现代密码学期末复习26问

1、判断：密码学中存在的一次一密的密码体制，它是绝对安全的
不正确，一次一密只是理论上的，现实中的密码体制并不存在绝对安全

2、根据置换表，给出abcdefghi的置换密文
（属于古典密码知识，复习书上P8）

3、密码体制包括：明文空间，密文空间，密钥空间

4、DES算法明文分组长为64bit,密钥长为64bit，数据位56bit，8位是校验位(第三章p39 DES知识）

5、密码学数学难题：大整数因数分解问题，离散对数问题，椭圆曲线离散对数问题，基于格的问题

大整数因数分解问题
给定两个大素数p,q,计算乘积 p ∗ q = n pq=np∗q=n很容易；
给定大整数n，求n的素因素p,q使得 n = p ∗ q n=pqn=p∗q非常困难

离散对数问题
已知 a 计算 ga = h；得出h很简单
已知 h 计算 ga = h；得出a非常困难

椭圆曲线离散对数问题
已知有限域F_p上的椭圆曲线点群
E(F_p)={(x,y)∈F_p×F_p∣y²=x³+ax+b,a,b∈F_p}∪{O}，
点P=(x,y)的阶为一个大素数.
Ⅰ）给定整数a，计算整数x，使得xP=(x_a,y_a)=Q很容易；
Ⅱ）给定点Q，计算整数x，使得xP=Q非常困难.

6、找出任意两个不同的输入x,y，使得H(y)=H(x)，在计算上是不可行的，则称其为强单向哈希函数，用于抵抗生日攻击。（P162 哈希函数满足的性质，P164生日攻击概念）

7、哈希函数有哪些？（P166 P178）
MD5，SHA1 ，SHA224，SHA256，SHA384，SHA512 国密：SM3

8、数字签名包括签名和验证过程。（P183 第7章数字签名）
数字签名包括不可伪造性，认知性，不可重复，不可修改性，不可否认性

9、秘密传输不属于密钥分配方法
P135所描述的密钥分配方

10、
P7（对秘密系统的四种攻击类型）
（1）、唯密文攻击
　　在惟密文攻击中，密码分析者知道密码算法，但仅能根据截获的密文进行分析，以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文，这是对密码分析者最不利的情况。
　　（2）、已知明文攻击
　　已知明文攻击是指密码分析者除了有截获的密文外，还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法，这种算法可以对用该密钥加密的任何新的消息进行解密。
　　（3）、选择明文攻击
　　选择明文攻击是指密码分析者不仅可得到一些“明文—密文对”，还可以选择被加密的明文，并获得相应的密文。这时密码分析者能够选择特定的明文数据块去加密，并比较明文和对应的密文，已分析和发现更多的与密钥相关的信息。
　　密码分析者的任务目标也是推出用来加密的密钥或某种算法，该算法可以对用该密钥加密的任何新的消息进行解密。
　　（4）、选择密文攻击
　　选择密文攻击是指密码分析者可以选择一些密文，并得到相应的明文。密码分析者的任务目标是推出密钥。这种密码分析多用于攻击公钥密码体制。

11、主动攻击包括中断，篡改，伪造。
被动攻击包括消息内容泄露，业务流分析 （P1、2）

12 、DES明文分组长度为64bit（P38）

13、四种对密码攻击中唯密文攻击最难，因为攻击者直到的信息最少，一般采取穷搜索法（暴力破解），对截获的密文依次用所有可能的密钥尝试。直到获得有意义的明文。（P7-8）

14、分组密码的本质为混淆与扩散（第三章内容）

15、哈希函数是一种公开函数，用于将任意长的消息M映射为较短、固定长度的一个值H(M)（哈希值或者消息摘要）。
（1）Hash的定义
Hash，一般翻译做“散列”，也有直接音译为"哈希"的，就是把任意长度的输入通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。简单的理解就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

（2）MAC的定义
消息认证码（带密钥的Hash函数）:密码学中，通信实体双方使用的一种验证机制，保证消息数据完整性的一种工具。安全性依赖于Hash函数，故也称带密钥的Hash函数。消息认证码是基于密钥和消息摘要所获得的一个值，可用于数据源发认证和完整性校验。
（3）两者的区别
通过定义可以发现MAC是通过MAC算法+密钥+消息生成的。MAC算法有很多种。我们常用的Hash算法，有MD5、SHA等。而用这些Hash算法作为MAC算法，通过计算得到的MAC值，也就是HMAC，所以MAC与HMAC没有太大差别。
Hash与MAC的区别，Hash只能保证消息的完整性，MAC不仅能够保证完整性，还能够保证真实性。比如A想给B发送一条消息，A需要把消息内容和对应的消息摘要都发给B；B通过同样的摘要算法计算摘要，就可以知道消息是否被篡改。此时如果攻击者C将A发送的原始消息和摘要都篡改成新的消息和摘要，那么这个消息对B来说也是完整的，只不过不是A发的。而MAC含有密钥这个种子(只有A和B知道)，如果A将消息内容和MAC发给B，虽然C是仍然可以修改消息内容和MAC，但是由于C不知道密钥，所以无法生成与篡改后内容匹配的MAC。

16、
ElGamal加密算法是一个基于迪菲-赫尔曼密钥交换的非对称加密算法
基于离散对数问题

17、MD5结构是迭代型的，分组长度为512bit(P166)

18、密码分为密码编码学与密码分析学（简单理解为研究新的密码算法的和破解密码算法的）

19、无条件安全和计算安全概念（ P8）

20、现代流密码的设计源自于古典密码中的维吉尼亚密码，现代分组密码设计思想来源于古典密码的多字母代换密码

二者的区别：
分组密码以一定大小作为每次处理的基本单元，而流密码是以一个元素作为基本处理单元，

按照密钥的特征不同，可以分为对称密码与分对称密码

在流密码中，加密和解密每次只处理数据流的一个符号。在分组密码中，将大小为m的一组明文符号作为整体进行加密，创建出相同大小的一组密文。典型的明文分组大小是64位或者128位。

21、Diffie–Hellman (以下简称DH)密钥交换是一个特殊的交换密钥的方法。它是密码学领域内最早付诸实践的密钥交换方法之一。 DH可以让双方在完全缺乏对方(私有)信息的前提条件下通过不安全的信道达成一个共享的密钥。此密钥用于对后续信息交换进行对称加密。

1.发送方A构建密钥对，A公布公钥
2.接收方B根据A公布的公钥构建密钥对，B公布公钥
3.发送方A使用A构建的私钥+B公布的公钥对数据加密
4.接收方B使用B构建的私钥+A公布的公钥对数据解密

协议弱点：不能防范中间人攻击

22、国密算法SM2是基于椭圆曲线离散对数困难问题
SM2与RSA对比

23、RSA加密过程（P113） 举例略

24、（t,n）门限秘密共享方案(P150-154）

25、椭圆曲线加解密以及例子

26、略