（十）当非线性前馈序列用作密钥流时，哪三个部分可能作为通信伙伴的原始密 钥？初始状态，极小多项式，非线性布尔函数。 （十一）分组密码与流密码相比，有什么优点？ （分组密码与流密码相比,优点:加解密算法简洁快速,占用的计算资源小,易于软 件和硬件的实现;加解密算法参数固定,比流密码容易实现标准化;由于明文流被 分段加密,因此容易实现同步,而且传输错误不会向后扩散.） 有什么缺点？ （不容易使用硬件实现,安全性很难被证明,至多证明局部安全性.） 分组密码的 5 个设计准则是什么？ （安全性,简洁性,有效性,透明性和灵活性,加解密的相似性.）
像 Bob 一样对任何密文 c’进行解密： m’=D(c’, k)。 • 如果 Eve 从加密方程 c=E(m, z)中计算出加密密钥 z ，则 Eve 今后就可以像
Alice 一样对任何明文 m’进行加密： c’=E(m’, z)。
• 还可以给更加宽松的条件。设攻击者 Eve 获得了以往废弃的 n 组明文/密 文对：（m1，c1），（m2，c2），…， （mn，cn）。
1
2n 1
(1)kl klj
1
2n 1 l1
2n 1
这样的序列为什么不能直接作为密钥流？ 不能直接作为密钥流的原因为:EVE 如果得到任何一段连续 2N 个比特,就获得了一 个关于抽头系数的方程组,由于加法和乘法都是在域 GF(2)上进行(MOD2 运算),容 易计算出抽头系数,从而被攻破。
（三）叙述已知明文攻击。 设攻击者 Eve 截获了密文 c，并且知道了密文 c 所对应的明文 m 。（这种情况是 怎样发生的呢？当明文 m 是已经过期的消息，可能无法再保密，也可能必须将 其公开。因此，这种情况是经常发生的）于是：
• 在解密方程 m=D(c, k)中，Eve 知道 m 和 c，仅仅不知道解密密钥 k。 • 在加密方程 c=E(m, z)中，Eve 知道 m 和 c，仅仅不知道加密密钥 z。 • 如果 Eve 从解密方程 m=D(c, k)中计算出解密密钥 k ，则 Eve 今后就可以
（十四）在 DES、Rijndael、Safer+中，不具有加解密相似性的有（）。 DES 是加解密相似的。 RIJNDAEL 不是加解密相似的。 SAFER+解密算法就是简单地将加密算法的操作逆向进行。
（十五）IDEA 是加解密相似的。设加密算法的密钥子块的标号顺序为 (z11, z12, z13, z14)；(z15, z16)；(z21, z22, z23, z24)；(z25, z26)；…； (z81, z82, z83, z84)；(z85, z86)；(z91, z92, z93, z94)。 现在把解密过程用加密算法来实现，问：第 3 轮的 6 个密钥子块依次是什么？ （(z71-1, -z73, -z72, z74-1 )；(z65, z66)） 第 8 轮的 10 个密钥子块依次是什么？ （ (z21-1, -z23, -z22, z24-1 )；(z15, z16)；(z11-1, -z12, -z13, z14-1 ) ） 在 IDEA 中，“×”表示(mod216+1)乘法运算。计算 215“×”215。（49153）

解法： 如果 n 阶线性反馈移位寄存器序列用作密钥流，攻击者 Eve 截获了密文段 c1c2c3… c2n，并知道了对应的明文段 m1m2m3… m2n，因此计算出了对应的废弃密钥段 k1k2k3… k2n。 则 Eve 获得了关于抽头系数{c1、 c2 、 … 、 cn}的以下方程组。 kl=c1kl-1 ‘+’ c2kl-2 ‘+’ … ‘+’ cnkl-n， 其中 l=n+1，n+2，…，2n。 注意到这是在有限域 GF(2)上的线性方程组，很容易解出抽头系数{c1、 c2 、 … 、 cn}。 实际上，当 Eve 获得了 n 阶线性反馈移位寄存器序列的任何一段的连续 2n 个比 特 kj+1kj+2kj+3… kj+2n ， 他就获得了关于抽头系数{c1、 c2 、 … 、 cn}的以下方程 组。 kl=c1kl-1 ‘+’ c2kl-2 ‘+’ … ‘+’ cnkl-n， 其中 l=j+n+1，j+n+2，…，j+2n。
1
n
(

1
k
)
l

kl

k
n l 1
（九）回答下列问题： 1.一个周期的布尔序列一定是线性反馈移位寄存器序列吗？为什么？
定理 如果一个比特流是一个周期序列，则它一定是线性反馈移位寄存器序 列。 证明 设比特流 k 的最小周期是 N。 则 l>N 后，kl=kl-N。 因此比特流 k 为 N 阶线性反馈移位寄存器序列，抽头系数为 {c1、 c2 、 … 、 cN}={0、0 、 …0 、1}（即极小多项式 f(x)=1‘+’xN），初始状态为 k1k2k3… kN。
（五）叙述计算安全性。 计算安全是一个模糊的概念。我们可以给出以下三个级别的定义。 （1）对密码体制的任何攻击，虽然可能优于完全盲目的猜测，但超出了攻击者 的计算能力。这是最高级别的计算安全。 （2）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但所付出 的代价远远大于破译成功所得到的利益。这是第二级别的计算安全。 （3）对密码体制的任何攻击，虽然可能没有超出攻击者的计算能力，但破译成 功所需要的时间远远大于明文本身的有效期限。这也是第二级别的计算安全。 什么样的加解密方式能够实现计算安全性？
（七）设明文(x1x2x3x4x5)，密文(y1y2y3y4y5)，密钥 A(5×5 阶方阵)，密钥(b1b2b3b4b5)， 满足域 GF(2)上的如下加密方程： (y1y2y3y4y5)=(x1x2x3x4x5)A+(b1b2b3b4b5)。 取 6 组明文/密文对： (00000)/(10110)，(10000)/(01110)，(01000)/(11010)， (00100)/(10000)，(00010)/(10101)，(00001)/(00111)。 试解出密钥 A 和密钥(b1b2b3b4b5)。 此加密方程能够唯一解密吗？为什么？
L (0 )
k
R (0 )
‘ +’
F
L’
R’
L (1 )
R (1 )
（十三）在 DES 中， 32 比特课文 X→扩充变换 E→‘+’48 比特密钥 k→8 个 S 盒→32 比特课文 Y 是可逆的；这就是说，当密钥 k 确定时，不同的 X 一定得到不同的 Y。说明这是 为什么。这种可逆性设计有什么意义。 为了使扩充变换 E→8 个 S 盒（32 比特→ 32 比特）整体是一个可逆函数，必须使 得 8 个 S 盒总体输出是 8 个 S 盒总体输入的第 2~5、8~11、14~17、20~23、26~29、 32~35、38~41、44~47 比特的可逆函数。（回顾扩充变换 E：扩充变换 E 的作用是 将 32 比特的课文膨胀为 48 比特，且扩充变换后的第 1、6、7、12、13、18、19、 24、25、30、31、36、37、42、43、48 比特为扩充部分。 ）
• 于是 Eve 获得了关于解密密钥 k 的方程组： • m1=D(c1, k) ， • m2=D(c2, k) ， • …， • mn=D(cn, k) 。 • （n 越大，解密密钥 k 就越容易确定。）
（四）叙述无条件安全性。 对密码体制的任何攻击，都不优于（对明文）完全盲目的猜测，这样的密码体制 就称为无条件安全的（或完善保密的）。 什么样的加解密方式能够实现无条件安全性？ 一次一密的加密方式容易实现无条件安全性。因为密钥时时更新，所以以往得到 的任何明文/密文对，对于破译新的密文没有任何帮助，只能做完全盲目的猜测。
kj n kj n 1 kj 1 c1 kj n 1

kj n 1
kj n

kj
2


c2



kj n 2




kj 2n 1 kj 2n 2 kj n cn kj 2n
以上方程组中的加法和乘法都是在域 GF(2)上进行的（即(mod2)运算）。 以上事实说明，当 Eve 获得了 n 阶线性反馈移位寄存器序列的任意连续 2n 个比 特， Eve 就获得了整个密钥流。
（3）当一个周期的布尔序列的线性复杂度为 n 时，该序列的长度为 2n 的串就能 完全解出（综合出）该序列。怎样解出？（两种算法） 序列的综合的两种最著名的算法是 B-M 算法和 Games-Chan 算法。
（六）设明文 x，密文 y，密钥 z1，密钥 z2，均为 8 比特课文。加密算法为 y=(x‘+’z1)“+”z2。其中‘+’表示逐位(mod2)加法运算；“+”表示(mod28)加法运算。 试用 2 个明文/密文对解出密钥 z1 和 z2 各自的最低位，其中明文可以任意选择。 你选择什么明文？怎样解出？ 在解出密钥 z1 和 z2 各自的最低位以后，试用 2 个明文/密文对解出密钥 z1 和 z2 各自的次最低位，其中明文可以任意选择。你选择什么明文？怎样解出？ 使用选择明文攻击，多少个经过选择的明文/密文对可以解出密钥 z1 和 z2？
（十二）写出 Feistel 网络的算法步骤，并画出图。
将明文 m 分为等长的两部分 m=(L(0), R(0))；
使用由密钥 k 控制的高度非线性函数 F，
（1）计算： (L’, R’)=(L(0)‘+’F(R(0), k), R(0))；
（2）计算密文：c=(L(1), R(1))= (R’, L’)。
（一）信息的载体有（媒质）和（信道）。对信息载体的两种攻击为（被动攻击） 和（主动攻击）。密码学的两个分支是（密码编码学）和（密码分析学）。密码体 制有（单钥密码体质）和（双钥密码体质）。现代流密码的设计思想来源于古典 密码中的（维吉尼亚密码）。现代分组密码的设计思想来源于古典密码中的（多 字母代换密码）。 （二）在信息保密系统中，攻击者 Eve 所拥有的基本资源有哪些？ Eve 在不安全的公共信道上截获了密文 c。 Eve 知道加密算法 E 和解密算法 D。 攻击者 Eve 可能拥有的更多资源有哪些？ Eve 可能知道密文 c 所对应的明文 m 。（此时所进行的攻击称为已知明文攻击） Eve 可能拥有强大的计算能力。 Eve 可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出 密文。（此时所进行的攻击称为选择明文攻击） 攻击者 Eve 不可能拥有的资源是什么？ Eve 不知道加密密钥 z 和解密密钥 k。 （事实上，在进行安全性分析时，有时也假设 Eve 知道了密钥的一部分，但决 不能全部知道）