信息安全導(dǎo)論（以問題為導(dǎo)向） 習(xí)題答案 李景濤

第一章古典密碼學(xué)參考答案：密碼分析者搜索截獲密文中的至少包含三個字符的字符串片段。如果找到重復(fù)出現(xiàn)的兩個同樣的片段，它們之間的距離為d，則密碼分析者可以假設(shè)d|m(即m是d的約數(shù))，其中m是密鑰長度。如果找到更多的有重復(fù)的片段，這些重復(fù)片段之間的距離分別為d1、d2、…、dn，則不妨假設(shè)gcd(d1、d2、...、dn)|m，并猜測m的取值。這種假設(shè)是有道理的，因為如果重復(fù)的兩個字符串片段(比如’the’)在明文中相隔k×m(k=1、2、…)個字符，它們將被同一組字母表(對應(yīng)相同的密鑰字符串)加密，那么它們在密文中相同且相隔k×m個字符。搜索至少含三個字符的字符串片段，是為了避免密鑰中的字符串不同但密文中字符串相同的情況。對于第二步，一旦確定了密鑰長度，密碼分析者將密文分成m個不同的部分，并使用單字母表的詞頻分析等方法來破解。每個密文部分可以解密并組合成完整的明文。換句話說，雖然整個密文不保留明文的單字母頻率，但是每個部分都保留了。密鑰、密文、密鑰、明文、置換密碼、字母頻率ABCD第二章現(xiàn)代分組密碼參考答案：替代-置換網(wǎng)絡(luò)（Substitution-PermutationNetwork）是乘積密碼和分組加密的一種。SPN是一系列被應(yīng)用于分組密碼中相關(guān)的數(shù)學(xué)運算，這種加密網(wǎng)絡(luò)使用明文塊和密鑰塊作為輸入，并通過交錯的若干“輪”（或“層”）替代操作和置換操作產(chǎn)生密文塊。替代和置換分別被稱作S盒（S-boxes）和P盒（P-boxes）。Feistel密碼結(jié)構(gòu)中，輸入明文和一組密鑰K=(K1,K2…,Ki)。首先將明文按照2w比特大小進行分組，由于每一組明文均經(jīng)過相同F(xiàn)eistel結(jié)構(gòu)，我們關(guān)注單個明文分組的處理過程。對于每一組明文再均分成兩組L0(左一半)和R0(右一半)，每組大小為BA第三章公開密鑰密碼學(xué)參考答案：對稱加密與非對稱加密的概念：對稱加密：又稱為單鑰加密。這種體制的加密密鑰和解密密鑰相同或者本質(zhì)上相同（即從其中一個可以很容易地推出另一個）。非對稱加密：又稱為雙鑰加密（或公鑰）加密。這種體制的加密密鑰和解密密鑰不相同，而且從其中一個很難推出另一個。這樣加密密鑰可以公開，而解密密鑰可由用戶自已秘密保存。兩者的區(qū)別：對稱加密：（1）常規(guī)加密技術(shù)的算法基于置換和替換，并且是對稱的。（2）常規(guī)加密技術(shù)中加密和解密使用同一個密鑰（秘密密鑰）和同一算法。（3）發(fā)送方和接受方必須共享密鑰和算法。（4）密鑰必須保密非對稱加密：（1）公開密鑰的算法基于數(shù)學(xué)函數(shù)，是非對稱的。（2）公開密鑰用同一算法進行加密和解密，但密鑰為一對，一個用于加密（公開密鑰），一個用于解密（私有密鑰）。（3）發(fā)送方和接受方擁有一對密鑰中不同的一個。（4）兩個密鑰中的一個必須保密。優(yōu)缺點：對稱加密：加密解密速度快，需要可靠的通道完成密鑰的分發(fā)和傳遞，密鑰管理復(fù)雜。非對稱加密：加密解密速度慢，密鑰分發(fā)和管理相對較容易。初始化：通信雙方A和B事先共享一個生成元g和一個大素數(shù)p；A隨機選取0<x<p-1，計算X=gxmodp后，將X傳給BB隨機選取0<y<p-1，計算Y=gymodp后，將Y傳給AA計算Yxmodp得到雙方共同的會話密鑰B計算Xymodp得到雙方共同的會話密鑰對稱密鑰密碼：加密和解密秘鑰相同，或者由一個能很容易的推出另一個。優(yōu)點：效率高，算法簡單，系統(tǒng)開銷?。贿m合加密大量數(shù)據(jù)加密；明文長度和密文相同缺點：需要以安全方式進行密鑰交換；密鑰管理復(fù)雜；公開密鑰密碼：加密和解密秘鑰不相同。其中，對外公開的秘鑰，稱為公鑰。不對外公開的秘鑰，稱為私鑰。如：RSA加密算法優(yōu)點：解決密鑰傳遞問題、密鑰管理簡單；減少密鑰持有量：提供了對稱密碼技術(shù)無法或很難提供的服務(wù)(數(shù)字簽名)。缺點：計算復(fù)雜、耗用資源大；HASH函數(shù)：把任意長度的輸入，通過HASH算法，變換成固定長度的輸出，該輸出通常稱作哈希值、數(shù)字指紋或消息摘要。這種轉(zhuǎn)換是一種壓縮映射，也就是，哈希值的空間通常遠(yuǎn)小于輸入的空間(不同的輸入有可能會哈希成相同的輸出，幾率非常小)，而不可能從哈希值來逆向推出輸入值，也就是說，哈希函數(shù)是不可逆的。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。哈希函數(shù)的特點：不可逆性，碰撞約束計算ф(n)首先看到計算ф(n)不比分解n容易。假設(shè)n和ф(n)已知，n為兩個素數(shù)p和n=pq?得到兩個“未知數(shù)”p和q。如果用q=n/p代入方程中，我們可以得到一個關(guān)于未知數(shù)p的二次方程：p這個方程兩個根就是p和q，即n的因子。因此，如果一個密碼分析者能夠求出?(n)的值，他就能分解n，進而攻破系統(tǒng)。也就是說，計算?(n)不比分解n容易。小指數(shù)攻擊法RSA算法主要基于軟件實現(xiàn)，其加密速度遠(yuǎn)不如DES的加密速度快。所以一些使用RSA算法進行加密的機構(gòu)采用了一種提升RSA速度并且能使加密易于實現(xiàn)的解決方案———令公鑰b取較小的值。這樣做會使該算法的安全強度降低。從理論上曾有人證明過，若采用不同的模數(shù)n與相同的b，對b×(b+1)/2個線性相關(guān)的消息存在一種攻破方法。若解密指數(shù)a的值為n值的四分之一并且群體暴力破解法這是一種猜測攻擊。盡管從RSA的內(nèi)在特性分析可知RSA算法對硬件要求較高,但群體暴力窮舉法破解在理論上和實踐中仍是可行的。數(shù)論中,一個不小于6的偶數(shù),總可以分解為兩個質(zhì)數(shù)之和的形式。對于某一個偶數(shù)若分解為兩個奇數(shù)之和,則共有n/2個分解式。自然數(shù)中質(zhì)數(shù)總數(shù)大約占奇數(shù)總數(shù)的1/3,當(dāng)n較大時,很有可能在這n/2個分解式中存在某個分解式選擇密文攻擊法這是一種繞開RSA基本算法，直接攻擊協(xié)議的攻擊方式。算法安全性和協(xié)議安全性是兩個基本安全組件,兩者組合到一起之后的安全性究竟是否增加的界限并不是太好判定的，選擇密文攻擊就是一個安全性沒有增加的實例。在通訊過程中冒然簽名的一方容易被黑客進行選擇密文攻擊。攻擊者只需將某信息作一下偽裝(Blind)，讓擁有私鑰的實體簽名。公共模數(shù)攻擊法如果網(wǎng)絡(luò)中使用同樣的n,容易被黑客進行公共模數(shù)攻擊。盡管大家的b、a不同，但采用同一個n,最明顯的問題是如果同一報文用兩個不同的互素的密鑰加密計時攻擊法一種猜測攻擊。類似于通過觀察轉(zhuǎn)動盤轉(zhuǎn)出每個數(shù)字所用時間的方法猜測出密碼數(shù)字組合。因為RSA的基本運算為乘方取模，它的耗費時間取決于乘方的次數(shù)b。若攻擊者監(jiān)視了解密過程，并精確計時，可以計算出a。例如，攻擊者根據(jù)所得到的時間t估計某個臨時明文m1,計算m1的加密時間并與t進行比較。如果加密時間比t大,則再取個較小的臨時明文m,將m作為m1,再算m1的加密時間并與t比較……算法的終止條件是直至m1的加密時間比t小。設(shè)此時的明文為m2,對m1與m2進行取中運算,計算新生成的m的加密時間。若比t大,則取中后的m再作為m1;若比t小,取中后的m就作為m2。再進行循環(huán),直至越來越靠近的m1與m2最終收斂成真正的密文m。DDADD第四章報文鑒別與HASH函數(shù)參考答案：輸入信息位數(shù)可以任意長度，輸出是固定長度；計算hash值的運算速度比較快；單向性（one-way），哈希函數(shù)的計算過程是單向不可逆的；防碰撞特性（Collisionresistance）；消息認(rèn)證碼和散列函數(shù)都可以用于報文鑒別(認(rèn)證)。消息認(rèn)證碼是一種使用密鑰的報文鑒別技術(shù),它利用密鑰來生成一個固定長度的短數(shù)據(jù)塊,并將該數(shù)據(jù)塊附加在報文之后。而散列函數(shù)是將任意長的報文映射為定長的hash值的函數(shù),以該hash值作為認(rèn)證符。散列函數(shù)可以被稱為是報文的“指紋”，它可以用來對于消息生成一個固定長度的短數(shù)據(jù)塊。它可以和數(shù)字簽名結(jié)合提供對報文的認(rèn)證。哈希函數(shù)具有基本特性：單向性和抗碰撞性。單向性決定了哈希函數(shù)的正向計算效率高，反向計算難度非常大，幾乎不可能；而抗碰撞性決定了無法找到兩個不同的輸入，使得其輸出（即哈希值）是一致的。碰撞指的是對于兩個不同合法輸入報文x、y，兩者的哈希值是相同的。那么哈希函數(shù)的抗碰撞性意味著，找出任意兩個不同的輸入值x、y，使得H（x）=H（y）是困難的。（這里稱為”困難”的原因，是報文空間是無窮的，而哈希值空間是有限的，因此一定會存在碰撞，只是對尋找碰撞的算力需要有難度上的約束）。一個輸出m位的哈希函數(shù)，有N=2m個可能的輸出。平均查找測試的報文數(shù)量r≈2m/2時，所測試的報文中有兩個報文生成相同哈希值。以上加密方案整個過程可以表示為A→B:E(K,[M||E(PRa,H(M))])，發(fā)送者A先計算M的哈希值，然后用自己的私鑰PRa加密哈希值，加密后的簽名塊附加在報文M的后面并用對稱密鑰M對整個報文加密。接收方B收到報文后，用對稱密鑰K解密得到報文上圖為SHA-2哈希函數(shù)的一般結(jié)構(gòu)示意圖，其中IV表示初始向量，L表示輸入分組的數(shù)量，n表示哈希值，Yi表示第i個輸入分組，b表示輸入分組的長度，f表示輪函數(shù)（擴散和擾亂），CVi表示第i輪的輸出。第i輪的輸出作為第i+1輪的輸入，第i輪的輸入包括第i個分組Yi和第i-1輪的輸出CVi，通過輪函數(shù)f映射之后輸出CViCDCACDBCAC第五章流密碼參考答案：遞歸次數(shù)m=5，C0＝1，C1=0，C2=0，C3=1，C4=0原理：CTR：每次加密，通過計數(shù)器和密鑰一起生成密鑰流。然后密鑰流和明文一起做異或生成密文。OFB：第一次加密通過初始向量和密鑰一起生成密鑰流，然后密鑰流和明文一起做異或生成密文；而后的每一次密鑰流的生成都是通過密鑰與上一次加密生成的密鑰流來生成。區(qū)別：CTR模式的密鑰流通過計數(shù)器和密鑰key生成，每加密一次，計數(shù)器加一。而OFB的密鑰流通過上一次加密產(chǎn)生的密鑰流和密鑰key一起生成，需要初始化向量，兩者都是偽隨機；CTR可以進行并行計算，OFB不能。最小的次數(shù)m=4，線性遞歸多項式的系數(shù)為：c0=1,c1=1,c2=0,c3=1;(andtherecurrencecanbewrittenas)即線性遞歸多項式為：Zi+4=c0Zi+c1Zi+1+c2Zi+2+c3Zi+3=Zi+Zi+1+Zi+3使用初始密鑰(Using)(Z1,Z2,Z3,Z4)=(1,0,0,0),我們可得到(weget):s=100011|100011…假設(shè)輸入密鑰為初始向量(k1，k2z這里c0注意，這個遞歸關(guān)系的次數(shù)為m，是因為每一個項都依賴于前面m個項；又因為zi+m是前面項的線性組合，故稱其為線性的。注意，不失一般性，我們?nèi)0=1CCA第六章國密對稱密鑰密碼參考答案：CD非對稱密碼和對稱密碼的區(qū)別在于密鑰的使用。對稱密碼使用相同的密鑰進行加密和解密，而非對稱密碼使用一對密鑰，公開密鑰用于加密，私鑰用于解密。以SM2（非對稱密碼）和SM4（對稱密碼）為例，SM2需要生成一對公鑰和私鑰，公鑰用于加密，私鑰用于解密；而SM4加密和解密使用相同的密鑰。祖沖之密碼采用簡單的線性反饋移位寄存器和非線性置換運算，由密鑰流生成密鑰比特流。其基本結(jié)構(gòu)包括線性反饋移位寄存器（LFSR）和非線性置換操作（NLFSR），利用這些操作生成偽隨機數(shù)序列。在保密性算法中，祖沖之密碼可以用于128-EEA3中，用于移動通信中的數(shù)據(jù)加密。第七章公鑰基礎(chǔ)設(shè)施PKI參考答案：PKI（PublicKeyInfrastructure）即公開密鑰基礎(chǔ)設(shè)施，是用公鑰原理和技術(shù)實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施，一個完整的PKI包括證書授權(quán)中心（CA）、證書庫、證書注銷、密鑰備份和恢復(fù)、自動密鑰更新、密鑰歷史檔案、交叉認(rèn)證、抗抵賴、時間戳和客戶端軟件等。CA是證書簽發(fā)機構(gòu)，RA是證書注冊機構(gòu)，負(fù)責(zé)把用戶的身份和他的密鑰綁定起來。CA下發(fā)給Bob的證書要完成驗證，需要從該證書的上級簽發(fā)機構(gòu)的證書，再到上級機構(gòu)的證書簽發(fā)機構(gòu)的證書一直到根證書。需要驗證附帶在該證書上級CA的簽名函數(shù)，及用上級的公鑰（在證書鏈的上層證書中）驗證CA私鑰生成的數(shù)字簽名是否有效。首先從該證書沿著證書鏈往上找，一直到根證書，從根證書開始進行依次驗證每一個證書中的簽名。其中，根證書是自簽名的，用它自己的公鑰進行驗證。每一層的證書簽名用其上一級CA的公鑰進行驗證，一直到該證書，如果所有的簽名驗證都通過且根CA是受信任的，則證書是有效的。攻擊者可能會假冒Bob的證書，比如你登錄的網(wǎng)站可能被偽造，會受到釣魚網(wǎng)站的攻擊。答：公鑰是非對稱密碼體制中的兩個密鑰中被公開的密鑰，所謂非對稱密碼體制，其加密解密算法相同，但使用不同的密鑰。用兩個密鑰中的一個以及加密算法講明文轉(zhuǎn)化為密文，用另一個密鑰以及解密算法從密文恢復(fù)出明文。通常發(fā)送方擁有一個密鑰，而接收方擁有另一個。答：公鑰分配的困難主要還是建立于安全性角度。公開密鑰的分配必須要具有真實性。因此公鑰和擁有公鑰的身份如何建立聯(lián)系，如何實現(xiàn)不可否認(rèn)服務(wù)公鑰，公鑰如何管理都會在分發(fā)過程中遇到問題。答：密鑰生命周期是指從密鑰產(chǎn)生到由于密鑰過期而更新密鑰的整個過程，包括：密鑰產(chǎn)生、證書簽發(fā)、密鑰使用、密鑰過期和密鑰更新幾個階段。答：PKI提供的安全服務(wù)包括：認(rèn)證服務(wù)：采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上被認(rèn)證的數(shù)據(jù)；身份認(rèn)證服務(wù)。完整性服務(wù)：PKI支持?jǐn)?shù)字簽名：既可以用于身份認(rèn)證，也可以保護數(shù)據(jù)完整性。保密性服務(wù)：用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密。不可否認(rèn)性服務(wù)。PKI的利用公鑰密碼學(xué)的理論基礎(chǔ)，建立起一種普遍適用的基礎(chǔ)設(shè)施，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)。PKI功能包括管理加密密鑰和證書的公布，提供密鑰管理、證書管理和策略管理等。PKI的主要組成部分包括：CA證書授權(quán)中心、數(shù)字證書目錄服務(wù)器、具有內(nèi)部私有安全協(xié)議的安全服務(wù)器、應(yīng)用PKI技術(shù)的信息化系統(tǒng)等。公開密鑰也稱為非對稱密鑰，每個通信參與者都有一對唯一對應(yīng)的密鑰：公開密鑰和私有密鑰，公鑰對外公開（所有參與者可以知道），私鑰由個人秘密保存。如何實現(xiàn)公開密鑰和公開密鑰持有人的身份綁定，即如何相信某個公鑰一定是其所聲稱持有者的公鑰。PKI通過數(shù)字證書實現(xiàn)公開密鑰和公開密鑰持有人的身份綁定。密鑰生命周期是指一個密鑰從產(chǎn)生、使用、到銷毀的整個過程。包括密鑰產(chǎn)生，密鑰使用，密鑰更換，密鑰吊銷、密鑰歸檔，密鑰銷毀等。PKI是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。具體有：認(rèn)證，完整性，保密性服務(wù)，不可否認(rèn)性服務(wù)等等。由于各種原因，如私鑰泄露、密鑰更換、用戶注冊信息變化等，證書沒有到期之前有可能需要提前被注銷，即在到期之前取消持有者身份和其公鑰的綁定，使證書不再有效。PKI提供的機制是由CA維護證書注銷列表CRL，CRL中包含被注銷證書的唯一標(biāo)識(即證書序列號)，證書驗證者定期查詢和下載CRL，根據(jù)CRL中是否包含該證書序列號來判斷證書的有效性。為了實現(xiàn)互操作，首先需要統(tǒng)一CRL格式，目前廣泛采用的標(biāo)準(zhǔn)是X.509版本2的CRL格式，PKIX工作組在RFC2459中對CRL的最常用版本(版本2)作了詳細(xì)描述。目前，廣泛采用的是Web提供CRL服務(wù)的方式，這種方式會將檢查CRL的URL內(nèi)嵌到用戶的證書的擴展域中，當(dāng)瀏覽器想要驗證證書時，只需通過SSL協(xié)議訪問這一URL，即可獲得該證書的注銷狀態(tài)信息。CRL的使用有兩個問題：第一是CRL的規(guī)模性。在大規(guī)模的網(wǎng)絡(luò)環(huán)境中，CRL的大小正比于該CA域的終端實體(EndEntity,EE)數(shù)目、證書的生命期和證書撤消的概率。而撤消信息必須在已頒證書的整個生命期里存在，這就可能導(dǎo)致在某些CA域內(nèi)CRL的發(fā)布變得非常龐大。第二是CRL所含撤消信息的及時性。因為CRL是定期發(fā)布的，而撤消請求的到達(dá)是隨機的，從接收撤消請求到下一個CRL發(fā)布之間的時延所帶來的狀態(tài)不一致性會嚴(yán)重影響由PKI框架提供的X.509證書服務(wù)的質(zhì)量。為解決這兩個問題，一方面，可以對CRL的分發(fā)機制進行改進。例如對于某些大型的CA，可以采取分段CRL、增量CRL的發(fā)布方式。另一方面，可以采用OSCP(在線證書狀態(tài)協(xié)議，OnlineCertificateStatusProtocol)來對證書的有效性進行驗證。CADDBA第八章身份認(rèn)證參考答案：Kerberos是工作在分布式網(wǎng)絡(luò)環(huán)境中基于第三方的身份認(rèn)證協(xié)議。Kerberos協(xié)議中加入了時間戳來抵御重放攻擊的問題，協(xié)議是基于時間戳實現(xiàn)身份認(rèn)證，所以要嚴(yán)格要求網(wǎng)絡(luò)中的時間參數(shù)是同步的。若用戶通過了認(rèn)證服務(wù)器AS的認(rèn)證，獲得了訪問TGS的授權(quán)令牌TGT，那么用戶如果想訪問不同的服務(wù)器資源時，無需每次都與AS交互，只需要憑借TGT訪問TGS，申請訪問不同的服務(wù)器的票據(jù)ST即可。從而減少了AS驗證用戶身份的次數(shù)，用戶的密鑰在網(wǎng)