同济大学课程考核试卷（A 卷） 2011—2012学年第 二 学期
命题教师签名： 审核教师签名：
课号： 课名：密码学原理 考试考查：考查
此卷选为：期中考试( )、期终考试( )、重考( )试卷
年级 专业 学号 姓名 得分
一、单选题（每题3分，共30分） 在下表填写答案 1 2 3 4 5 6 7 8 9 10
（1）定义在n
Z 2上的4级线性递归序列
2m od )(3214+++++++=i i i i i z z z z z
对初始向量0010所生成的密钥流的周期是 (a) 5 (b) 6 (c) 7 (d) 8
（2）假设Hill 密码的加密函数为
5mod 2143x y ⎥⎦
⎤⎢⎣⎡=
请问哪个是它的解密变换( ) (a) 5mod 3142y x ⎥⎦⎤⎢
⎣⎡= (b) 5mod 3412y x ⎥⎦
⎤
⎢⎣⎡=
(c) 5mod 2413y x ⎥⎦⎤⎢
⎣⎡= (d) 5mod 4231y x ⎥
⎦
⎤
⎢⎣⎡=
（3）假设置换密码的消息x decrypt =，密钥为如下的置换π：
⎪⎪⎭
⎫ ⎝⎛7461532)(7654321x x
π 请问以下哪个是密文y ( )
(a)ecydptr (b)ecydptt (c)fhhseta (d)ecydprt （4）以下哪个说法是正确的（）
(a) 线性密码分析和差分密码分析都属于已知明文攻击
(b) 线性密码分析属于已知明文分析，差分密码分析属于选择明文攻击 (c) 线性密码分析属于选择明文分析，差分密码分析属于已知明文攻击 (d) 线性密码分析和差分密码分析都属于选择明文分析 (5) 以下哪个说法是不正确的( )
(a) Kerckhoff 假设指的是敌手知道所使用的密码体制，密码体制的安全性应只基于密钥的保密性。

(b) 在Shannon 所定义的完善保密概念中，假设每个密钥只能使用一次。

(c) 对RSA 密码体制，对n 进行因子分解、计算n 的欧拉函数和计算解密指数a 这三个问题可以互相转化，因此他们是同等困难的。

(d) 分组密码的ECB 工作模式无法充分掩盖明文的统计特性，不推荐在实际中使用。

CBC 模式中，一个明文分组的改变将会影响到之后的所有密文分组，该特点说明了CBC 模式适合用于消息认证。

(6) 设K Y X ,,分别表示明文、密文和密钥随机变量，密钥空间为κ。

如密钥为k ，对应的加密和解密函数分别为k k d e ,。

以下哪个关于
∑∈
=κ
k k
y d X ))(Pr(的计算是错误的( )
(a) 对移位密码，}250:{≤≤=k k κ，加密函数)(26m od )()(26Z x k x x e k ∈+=，那么
1)Pr())(Pr(=-===∑∑∈∈
κ
κ
k k k
k y X y d X 。

(b) 对仿射密码，}1),gcd(,:),{(26=∈=b a Z b a b a 且κ，加密函数
26mod )()(),(b ax x e b a +=，那么1)(Pr())(Pr(),(1
=-==
=∑
∑∈-∈κ
κ
b a k k b y a X y d X 。

(c) 对代换密码，κ由所有26个数字25,,1,0 的所有可能的置换组成，对任意置换κπ∈，
)()(x x e ππ=，那么
!2526
|
|))(Pr())(Pr())(Pr(1==
=====∑∑∑∈∈-∈κππκ
πκ
πκ
πx X x X y d X k 。

(7) 以下哪些关于分组密码的说法是错误的（ ） (a) 加密函数和解密函数都按照相反的顺序使用轮密钥。

(b) 分组密码迭代加密方式源自Shannon 所提出的乘积密码思想。

(c) 代换-置换网络结构要求两个变换P S ππ,必须可逆，Feistel 结构的非线性函数f 也必须可逆。

(d) 轮密钥一般由密钥经过密钥编排方案生成。

(8) 从安全角度考虑，以下哪些使用顺序是不合理( ) (a)先签名后加密 (b)先压缩后加密 (c)先签名后hash
(9)从计算速度角度考虑，AES 的S 盒采用什么方式实现较好（ ）
(a) 计算其代数表达式 (b)查表方式 (c)计算其简化的代数表达式 (d)给出S 盒的矩阵表示，使用矩阵运算实现。

(10) 以下哪些说法是错误的（ ）
(a)非对称加密中使用公钥加密，使用私钥解密，签名方案中使用公钥签名，使用私钥验证。

(b)AES 密码体制基于因子分解难题，ElGamal 基于离散对数难题。

(c)Hash 函数用于数据完整性保护，但无法解决不可否认性的，即不能防止消息生成者否认消息由他产生。

(d) 要实现n 个人能够相互保密通信，如使用对称加密，共需要2
)
1(-n n 个密钥，如使用公钥密码体制，则共需要n 对公钥私钥。

二、填空题(每空5分，共20分)
(1) 域)2(5
GF 可以由)1/(][2
5
2++x x x Z 构造得到，对于域中的元素12
++=x x α和
12+=x β，计算：
=βα2______________________________________________
=-1α________________________________________________
(2) 设RSA 签名方案的公钥为),(b n ，私钥为),,(a q p ，其中pq n =，
)1)(1mod(1--≡q p ab 。

若敌手仅知道公钥),(b n ，请给出敌手的一个有效的伪造签名
___________________________________________________
(3) 令素数101,7879==q p ，已知3是*p Z 的一个本原元。

对定义在*
p Z 的q 阶子群上的
ElGamal 密码体制，求参数α的一个取值，即*
p Z 的一个q 阶元素___________
三、问答题(共50分)
(1)(15分)设()h x 是一个hash 函数。

(a)假定m n >且m n Z Z h 22:→被定义为一个d 次多项式：
∑==d
i m i i x a x h 0
2mod )(
其中d i Z a i ≤≤∈0,。

证明：对任意的n Z x 2∈，无需解二次方程式，就很容易解决第二原像问题。

(b) 假定)`,,,,(D E K C P 是一个内嵌式密码体制，其中m
C P }1,0{==。

令2≥n 是一个整数，定义Hash 函数族),,,(H K Y X 如下（m n
m Y X }1,0{,)}1,0({==）：
)()(),,(11n k k m k x e x e x x h ⊕⊕=
证明该Hash 函数族存在一个)1,1(假冒者。

（2）(15分)Alice 和Bob 进行秘密通信。

Alice 使用RSA 密码体制对消息21x =加密。

她选择RSA 的两个素数23,19==q p ，选择加密指数39=b ，请计算(需写出计算过程)： (a)模数n
(b)使用扩展欧几里德算法计算解密指数a (c)使用平方-乘算法计算消息x 的密文
(3)（20分）Alice 使用ElGamal 签名方案签名，她选择参数： 公钥41p =，本原元5=α，2=β，私钥3=a 。

（a ） Alice 对消息47x =的签名过程中，通过伪随机数发生器产生随机数13k =，请计
算签名),(δγ
提示：)1m od()(,m od 1
--==-p k
a x p k
γδαγ
（b ） 如果Alice 裸露了随机数k ，Oscar 能否计算出Alice 的私钥？如果可以，请写出计
算方法。

（c ） Alice 每次签名都使用默认的随机数生成器的种子，因此每次签名使用的随机数k 总
是相同的。

请问Oscar 能否根据Alice 的已知签名对Alice 造成安全威胁？如果可以，请写出计算方法。

（d ） 如果Alice 在签名前先计算消息x 的hash 值()z h x ，其中h 是hash 函数，然后
计算z 的签名。

为了保证方案的安全性，对hash 函数h 有哪些要求？。