現(xiàn)代密碼學(xué)知識點整理：16頁

1、第一章 基本概念 1. 密鑰體制組成部分：明文空間，密文空間，密鑰空間，加密算法，解密算法2、一個好密鑰體制至少應(yīng)滿足的兩個條件：（1）已知明文和加密密鑰計算密文容易；在已知密文和解密密鑰計算明文容易；（2）在不知解密密鑰的情況下，不可能由密文c推知明文3、密碼分析者攻擊密碼體制的主要方法：（1）窮舉攻擊 （解決方法:增大密鑰量）（2）統(tǒng)計分析攻擊（解決方法：使明文的統(tǒng)計特性與密文的統(tǒng)計特性不一樣）（3）解密變換攻擊（解決方法：選用足夠復(fù)雜的加密算法）4、四種常見攻擊（1）唯密文攻擊：僅知道一些密文（2）已知明文攻擊：知道一些密文和相應(yīng)的明文（3）選擇明文攻擊：密碼分析者可以選擇一些明文并得到

2、相應(yīng)的密文（4）選擇密文攻擊：密碼分析者可以選擇一些密文，并得到相應(yīng)的明文【注：以上攻擊都建立在已知算法的基礎(chǔ)之上；以上攻擊器攻擊強度依次增加；密碼體制的安全性取決于選用的密鑰的安全性】第2章 古典密碼（1） 單表古典密碼 1、定義：明文字母對應(yīng)的密文字母在密文中保持不變2、 基本加密運算設(shè)q是一個正整數(shù)，（1）加法密碼 加密算法： ，密文為： 密鑰量：q（2） 乘法密碼加密算法：，密文為：解密算法：密鑰量：（3） 仿射密碼加密算法：；密文 解密算法：密鑰量：（4） 置換密碼加密算法： ，密文密鑰量：仿射密碼是置換密碼的特例3. 幾種典型的單表古典密碼體制（1） Caeser體制：密鑰k=3（

3、2） 標(biāo)準(zhǔn)字頭密碼體制：4. 單表古典密碼的統(tǒng)計分析（1）26個英文字母出現(xiàn)的頻率如下：頻率約為0.120.06到0.09之間約為0.04約0.015到0.028之間小于0.01字母et,a,o,i.n,s,h,rd,lc,u,m,w,f,g,y,p,bv,k,j,x,q,z【注：出現(xiàn)頻率最高的雙字母：th；出現(xiàn)頻率最高的三字母：the】（二）多表古典密碼1. 定義：明文中不同位置的同一明文字母在密文中對應(yīng)的密文字母不同2.基本加密運算（1）簡單加法密碼加密算法:,密文：密鑰量：（2）簡單乘法密碼密鑰量：1. 簡單仿射密碼密鑰量：2. 簡單置換密碼密鑰量：（3）換位密碼密鑰量：（4）廣義置換密

4、碼密鑰量：（5）廣義仿射密碼密鑰量：3. 幾種典型的多表古典密碼體制（1） Playfair體制：密鑰為一個5X5的矩陣加密步驟：a.在適當(dāng)位置闖入一些特定字母，譬如q,使得明文字母串的長度為偶數(shù)，并且將明文字母串按兩個字母一組進行分組，每組中的兩個字母不同。b.明文對應(yīng)的密文的確定：同行或同列，則為后的字符，為后的字符；若既不同行也不同列，則在所確定的矩形的其他兩個角上，和同行，和同行。（2） Vigenere體制設(shè)明文，密鑰則密文：，其中當(dāng)密鑰長度比明文長度短時，密鑰可周期性地重復(fù)利用。（3） Vernam體制設(shè)明文，密鑰其中，則密文，其中（4） Hill體制設(shè)明文，密文，密鑰為上的nXn

5、街可逆方陣，則：4. 多表古典密碼的統(tǒng)計分析（1） 分析步驟:確定密鑰字的長度；確定密鑰的內(nèi)容（2） 確定密鑰字的常用方法：Kasisiki測試法和重合指數(shù)法Kasisiki測試法可以找出可能密鑰；而重合指數(shù)法可以進一步確定密鑰kasisiki測試法步驟：a.尋找密文中長度至少為3的相同的密文片段；b.計算沒對密文片段之間的距離為；c.計算可能密鑰重合指數(shù)法： 其中分別為英文字母A,B,.,Z在長度為n的英文字符串中出現(xiàn)的次數(shù)，及各字符出現(xiàn)的概率第3章 香農(nóng)理論1、 密碼體制各組成部分的熵之間的關(guān)系： 2、 語言L的冗余度：3、 偽密鑰（1） 定義:密碼分析者得到眾多可能密鑰中除正確密鑰之外的

6、一個密鑰（2） 對于任意一個密文，用不同的密鑰進行解密，如果得到的有意義的明文越多，則偽密鑰也越多。這是判斷哪個密鑰正確的難度就越大。（3） 對于一個密鑰體制，設(shè)X是明文字母表，Y是密文字母表，并且|X|=|Y|，設(shè)是明文語言的冗余度，假設(shè)密鑰的選取滿足均勻分布，則對于任意一個場地為n的密鑰字母串，當(dāng)n充分大時，萎靡要的期望數(shù)目滿足：（4） 唯一解距離令，解之：一個密鑰體制的唯一解距離就是密碼分析者在有足夠的計算時間的情況下，能夠唯一的計算出正確密鑰所需的密文的平均長度。明文語言的冗余度越大，唯一解距離就越小，密碼分析者在唯密文攻擊的情況下就越容易求得正確的密鑰。第三章 DES （一）DES算

7、法 1.基本參數(shù)分組加密算法：明文和密文為64位分組長度對稱算法：加密和解密除密鑰編排不同外，使用同一算法密鑰長度：有效密鑰56位，但每個第8位為奇偶校驗位，可忽略密鑰可為任意的56位數(shù)，但存在弱密鑰，容易避開采用混亂和擴散的組合，每個組合先替代后置換，共16輪2. 加密流程圖3. 子密鑰的產(chǎn)生（2） 分組密碼的工作模式1. 分類電碼本(ECB)模式密碼分組鏈接(CBC)模式密碼反饋(CFB)模式輸出反饋(OFB)模式計數(shù)器模式(CTR)2. 總評（1）ECB模式簡單、高速，但最弱，易受重發(fā)和替換攻擊，一般不采用。（2）CBC，CFC，OFB模式的選用取決于實際的特殊需求。（3）明文不易丟信號

8、，對明文的格式?jīng)]有特殊要求的環(huán)境可選用CBC模式。需要完整性認證功能時也可選用該模式。（4）不易丟信號，或?qū)γ魑母袷接刑厥庖蟮沫h(huán)境，可選用CFB模式。（5）信號特別容易錯，但明文冗余特別多，可選用OFB模式。第4章 AES1. AES的理論基礎(chǔ)(1) AES的字節(jié)運算 AES中一個字節(jié)是用有限域GF(28)上的元素表示 ，通過倍成函數(shù)xtime（）實現(xiàn)(2) AES的字運算 AES中的32位字表示為系數(shù)在有限域GF(28)上的次數(shù)小于4的多項式，即2. AES加密（1）AES密碼是一種迭代式密碼結(jié)構(gòu)，但不是 Feistel 密碼結(jié)構(gòu) （2）對于AES算法，算法的輪數(shù)依賴于密鑰長度:將輪數(shù)表示

9、為Nr，當(dāng)Nk =4時,Nr10;當(dāng)Nk =6時,Nr12;當(dāng)Nk =8時Nr14 。【其中：密鑰的列數(shù)記為Nk， Nk =密鑰長度（bits）32(bits) 。 Nk可以取的值為4、6和8，對應(yīng)的密鑰長度分別為128位、192位和256位】（3）加密過程：（以128位為例） AES需迭代十輪，需要11個子密鑰。 前面9輪完全相同，每輪包括4階段，分別是字節(jié)代換（SubBytes）、行移位（Shift Rows）、列混淆（Mix Columns）和輪密鑰加（Add Round Key）；最后一輪只3個階段，缺少列混淆。 3. AES的解密 加密的逆過程4. AES的安全性 （1）抗差分分析和

10、線性分析（基于軌跡策略） （2）抗窮舉密鑰攻擊 （3）對密鑰的選擇沒有任何限制，還沒有發(fā)現(xiàn)弱密鑰和半弱密的存在 第五章 RSA（1） 公鑰密碼體制1. 為解決的兩個問題：密鑰的分配；數(shù)字簽名2. 對公鑰密碼體制的攻擊（1） 窮舉法（2） 根據(jù)公鑰計算私鑰 （2） RSA算法1. 體制原理（1) 選取兩個大素數(shù)p和q（保密）（2) 計算n=pq(公開)，（保密）（3) 隨機選取正整數(shù)e,滿足，e是公開的加密密鑰。（4) 計算d，滿足，d是保密的解密密鑰。（5) 加密變換：對明文，密文為（6) 解密變換：對密文，明文為【解密變換是加密變換的逆變換的證明】2. p和q選擇的限制（1） p和q的長度應(yīng)

11、該差不多（2） 都應(yīng)該包含大的素因子（3） 應(yīng)該很?。?） 大素數(shù)生成1. 素數(shù)分布定定理： 設(shè)x 0,(x)為不大于x 的素數(shù)的個數(shù), 則?！咀ⅲ核財?shù)的分布極不均勻，素數(shù)越大，分布越稀疏。】2.Legendra符號設(shè)p2是一個素數(shù)，對任意整數(shù),3.Jacobi符號4.模n的大數(shù)冪乘的快速算法5.素性測試測試的主要依據(jù)：設(shè)p2是一個素數(shù)，則對于任意整數(shù)，第6章 序列密碼與移位寄存器1. 序列密碼的基本原理2. 移位寄存器與移位寄存器序列(1) 基本構(gòu)造反饋移位寄存器序列：反饋移位寄存器狀態(tài)序列：（2） 線性移位寄存器的表示生成矩陣： （3） 線性移位寄存器序列極小多項式與周期 定義：對于一 個

12、移位寄存器序列a，稱其聯(lián)系多項式中次數(shù)最低的多項式為a的極小多項式。定義：滿足f(x)|1-xr 的最小正整數(shù)r為f(x)的周期，記為p(f(x)，簡記為p(f)。EG：的周期為5，因為，故其極小多項式為（4） 線性移存器序列的n階m序列定義：n級線性反饋移存器的最長周期:，能達到最長周期的線性移存器序列稱為m序列。本原多項式:若n次多項式f(x)是不可約多項式且p(f)=qn-1，則稱f(x)是GF(q)上的本原多項式。以本原多項式為聯(lián)系多項式產(chǎn)生的非零序列均是m序列m序列的偽隨機性m序列的游程分布規(guī)律將n級m序列的一個周期段首尾相接，其游程總數(shù)為；其中沒有長度大于n的游程；有1個長度為n的

13、1游程，沒有長度為n的0游程；沒有長度為 n-1的1游程，有1個長度為n-1的0游程；有個長度為的1游程，有個長度 為的0游程。m序列密碼的破譯（5） 線性移存器遞推式的求解 解方程法：已知序列a是由n級線性移存器產(chǎn)生的，且知a的連續(xù)2n位，可用解線性方程組的方法得到線性遞推式。 B-M迭代算法 流程圖：幾個重要結(jié)論A） 設(shè)是GF(q)上的一個長度為N的序列，作為B-M算法的輸入。設(shè)是B-M算法的最終輸入結(jié)果，則一定是的線性綜合解B） 設(shè)是GF(q)上的一個長度為N的序列。有唯一線性綜合解的充要條件為:C） 設(shè)是GF(q)上的一個長度為N的序列。是能產(chǎn)生并且階數(shù)最小的線性移位寄存器的階數(shù)。則當(dāng)

14、時，有個線性綜合解。第七章 數(shù)字簽名1. 數(shù)字簽名的特性:可信的；不可偽造的；不可復(fù)制的；不可改變的；不可抵賴的。2. 基于公鑰密碼的數(shù)字簽名RSA數(shù)字簽名描述如下：（1） 秘密選取兩個大素數(shù)p和q。（2） 計算，n公開，保密（3） 隨機選取正整數(shù)，滿足，e是公開的密鑰（4） 計算d，滿足.d是保密密鑰（5） 簽名變換：對于消息，則簽名為：（6） 簽名驗證：對于，如果，則確認s為消息m的有效簽名。第8章 Hash 函數(shù)1. 作用：保證數(shù)據(jù)的完整性和認證性(主要用于鑒別)2. 定義：Hash函數(shù)常用來構(gòu)造數(shù)據(jù)的短“指紋”：消息的發(fā)送者使用所有的消息產(chǎn)生一個附件也就是短“指紋”，并將該短“指紋”與

15、消息一起傳輸給接收者。【即使數(shù)據(jù)存儲在不安全的地方，接收者重新計算數(shù)據(jù)的指紋，并驗證指紋是否改變，就能夠檢測數(shù)據(jù)的完整性。這是因為一旦數(shù)據(jù)在中途被破壞，或改變，短指紋就不再正確?！?3. Hash函數(shù)的性質(zhì)：（1） 單向性 給定一個Hash值y，如果尋找一個消息x，使得y=h (x)是計算上不可行的，則稱h是單向Hash函數(shù) （2）若抗碰撞性任給一個消息x，如果尋找另一個不同的消息x，使得h(x) =h(x)是計算上不可行的，則稱h是弱抗碰撞Hash函數(shù). （3）強抗碰撞性 如果尋找兩個不同的消息x和x，使得h(x)=h(x)是計算上不可行的，則稱h是強抗碰撞Hash函數(shù)4. Hash函數(shù)的攻

16、擊方法（1） 窮舉攻擊：典型的生日攻擊（2） 利用散列函數(shù)的代數(shù)結(jié)構(gòu)：攻擊其函數(shù)的弱性質(zhì)。通常的有中間相遇攻擊、修正分組攻擊和差分分析攻擊等。 5. 基于分組密碼的Hash函數(shù)（1） 基于分組密碼的CBC工作模式 （2） 基于分組密碼的CFC工作模式 6. MD4算法（1）步驟 MD4算法的輸入可以是任意長度的消息x，對輸入消息按512位的分組為單位進行處理，輸出128位的散列值MD(x)。整個算法分為六個步驟。步驟1：消息的預(yù)處理步驟:2: 增加填充位步驟3: 附加消息長度值填充方法是把64比特的長度分成兩個32比特的字，低32比特字先填充，高32比特字后填充步驟4: 初始化MD緩沖區(qū)步驟5: 以512位的分組(16個字)為單位處理消息步驟6: 輸出（2） 算法描述第9章 密鑰協(xié)議1. 密鑰分配（1） 定義：通信雙方中的一方選取一個秘密密鑰，然后傳送