密码学试题及答案.docx

密码学试题及答案.docx

《密码学试题及答案.docx》由会员分享，可在线阅读，更多相关《密码学试题及答案.docx（15页珍藏版）》请在冰豆网上搜索。

密码学试题及答案

密码学试题及答案

【篇一：

《现代密码学》期终考试试卷和答案】

txt>………………………………密…………………………………………封……………………………………线…………………………………………

一．选择题

1、关于密码学的讨论中，下列（d）观点是不正确的。

a、密码学是研究与信息安全相关的方面如机密性、完整性、实体鉴别、抗否认等的综

合技术

b、密码学的两大分支是密码编码学和密码分析学c、密码并不是提供安全的单一的手段，而是一组技术d、密码学中存在一次一密的密码体制，它是绝对安全的2、在以下古典密码体制中，属于置换密码的是（b）。

a、移位密码b、倒序密码c、仿射密码d、playfair密码3、一个完整的密码体制，不包括以下（c）要素。

a、明文空间b、密文空间c、数字签名d、密钥空间

4、关于des算法，除了（c）以外，下列描述des算法子密钥产生过程是正确的。

a、首先将des算法所接受的输入密钥k（64位），去除奇偶校验位，得到56位密钥（即经

过pc-1置换，得到56位密钥）

b、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这

些经过循环移位的值作为下一次循环左移的输入

c、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些

经过循环移位的值作为下一次循环左移的输入

d、然后将每轮循环移位后的值经pc-2置换，所得到的置换结果即为第i轮所需的子密钥ki5、2000年10月2日，nist正式宣布将（b）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。

a、marsb、rijndaelc、twofishd、bluefish

*6、根据所依据的数学难题，除了（a）以外，公钥密码体制可以分为以下几类。

a、模幂运算问题b、大整数因子分解问题c、离散对数问题d、椭圆曲线离散对数问题

7、密码学中的杂凑函数（hash函数）按照是否使用密钥分为两大类：

带密钥的杂凑函数和不

编号系别专业班级姓名学号

………………………………密…………………………………………封……………………………………线…………………………………………

带密钥的杂凑函数，下面（c）是带密钥的杂凑函数。

a、md4b、sha-1c、whirlpoold、md5

8、完整的数字签名过程（包括从发送方发送消息到接收方安全的接收到消息）包括（c）和验证过程。

a、加密b、解密c、签名d、保密传输*9、除了（d）以外，下列都属于公钥的分配方法。

a、公用目录表

b、公钥管理机构

c、公钥证书d、秘密传输

10、密码学在信息安全中的应用是多样的，以下（a）不属于密码学的具体应用。

a、生成种种网络协议b、消息认证，确保信息完整性c、加密技术，保护传输信息d、进行身份认证

二.填空题

1、信息安全中所面临的威胁攻击是多种多样的，一般将这些攻击分为两大类（主动攻击）和被动攻击。

其中被动攻击又分为（消息内容的泄露）和（进行业务流分析）。

2、密码技术的分类有很多种，根据加密和解密所使用的密钥是否相同，可以将加密算法分为：

对称密码体制和（非对称密码体制），其中对称密码体制又可分为两类，按字符逐位加密的（序列密码）和按固定数据块大小加密的（分组密码）。

3、密码分析是研究密码体制的破译问题，根据密码分析者所获得的数据资源，可以将密码分析（攻击）分为：

（惟密文分析）、已知明文分析（攻击）、（选择明文分析）和选择密文分析（攻击）。

4、古典密码学体制对现代密码学的研究和学习具有十分重要的意义，实现古典密码体制的两种基本方法（代换）和（置换）仍是构造现代对称分组密码的核心方式。

5、（des）是美国国家标准局公布的第一个数据加密标准，它的分组长度为（64）位，密钥长度为（64（56））位。

6、1976年，美国两位密码学者diffe和hellman在该年度的美国计算机会议上提交了一篇论

编号系别专业班级姓名学号

………………………………密…………………………………………封……………………………………线…………………………………………

文，提出了（公钥密码体制）的新思想，它为解决传统密码中的诸多难题提出了一种新思路。

7、elgamal算法的安全性是基于（离散对数问题），它的最大特点就是在加密过程中引入了一个随机数，使得加密结果具有（不确定性），并且它的密文长度是明文长度的（两）倍。

该算法的变体常用来进行数据签名。

8、密码系统的安全性取决于用户对于密钥的保护，实际应用中的密钥种类有很多，从密钥管理的角度可以分（初始密钥）、（会话密钥）、密钥加密密钥和（主密钥）。

三、简述题（每小题8分，共40分）

1、古典密码体制中代换密码有哪几种，各有什么特点？

2、描述说明des算法的加解密过程（也可以画图说明）。

3、以des为例，画出分组密码的密码分组链接（cbc）模式的加密解密示意图，假设加密时明

文一个比特错误，对密文造成什么影响，对接收方解密会造成什么影响？

4、简述公钥密码体制的基本思想以及其相对于传统密码体制的优势。

5、简述数字签名的基本原理及过程。

四、计算题（每题10分，共20分）

1、计算通过不可约多项式x+x+x+x+1构造的gf

（2）上，元素（83）h的乘法逆元。

2、rsa算法中，选择p=7,q=17,e=13,计算其公钥与私钥，并采用快速模乘（反复平方乘）方

法，加密明文m=（19）10。

1、答：

在古典密码学中，有四种类型的代替密码：

①简单代替密码（或单表代替密码）（1分），它将明文字母表中的每个字母用密文字母表中的相应字母来代替，明密文表字母存在惟一的一一对应关系，然后通过明密文对照表来进行加解密，容易受到频率统计分析攻击，例如：

恺撒密码、仿射密码等（1分）。

②多名码代替密码（1分），将明文中的每个字母按一定规律映射到一系列密文字母，这一系列密文字母称为同音字母，它的密文的相关分布会接近于平的，能够较好挫败频率分析，较简单代替密码难破译（1分）。

③多字母代替密码（1分），通过一次加密一组字母来使密码分析更加困难，例如playfair密码（1分）。

④多表代替密码（1分），使用从明文字母到密文字母的多个映射，每个映射像简单代替密码中的一一对应，比简单代替密码更安全一些，例如，维吉尼亚密码等（1分）。

2、答：

des算法是一个分组加密算法，它以64位分组（0.5分）对数据进行加密，其初始密钥也是64位，它的加密过程可以描述如下：

①64位密钥经子密钥产生算法产生出16

8

438

编号系别专业班级姓名学号

………………………………密…………………………………………封……………………………………线…………………………………………

的左半部分li-1进行逐比特异或，将该运算结果作为当前轮（第i轮）右半部份的输出ri=li-1⊕f（ri-1,ki）（0.5分）；将本轮输入的右半部分数据作为本轮输出的左半部分数据：

li=ri-1（0.5分）。

④16轮变换结束后，交换输出数据的左右两部分：

x=r16l16（1分）。

⑤经过逆初始变换ip-1输出密文（0.5分）。

对于des算法来说，其解密过程与加密过程是同一过程，只不过使用子密钥的顺序相反（1分）。

3、答：

因为计算机数据自身的特殊性以及不同场合对于数据加密速度及效率的不同需求，再采用分组对称密码进行数据加密时往往要选择相应的工作模式，密文链接模式（cbc）就是其中的一种。

①以des分组密码为例，cbc模式的加密示意图如下（2分）：

②以des分组密码为例，cbc模式的解密示意图如下（2分）：

③加密时明文的一个比特错误，会导致该组加密密文发生变化，然后这个错误反馈值会作为下一次des加密的输入值，再经过des加密变换。

会导致后面的密文都受到影响（2分）

。

④对

编号系别专业班级姓名学号

…………………………密…………………………………………封……………………………………线…………………………………………

于接收方来说，加密明文的一个比特错误，只会影响对应明文块所产生的密文的正常解密，其他数据块可以正常准确地解密（2分）。

4、答：

①公钥密码体制的基本思想是把密钥分成两个部分：

公开密钥和私有密钥（简称公钥和私钥），公钥可以向外公布，私钥则是保密的（1分）；密钥中的任何一个可以用来加密，另一个可以用来解密（1分）；公钥和私钥必须配对使用，否则不能打开加密文件（1分）；已知密码算法和密钥中的一个，求解另一个在计算上是不可行的（1分）。

②相对于传统密码体制来说，公钥密码体制中的公钥可被记录在一个公共数据库里或以某种可信的方式公开发放，而私有密钥由持有者妥善地秘密保存。

这样，任何人都可以通过某种公开的途径获得一个用户的公开密要，然后进行保密通信，而解密者只能是知道私钥的密钥持有者（1分），该体制简化了密钥的分配与分发（1分）；同时因为公钥密码体制密钥的非对称性以及私钥只能由持有者一个人私人持有的特性（1分），使得公钥密码体制不仅能像传统密码体制那样用于消息加密，实现秘密通信，还可以广泛应用于数字签名、认证等领域（1分）。

5、答：

数字签名与加密不同，它的主要目的是保证数据的完整性和真实性，一般包括两部分：

签名算法和验证算法，通常由公钥密码算法和杂凑函数（hash算法）结合实现。

假设发送方a要向接收方b发送一消息m，并对该消息进行数字签名，其具体的原理和过程如下：

①发送方a采用杂凑函数生成要发送消息m的消息摘要：

hash（m）（2分）；②发送方a采用自己的私钥pra对消息m的消息摘要加密，实现签名：

epra（hash（m）），并将签名与消息m并联形成最终要发送的消息：

m||epra（hash（m））,然后发送该消息（2分）；③接收方b接收到消息后，采用发送方a的公钥pua解密签名，恢复原始消息的摘要：

hash（m）=dpua（epra（hash（m）））（2分）；④接收方b采用杂凑函数，重新计算消息m的消息摘要：

h’ash（m），并与从发送方a接收到的消息摘要进行比较,若相等，则说明消息确实是发送方a发送的，并且消息的内容没有被修改过（2分）。

数字签名技术对网络安全通信及各种电子交易系统的成功有重要的作用。

1、；解：

①将元素（83）h转换为二进制数据为（10000011）2（0.5分）

②将二进制数据（10000011）2转换为给定有限域上的多项式：

x+x+1（0.5分）；③利用欧几里得扩展算法求解以上多项式在指定有限域上的逆多项式（每步（行）2分））：

7

【篇二：

现代密码学复习题答案】

为（被动攻击）和（主动攻击）。

密码学的两个分支是（密码编码学）和（密码分析学）。

密码体制有（单钥密码体质）和（双钥密码体质）。

现代流密码的设计思想来源于古典密码中的（维吉尼亚密码）。

现代分组密码的设计思想来源于古典密码中的（多字母代换密码）。

（二）在信息保密系统中，攻击者eve所拥有的基本资源有哪些？

eve在不安全的公共信道上截获了密文c。

eve知道加密算法e和解密算法d。

攻击者eve可能拥有的更多资源有哪些？

eve可能知道密文c所对应的明文m。

eve可能拥有强大的计算能力。

eve可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出密文。

（此时所进行的攻击称为选择明文攻击）

攻击者eve不可能拥有的资源是什么？

eve不知道加密密钥z和解密密钥k。

（事实上，在进行安全性分析时，有时也假设eve知道了密钥的一部分，但决不能全部知道）

（三）叙述已知明文攻击。

设攻击者eve截获了密文c，并且知道了密文c所对应的明文m。

（这种情况是怎样发生的呢？

当明文m是已经过期的消息，可能无法再保密，也可能必须将其公开。

因此，这种情况是经常发生的）于是：

?

在解密方程m=d（c,k）中，eve知道m和c，仅仅不知道解密密钥k。

?

在加密方程c=e（m,z）中，eve知道m和c，仅仅不知道加密密钥z。

?

如果eve从解密方程m=d（c,k）中计算出解密密钥k，则eve今后就可以像bob一样对任何密文c’进行解密：

m’=d（c’,k）。

?

如果eve从加密方程c=e（m,z）中计算出加密密钥z，则eve今后就可以像alice一样对任何明文m’进行加密：

c’=e（m’,z）。

?

还可以给更加宽松的条件。

设攻击者eve获得了以往废弃的n组明文/密文对：

（m1，c1），（m2，c2），…，（mn，cn）。

?

于是eve获得了关于解密密钥k的方程组：

?

m1=d（c1,k），

?

m2=d（c2,k），

?

…，

?

mn=d（cn,k）。

?

（n越大，解密密钥k就越容易确定。

）

（四）叙述无条件安全性。

对密码体制的任何攻击，都不优于（对明文）完全盲目的猜测，这样的密码体制就称为无条件安全的（或完善保密的）。

什么样的加解密方式能够实现无条件安全性？

一次一密的加密方式容易实现无条件安全性。

因为密钥时时更新，所以以往得到的任何明文/密文对，对于破译新的密文没有任何帮助，只能做完全盲目的猜测。

（五）叙述计算安全性。

计算安全是一个模糊的概念。

我们可以给出以下三个级别的定义。

（1）对密码体制的任何攻击，虽然可能优于完全盲目的猜测，但超出了攻击者的计算能力。

这是最高级别的计算安全。

（2）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但所付出的代价远远大于破译成功所得到的利益。

这是第二级别的计算安全。

（3）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但破译成功所需要的时间远远大于明文本身的有效期限。

这也是第二级别的计算安全。

什么样的加解密方式能够实现计算安全性？

（六）设明文x，密文y，密钥z1，密钥z2，均为8比特课文。

加密算法为y=（x‘+’z1）“+”z2。

其中‘+’表示逐位（mod2）加法运算；“+”表示（mod28）加法运算。

试用2个明文/密文对解出密钥z1和z2各自的最低位，其中明文可以任意选择。

你选择什么明文？

怎样解出？

在解出密钥z1和z2各自的最低位以后，试用2个明文/密文对解出密钥z1和z2各自的次最低位，其中明文可以任意选择。

你选择什么明文？

怎样解出？

使用选择明文攻击，多少个经过选择的明文/密文对可以解出密钥z1和z2？

（y1y2y3y4y5）=（x1x2x3x4x5）a+（b1b2b3b4b5）。

取6组明文/密文对：

（00000）/（10110），（10000）/（01110），（01000）/（11010），

（00100）/（10000），（00010）/（10101），（00001）/（00111）。

试解出密钥a和密钥（b1b2b3b4b5）。

此加密方程能够唯一解密吗？

为什么？

（八）叙述golomb随机性假设（三条假设）。

（1）当n充分大时，k1k2k3…kn中0和1的个数各占约一半。

（2）当n充分大时，在k1k2k3…kn中，长度为l的比特串10…01（称为0游程）的个数约有n/2l个；长度为l的比特串01…10（称为1游程）的个数约有n/2l个。

（3）若k0，当n充分大时，以下的值（称为异相自相关函数值）约为0。

1n（?

1）?

l?

1nkl?

kl?

k

（九）回答下列问题：

1.一个周期的布尔序列一定是线性反馈移位寄存器序列吗？

为什么？

定理如果一个比特流是一个周期序列，则它一定是线性反馈移位寄存器序列。

证明设比特流k的最小周期是n。

则

ln后，kl=kl-n。

因此比特流k为n阶线性反馈移位寄存器序列，抽头系数为{c1、c2、…、cn}={0、0、…0、1}（即极小多项式f（x）=1‘+’xn），初始状态为k1k2k3…kn。

2.n阶线性反馈移位寄存器序列的最小周期的上确界是什么？

（2n-1）最小周期达到该上确界的序列称为什么序列？

（n阶m序列）当n阶线性反馈移位寄存器序列的最小周期达到该上确界时，对golomb随机性假设的符合程度是怎样的？

完全满足golomb随机性假设.

（3.1）k在自己的一个最小周期内（即连续2n-1个比特内），0出现2n-1-1次，1出现2n-1次。

（3.2）取定j，3≤j≤n，观察k的连续2n-1个长j的比特串：

klkl+1kl+2…kl+j-1，l=1,2,…,2n-1。

10…01出现2n-j次；（长为j-2的0游程）

01…10出现2n-j次。

（长为j-2的1游程）

观察k的连续2n-1个长n+1的比特串：

kl~kl+n，l=1~2n-1。

10…01出现1次。

（长为n-1的0游程）

观察k的连续2n-1个长n+2的比特串：

kl~kl+n+1，l=1~2n-1。

01…10出现1次。

（长为n-1的0游程）

（3.3）对任何1≤j≤2n-2，下式接近0。

（自相关函数）

1n2?

12n?

1?

1（?

1）?

lkl?

kl?

j?

1?

n2?

1

这样的序列为什么不能直接作为密钥流？

不能直接作为密钥流的原因为:

eve如果得到任何一段连续2n个比特,就获得了一个关于抽头系数的方程组,由于加法和乘法都是在域gf

（2）上进行（mod2运算）,容易计算出抽头系数,从而被攻破。

解法：

如果n阶线性反馈移位寄存器序列用作密钥流，攻击者eve截获了密文段c1c2c3…c2n，并知道了对应的明文段m1m2m3…m2n，因此计算出了对应的废弃密钥段k1k2k3…k2n。

则eve获得了关于抽头系数{c1、c2、…、cn}的以下方程组。

kl=c1kl-1‘+’c2kl-2‘+’…‘+’cnkl-n，

其中l=n+1，n+2，…，2n。

注意到这是在有限域gf

（2）上的线性方程组，很容易解出抽头系数{c1、c2、…、cn}。

实际上，当eve获得了n阶线性反馈移位寄存器序列的任何一段的连续2n个比特kj+1kj+2kj+3…kj+2n，他就获得了关于抽头系数{c1、c2、…、cn}的以下方程组。

kl=c1kl-1‘+’c2kl-2‘+’…‘+’cnkl-n，

其中l=j+n+1，j+n+2，…，j+2n。

?

kj?

nkj?

n?

1?

kkj?

n?

1j?

n?

?

?

?

?

kkj?

2n?

2?

j?

2n?

1?

特，eve就获得了整个密钥流。

?

kj?

n?

1?

?

kj?

1?

?

c1?

?

?

?

?

?

?

kj?

2?

?

c2?

kj?

n?

2?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

kj?

n?

?

?

?

cn?

?

kj?

2n?

?

以上方程组中的加法和乘法都是在域gf

（2）上进行的（即（mod2）运算）。

以上事实说明，当eve获得了n阶线性反馈移位寄存器序列的任意连续2n个比

【篇三：

现代密码学试卷（含答案）】

信息安全专业2004级“密码学”课程考试题

（卷面八题，共100分，在总成绩中占70分）

一、单表代替密码（10分）

①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文m＝wewi

②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥

二、回答问题（10分）

①在公钥密码的密钥管理中，公开的加密钥ke和保密的解密钥kd的秘密性、真实性和完整性都需要确

保吗？

说明为什么？

②简述公钥证书的作用？

三、密码比较，说明两者的特点和优缺点。

（10分）

对des和aes进行比较，说明两者的特点和优缺点。

四、设a＝[01，02，03，04]t，b＝[b0,b1,b2,b3]t，利用反对数表查表计算aes中的列混淆，求出b。

（10分）

五、设g（x）=x4+x2+1，g（x）为gf

（2）上的多项式，以其为连接多项式组成线性移位寄存器。

画出逻辑

框图。

设法遍历其所有状态，并写出其状态变迁及相应的输出序列。

（15分）

六、考虑rsa密码体制：

（15分）

1.取e=3有何优缺点？

取d=3安全吗？

为什么？

2.设n=35，已截获发给某用户的密文c＝10，并查到该用户的公钥e=5，求出明文m。

七、令素数p=29,椭圆曲线为y2=x3+4x+20mod29,求出其所有解点，并构成解点群，其解点群是循环

群吗？

为什么？

。

（15分）

八、在下述站点认证协议中函数f起什么作用？

去掉f行不行？

为什么?

（15分）

设a，b是两个站点，a是发方，b是收方。

它们共享会话密钥ks，f是公开的简单函数。

a认证b是否是

他的意定通信站点的协议如下：

1.a产生一个随机数rn，并用ks对其进行加密：

c＝e（rn，ks），并发c给b。

同时a对rn进行

f变换，得到f（rn）。

2.b收到c后，解密得到rn＝d（c，ks）。

b也对rn进行f变换，得到f（rn），并将其加密成c’

＝e（f（rn），ks），然后发c’给a。

3.a对收到的c’解密得到f（rn），并将其与自己在第①步得到的f（rn）比较。

若两者相等，则a

认为b是自己的意定通信站点。

否则a认为b不是自己的意定通信站点。

参考答案

（卷面八题，共100分，在总成绩中占70分）

一、单表代替密码（10分）

①使加法密码算法称为对合运算的密钥k称为对合密钥，以英文为例求出其对合密钥,并以明文m＝wewillmeetatmornin②一般而言，对于加法密码，设明文字母表和密文字母表含有n个字母，n为≥1的正整数，求出其对合密钥k。

解答：

1.加法密码的明密文字母表的映射公式：

a为明文字母表,即英文字母表，b为密文字母表，其映射关系为：

j=i＋kmod26

显然当k=13时，j=i＋13mod26，于是有i=j＋13mod26。

此时加法密码是对合的。

称此密钥k=13为对合密钥。

举例：

因为k=13，所以明文字母表a和密文字母表b为

第一次加密：

m＝wewillmeetatmorning

c＝jrjvyyzrrgogzbeavat

第二次加密：

c＝wewillmeetatmorning?

?

还原出明文，这说明当k=13时，加法密码是对合的。

称此密钥为对②设n为模，若n为偶数，则k=n/2为对合密钥。

若n为奇数，n/2不是整数，故不存在对合密钥。

二、回答问题（10分）

1）在公钥密码的密钥管理中，公开的加密钥ke和保密的解密钥kd的秘密性、真实性和完整性都需要确保吗？

说明为什么？

解答：

①公开的加密钥ke：

秘密性不需确保，真实性和完整性都需要确保。

因为公钥是公开的，所以不需要保密。

但是如果其被篡改或种安全性将受到破坏，坏人将可冒充别人而获得非法利益。

②保密的解密钥kd：

秘密性、真实性和完整性都需要确保。

因为解密钥是保密的，如果其秘密性不能确保，则数据的秘密性和真性将不能确保。

③举例

（a）攻击者c用自己的公钥置换pkdb中a的公钥：

（b）设b要向a发送保密数据，则要用a的公钥加密，但此时已被换为c的公钥，因此实际上是用c的公钥加密。

（c）c截获密文，用自己的解密钥解密获得数据。

2）简述公钥证书的作用？

公钥证书是一种包含持证主体标识，持证主体公钥