現(xiàn)代密碼學(xué)-復(fù)習(xí)題-答案

（一）信息的載體有（媒質(zhì)）和（信道）。對(duì)信息載體的兩種攻擊為（被動(dòng)攻擊）和（主動(dòng)

攻擊）。密碼學(xué)的兩個(gè)分支是（密碼編碼學(xué)）和［密碼分析學(xué)）。密碼體制有（單鑰密碼體

質(zhì)）和（雙鑰密碼體質(zhì)）?，F(xiàn)代流密碼的設(shè)計(jì)思想來(lái)源于古典密碼中的（維吉尼亞密碼）。

現(xiàn)代分組密碼的設(shè)計(jì)思想來(lái)源于古典密碼中的（多字母代換密碼）。

（二）在信息保密系統(tǒng)中，攻擊者Eve所擁有的根本資源有哪些？

Eve在不平安的公共信道上截獲了密文Co

Eve知道加密算法E和解密算法Do

攻擊者Eve可能擁有的更多資源有哪些？

Eve可能知道密文c所對(duì)應(yīng)的明文m。（此時(shí)所進(jìn)行的攻擊稱為明文攻擊）

Eve可能擁有強(qiáng)大的計(jì)算能力。

Eve可能繳獲了一臺(tái)加密機(jī)（也稱為加密黑盒子），可以任意地輸入明文，輸出密文。（此時(shí)

所進(jìn)行的攻擊稱為選擇明文攻擊）

攻擊者Eve不可能擁有的資源是什么？

Eve不知道加密密鑰z和解密密鑰鼠

（事實(shí)上，在進(jìn)行平安性分析時(shí)，有時(shí)也假設(shè)Eve知道了密鑰的一局部，但決不能全部知

道）

（三）表達(dá)明文攻擊。

設(shè)攻擊者Eve截獲了密文c,并且知道了密文c所對(duì)應(yīng)的明文m。（這種情況是怎樣發(fā)生的

呢？當(dāng)明文m是已經(jīng)過(guò)期的消息，可能無(wú)法再保密，也可能必須將其公開(kāi)。因此，這種情

況是經(jīng)常發(fā)生的）于是：

,在解密方程m=O（c,k）中，Eve知道m(xù)和c,僅僅不知道解密密鑰k。

,在加密方程c=E（m,z）中，Eve知道m(xù)和c,僅僅不知道加密密鑰z。

?如果Eve從解密方程m=D（c,k）中計(jì)算出解密密鑰k,那么Eve今后就可以像Bob一

樣對(duì)任何密文J進(jìn)行解密：m=DC,k）。

?如果Eve從加密方程c=E（m,z）中計(jì)算出加密密鑰z,那么Eve今后就可以像Alice一

樣對(duì)任何明文而進(jìn)行加密：&E（gz）o

?還可以給更加寬松的條件。設(shè)攻擊者Eve獲得了以往廢棄的n組明文/密文對(duì)：（mi，

q）,（m2，C2）,…，tmn,cn）0

?于是Eve獲得了關(guān)于解密密鑰k的方程組：

,mi=D（Ci,k）,

?rri2=D（C2,k）,

*mn=D(Cn,k)°

?S越大，解密密鑰k就越容易確定。)

(四)表達(dá)無(wú)條件平安性。

對(duì)密碼體制的任何攻擊，都不優(yōu)于(對(duì)明文)完全盲目的猜想，這樣的密碼體制就稱為無(wú)

條件平安的(或完善保密的)。

什么樣的加解密方式能夠?qū)崿F(xiàn)無(wú)條件平安性？

一次一密的加密方式容易實(shí)現(xiàn)無(wú)條件平安性。因?yàn)槊荑€時(shí)時(shí)更新，所以以往得到的任何明

文/密文對(duì)，對(duì)于破譯新的密文沒(méi)有任何幫助，只能做完全盲目的猜想。

(五)表達(dá)計(jì)算平安性。

計(jì)算平安是一個(gè)模糊的概念。我們可以給出以下三個(gè)級(jí)別的定義。

(1)對(duì)密碼體制的任何攻擊，雖然可能優(yōu)于完全盲目的猜想，但超出了攻擊者的計(jì)算能力。

這是最高級(jí)別的計(jì)算平安。

(2)對(duì)密碼體制的任何攻擊，雖然可能沒(méi)有超出攻擊者的計(jì)算能力，但所付出的代價(jià)遠(yuǎn)遠(yuǎn)

大于破譯成功所得到的利益。這是第二級(jí)別的計(jì)算平安。

[3)對(duì)密碼體制的任何攻擊，雖然可能沒(méi)有超出攻擊者的計(jì)算能力，但破譯成功所需要的

時(shí)間遠(yuǎn)遠(yuǎn)大于明文本身的有效期限。這也是第二級(jí)別的計(jì)算平安。

什么樣的加解密方式能夠?qū)崿F(xiàn)計(jì)算平安性？

(六)設(shè)明文x,密文y,密鑰zi，密鑰Z2,均為8比特課文。加密算法為片(x*z""+"z2。

其中'"表示逐位(mod2)加法運(yùn)算：”+"表示(mod28)加法運(yùn)算。

試用2個(gè)明文/密文對(duì)解出密鑰Z1和Z2各自的最低位，其中明文可以任意選擇。你選擇什

么明文？怎樣解出？

在解出密鑰Z1和Z2各自的最低位以后，試用2個(gè)明文/密文對(duì)解出密鑰Z1和Z2各自的次最

低位，其中明文可以任意選擇。你選擇什么明文？怎樣解出？

使用選擇明文攻擊，多少個(gè)經(jīng)過(guò)選擇的明文/密文對(duì)可以解出密鑰Z1和Z2?

(七)設(shè)明文(X1X2X3X4X5),密文(yiy2y3y4y5)，密鑰45x5階方陣),密鑰(bib2b3b4b5),滿足域

GF(2)上的如下加密方程：

(yiy2y3y4y5)=(x1x2x3x4x5)4+(6162636465)。

取6組明文/密文對(duì)：

(00000)/(10110),(10000)/(01110),(01000)/(11010),

(00100)/(10000),(00010)/(10101),(00001)/(00111)o

試解出密鑰A和密鑰（bib2b3b4b5）。

此加密方程能夠唯一解密嗎？為什么？

（八）表達(dá)Golomb隨機(jī)性假設(shè)（三條假設(shè)）。

（1）當(dāng)。充分大時(shí)，kik2k3...心中0和1的個(gè)數(shù)各占約一半。

（2）當(dāng)。充分大時(shí)，在kik2k3...kn中,長(zhǎng)度為/的比特串10...01（稱為0游程）的個(gè)數(shù)約

有個(gè)；長(zhǎng)度為/的比特串01...10（稱為1游程）的個(gè)數(shù)約有n〃個(gè)。

（3）假設(shè)Q0,當(dāng)“充分大時(shí)，以下的值（稱為異相自相關(guān)函數(shù)值）約為0。

（九）答復(fù)以下問(wèn)題：

1.一個(gè)周期的布爾序列一定是線性反應(yīng)移位存放器序列嗎？為什么？

定理如果一個(gè)比特流是一個(gè)周期序列，那么它一定是線性反應(yīng)移位存放器序列。

證明設(shè)比特流k的最小周期是N。那么

i>N后，ki=ki-No

因此比特流k為/V階線性反應(yīng)移位存放器序列，抽頭系數(shù)為{Cl、C2..........CN}={0、0、...0、

1}（即極小多項(xiàng)式/（x）=l'+'內(nèi)），初始狀態(tài)為kik2k3…k.

2.。階線性反應(yīng)移位存放器序列的最小周期的上確界是什么？最小周期到達(dá)該上確

界的序列稱為什么序列？（。階m序列）當(dāng)。階線性反應(yīng)移位存放器序列的最小周期到達(dá)

該上確界時(shí)，對(duì)Golomb隨機(jī)性假設(shè)的符合程度是怎樣的？

完全滿足GOLOMB隨機(jī)性假設(shè).

（3.1）k在自己的一個(gè)最小周期內(nèi)（即連續(xù)2"；個(gè)比特內(nèi)），0出現(xiàn)次，1出現(xiàn)2ml

次。

（3.2）取定/,3<j<n,觀察k的連續(xù)2"-1個(gè)長(zhǎng)j的比特串:k/k任曲+2…幻+山/=1,2,…,2。-1。

10...01出現(xiàn)2回次；（長(zhǎng)為卜2的0游程）

01...10出現(xiàn)2田次。（長(zhǎng)為卜2的1游程）

nn

觀察k的連續(xù)2-l個(gè)長(zhǎng)n+1的比特串:krki+n，/=1-2-l010...01出現(xiàn)1次。（長(zhǎng)為n-1的0

游程）

觀察k的連續(xù)2"-1個(gè)長(zhǎng)n+2的比特串:k廣ki+n+i，/=1~2n-l.01...10出現(xiàn)1次。（長(zhǎng)為n-1的

0游程）

（3.3）對(duì)任何1勺42"-2,下式接近0。（自相關(guān)函數(shù)）

這樣的序列為什么不能直接作為密鑰流？

不能直接作為密鑰流的原因?yàn)?EVE如果得到任何一段連續(xù)2N個(gè)比特，就獲得了一個(gè)關(guān)于抽

頭系數(shù)的方程組，由于加法和乘法都是在域GF⑵上進(jìn)行（M0D2運(yùn)算），容易計(jì)算出抽頭系數(shù)，

從而被攻破。

解法：

如果。階線性反應(yīng)移位存放器序列用作密鑰流，攻擊者Eve截獲了密文段C"2c3…C2C，并知

道了對(duì)應(yīng)的明文段m2n>因此計(jì)算出了對(duì)應(yīng)的廢棄密鑰段k、k2k3...k2no

那么Eve獲得了關(guān)于抽頭系數(shù)｛Ci、C2............cj的以下方程組。

kl=Clkl.l'+'C2k1-2Cnkl.n，

其中l(wèi)=n+l,n+2,2n0

注意到這是在有限域GF（2）上的線性方程組，很容易解出抽頭系數(shù)?、C2............Cn｝o

實(shí)際上，當(dāng)Eve獲得了n階線性反應(yīng)移位存放器序列的任何一段的連續(xù)2n個(gè)比特柞如心…

kj+2n，他就獲得了關(guān)于抽頭系數(shù)｛Cl、C2............C"｝的以下方程組。

kl=Cikl-i'+'C2k1-2Cnkl-m

其中l(wèi)=j+n+l,j+n+2,y+2n<,

以上方程組中的加法和乘法都是在域GF（2）上進(jìn)行的［即（mod2）運(yùn)算）。

以上事實(shí)說(shuō)明，當(dāng)Eve獲得了。階線性反應(yīng)移位存放器序列的任意連續(xù)2n個(gè)比特，Eve

就獲得了整個(gè)密鑰流。

（3）當(dāng)一個(gè)周期的布爾序列的線性復(fù)雜度為。時(shí)，該序列的長(zhǎng)度為2〃的串就能完全解出

（綜合出）該序列。怎樣解出？（兩種算法）

序列的綜合的兩種最著名的算法是B-M算法和Games-Chan算法。

（十）當(dāng)非線性前饋序列用作密鑰流時(shí)，哪三個(gè)局部可能作為通信伙伴的原始密鑰？初始

狀態(tài)，極小多項(xiàng)式，非線性布爾函數(shù)。

（十一）分組密碼與流密碼相比，有什么優(yōu)點(diǎn)？

［分組密碼與流密碼相比,優(yōu)點(diǎn):加解密算法簡(jiǎn)潔快速，占用的計(jì)算資源小，易于軟件和硬件的

實(shí)現(xiàn);加解密算法參數(shù)固定，比流密碼容易實(shí)現(xiàn)標(biāo)準(zhǔn)化;由于明文流被分段加密,因此容易實(shí)現(xiàn)

同步,而且傳輸錯(cuò)誤不會(huì)向后擴(kuò)散

有什么缺點(diǎn)？

（不容易使用硬件實(shí)現(xiàn)，平安性很難被證明，至多證明局部平安性

分組密碼的5個(gè)設(shè)計(jì)準(zhǔn)那么是什么？

（平安性，簡(jiǎn)潔性,有效性，透明性和靈活性，加解密的相似性.）

（十二）寫(xiě)出Feistel網(wǎng)絡(luò)的算法步驟，并畫(huà)出圖。

將明文m分為等長(zhǎng)的兩局部m=(L(O),R(0)):

使用由密鑰k控制的高度非線性函數(shù)F,

(1)計(jì)算：

(￡；R')=(L(OY+'F(R(O),k),R(0))；

⑵計(jì)算密文：c=(L(l),R(l))=

(十三)在DES中，

32比特課文XT擴(kuò)充變換ET548比特密鑰k~>8個(gè)S盒932比特課文Y

是可逆的；這就是說(shuō)，當(dāng)密鑰k確定時(shí)，不同的X一定得到不同的九說(shuō)明這是為什么。

這種可逆性設(shè)計(jì)有什么意義。

為了使擴(kuò)充變換￡>8個(gè)S盒(32比特玲32比特〕整體是一個(gè)可逆函數(shù)，必須使得8個(gè)S

盒總體輸出是8個(gè)S盒總體輸入的第2~5、8~11,14~17、20-23>26~29、32~35、38~41、

44~47比特的可逆函數(shù)。(回憶擴(kuò)充變換E：擴(kuò)充變換E的作用是將32比特的課文膨脹為

48比特，且擴(kuò)充變換后的第1、6、7、12、13、18、19、24>25、30、31、36、37、42、

43、48比特為擴(kuò)充局部。)

(十四)在DES、RijndaeKSafer+中，不具有加解密相似性的有

DES是加解密相似的。

RUNDAEL不是加解密相似的。

SAFER+解密算法就是簡(jiǎn)單地將加密算法的操作逆向進(jìn)行。

(十五)IDEA是加解密相似的。設(shè)加密算法的密鑰子塊的標(biāo)號(hào)順序?yàn)?/p>

(Z11,Z12,Z13,214)；(Z1S,Z16)；(Z21,Z22,Z23,^24)；(225,^26)；—；

(Z81,Z82,Z83,Z84)；(Z85,Z86)；(Z91,Z92,Z93,Z94)。

現(xiàn)在把解密過(guò)程用加密算法來(lái)實(shí)現(xiàn)，問(wèn)：第3輪的6個(gè)密鑰子塊依次是什么？

((Z71",-Z73,-Z72,Z74")；(Z65,266))

第8輪的10個(gè)密鑰子塊依次是什么？

((z2T1,-Z23,-Z22,Z24'1)；(Z15,Z16)；(Z11-1,-Z12,<13,Zl「))

在IDEA中，“X”表示(mod216+i)乘法運(yùn)算。計(jì)算215G”2嘰(49153)

(十六)寫(xiě)出Rijndael輪函數(shù)(普通輪)的四個(gè)不同的計(jì)算部件名稱。

RUNDAEL的輪函數(shù)由四個(gè)不同的計(jì)算部件所組成，分別是：

字節(jié)代替(ByteSub)

行移位(ShiftRow)

列混合(MixColumn)

加密鑰(AddRoundKey)

設(shè)Rijndael的字節(jié)代替函數(shù)為y=bytesub(x)。計(jì)算sub(0)?

(1)首先，將字節(jié)看作GFQ8)上的元素，映射到自己的乘法逆；0字節(jié)影射到它自身。

(2)其次，將字節(jié)看作GF⑵上的8維向量，做如下的(GR2)上的；可逆的)仿射變換：

(11000110)

(十七)

在Safer+中，計(jì)算指數(shù)盒的值X(0),計(jì)算對(duì)數(shù)盒的值1(0)。

字節(jié)內(nèi)的混淆采用字節(jié)非線性可逆變換函數(shù)X6和￡('),其中X9)稱為指數(shù)變換，

X(x)=45x(mod257)(mod256),■)是X9)的逆變換，稱為對(duì)數(shù)變換。

X(0)=l

￡(0)=128

Safer+線性層變換矩陣M有何特點(diǎn)，為什么這樣設(shè)計(jì)。

線性層是環(huán)({0,1汽+(mod256),x(mod256))上的一個(gè)16維可逆線性變換，作為字節(jié)之間的快

速擴(kuò)散。

線性層運(yùn)算就是將輸入課文看作環(huán)({0*}8,+(mod256),x(mod256))上的16維向量，右乘矩陣

Mo從上式可以看出，矩陣M中的元素都是2的暴，這種設(shè)計(jì)的目的是使模28乘法運(yùn)算簡(jiǎn)

化成為“左移位，右補(bǔ)0”,簡(jiǎn)單快速。

(十八)寫(xiě)出RSA的密鑰生成過(guò)程。

密鑰的產(chǎn)生：

(1)選擇兩個(gè)保密的大素?cái)?shù)P和q；

(2)計(jì)算夕(〃)=(廠1)(仁1),其中0(〃)是〃的歐拉函數(shù)值；

(3)選一整數(shù)e,滿足〈e(〃)，且gcd(*(〃)，e)=l；

(4)計(jì)算d,滿足d*e=\mode?,即d是e在模*(A)下的乘法逆元。因e與。(〃)

互素，模9(力的乘法逆元一定存在；

⑸以匕力為公開(kāi)鑰，{dp,正為秘密鑰。

(十九)寫(xiě)出根本RSA的加密過(guò)程和解密過(guò)程。

加密：加密時(shí)首先將明文比特串分組，使得每個(gè)分組對(duì)應(yīng)的十進(jìn)制數(shù)小于〃，即分組長(zhǎng)度

小于log2〃；然后對(duì)每個(gè)明文分組創(chuàng)作加密運(yùn)算：c三/modn；

解密：對(duì)密文分組的解密運(yùn)算為：/?=/modno

(二十)設(shè)夕是奇素?cái)?shù)，且0是4的倍數(shù)加3。設(shè)c是一個(gè)(mod°)平方剩余。關(guān)于未知數(shù)

x的二次方程L*(mod夕)一共有幾個(gè)解？它們?cè)鯓佑?jì)算。

兩個(gè)解

由題設(shè)知左叱是整數(shù),

因?yàn)閏是模p的二次剩余,

p一\

所以:a2=1(modp)

p+\p-\

a2=a2a=(2(mod〃)

即有土〃4為C模p的兩個(gè)平方根。

(二十二)設(shè)A招Q是兩個(gè)不同的奇素?cái)?shù)的乘積。設(shè)C是一個(gè)(mod〃)平方剩余。關(guān)于未知數(shù)

X的二次方程片*(mod.)一共有幾個(gè)解？如果給出2個(gè)不同的解，它們關(guān)于(mod。)同余，

關(guān)于(modq)不同余，那么能夠得到什么結(jié)果。

(重要！由題設(shè)知，pq必須都是Blum數(shù))

解方程組

顯然該方程組有4組解。

其關(guān)于(modn)也不同余

(二十二)寫(xiě)出ElGamal的密鑰生成過(guò)程，加密過(guò)程，解密過(guò)程。

ElGamal的密鑰生成

選擇一個(gè)大的素?cái)?shù)0。

選擇g,l<g<p?

選擇x,l<x<p-lo

計(jì)算產(chǎn)g'modp0

Bob的公鑰是(p,g,y),對(duì)外公布。

Bob的私鑰是x,自己私藏。

ElGamal的加密過(guò)程

Alice欲發(fā)送明文加給Bob,其中

0<亦夕。

Alice選擇隨機(jī)數(shù)A,{k,p—1)=1,計(jì)算:

yi=/modp（隨機(jī)數(shù)4被加密）o

再用Bob的公鑰力計(jì)算：

匕=/〃y"modp（明文被隨機(jī)數(shù)A和公鑰y加密）

密文由必、％級(jí)連構(gòu)成，即密文c=yj|%。

ElGamal的解密過(guò)程：Bob收到密文。后，用自己的私鑰x計(jì)算

iipyjy\-m^//=/ng"/g"modp。

（二十三）表達(dá)雜湊函數(shù)應(yīng)該滿足的3條性質(zhì)。

1.等長(zhǎng)性,2.單向性.3.無(wú)碰撞性.

（二十四）寫(xiě)出只使用雜湊函數(shù)構(gòu)造的公平提交方案。

散列編碼的用途

用途一：公平提交方案

Alice猜想了一個(gè)號(hào)碼為，但不知道中獎(jiǎng)號(hào)碼為;

Bob設(shè)置了中獎(jiǎng)號(hào)碼吊，但不知道Alice猜想的號(hào)碼由。

Alice希望首先獲得Xa,然后重新確定不使得小=場(chǎng)。

Bob希望首先獲得由，然后重新確定也使得也#為。

防止兩人作弊的方案稱為“公平提交方案”。

兩人使用一個(gè)公開(kāi)的雜湊函數(shù)產(chǎn)，5）。方案如下：

[1）Alice隨機(jī)選擇時(shí)，計(jì)算必=〃（為,力），并將必發(fā)送給Bob。

（2）Bob隨機(jī)選擇々，計(jì)算的=〃（吊，n），并將先發(fā)送給Alice。

⑶Alice收到先后，將（茍，力）發(fā)送給Bob。

（4）Bob收到力后,將（蒞,翁）發(fā)送給Alice。

（5）Alice收到（島上）后，檢驗(yàn)是否%=〃（%,八），假設(shè)是那么總是真實(shí)的中獎(jiǎng)號(hào)碼。

（6）Bob收到（小，力）后，檢驗(yàn)是否必=〃（幾動(dòng),假設(shè)是那么由是Alice的真實(shí)的猜想號(hào)

碼。

方案分析：

Alice發(fā)送必給Bob,Bob發(fā)送必給Alice,這叫做承諾。

Alice發(fā)送（a,打）給Bob,Bob發(fā)送（鳥(niǎo)不）給Alice,這叫做踐諾。

當(dāng)承諾值確定以后，無(wú)法改變踐諾值。

當(dāng)對(duì)方發(fā)送來(lái)了承諾值以后，己方無(wú)法計(jì)算出對(duì)方的踐諾值，因而無(wú)法“隨機(jī)應(yīng)變地”確

定自己的踐諾值，以重合或避開(kāi)對(duì)方的踐諾值。

綜上所述，雜湊函數(shù)阻止了雙方作弊。

（二十五）表達(dá)數(shù)字簽名應(yīng)該滿足的3條性質(zhì)。

1.完整性,2.身份唯一性（不可偽造性），3.不可否認(rèn)性（公開(kāi)可驗(yàn)證性）.

（二十六）寫(xiě)出公鑰密碼數(shù)字簽名方案（二）。

額外使用一個(gè)公開(kāi)的雜湊函數(shù)設(shè)Alice欲發(fā)消息加給Bobo

⑴Alice用〃將消息力進(jìn)行處理，得左，（勿）。

（2）Alice用自己的私鑰A對(duì)方“解密”所〃血A）,s就是對(duì)消息亞的簽名值，（加，s）就

是一個(gè)簽名消息。

（3）Alice將（加，s）發(fā)送給Bob。

⑷Bob收到（r,s）后，用Alice的公鑰z,將消息勿與簽名s做如下的檢驗(yàn):是否4（血=夙s,

z）。假設(shè)是那么（加，s）是Alice發(fā)送的簽名消息。

在上述方案中，

■簽名方程是廣（血，Q。

■驗(yàn)證方程是，（加）=￡（s,z）o

■任何人只要擁有Alice的公鑰z,都可以對(duì)簽名消息（加，s）進(jìn)行驗(yàn)證。

■設(shè)攻擊者Eve知道Alice的公鑰z,他試圖偽造一個(gè)（加，s）,讓Bob相信（勿，6）是

Alice的簽名消息。偽造的（加，s）必須滿足驗(yàn)證方程〃（加）=￡（s,z）。

Eve面臨著兩難問(wèn)題：

■如果選定消息如再匹配簽名值s,那么在驗(yàn)證方程〃（4=￡（s,z）中無(wú)法解出s。

（這是公鑰密碼的根本平安性）

■如果選定簽名值s,再匹配消息處那么在驗(yàn)證方程〃（加）=￡（$,z）中能夠解出〃（血，

卻無(wú)法得到加。（這是雜湊函數(shù)的性質(zhì)）

如此看來(lái)，簽名方案（二）似乎具有身份唯一性和不可偽造性。

（二十七）寫(xiě)出D.Chaum盲簽名方案。

D.Chaum曾提出第一個(gè)實(shí)現(xiàn)盲簽名的算法，他采用了RSA算法。令B的公鑰為e,秘

密鑰為&模為

（a）A需要B對(duì)消息r進(jìn)行盲簽名，選n,作片加心（mod〃）->B。

（b）B對(duì)大簽名,〃=（成"）"（mod〃）->A。

（c）A計(jì)算s=「'/*（mod〃）得

s=（R4"）"/A（mod〃）=，（mod/7）,

（勿，s）就是B對(duì)加按RSA體制的合法簽名，任何知道公鑰e的人都能驗(yàn)證s三加（mod〃）。

（二十八）完整地寫(xiě)出ElGamal數(shù)字簽名方案和Schnorr數(shù)字簽名方案。（密鑰生成、簽名、

驗(yàn)證）。表達(dá)Schnorr數(shù)字簽名方案與ElGamal數(shù)字簽名方案相比的優(yōu)點(diǎn)。

ElGamal數(shù)字簽名

ElGamal的密鑰生成：選擇一個(gè)大的素?cái)?shù)?選擇g為域切（0）的本原元素。選擇正整

數(shù)X。計(jì)算尸才（口0”7）。

Alice的公鑰是（p,g,y},私鑰是x。

簽名方案是上述的簽名方案（二），額外使用一個(gè)公開(kāi)的雜湊函數(shù)"設(shè)Alice欲發(fā)消息加

給Bobo

（1）Alice用〃將消息勿進(jìn)行處理，得加〃（加。

（2）Alice選擇秘密隨機(jī)數(shù)在，滿足

Q<k<p-l,且（A,p-l）=l,

計(jì)算

r=g（mod/?）；

s={h-xr）k'（mod（/?-1））。

（3）Alice將（加，r,s）發(fā)送給Bob。

14）Bob用Alice的公鑰，檢驗(yàn)是否

yf-gM（modp）o

假設(shè)是那么（加，r,s）是Alice發(fā)送的簽名消息。

Schnorr數(shù)字簽名

Alice擁有3個(gè)正整數(shù)（0,q,g）,向自己的通信伙伴公開(kāi)。其中：

■P是模數(shù)（即將要進(jìn)行（mod。）模數(shù)運(yùn)算），它是一個(gè)素?cái)?shù)，值的范圍在到2陞之間

（即P是一個(gè)長(zhǎng)度為512的比特串）o

■q也是模數(shù)（即將要進(jìn)行（modq）模數(shù)運(yùn)算），它是一個(gè)素?cái)?shù)，2.<q（即q是一個(gè)

長(zhǎng)度不小于160的比特串），并且q是“1的一個(gè)因子。

■g是域6/（0）的元素，且/=l（mod°）。

■Alice選擇x,其中

■Alice計(jì)算片@<modp）。

■Alice的公鑰是（夕，q,g,y）,Alice的私鑰是x。

■簽名方案是上述的簽名方案（二），額外使用一個(gè)公開(kāi)的雜湊函數(shù)，，，的輸出長(zhǎng)度

是160比特。設(shè)Alice欲發(fā)消息加給Bobo

■（1）Alice選擇秘密隨機(jī)數(shù)A,滿足0〈A〈q,計(jì)算

■r=g(mod。)；

■e=H{r,m)；

■折A+xe(modq)。

■⑶Alice將(卬,e,s)發(fā)送給Bob。

■⑷Bob用Alice的公鑰，計(jì)算r'=g'y"(modp)0檢驗(yàn)是否

■e=H{r',勿)。

■假設(shè)是那么(加，e,s)是Alice發(fā)送的簽名消息。

Schnorr簽名與ElGamal簽名的不同點(diǎn)：

在ElGamal體制中，g為域切(夕)的本原元素；而在Schnorr體制中，g只是域6戶(0)

的階為q的元素，而非本原元素。因此，雖然兩者都是基于離散對(duì)數(shù)的困難性，然而ElGamal

的離散對(duì)數(shù)階為bl,Schnorr的離散對(duì)數(shù)階為小尸1。從這個(gè)角度上說(shuō)，ElGamal的平

安性似乎高于Schnorr。

簽名長(zhǎng)度比擬：Schnorr比ElGamal簽名長(zhǎng)度短。

ElGamal：(m,r,s),其中r的長(zhǎng)度為I",s的長(zhǎng)度為|廠1|。

Schnorr：(加，e,s),其中e的長(zhǎng)度為|q|,s的長(zhǎng)度為

?在Schnorr簽名中，尸g*(modp)可以預(yù)先計(jì)算，4與加無(wú)關(guān)，因而簽名只需一次modq

乘法及減法。所需計(jì)算量少，速度快，適用于靈巧卡采用。

(二十九)Shamir門(mén)限秘密共享方案。設(shè)：p=17；爐5；t=3；

(Ml),力("⑴))=(1,8)；

(m2),力(以⑵))=(2,7)；

(勿⑶,力(以⑶))=(3,10)；

("(4),方(、(4)))=(4,0)；

(M5),力(、(5)))=(5,ll)o

當(dāng)?shù)?位~第3位參與者同時(shí)到場(chǎng)，解出共享的秘密

切+,3戶1及x2

(三十)表達(dá)Schnorr電子現(xiàn)金支付協(xié)議。

在Schnorr協(xié)議的初始化階段，選擇一個(gè)大素?cái)?shù)“一個(gè)正整數(shù)g。。和g都被公開(kāi)。

設(shè)顧客的身份秘密信息是(勿，6),其中力和6都是正整數(shù)。

顧客的身份公開(kāi)信息是(c,ri),其中

c=^(mod/?)；n=g(,modp)o

Schnorr支付協(xié)議如下。

第一步：顧客出示電子現(xiàn)金。電子現(xiàn)金上有其身份公開(kāi)信息（G〃）。

第二步：商家隨機(jī)地選擇一個(gè)正整數(shù)X,發(fā)送給顧客。〔詢問(wèn)）

第三步：顧客用自己的身份秘密信息（加，6）,計(jì)算：片加廣僅model）。顧客將y發(fā)送給商

家。（答復(fù)）

第四步：商家用顧客的身份公開(kāi)信息（c,力，驗(yàn)證是否有

g=nc（.modp）。

假設(shè)成立那么接受這個(gè)電子現(xiàn)金；否那么拒絕接受該電子現(xiàn)金。（檢驗(yàn)）

Schnorr電子現(xiàn)金支付協(xié)議怎樣保證防止重復(fù)花費(fèi)？

一次使用該電子現(xiàn)金不會(huì)暴露顧客的身份秘密信息（以，份。

商家知道了顧客的身份公開(kāi)信息（c,ri）,又通過(guò)詢問(wèn)值x得到了顧客的答復(fù)值外商家還

知道才與y的關(guān)系為：尸0用6（modpl）。但是商家計(jì)算出（餌的途徑只能有兩條：

第一條途徑是通過(guò)方程組｛k/（mod。），爐外（mod。）｝計(jì)算（加，6）,該計(jì)算問(wèn)題是離散

對(duì)數(shù)問(wèn)題。

第二條途徑是通過(guò)方程產(chǎn)"^（modbl）來(lái)計(jì)算（餌力。該方程無(wú)法唯一地解出（餌。）。

兩次使用該電子現(xiàn)金將暴露顧客的身份秘密信息（///,。）。

第一次使用該電子現(xiàn)金，詢問(wèn)值/答復(fù)值為（4力。

第二次使用該電子現(xiàn)金，詢問(wèn)值/答復(fù)值為

于是商家獲得了兩個(gè)方程：

片zay+ZKmod/zT）；r=/?y+，（mod/7T）。

這是一個(gè)“二元一次方程組”，解出的值為：

1

nF（v-y）（u-x）（mod/7-1）；b=o

一旦發(fā)現(xiàn)重復(fù)使用的電子現(xiàn)金，就能夠追蹤重復(fù)使用者的身份。未重復(fù)使用的電子現(xiàn)

金，使用者的身份不會(huì)暴露。

（三十一）寫(xiě)出互聯(lián)網(wǎng)（Internet）的5種根本效勞。

電子郵件，信息瀏覽，文件傳輸,遠(yuǎn)程登錄，電子公告牌.

（三十二）IPsec屬于（網(wǎng)絡(luò)層）層。IPsec的2個(gè)協(xié)議是（認(rèn)證報(bào)頭協(xié)議AH）和（封

裝平安負(fù)載協(xié)議ESP）。IPsec的2個(gè)數(shù)據(jù)庫(kù)是（平安策略數(shù)據(jù)庫(kù)SPD）和（平安關(guān)聯(lián)數(shù)據(jù)

庫(kù)SAD）。

（三十三）郵件文本經(jīng)過(guò)加密或簽名，變成了非文本課文。在解決這個(gè)問(wèn)題時(shí)，S/MIME采

用什么方法？

S/MIME處理非文本課文時(shí),采用MIME增加非文本的對(duì)象到郵件主體中去,按照S/MIME,

發(fā)送者將普通的MIME格式的消息封裝成為S/MIME平安對(duì)象,并將其按照普通消息的發(fā)送方

式發(fā)送出去,接收者把S/MIME平安對(duì)象解封裝為普通的MIME格式消息.

PGP采用什么方法？

PGP利用電子郵件兼容性效勞將被加密或被簽名的郵件每三個(gè)字節(jié)為一組，擴(kuò)充為四個(gè)

字節(jié),擴(kuò)充后的每個(gè)字節(jié)都是一個(gè)ASCII字符.這種轉(zhuǎn)換稱為基數(shù)64變換,為消息擴(kuò)展了

33%.

（三十四）消息認(rèn)證