(2)Diffie-Hellman秘钥预分发
(3)秘钥分配方案假定TA与每个网络用户共享一个秘密秘钥
①Needham-Schroeder会话秘钥方案
Needham-Schroeder方案的已知会话秘钥攻击:
②Kerberos密钥分发方案
NS方案存在Denning-Sacco攻击，但Kerberos方案通过检查时间和有效期来限定了实施Denning-Sacco攻击的时间周期
第二章香农理论
5.密码体制安全性准则
计算安全性（Computational security）
可证明安全（Provable Security）
无条件安全（unconditional security）
第三章分组密码
6.SPN网络概念文字描述加密过程计算：
SPN网络是指在迭代加密过程中使用了代换和置换的加密网络。
注意gcd(b, (n))=1 ,否则b的逆不存在
21.(1)RSA正确性的证明
① ，由于 ，所以有
② n/ ,
综上，可证RSA是正确的
(2)对RSA的攻击
(1)分解n
一般推荐p,q取512比特的素数，n就是1024比特的模数，分解超过了现有因子算法的能力
(2)计算 (n),但不比因式分解n容易
n = pq , (n)= (p-1)(q-1)
27.RSA签名认证方案
K={(n,p,q,a,b): n = pq, p,q为素数ab (mod )}
(n,b)为公钥,(p,q,a)为私钥
定义
以及 ,其中x,y
验证算法使用RSA的加密规则
伪造签名：
(1)选择y← ,并计算 ,则y是x的有效签名(唯秘钥攻击的存在性造)
(2)已知合法消息签名对(x1,y1),(x2,y2),可以构造x1x2的签名为y1y2(已知消息攻击的存在性伪造)
17.HMAC(找到伪造)很有可能出课后练习题？
第五章RSA密码体制Rabin
18.PPT上的照片
19.数论知识如计算28-1 mod 75
(1)扩展欧几里Extended Euclidean Algorithm(a, b)
,
例:计算28-1 mod 75
i
075 10
1 28 2 0 1
2 19 1 1-2
SPN网络的主要过程要求掌握其中一步的计算，给出S盒和P盒。见教材P59例3.1
SPN有Nr轮,在每一轮(最后一轮有所不同),先用异或操作混入该轮的轮秘钥,再用 进行m次代换,然后用 进行一次置换
7.SPN的线性密码分析思想
(1)通过分析S-盒，找到一个明文比特子集与最后一轮即将进行代换的输入状态比特子集之间的一个概率线性关系，即存在一个比特子集使得其中元素的异或表示出非随机的分布。
Pad(x)是由函数填充对x作用后得到的,如：填充|x|的值,并填充一些额外的比特(比如0)
(2)Merkle-Damgard(课本P102)
15.SHA-1参数：消息摘要大小160，消息大小x小于2^64，分组大小512，步数80。
16.Hash函数的安全性
对于长度为n的理想HASH算法，找到原像、弱碰撞和强碰撞需要穷举的消息数分别为：
(3)已知x,计算x x1x2modn ,分别请求计算x1和x2的签名y1和y2,则x的签名为y1y2
(选择消息攻击的选择性伪造)
28.签名和Hash函数
对消息x签名，首先生成消息摘要z=h(x)，然后计算z的签名y= 。将有序对(x,y)在信道上传输。验证者首先通过公开Hash函数重构消息摘要z=h(x),然后检查 。
解密密钥不能从加密密钥推算出来，反过来不一定成立。
2.加密算法的安全性
加密算法的安全性由能抵抗的攻击和达到的安全目标来衡量
(1)加密算法的安全目标：
攻击者不能获得解密密钥
攻击者不能获得明文
攻击者不能获得明文的任何部分信息
攻击者不能获得明文的任何函数
(2)假设攻击者已知加密算法的实现细节，在未知密钥的情况下，攻击密码系统的强度由弱到强的四种基本攻击：
(2)假定希望破解的密钥，然后在该密钥下验证概率线性关系，最后确定密钥的部分比特。
线性密码分析是已知明文攻击。
8.Feistel密码结构，只要求掌握计算其中一步：
9.(1)DES加密算法标准
基本参数：DES是一个16轮的Feistel型密码，分组长度为64，用一个56比特的密钥来加密一个64比特的明文串，并获得一个64比特的密文串。
DES加密过程不要求掌握。
S盒的查询(课本例3.4)
(2)AES加密标准概要
算法基本参数：
AES分组长度为128,迭代型密码,轮数依赖于秘钥长度,有三种可选秘钥长度
密钥长度128，加密轮数10；
密钥长度192，加密轮数12；
密钥长度256，加密轮数14；
AES的4个步骤查表（步骤MixColumns不考）
(1)实数上的椭圆曲线
点的运算如给出曲线与x算出y, 等要求掌握椭圆曲线上的加法运算。
方程
情形1
情形2 ， 时，第三点就是O，(x,y)+(x,-y) = O
情形3 ，
(2)模素数的椭圆曲线(课本P205例6.8)
25.Diffie-Hellman问题（难度关系）
CDHDDH问题
第七章签名方案
26.数字签名介绍攻击目标
选择密文攻击(Chosen-ciphertext attack)：分析者可以根据破解需要，选择系列密文并获得对应的明文，恢复出其他密文的明文或者密钥。
3.密码学提供的安全服务
机密性（Confidentiality），又称私密性
机密性是指保证信息与信息系统不被非授权者所获取与使用。
完整性（integrity）
唯密文攻击（Ciphertext-only attack)：分析者通过同一密钥加密的密文，恢复出明文或者密钥。
已知明文攻击(Known-plaintext attack)：分析者通过同一密钥加密的明文/密文对，恢复出其他密文的明文或者密钥。
选择明文攻击(Chosen-plaintext attack)：分析者可以根据破解需要，选择系列明文并获得对应的密文，恢复出其他密文的明文或者密钥。
(1)数字签名介绍
(2)签名方案的攻击模型
1）唯密钥攻击（key-only attack）
2）已知消息攻击（Know Message Attack）
2）选择消息攻击（Chosen Message Attack）
(3)攻击者的目标
1）选择性伪造（Selective Forgery)
2）存在性伪造（Existential Forgery）
过程：
1.给定一个明文x，将State初始化为x，并进行AddRoundKey操作。
2.对于前Nr-1轮中的每一轮，即从第一轮到倒数第二轮，用S盒对State进行一次代换操作SubBytes(查S盒)；对State做一次置换ShiftRows，再对State做一次操作MixColumns，然后进行AddRoundKey操作。
密钥协商是指网络用户通过一个交互协议来建立会话密钥的情形。这样的协议称为密钥协商方案，并且记为KAS。密钥协商可以基于对称密码体制，也可以基于公钥密码体制，通常不需要一个在线的TA。
(2)Diffie-Hellman秘钥协商方案
(3)STS端-端秘钥协商方案
(4)MTI/A0密钥协商方案
29.椭圆曲线数字签名
第八章身份识别和实体认证
30.实体认证
(1)不安全的挑战-响应方案
(2)安全问题(并行会话攻击)
Oscar正在向Bob模仿Alice，Oscar发起第二个会话，主动让Bob来识别自己
(3)安全的挑战-响应方案(身份标识ID抵抗并行会话攻击)
由于K只有Alice和Bob知道，Oscar不可能构造出MACk(ID(Alice||r))
安全性证明(课本P279)
(4)无法抵抗的攻击
31.双向认证（很大可能出习题）
(1)内容
(2)不安全的交互挑战-响应方案
攻击:把一个会话中的消息重用到另一个会话的不同消息流中
(3)安全的交互挑战-响应方案:保证每个消息流以不同的方式计算
32.公钥身份识别方案
(1)证书
Bob想确认Alice公钥( )的真实性，Alice把证书发给Bob，Bob通过验证TA的签名： (ID(Alice)|| ,s)= true
(2)安全的公钥身份识别方案
(3)不安全的公钥身份识别方案
并行会话攻击:第三个消息流签名的构造方式与第二个消息流构造方式相同3
第九章秘钥分配秘钥协商方案
33.(1)会话秘钥分发
在会话密钥分发中，当网络用户请求会话密钥时，一个在线的TA选择会话密钥并通过一个交互协议分发给他们。这样的协议称为会话密钥分发方案并记为S。会话秘钥用于在指定的、相当短的时间内加密信息。会话秘钥由TA利用事先分发的秘密秘钥进行加密(假定每个网络用户拥有一个秘密秘钥，其值为TA所知)
3 9 2-1 3
4 1 9 3-8
3×75– 8×28=1 , mod 75 = -8 mod 75 = 67
(2)中国剩余定理
(3)乘法群的相关定理，本原元的证明
的阶为 (n), 为模n的余数与n互素的全体
20.RSA的过程见教材P136例5.5
和
其中n=p×q, ab mod (n))
公钥：n,b私钥：a,p,q
③Bellare-Rogaway方案
方案没有实现密钥确认。也就是说，Alice/Bob在收到会话密钥后无法确认Bob/Alice也获得了会话密钥
该方案可以保证任何其他人都不能计算出新的会话密钥。否则，就存在一个多项式时间算法要么可以攻陷加密算法，要么可以攻陷MAC算法。(证明见PPT18)