同济大学密码学期末试卷

同济大学课程考核试卷（A卷） 2011—2012学年第 二 学期

命题教师签名： 审核教师签名：

课号： 课名：密码学原理 考试考查：考查

此卷选为：期中考试( )、期终考试( ? )、重考( )试卷

年级 专业 学号 姓名 得分

一、单选题（每题3分，共30分） 在下表填写答案 1 2 3 4 5 6 7 8 9 10 n（1）定义在Z2上的4级线性递归序列

zi?4?(zi?zi?1?zi?2?zi?3)mod2

对初始向量0010所生成的密钥流的周期是 (a) 5 (b) 6 (c) 7 (d) 8

（2）假设Hill密码的加密函数为

?34?y???xmod5

12??请问哪个是它的解密变换( ) (a) x???24??21? (b) ymod5x?ymod5 ????13??43??31??13?(c) x???ymod5 (d) x??24?ymod5

42????（3）假设置换密码的消息x?decrypt，密钥为如下的置换?：

1234567??x???(x)2351647?? ??请问以下哪个是密文y( )

(a)ecydptr (b)ecydptt (c)fhhseta (d)ecydprt （4）以下哪个说法是正确的（）

(a) 线性密码分析和差分密码分析都属于已知明文攻击

(b) 线性密码分析属于已知明文分析，差分密码分析属于选择明文攻击 (c) 线性密码分析属于选择明文分析，差分密码分析属于已知明文攻击 (d) 线性密码分析和差分密码分析都属于选择明文分析 (5) 以下哪个说法是不正确的( )

(a) Kerckhoff假设指的是敌手知道所使用的密码体制，密码体制的安全性应只基于密钥的保密性。

(b) 在Shannon所定义的完善保密概念中，假设每个密钥只能使用一次。

(c) 对RSA密码体制，对n进行因子分解、计算n的欧拉函数和计算解密指数a这三个问题可以互相转化，因此他们是同等困难的。

(d) 分组密码的ECB工作模式无法充分掩盖明文的统计特性，不推荐在实际中使用。CBC模式中，一个明文分组的改变将会影响到之后的所有密文分组，该特点说明了CBC模式适合用于消息认证。

(6) 设X,Y,K分别表示明文、密文和密钥随机变量，密钥空间为?。如密钥为k，对应的加密和解密函数分别为ek,dk。以下哪个关于

Pr(X?d??k?k(y))的计算是错误的( )

(a) 对移位密码，??{k:0?k?25}，加密函数ek(x)?(x?k)mod26(x?Z26)，那么

Pr(X?d??k?k(y))??Pr(X?y?k)?1。

k??(b) 对仿射密码，

??{(a,b):a,b?Z26且gca,db)(?1}，加密函数

k??(a,b)?e(a,b)(x)?(ax?b)mod26，那么?Pr(X?dk(y))???Pr(X?a?1(y?b)?1。

(c) 对代换密码，?由所有26个数字0,1,?,25的所有可能的置换组成，对任意置换???，

e?(x)??(x)，那么

????Pr(X?dk(y))??Pr(X???1(x))??Pr(X??(x))???????|?|?25!。 26 (7) 以下哪些关于分组密码的说法是错误的（ ）

(a) 加密函数和解密函数都按照相反的顺序使用轮密钥。

(b) 分组密码迭代加密方式源自Shannon所提出的乘积密码思想。

(c) 代换-置换网络结构要求两个变换?S,?P必须可逆，Feistel结构的非线性函数f也必须可逆。

(d) 轮密钥一般由密钥经过密钥编排方案生成。 (8) 从安全角度考虑，以下哪些使用顺序是不合理( ) (a)先签名后加密 (b)先压缩后加密 (c)先签名后hash

(9)从计算速度角度考虑，AES的S盒采用什么方式实现较好（ ） (a) 计算其代数表达式 (b)查表方式 (c)计算其简化的代数表达式 (d)给出S盒的矩阵表示，使用矩阵运算实现。

(10) 以下哪些说法是错误的（ ）

(a)非对称加密中使用公钥加密，使用私钥解密，签名方案中使用公钥签名，使用私钥验证。 (b)AES密码体制基于因子分解难题，ElGamal基于离散对数难题。

(c)Hash函数用于数据完整性保护，但无法解决不可否认性的，即不能防止消息生成者否认消息由他产生。

(d) 要实现n个人能够相互保密通信，如使用对称加密，共需要钥密码体制，则共需要n对公钥私钥。

二、填空题(每空5分，共20分)

(1) 域GF(25)可以由Z2[x]/(x5?x2?1)构造得到，对于域中的元素??x?x?1和

2n(n?1)个密钥，如使用公2??x2?1，计算：

?2??______________________________________________

??1?________________________________________________

(2) 设RSA签名方案的公钥为(n,b)，私钥为(p,q,a)，其中n?pq，

ab?1mod(p?1)(q?1)。若敌手仅知道公钥(n,b)，请给出敌手的一个有效的伪造签名

___________________________________________________

*,q?101，已知3是Z*(3) 令素数p?7879p的一个本原元。对定义在Zp的q阶子群上的

ElGamal密码体制，求参数?的一个取值，即Zp的一个q阶元素___________ 三、问答题(共50分)

(1)(15分)设h(x)是一个hash函数。

(a)假定n?m且h:Z2n?Z2m被定义为一个d次多项式：

*h(x)??aiximod2m

i?0d其中ai?Z,0?i?d。证明：对任意的x?Z2n，无需解二次方程式，就很容易解决第二原像问题。

m(b) 假定(P,C,K,E,D)`是一个内嵌式密码体制，其中P?C?{0,1}。令n?2是一个整

mnm数，定义Hash函数族(X,Y,K,H)如下（X?({0,1： }),Y?{0,1}）

hk(x1,?,xm)?ek(x1)???ek(xn)

证明该Hash函数族存在一个(1,1)假冒者。

（2）(15分)Alice和Bob进行秘密通信。Alice使用RSA密码体制对消息x?21加密。她选择RSA的两个素数p?19,q?23，选择加密指数b?39，请计算(需写出计算过程)： (a)模数n

(b)使用扩展欧几里德算法计算解密指数a (c)使用平方-乘算法计算消息x的密文

(3)（20分）Alice使用ElGamal签名方案签名，她选择参数： 公钥p?41，本原元??5，??2，私钥a?3。

（a） Alice对消息x?47的签名过程中，通过伪随机数发生器产生随机数k?13，请计

算签名(?,?)

提示：???modp,??(x?a?)kk?1mod(p?1)

（b） 如果Alice裸露了随机数k，Oscar能否计算出Alice的私钥？如果可以，请写出计

算方法。

（c） Alice每次签名都使用默认的随机数生成器的种子，因此每次签名使用的随机数k总

是相同的。请问Oscar能否根据Alice的已知签名对Alice造成安全威胁？如果可以，请写出计算方法。 （d） 如果Alice在签名前先计算消息x的hash值z?h(x)，其中h是hash函数，然后计

算z的签名。为了保证方案的安全性，对hash函数h有哪些要求？

本文来源：https://www.bwwdw.com/article/b3tr.html