密码学笔记（《密码学原理与实践》）

密码学笔记（《密码学原理与实践》）

第一章 古典密码学

1.1 几个简单的密码体制

注：小写代表明文，大写代表密文

分组密码： 单表代换密码：移位密码，代换密码，仿射密码

​ 多表代换密码：维吉尼亚密码，希尔密码

​ 非代换密码：置换密码

流密码：同步流密码，异步流密码

1.1.1 移位密码

密码体制：令$P=C=K=Z_{26}$ 有 $e_K(x)=(x+K)mod26d_K(y)=(x-K)mod26$ 并且当K=3时叫凯撒密码。密钥空间为26

1.1.2 代换密码

密码体制：令$P=C=Z_{26}$ 对任意的置换$\pi \in K$，有$e_{\pi }(x)=\pi (x)d_{\pi }(y)={\pi }^{-1}(y)$。密钥空间为 $26!$

1.1.3 仿射密码

加密函数形式：$e(x)=(ax+b)mod26$，要求仿射函数必须是单射，也就是同余方程$ax\equiv y(mod26)$有唯一解。

上述同余方程有唯一解$\iff gcd(a,26)=1$ ，证明略。

此时a的取值为0~25之间与26互素的数，共12个，b的取值为0~25。这时密钥空间为312。

将m推进到一般值，（记$\varphi (m)$为$Z_m$中与m互素的个数），此时密钥空间大小为$m\ast \varphi (m)$，由数论可知$\varphi (m)$的计算公式如下：

$对\forall m，一定存在m={\prod }_{i=1}^n{p}_i^{e_i},则\varphi (m)={\prod }_{i=1}^n(p_i^{e_i}-p_i^{e_i-1})$

下面讨论解密函数。

易知当且仅当$gcd(a,m)=1$，a在$Z_m$上存在唯一的乘法逆。记$a$的乘法逆为$a^{-1}$。

则有$d(y)=a^{-1}(y-b)mod26$

综上，仿射密码体制： 令 P = C = Z 26 ， 且 K = { ( a , b ) ∈ Z 26 × Z 26 ; g c d ( a , 26 ) = 1 } e K ( x ) = ( a x + b ) m o d 26 ; d K ( y ) = a − 1 ( y − b ) m o d 26 令P=C=Z_{26}，且K=\{(a,b)\in Z_{26}\times Z_{26};gcd(a,26)=1\}\\e_{K}(x)=(ax+b)mod 26; \quad d_{K}(y)=a^{-1}(y-b)mod 26 令P=C=Z26​，且K={(a,b)∈Z26​×Z26​;gcd(a,26)=1}eK​(x)=(ax+b)mod26;dK​(y)=a−1(y−b)mod26

1.1.4 维吉尼亚密码

密码体制：$$\begin{gathered} 令P=C=K=(Z_{26}{)}^m，对任意的密钥K=(k_1,k_2,...,k_m)， \\ 有e_k(x_1,x_2,...,x_m)=(x_1+k_1,x_2+k_2,...,x_m+k_m) \\ {d}_k(y_1,y_2,...,y_m)=(y_1-k_1,y_2-k_2,...,y_m-k_m) \end{gathered}$$

一次加密m个字母。密钥空间大小为$26^m$

1.1.5 希尔密码

在对明文采用线型加密的同时采用一次加密m个字母的方式。将全部m个明文分别用m组不同的权重线型加权得到密文。

因此密钥空间大小为$m\ast m$，一般采用矩阵的形式，记为$K=(k_{i,j})，加密过程为y=xK，解密过程为x=y{K}^{-1}$。

要求矩阵$K$可逆，$矩阵K在模26的情形下可逆\iff gcd(detK,26)=1$，证明略。

密码体制： 令 P = C = ( Z 26 ) m , ( m ⩾ 2 ) ， K = { 定 义 在 Z 26 上 的 m × m 可 逆 矩 阵 } 有 e K ( x ) = x K d K ( y ) = y K − 1 令P=C=(Z_{26})^m,(m \geqslant 2)，K=\{定义在Z_{26}上的m\times m可逆矩阵\} \\ 有e_K(x)=x K\\ d_K(y)=y K^{-1} 令P=C=(Z26​)m,(m⩾2)，K={定义在Z26​上的m×m可逆矩阵}有eK​(x)=xKdK​(y)=yK−1

1.1.6 置换密码

只改变明文中字母的位置，加密函数是双射。

密码体制： 令 P = C = ( Z 26 ) m ， K 由 所 有 定 义 在 集 合 { 1 , 2 , . . . , m } 上 的 置 换 组 成 ， 有 e k ( x 1 , x 2 , . . . , x m ) = ( x π ( 1 ) , x π ( 2 ) , . . . , x π ( m ) ) d k ( y 1 , y 2 , . . . , y m ) = ( y π − 1 ( 1 ) , y π − 1 ( 2 ) , . . . , y π − 1 ( m ) ) 令P=C=(Z_{26})^m，K由所有定义在集合\{1,2,...,m\}上的置换组成，\\有e_k(x_1,x_2,...,x_m)=(x_{\pi(1)},x_{\pi(2)},...,x_{\pi(m)})\\d_k(y_1,y_2,...,y_m)=(y_{\pi^{-1}(1)},y_{\pi^{-1}(2)},...,y_{\pi^{-1}(m)}) 令P=C=(Z26​)m，K由所有定义在集合{1,2,...,m}上的置换组成，有ek​(x1​,x2​,...,xm​)=(xπ(1)​,xπ(2)​,...,xπ(m)​)dk​(y1​,y2​,...,ym​)=(yπ−1(1)​,yπ−1(2)​,...,yπ−1(m)​)

置换密码是希尔密码的特殊形式，很容易找到置换$\pi$的关联置换矩阵$K_{\pi }$，且$K_{{\pi }^{-1}}=K_{\pi }^{-1}$。

1.1.7 流密码

同步流密码（密钥流与明文无关）

通过密钥生成器流和初始密钥$K$生成和明文长度一致的密钥流$z=z_1{z}_2...$，密钥流中的每个元素$z_i$都对应一套加密和解密规则，然后用密钥流中对应位置的密钥元素分别对明文进行加密得到密文。

如果始终存在$z_{i+d}=z_i$，那么称该流密码为周期为$d$的周期流密码。流密码通常以二元字符表示。

一种产生密钥流的方法：$给定2m个值k_1,k_2,...,k_m,c_0,c_2,...c_{m-1}\in Z_2，令z_{i+m}={\sum }_{j=0}^{m-1}{c}_j{z}_{i+j}mod2$。在这种方法下通过选择合适的$c_i$可以使任意非零初始向量$(k_1,k_2,...k_m)$产生周期为$2^m-1$的密钥流。

这种密钥流可以利用线性反馈移位器（LFSR）用硬件方式实现。

异步流密码（密钥流与明文有关）

根据明文生成密钥流，可能出现密钥空间较小不安全的问题。

1.2 密码分析

几种攻击模型：唯密文攻击，已知明文攻击，选择明文攻击，选择密文攻击

在唯密文攻击中，根据不同英文字母在大样本下的出现频率不同，可以结合这点进行攻击。

1.2.1 仿射密码分析

通过计算密文中各个字母出现的频率（数）推测明文字母与密文字母的映射关系，利用两对推测的映射关系解二元一次方程组得到$a,b$，要注意对$a$进行是否满足$gcd(a,26)=1$的验证，不满足的话说明映射关系推测错误，需要重新推测。

1.2.2 代换密码分析

代换密码比仿射密码复杂，但同样是依据字母出现的频率（数），同时结合两个字母组合以及三个字母组合的频率（数）来推断所有字母的映射关系。

1.2.3 维吉尼亚密码分析

首先要确定密钥长度m的值

kasiski测试法：找到长度至少为3的相同密文段，记下每个密文段到起始点密文段的距离${\delta }_i$，则可以猜测m为${\delta }_i$最大公因子的因子。

重合指数法：重合指数$I_c(x)$定义：对于长度为n的串$x=x_1{x}_2...x_n$，$I_c(x)$是$x$中两个随机元素相同的概率。

设$f_0,f_1,...,f_{25}$分别为$A,B,...,Z$在$x$中出现的频数，则$I_c(x)= \frac{\sum_{i=0}^{25}C_{f_i}2}{C_n^2} $

对于英文文本串$x$而言，设$p_0,p_1,...,p_{25}$分别为字母$A,B,...,Z$出现的期望概率，则$I_c(x)\approx {\sum }_{i=0}^{25}{p}_i^2=0.065$

对维吉尼亚密文串$y=y_1{y}_2...y_n$而言，每隔m个字母取出一个字母，这样将其分割成m个等长子串，即$y^1=y_1{y}_{m+1}{y}_{2m+1}...$

这样构造完毕后如果每个子串$y^i$的重合指数大约为0.065，则可以认为这个m就是密钥的长度。

确定密钥m的值之后需要确定密钥K

对于上述划分$y^1,y^2,...$，每一个子串$y^i$都相当于一组移位密码的密文，分别穷举26种可能的密钥，用类似重合指数的定义计算$M_g={\sum }_{i=0}^{25}\frac{p_i{f}_{i+g}}{n^{\prime }}$，找到最接近0.065的值就是密钥$k_i$的正确值。

1.2.4 希尔密码分析

希尔密码很难用唯密文攻击，但是可以采用已知明文攻击。

如果已知m和至少m对明-密文对，则可以选出m对利用矩阵的计算求出密钥矩阵K。

若不知道m则对m暴力穷举。

1.2.5 LFSR流密码分析

这里也介绍已知明文攻击

根据加密函数以及明-密文对不难求出若干个密钥流比特

假设m已知，已知明-密文对的长度为n，若$n⩾2m$，则可以写出m个方程去解m个未知数$c_0,c_1,...,c_{m-1}$。