥管理简单；减少密钥持有量：提供了对称密码技术无法或很难提供的服务(数字签名)。缺点：计算复杂、耗用资源大；HASH函数：把任意长度的输入，通过HASH算法，变换成固定长度的输出，该输出通常称作哈希值、数字指纹或消息摘要。这种转换是一种压缩映射，也就是，哈希值的空间通常远小于输入的空间(不同的输入有可能会哈希成相同的输出，几率非常小)，而不可能从哈希值来逆向推出输入值，也就是说，哈希函数是不可逆的。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。哈希函数的特点：不可逆性，碰撞约束计算ф(n)首先看到计算ф(n)不比分解n容易。假设n和ф(n)已知，n为两个素数p和n=pqϕ得到两个“未知数”p和q。如果用q=n/p代入方程中，我们可以得到一个关于未知数p的二次方程：p这个方程两个根就是p和q，即n的因子。因此，如果一个密码分析者能够求出ϕ(n)的值，他就能分解n，进而攻破系统。也就是说，计算ϕ(n)不比分解n容易。小指数攻击法RSA算法主要基于软件实现，其加密速度远不如DES的加密速度快。所以一些使用RSA算法进行加密的机构采用了一种提升RSA速度并且能使加密易于实现的解决方案———令公钥b取较小的值。这样做会使该算法的安全强度降低。从理论上曾有人证明过，若采用不同的模数n与相同的b，对b×(b+1)/2个线性相关的消息存在一种攻破方法。若解密指数a的值为n值的四分之一并且群体暴力破解法这是一种猜测攻击。尽管从RSA的内在特性分析可知RSA算法对硬件要求较高,但群体暴力穷举法破解在理论上和实践中仍是可行的。数论中,一个不小于6的偶数,总可以分解为两个质数之和的形式。对于某一个偶数若分解为两个奇数之和,则共有n/2个分解式。自然数中质数总数大约占奇数总数的1/3,当n较大时,很有可能在这n/2个分解式中存在某个分解式选择密文攻击法这是一种绕开RSA基本算法，直接攻击协议的攻击方式。算法安全性和协议安全性是两个基本安全组件,两者组合到一起之后的安全性究竟是否增加的界限并不是太好判定的，选择密文攻击就是一个安全性没有增加的实例。在通讯过程中冒然签名的一方容易被黑客进行选择密文攻击。攻击者只需将某信息作一下伪装(Blind)，让拥有私钥的实体签名。公共模数攻击法如果网络中使用同样的n,容易被黑客进行公共模数攻击。尽管大家的b、a不同，但采用同一个n,最明显的问题是如果同一报文用两个不同的互素的密钥加密计时攻击法一种猜测攻击。类似于通过观察转动盘转出每个数字所用时间的方法猜测出密码数字组合。因为RSA的基本运算为乘方取模，它的耗费时间取决于乘方的次数b。若攻击者监视了解密过程，并精确计时，可以计算出a。例如，攻击者根据所得到的时间t估计某个临时明文m1,计算m1的加密时间并与t进行比较。如果加密时间比t大,则再取个较小的临时明文m,将m作为m1,再算m1的加密时间并与t比较……算法的终止条件是直至m1的加密时间比t小。设此时的明文为m2,对m1与m2进行取中运算,计算新生成的m的加密时间。若比t大,则取中后的m再作为m1;若比t小,取中后的m就作为m2。再进行循环,直至越来越靠近的m1与m2最终收敛成真正的密文m。DDADD第四章报文鉴别与HASH函数参考答案：输入信息位数可以任意长度，输出是固定长度；计算hash值的运算速度比较快；单向性（one-way），哈希函数的计算过程是单向不可逆的；防碰撞特性（Collisionresistance）；消息认证码和散列函数都可以用于报文鉴别(认证)。消息认证码是一种使用密钥的报文鉴别技术,它利用密钥来生成一个固定长度的短数据块,并将该数据块附加在报文之后。而散列函数是将任意长的报文映射为定长的hash值的函数,以该hash值作为认证符。散列函数可以被称为是报文的“指纹”，它可以用来对于消息生成一个固定长度的短数据块。它可以和数字签名结合提供对报文的认证。哈希函数具有基本特性：单向性和抗碰撞性。单向性决定了哈希函数的正向计算效率高，反向计算难度非常大，几乎不可能；而抗碰撞性决定了无法找到两个不同的输入，使得其输出（即哈希值）是一致的。碰撞指的是对于两个不同合法输入报文x、y，两者的哈希值是相同的。那么哈希函数的抗碰撞性意味着，找出任意两个不同的输入值x、y，使得H（x）=H（y）是困难的。（这里称为”困难”的原因，是报文空间是无穷的，而哈希值空间是有限的，因此一定会存在碰撞，只是对寻找碰撞的算力需要有难度上的约束）。一个输出m位的哈希函数，有N=2m个可能的输出。平均查找测试的报文数量r≈2m/2时，所测试的报文中有两个报文生成相同哈希值。以上加密方案整个过程可以表示为A→B:E(K,[M||E(PRa,H(M))])，发送者A先计算M的哈希值，然后用自己的私钥PRa加密哈希值，加密后的签名块附加在报文M的后面并用对称密钥M对整个报文加密。接收方B收到报文后，用对称密钥K解密得到报文上图为SHA-2哈希函数的一般结构示意图，其中IV表示初始向量，L表示输入分组的数量，n表示哈希值，Yi表示第i个输入分组，b表示输入分组的长度，f表示轮函数（扩散和扰乱），CVi表示第i轮的输出。第i轮的输出作为第i+1轮的输入，第i轮的输入包括第i个分组Yi和第i-1轮的输出CVi，通过轮函数f映射之后输出CViCDCACDBCAC第五章流密码参考答案：递归次数m=5，C0＝1，C1=0，C2=0，C3=1，C4=0原理：CTR：每次加密，通过计数器和密钥一起生成密钥流。然后密钥流和明文一起做异或生成密文。OFB：第一次加密通过初始向量和密钥一起生成密钥流，然后密钥流和明文一起做异或生成密文；而后的每一次密钥流的生成都是通过密钥与上一次加密生成的密钥流来生成。区别：CTR模式的密钥流通过计数器和密钥key生成，每加密一次，计数器加一。而OFB的密钥流通过上一次加密产生的密钥流和密钥key一起生成，需要初始化向量，两者都是伪随机；CTR可以进行并行计算，OFB不能。最小的次数m=4，线性递归多项式的系数为：c0=1,c1=1,c2=0,c3=1;(andtherecurrencecanbewrittenas)即线性递归多项式为：Zi+4=c0Zi+c1Zi+1+c2Zi+2+c3Zi+3=Zi+Zi+1+Zi+3使用初始密钥(Using)(Z1,Z2,Z3,Z4)=(1,0,0,0),我们可得到(weget):s=100011|100011…假设输入密钥为初始向量(k1，k2z这里c0注意，这个递归关系的次数为m，是因为每一个项都依赖于前面m个项；又因为zi+m是前面项的线性组合，故称其为线性的。注意，不失一般性，我们取c0=1CCA第六章国密对称密钥密码参考答案：CD非对称密码和对称密码的区别在于密钥的使用。对称密码使用相同的密钥进行加密和解密，而非对称密码使用一对密钥，公开密钥用于加密，私钥用于解密。以SM2（非对称密码）和SM4（对称密码）为例，SM2需要生成一对公钥和私钥，公钥用于加密，私钥用于解密；而SM4加密和解密使用相同的密钥。祖冲之密码采用简单的线性反馈移位寄存器和非线性置换运算，由密钥流生成密钥比特流。其基本结构包括线性反馈移位寄存器（LFSR）和非线性置换操作（NLFSR），利用这些操作生成伪随机数序列。在保密性算法中，祖冲之密码可以用于128-EEA3中，用于移动通信中的数据加密。第七章公钥基础设施PKI参考答案：PKI（PublicKeyInfrastructure）即公开密钥基础设施，是用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施，一个完整的PKI包括证书授权中心（CA）、证书库、证书注销、密钥备份和恢复、自动密钥更新、密钥历史档案、交叉认证、抗抵赖、时间戳和客户端软件等。CA是证书签发机构，RA是证书注册机构，负责把用户的身份和他的密钥绑定起来。CA下发给Bob的证书要完成验证，需要从该证书的上级签发机构的证书，再到上级机构的证书签发机构的证书一直到根证书。需要验证附带在该证书上级CA的签名函数，及用上级的公钥（在证书链的上层证书中）验证CA私钥生成的数字签名是否有效。首先从该证书沿着证书链往上找，一直到根证书，从根证书开始进行依次验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证。每一层的证书签名用其上一级CA的公钥进行验证，一直到该证书，如果所有的签名验证都通过且根CA是受信任的，则证书是有效的。攻击者可能会假冒Bob的证书，比如你登录的网站可能被伪造，会受到钓鱼网站的攻击。答：公钥是非对称密码体制中的两个密钥中被公开的密钥，所谓非对称密码体制，其加密解密算法相同，但使用不同的密钥。用两个密钥中的一个以及加密算法讲明文转化为密文，用另一个密钥以及解密算法从密文恢复出明文。通常发送方拥有一个密钥，而接收方拥有另一个。答：公钥分配的困难主要还是建立于安全性角度。公开密钥的分配必须要具有真实性。因此公钥和拥有公钥的身份如何建立联系，如何实现不可否认服务公钥，公钥如何管理都会在分发过程中遇到问题。答：密钥生命周期是指从密钥产生到由于密钥过期而更新密钥的整个过程，包括：密钥产生、证书签发、密钥使用、密钥过期和密钥更新几个阶段。答：PKI提供的安全服务包括：认证服务：采用数字签名技术，签名作用于相应的数据之上被认证的数据；身份认证服务。完整性服务：PKI支持数字签名：既可以用于身份认证，也可以保护数据完整性。保密性服务：用公钥分发随机密钥，然后用随机密钥对数据加密。不可否认性服务。PKI的利用公钥密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。PKI功能包括管理加密密钥和证书的公布，提供密钥管理、证书管理和策略管理等。PKI的主要组成部分包括：CA证书授权中心、数字证书目录服务器、具有内部私有安全协议的安全服务器、应用PKI技术的信息化系统等。公开密钥也称为非对称密钥，每个通信参与者都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开（所有参与者可以知道），私钥由个人秘密保存。如何实现公开密钥和公开密钥持有人的身份绑定，即如何相信某个公钥一定是其所声称持有者的公钥。PKI通过数字证书实现公开密钥和公开密钥持有人的身份绑定。密钥生命周期是指一个密钥从产生、使用、到销毁的整个过程。包括密钥产生，密钥使用，密钥更换，密钥吊销、密钥归档，密钥销毁等。PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。具体有：认证，完整性，保密性服务，不可否认性服务等等。由于各种原因，如私钥泄露、密钥更换、用户注册信息变化等，证书没有到期之前有可能需要提前被注销，即在到期之前取消持有者身份和其公钥的绑定，使证书不再有效。PKI提供的机制是由CA维护证书注销列表CRL，CRL中包含被注销证书的唯一标识(即证书序列号)，证书验证者定期查询和下载CRL，根据CRL中是否包含该证书序列号来判断证书的有效性。为了实现互操作，首先需要统一CRL格式，目前广泛采用的标准是X.509版本2的CRL格式，PKIX工作组在RFC2459中对CRL的最常用版本(版本2)作了详细描述。目前，广泛采用的是Web提供CRL服务的方式，这种方式会将检查CRL的URL内嵌到用户的证书的扩展域中，当浏览器想要验证证书时，只需通过SSL协议访问这一URL，即可获得该证书的注销状态信息。CRL的使用有两个问题：第一是CRL的规模性。在大规模的网络环境中，CRL的大小正比于该CA域的终端实体(EndEntity,EE)数目、证书的生命期和证书撤消的概率。而撤消信息必须在已颁证书的整个生命期里存在，这就可能导致在某些CA域内CRL的发布变得非常庞大。第二是CRL所含撤消信息的及时性。因为CRL是定期发布的，而撤消请求的到达是随机的，从接收撤消请求到下一个CRL发布之间的时延所带来的状态不一致性会严重影响由PKI框架提供的X.509证书服务的质量。为解决这两个问题，一方面，可以对CRL的分发机制进行改进。例如对于某些大型的CA，可以采取分段CRL、增量CRL的发布方式。另一方面，可以采用OSCP(在线证书状态协议，OnlineCertificateStatusProtocol)来对证书的有效性进行验证。CADDBA第八章身份认证参考答案：Kerberos是工作在分布式网络环境中基于第三方的身份认证协议。Kerberos协议中加入了时间戳来抵御重放攻击的问题，协议是基于时间戳实现身份认证，所以要严格要求网络中的时间参数是同步的。若用户通过了认证服务器AS的认证，获得了访问TGS的授权令牌TGT，那么用户如果想访问不同的服务器资源时，无需每次都与AS交互，只需要凭借TGT访问TGS，申请访问不同的服务器的票据ST即可。从而减少了AS验证用户身份的次数，用户的密钥在网