的重合指数，应该更接近0.038。
现代密码学
解放军信息工程大学电子技术学院
用交互重合指数确定密钥的具体内容
定义 设X=x1x2…xn和Y=y1y2…yn，是两个长度分别
为n和n’的字母串。X和Y的交互重合指数(mutual
index of coincidence)定义为X中的一个随机元素与Y 中的一个随机元素相同的概率，记为 MI c ( X , Y )
给定某一行，猜测其密钥值(只有26种可能),其
它行的密钥由相对位移唯一确定,这时用穷举法
只有26种可能,可得到密钥值。
现代密码学
解放军信息工程大学电子技术学院
习题
1、已知某密码的加密方法为：先用易位密码 对明文M加密，再对该结果用维吉尼亚密 码加密得密文C。若易位密码使用的加密密 钥为置换T=（351246），维吉尼亚密码使 用的加密密钥为AEF，密文 C=vemaildytophtcmystnqzahj， 求明文M。 现代密码学
解放军信息工程大学电子技术学院
习题1解答：
解：加密密钥为置换T=（351246），则脱密 密钥为置换T’=（341526） 用维吉尼亚密码脱密得结果 vahaeg duoolc tykyoo nmuade 再使用易位密码脱密得明文M haveagoodluckytoyouandme
现代密码学
解放军信息工程大学电子技术学院
反之则不然。
若密文中出现两个相同的密文段(密文段的长度m>2)， 则它们对应的明文（及密钥）将以很大的概率相同。
现代密码学
解放军信息工程大学电子技术学院
思考：以多大的概率成立？
P(X1=X2|Y1=Y2) =1-P(X1!=X2;K1!=K2|Y1=Y2) 由于密钥是等概独立的，每个密钥出现的概率为 1/26，这相当于求满足 X1+K1=X2+K2(mod26) 的K1和K2出现的概率。若K1和K2中均有m个字母， 且m>=3，则 3 1 P(X1=X2|Y1=Y2) 1 0.999999 26
k1 k2 k3 km y1 y2 y3 ym y m1 y m 2 y m3 y2m y n m1 y nm 2 y n m 3 yn
现代密码学
解放军信息工程大学电子技术学院
若m确实是密钥的长度，则上述矩阵中的每一行
都是由同一个密钥ki加密得到，这说明每一行即是一 个单表代替，这时计算每一行的重合指数，应该更接 近0.065； 若m不是密钥的长度，则上述矩阵中的每一行不 是由同一个密钥ki加密得到，这说明每一行是一个等 概随机的字母串（对密文的要求），这时计算每一行
i 0 25
=0.065
现代密码学
解放军信息工程大学电子技术学院
对于英文的一个随机字母串，每个英文字
母出现的期望概率均为1/26，则在X中任
意选取两个元素相同的概率为
1 Ic i 0 26
25 2
=0.038.
现代密码学
解放军信息工程大学电子技术学院
根据Kasiski测试法得到的m，可以将密文Y按照下列形式排 列： 表1 将Y排列成m行n/m列的形式，设m=0(modn)
n (n 1) 2
选取
2 的可能；在X中的每个相同的字母中选取两个元素共有 Cn
C2 fi
f i ( f i 1) 2
现代密码学
解放军信息工程大学电子技术学院
已知每个英文字母出现的期望概率，分别记为
p0,p1,…,p25，那么X中两个元素相同的概率
为：
I c ( X ) pi2
解放军信息工程大学电子技术学院
习题
2、已知某密码的加密方法为：C=f2(f1(M)) 其中变换f1为：c=(7m+5)mod26； 变换f2为置换T=（31254）， 今收到一份用这种密码加密的密文 C=ficxsebfiz，求对应的明文M。 f1的逆为： m=15(c-5)mod26=(15c+3)mod26 现代密码学
现代密码学
解放军信息工程大学电子技术学院
汉字中双音节词出现频率
从三亿汉字的母体材料中，抽样二千五百万字进行双音 节词词频统计，结果是：
频率在一万次以上的双音节词有33个：
我们 可以 他们 三万次以上 二万次以上
进行 没有 工作 人民 生产 这个 发展 就是 问题 国 家 中国 这样 革命 自己 不能 由于 这些 所以 因此
则 (ki k j ) mod26 称为 Yi 和 Y j 之间的 相对位移(relative shift)，用 l 表示。
由于
p
h 0
25
h
p h l p h p h l
h 0
25
现代密码学
解放军信息工程大学电子技术学院
计算具体密钥内容





当相对位移不为0时，重合指数的取值范围 [0.031,0.045] 当相对位移为0时，重合指数取值为0.065。 可以统计每两行中英文字母出现的概率f0,f1,…,f25 和f’0,f’1,…,f’25 记Y jg 为以 g 作密钥进行加法加密得到的密 g l ，则应该接近0.065； 若不然，应该接近[0.031,0.045]中的某个值。
Kasiski测试法：Kasiski于1863年提出 寻找密文中相同的片段对，计算每对相同密文片段对 之间的距离，不妨记为d1,d2,…,di，若令密钥字的长度为 m，则m=gcd(d1,d2,…,di)。 定理1 若两个相同的明文片段之间的距离是密钥长度 的倍数，则这两个明文段对应的密文一定相同。
习题2解答：
解：f1的逆为： m=15(c-5)mod26=(15c+3)mod26 f2的逆为：T‘=（23154） 则对C做f2的逆变换得：icfsxbfezi 再做f1的逆变换得：thanksalot。
现代密码学
解放军信息工程大学电子技术学院
下节课讲授的主要内容
Shannon理论

密码体制的数学模型 熵及其性质
<1%
现代密码学
解放军信息工程大学电子技术学院
汉字中单音节出现频率 最常用，出现频率在百分之一以上的有14个音节，它 们是：
de shi yi bu you zhi le ji zhe wo yen li ta dao
的 是一不 有 之 了机 这 我 们 里他 到
次常用音节有33个，它们是：
zhong zi guo shang ge men he wei ye da gong jian jiu xiang zhu lai sheng di zai ni xiao ke yao wu yu jie jin chan zuo jia xian quan shuo
现代密码学
解放军信息工程大学电子技术学院
重合指数法(index of coincidence)：Wolfe
friendman于1920年提出
进一步判断密钥字的长度是否为 m=gcd(d1,d2,…,di). 定义1 设X=x1x2…xn是一个长度为n的英文字母 串，则x中任意选取两个字母相同的概率定义为重合指
现代密码学
解放军信息工程大学电子技术学院
K1+i,i=0,……,25
K1-k2=5
k1 k2 k3 k5
y1 y2 y3 y5
y6 y7 y8 y10
yn m 1 yn m 2 yn m 3 yn
现代密码学
解放军信息工程大学电子技术学院
计算具体密钥内容的复杂度分析
这样可以得到任意两行之间的相对位移。
作用 一般 什么 如果 情况 必须 方法 因为 主要 要
求 社会
现代密码学
解放军信息工程大学电子技术学院
多表古典密码的统计分析
步骤1：首先确定密钥的长度：利用Kasiski测试法 和重合指数法(index of coincidence) 步骤2：确定具体的密钥内容：交互重合指数法
现代密码学
解放军信息工程大学电子技术学院
数，用 I c ( x) 表示。
现代密码学
解放军信息工程大学电子技术学院
定理1
设英文字母A，B,…，Z在X中出现的次数分别为：
f0,f1,…,f25
则从X中任意选取两个字母相同的概率为
Ic (X )
f (f
i 0 i
25
i
1)
n(n 1)
证明
在X中任意选取两个字母共有种 种选取的可能。故易证。证毕。
现代密码学
古典密码的统计分析
王 滨 2005年3月4日
解放军信息工程大学电子技术学院
上次课内容回顾
代替密码 单表代替密码的概念及安全性特点 多表代替密码的概念及安全性特点 几个典型的古典密码体制 卡撒密码 维及尼亚密码 维福特密码

现代密码学
解放军信息工程大学电子技术学院
单表古典密码的统计分析 原理：明文的统计规律在密文中能够反映出 来，故信息泄露大。 多表古典密码的统计分析 原理：密钥相同时，相同的明文对应相同的 密文。 现代密码学
现代密码学
解放军信息工程大学电子技术学院
计算表1中的任意两行之间的交互重合指数
Yi 中的一个随机元素与 Y j 中的一个随
机元素同为字母h(0<=h<26)的概率为
MI c (Yi , Y j ) phki phk j ph phk j ki
h 0 h 0 25 25
解放军信息工程大学电子技术学院
现代密码学
解放军信息工程大学电子技术学院
明文的统计规律
26个英文字母： e t---a---o---i---n---s---h---r 12% 6%--9%