密碼學復習資料

密碼學知識要點1.安全襲擊的種類及對應的安全服務種類：被動襲擊：消息內(nèi)容泄露、流量分析積極襲擊：偽裝、重放、消息修改、拒絕服務安全服務：認證（偽裝、重放）、訪問控制（消息修改）、數(shù)據(jù)保密性（泄露、流量分析）、數(shù)據(jù)完整性（消息修改、拒絕服務）、不可否認性（抵賴）、可用性服務（拒絕服務）*2.密碼系統(tǒng)的構成要素有哪些？密碼系統(tǒng)(cryptosystem)由算法以及所有也許的明文、密文和密鑰構成。包括三個特性：用于將明文轉換為密文操作的類型。所有加密算法基于兩個基本原則：①替代(substitution)即明文中的每個元素（比特、字母、比特組合或字母組合）被映射為另一種元素；②置換(permutation)即在明文中的元素被重排列。所使用密鑰的數(shù)量。假如發(fā)送者和接受者雙方使用相似的密鑰，該系統(tǒng)稱為對稱加密、單密鑰加密、秘密密鑰加密或常規(guī)加密。假如發(fā)送者和接受者各自使用一種不一樣的密鑰，則該系統(tǒng)稱為非對稱加密、雙密鑰加密或公開密鑰加密。明文處理的方式。分組加密一次處理一塊元素的輸入，對每個輸入塊產(chǎn)生一種輸出塊。流（序列）加密持續(xù)地處理輸入元素，并伴隨該過程的進行，一次產(chǎn)生一種元素的輸出。*3.密碼體制的分類（按密鑰特點或消息明文消息處理方式）按密鑰特點：對稱算法和公開密鑰算法按明文處理方式：序列算法和分組算法4.加密信息的襲擊類型？惟密文襲擊、已知明文襲擊、選擇明文襲擊、選擇密文襲擊、選擇文本襲擊、選擇密鑰襲擊僅知（唯）密文襲擊(Ciphertext-onlyattack)在這種襲擊中，密碼破譯員有幾種信息的密文，所有的信息使用相似加密算法加密。為將相似密鑰加密的信息解密，密碼破譯員會盡量多地恢復信息的明文，或者更好地是導出用于加密信息的密鑰。已知：C1=Ek(P1),C2=Ek(P2),…Ci=Ek(Pi)導出：P1,P2,…Pi,K或導出從Ci+1=EK(Pi+1)得知Pi+1的算法.5.無條件安全和計算上安全的概念和區(qū)別假如無論破譯員有多少密文，仍無足夠信息能恢復明文，這樣的算法是無條件安全(unconditionallysecure)的假如一種算法用（目前或未來）可得到的資源都不能破譯，這個算法則被認為在計算上是安全(computationallysecure)的加密算法的安全準則：破譯該密碼的成本超過被加密信息的價值。破譯該密碼的時間超過該信息有用的生命周期。6.窮舉襲擊的概念窮舉襲擊：試遍所有密鑰直到有一種合法的密鑰可以把密文還原成明文//7.老式密碼使用的兩種技術8.仿射密碼的特點（習題2.1、2.2）特點：1.已知加密和解密算法；2.需要測試的密鑰只有25個；3.明文所用的語言是已知的，且其意義易于識別。習題：2.1a)對b的取值沒有限制，b只有移位作用；b)a可取1、3、5、7、9、11、15、17、19、21、23、25；不可取2、4、6、8、10、12、13、14、16、18、20、22、24、26。當a取與26不互素的數(shù)時，就也許出現(xiàn)p不一樣，不過密文相似的狀況，導致不能解密。2.2有12*26=312種。//9.密碼學研究的重要問題？？10.密碼學發(fā)展史上的標志性成果？11.分組密碼的工作模式？電碼本模式（ECB）：用相似的密鑰分別對明文組加密；密文分組鏈接模式（CBC）：加密算法的輸入是上一種密文組和下一種明文組的異或；密文反饋模式（CFB）：一次處理j位，上一塊密文作為加密算法的輸入，用產(chǎn)生的一種偽隨機數(shù)輸出與明文異或作為下一塊的輸入；輸出反饋模式（OFB）：與CFB基本相似，只是加密算法的輸入是上一次DES的輸出；計數(shù)器模式（CTR）：每個明文分組都與一種加密計數(shù)器相異或，對每個后續(xù)分組計數(shù)器遞增。12.混淆和擴散的基本概念和區(qū)別，雪崩效應的概念擴散：將明文的記錄特性消散到密文中，讓明文的每個數(shù)字影響許多密文數(shù)字的取值，亦即每個密文數(shù)字被許多明文數(shù)字影響?；煜〝_亂）：明文分組到密文分組的變換依賴于密鑰，使得密文的記錄特性與加密密鑰的取值之間的關系盡量復雜，使得雖然襲擊者掌握了密文的某些記錄特性，由于密鑰產(chǎn)生密文的方式是如此復雜以至于襲擊者難于從中推測出密鑰。區(qū)別：擴散是通過多次反復的置換實現(xiàn)的；混淆是通過復雜的非線性代換函數(shù)實現(xiàn)的。雪崩效應：明文或密鑰的微小變化將對密文產(chǎn)生很大的影響。？*13.DES中S盒的性質？*14.DES、2DES、3DES的安全強度？（明文分組長度、實際密鑰長度）//15.分組密碼的設計原理？16.中間相遇襲擊法？（針對2DES的舉例）若給出一種已知的明密文對(P,C)做：對256個所有密鑰K1做對明文P的加密，得到一張密鑰K1對應于密文X的一張表；類似地對256個所有也許的密鑰K2做對密文C的解密，得到對應的“明文”X。做成一張X與K2的對應表。比較兩個表就會得到至少一對密鑰K1,K2（X相似）。再用一種新的已知的明密文對(P,C)檢測所得到的K1、K2，如再次匹配X，就可確定該K1、K2為對的的密鑰。給定一種明文P，經(jīng)二重DES加密有264個也許的密文。而二重DES所用密鑰的長度應是112bits，因此選擇密鑰有2112個也許性。于是對給定明文P加密成密文C平均有2112/264=248種也許。大概有248種虛警如再給一種已知明文-密文對，虛警的比例約為248/264=2-16。這樣，對已知明文-密文對的中間相遇襲擊成功的概率為1-2-16。襲擊用的代價{加密或解密所用運算次數(shù)}≦256+256=257因此：Double-DES的強度僅到達25717.中間人襲擊？這種襲擊模式是通過多種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。然后入侵者把這臺計算機模擬一臺或兩臺原始計算機，使“中間人”可以與原始計算機建立活動連接并容許其讀取或篡改傳遞的信息，然而兩個原始計算機顧客卻認為他們是在互相通信。P215//18.生日襲擊？19.密碼功能的設置位置？鏈路加密：在通信鏈路兩端加上加密設備。端到端加密：在端系統(tǒng)中進行，由源主機或終端加密數(shù)據(jù)。//20.怎樣對抗通信量分析？21.密鑰分派的模式？1）密鑰由A選擇，并親自交給B2）第三方選擇，并親自交給A和B3）用近來使用的密鑰加密新密鑰并發(fā)給對方4）使用秘密信道22.對抗重放襲擊的措施？對付重放襲擊的常用措施：為消息分派一種序號；時間戳：僅當消息包括時間戳并且在A看來這個時間戳與其所認為的目前時間足夠靠近時，A才認為收到的消息是新消息，這種措施規(guī)定通信各方的時鐘應保持同步，不適合于面向連接的應用；挑戰(zhàn)/響應：現(xiàn)時消息（nonce）若A要接受B發(fā)來的消息，則A首先給B發(fā)送一種臨時交互號（挑戰(zhàn)），并規(guī)定B發(fā)來的消息（應答）包括該臨時交互號，不適合于無連接的應用。//23.隨機數(shù)的評價原則？*24.RSA算法、ECC算法等公鑰算法的安全基礎？1）產(chǎn)生一對密鑰，在計算上是輕易的；2）已知公鑰和加密的消息，產(chǎn)生對應的密文在計算上是輕易的；3）使用私鑰解密以恢復明文在計算上是輕易的；4）已知公鑰，襲擊者推導出私鑰在計算上是不可行的；5）已知公鑰和密文，襲擊者恢復明文在計算上是不可行的；6）加密和解密函數(shù)的次序可以互換。單向函數(shù)（one-wayfunction）：1）它將一種定義域映射到一種值域，使得每個函數(shù)值有一種惟一的原像；2）函數(shù)值計算很輕易，而逆計算是不可行的。陷阱門單向函數(shù)：除非懂得某種附加的信息，否則這樣的函數(shù)在一種方向上輕易計算，而在此外的方向上要計算是不可行的。有了附加信息，函數(shù)的逆就可以在多項式時間內(nèi)計算出來。25.ECC體制中點群的運算法則？1）￥是加法的單位元（additiveidentity）。因而￥=-￥；對于橢圓曲線上的任何一點P有P+￥=P。2）一條垂直的線和曲線相交與兩個有相似的x坐標的點，即P1=(x,y)和P2=(x,-y)。它也和曲線相交于無窮點。因此有P1+P2+￥=￥和P1=-P2。因而一種點的負值是一種有著相似的x坐標和負的y坐標的點。3）要對具有不一樣的x坐標的兩個點P和Q進行相加，先在它們之間畫一條直線并求出第三個交點R。輕易看出這種交點是惟一的（除非這條直線在P或Q處是曲線的切線，這時分別取R=P或者R=Q）。那么注意到P+Q+R=O，因此有P+Q=-R。4）要對一種點Q加倍，畫一條切線并求出另一種交點S。那么Q+Q=2Q=-S。有限域上的橢圓曲線加法規(guī)則1）P+￥=P。2）假如P=(x,y)，那么P+(x,-y)=￥。點(x,-y)是P的負值，記為-P。假如P=(x1,y1)和Q=(x2,y2)，而P≠Q(mào)，3）那么P+Q=(x3,y3)由下列規(guī)則確定：x3=z2-x1-x2(modp);y3=z(x1-x3)-y1(modp)其中：z=(y2-y1)/(x2-x1)(p!=q);z=(3x12+a)/2y1(p=q)。？26.公鑰密碼與對稱密碼的比較？27.RSA算法的原理和計算？密鑰生成算法：第1步，選用兩個大素數(shù)p和q，計算n=p×q和歐拉函數(shù)j(n)=(p-1)(q-1)；第2步，隨機選用整數(shù)e，1<e<j(n)，滿足gcd(e,j(n))=1，計算d=e-1modj(n);第3步，公開公鑰(n,e)，保密私鑰(p,q,d)。加密算法：約定RSA密碼系統(tǒng)的明文和密文空間均為：Zn=(0,1,…,n-1).為了給顧客A發(fā)送明文m，B進行如下操作：第1步，首先獲得A的公鑰(n,e)；第2步，計算密文c=memodn.第3步，將密文c發(fā)送給A。解密算法：為了恢復明文m，接受者A運用其私鑰d計算：m=cdmodn算法的一致性證明，即解密算法的對的性：m=cdmodn基本原理：Fermat定理mp-1=1modp28.針對RSA的襲擊類型？強行襲擊（窮舉）：這包括對所有的私有密鑰都進行嘗試。數(shù)學襲擊：有幾種措施，實際上都等效于對兩個素數(shù)乘積的因子分解。定期襲擊：這依賴于解密算法的運行時間。目前常用的數(shù)學方式襲擊RSA的目的：1）將n分解為兩個素數(shù)因子。這就可以使我們計算φ(n)=(p–1)×(q–1)，然后可以確定d=e-1modφ(n)。2）在不先確定p和q的狀況下直接確定φ(n)。同樣這樣可以確定d=e-1modφ(n)。3）不先確定φ(n)而直接確定d。詳細的襲擊措施有：因子分解襲擊、共模襲擊、選擇密文襲擊、低加密指數(shù)襲擊、低解密指數(shù)襲擊29.歐拉函數(shù)、擴展歐幾里德算法？對正整數(shù)n，歐拉函數(shù)是少于或等于n的數(shù)中與n互質的數(shù)的數(shù)目。//30.單向陷門函數(shù)？31.D-H密鑰互換協(xié)議？（原理、計算及安全性分析）原理：1）有兩個公開的數(shù)字：一種素數(shù)q和一種q的一種原根a；2）顧客A選擇一種隨機數(shù)XA<q，并計算YA=aXAmodq；3）顧客B選擇一種隨機數(shù)XB<q，并計算YB=aXBmodq；4）每一方都對X的值保密寄存而使得Y的值對于另一方可以公開得到；5）顧客A計算密鑰的方式是K=(YB)XAmodq，而顧客B計算密鑰的方式是K=(YA)XBmodq。K=(YB)XAmodq

=(aXBmodq)XAmodq

=(aXB)XAmodq

=(aXA)XBmodq

=(aXAmodq)XBmodq

=(YA)XBmodq因而，兩方已經(jīng)互換了一種秘密密鑰。此外，由于XA和XB是保密的，一種敵對方只有下列可以運用的材料：q，a，YA和YB，因而敵對方被迫取離散對數(shù)來確定密鑰。安全性：基于離散對數(shù)困難問題不能抵御中間人襲擊（積極襲擊）//32.ECC和RSA的安全強度？//33.網(wǎng)絡通信環(huán)境下面臨的安全威脅？*34.消息認證碼（MAC）的基本概念及應用(設計*)消息認證碼（MAC）：以一種消息的公共函數(shù)和用于產(chǎn)生一種定長值的密鑰作為認證碼。MAC，也稱為密碼檢查和，由如下形式的函數(shù)C生成MAC＝CK(M)其中M是變長的消息，K是僅由收發(fā)雙方共享的密鑰，CK(M)是定長的認證碼。該方案使用一種密鑰產(chǎn)生一種短小的定長數(shù)據(jù)分組，即所謂的密碼檢查（MAC），并將它附加在消息中。MAC為消息和密鑰K的函數(shù)值：MAC=CK(M).接受者對收到的消息計算并得出新的MAC。將收到的MAC與計算得出的MAC進行比較，就可以實現(xiàn)認證。HMAC算法邏輯描述:HMACK=H[(K+⊕opad)||H[(K+⊕ipad)||M]]其中：H=嵌入的散列函數(shù)（如MD5，SHA-l，RIPEMD-160）M=HMAC的輸入消息（包括嵌入散列函數(shù)所需的填充比特）Yi=M中的第i個分組，0≤i≤L-1L=M中的分組數(shù)b=一種分組的比特數(shù)n=嵌入散列函數(shù)產(chǎn)生的散列碼長度K=密鑰；假如密鑰的長度不小于b，該密鑰輸入散列函數(shù)產(chǎn)生一種n比特的密鑰；推薦密鑰長度不小于等于nK+=在K的左邊填充0，使總長度等于bipad=將00110110反復b／8次opad=將01011010反復b／8次35.散列函數(shù)的概念、性質（單向性、抗強碰撞、抗弱碰撞之間的關系和區(qū)別）散列函數(shù)（Hash）：一種將任意長度的消息映射為定長的散列值的公共函數(shù)，以散列值作為認證碼。散列值以如下形式的函數(shù)H產(chǎn)生的：h＝H(M)其中M是變長的消息，H(M)是定長的散列值。散列函數(shù)的目的是為文獻、消息或其他的分組數(shù)據(jù)產(chǎn)生“指紋”。性質：1）H能用于任何大小的數(shù)據(jù)分組；2）H產(chǎn)生定長輸出；3）對任何給定的x，H(x)要相對易于計算，4）使得硬件和軟件實現(xiàn)成為實際可行；5)對任何給定的散列碼h，尋找x使得H(x)=h在計算上是不可行的。即單向性質；6)對任何給定的分組x，尋找不等于x的y，使得H(x)=H(y)在計算上是不可行的。有時將此稱為抗弱碰撞（weekcollisionresistance）；7)尋找對任何的(x,y)偶對使得H(x)=H(y)在計算上是不可行的。有時將此稱為抗強碰撞（strongcollisionresistance）；8)所有散列函數(shù)的操作使用下列一般性原則。輸入（消息、文獻等）被視作長度為n-bit的分組序列。輸入的處理方式是，以迭代的方式每次處理一種分組，以產(chǎn)生一種n-bit的散列函數(shù)。（總結）安全散列函數(shù)的性質對任意的消息x，計算H(x)是輕易的；H是單向的；H是抗弱碰撞的或是抗強碰撞的。//36.消息認證？37.散列函數(shù)的基本用途a)A→B：EK[M||H(M)]提供保密——僅A和B共享K提供認證——加密保護H(M)b)A→B：M||EK[H(M)]提供認證——加密保護H(M)c)A→B：M||EKRa[H(M)]提供認證和數(shù)字簽名加密保護H(M)僅A能生成EKRa[H(M)]d)A→B：EK[M||EKRa[H(M)]]提供認證和數(shù)字認證提供保密——僅A和B共享Ke)A→B：M||H(M||S)提供認證——僅A和B共享Sf)A→B：EK[M||H(M)||S]提供認證和數(shù)字簽名——僅A和B共享S提供保密——僅A和B共享K*38.認證協(xié)議的作用，及其面臨的安全問題？可用來保護通信雙方免受任何第三方的襲擊。無法用來防止通信雙方的互相襲擊，無法處理通信雙方也許存在多種形式的爭執(zhí)。原因：接受方也許偽造并聲稱它來自發(fā)送方。接受方只要簡樸地生成一種消息，并附加使用由發(fā)送方和接受方所共享的密鑰生成的認證碼即可。發(fā)送方可以否認發(fā)送過該消息。由于接受方偽造一種消息是也許的，無法證明發(fā)送方發(fā)送過該消息這一事實。（習題*）39.數(shù)字簽名的基本概念數(shù)字簽名是一種認證機制，它使得消息的產(chǎn)生者可以添加一種起簽名作用的碼字。通過計算消息的散列值并用產(chǎn)生者的私鑰加密散列值來生產(chǎn)簽名，簽名保證了消息的來源和完整性。（算法P285）//40.DSS的功能？//41.數(shù)字簽名方案的原型？//42.Kerberos協(xié)議流程極其安全性？43.Kerberos中Ticket與Authenticator的作用？Kerberos票據(jù)的形式TicketS=EKS[KC,S||IDC||ADC||IDS||TS||Lifetime]票據(jù)對單個服務器和單個客戶機是有益的，它具有客戶機名、服務器名、客戶機的網(wǎng)絡地址、郵戳和會話密鑰，這些信息用服務器的私鑰加密?？蛻魴C一旦得到這個票據(jù)，她就可以多次使用票據(jù)訪問服務器，直到票據(jù)期滿。客戶機不能把票據(jù)解密（由于不懂得服務器的私鑰），不過可以以加密的形式呈交給服務器，當票據(jù)通過網(wǎng)絡時，沒有一位監(jiān)聽網(wǎng)絡的人可以閱讀或修改票據(jù)。Kerberos鑒別符格式AuthenticatorC=EKC,S[IDC||ADC||TS]客戶機每次要在服務器上使用服務時生成鑒別符，它具有客戶機、時戳、可選的附加會話密鑰，所有都用客戶機與服務器共享的會話密鑰加密。與票據(jù)不一樣，它只能使用一次，然而，由于客戶機在需要時可以生成鑒別符（它懂得共享的私鑰），這也不成問題。鑒別符有二個作用，第一是它具有以會話密鑰加密的某些明文，這闡明鑒別符的發(fā)送者也懂得這個密鑰，并且密封的明文內(nèi)具有日期時間，因此記錄了票據(jù)和鑒別符的竊聽者也不能在此后重發(fā)。44.構成X.509證書的關鍵要素？X.509證書要素版本：不一樣版本間證書格式的差異；默認是第1版。假如提供了頒發(fā)者惟一標識符或主體惟一標識符，那么值必須是第2版。假如出現(xiàn)一種或多種擴展，那么版本必須是第3版。序列號：在公布證書中的一種有惟一性的整數(shù)值，是與這張證書明確聯(lián)絡的。簽名算法標識符：用來簽名證書的算法以及某些有關的參數(shù)。由于這個信息與在證書尾部簽名字段的內(nèi)容反復，因此這個字段幾乎沒有作用。頒發(fā)者名字：創(chuàng)立和簽名這個證書的CA的X.500名字。有效期：由兩個日期構成：證書的有效起始時間和結束時間。主體名：這張證書提及的顧客名。也就是這張證書證明了持有對應私人密鑰主體的公開密鑰。主體的公開密鑰信息：主體的公開密鑰加上這個密鑰使用算法的表達符，以及算法的有關參數(shù)。頒發(fā)者的惟一標識符：一種可選的比特串字段用來惟一證明CA，假如該X.500名字已經(jīng)被不一樣的實體重新使用。主體的惟一標識符：一種可選的比特串字段用來惟一證明主體，假如該X.500名字已經(jīng)被不一樣的實體重新使用。擴展：包括一種或多種擴展字段的集合。擴展僅在第3版中加入。簽名：包括證書的其他所有字段；它包括用CA私有密鑰加密的其他字段的散列碼。這個字段還包括簽名算法標識符。45.公