第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析

这篇具有很好参考价值的文章主要介绍了第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第六章作业参考答案

1.6.1.3节的数据认证算法是由CBC模式的DES定义的,其中初始向量取为0,试说明使用CFB模式也可获得相同的结果。

解:设需认证的数据分为64比特长的分组,D1,D2,…,DN,其中DN不够64比特则右边补0,由题设,数据认证算法相当于在CBC模式中初始向量取为0,并按如下关系进行:

    O1=EK(D1Å0);     O2=EK(D2ÅO1);…   ON=EK(DNÅON-1);

数据认证码取为ONON的最左M个比特

对于同样的认证数据序列,D1,D2,…,DN,使用DES的CFB模式,且取j=64,IV=D1,并从D2开始加密得

C1= EK(D1D2O1ÅD2C2= EK(C1D3EK(O1ÅD2D3=O2ÅD3

由此可推出,对最后一个分组DN加密后的密文CN-1=ON-1ÅDN,则此时将CFB模式再进行一步,在该步中只计算DES的输出,则该输出值为EK(CN-1)=EK(ON-1ÅDN)=ON

所以可获得相同的结果。

2.有很多杂凑函数是由CBC模式的分组加密技术构造的,其中的密钥取为消息分组。例如将消息M分成分组M1,M2,…,MNH0=初值,迭代关系为HiEMi(Hi-1Hi-1(i=1,2,…,N),杂凑值取为HN,其中E是分组加密算法。

(1)设E为DES,第3章习题1已证明如果对明文分组和加密密钥都逐比特取补,那么得到的密文也是原密文的逐比特取补,即如果Y=DESK(X)则Y¢= DESK¢(X¢)。利用这一结论证明在上述杂凑函数中可对消息进行修改但却保持杂凑值不变。

证:由DES的取反特性,如果令MiHi-1取反,则有

EM¢i(H¢i-1H¢i-1=[EMi(Hi-1)]¢ÅH¢i-1EMi(Hi-1Hi-1Hi

因此对任意的初始值H0,如果将H0取反且将第一个消息分组M1也取反则杂凑值不变

(2)若迭代关系改为HiEHi-1(MiMi,证明仍可对其进行上述攻击。

证:与(1)同,略。

3.考虑公钥加密算法构造杂凑函数,设算法是RSA,将消息分组后用公开钥加密第一个分组,加密结果与第二个分组异或后,再对其加密,一直进行下去。设一消息被分成两个分组B1B2,其杂凑值为H(B1,B2)=RSA(RSA(B1B2)。证明对任一分组C1可选C2,使得H(B1,B2)= H(C1,C2),证明这种攻击方法,可攻击上述用公钥加密算法构造的杂凑函数。

证:攻击值如果获得两个消息分组B1B2,及其杂凑值H(B1,B2),则攻击者可任选分组C1并令C2=RSA(B1B2ÅRSA(C1)

于是有H(C1,C2)=RSA(RSA(C1)Å(RSA(B1B2ÅRSA(C1)))=RSA(RSA(B1B2)=H(B1,B2)则攻击成功。

6.设a1a2a3a4是32比特长的字中的4个字节,每一ai可看作由二进制表示的0到255之间的整数,在big-endian结构中该字表示整数a1224+a2216+a328+a4,在little-endian结构中该字表示整数a4224+a3216+a228+a1

(1)用MD5使用little-endian结构,因消息的摘要值不应依赖于算法所用的结构,因此在MD5中为了对以big-endian结构存储的两个字X=x1x2x3x4和Y=y1y2y3y4,进行模232加运算,必须对这两个字进行调整,试说明如何调整?

解:首先对X中的4个字节做如下处理:

x1x4交换,x2x3交换,对Y进行相同的处理

然后计算Z=X+Y mod232

最后再将z1z4交换,z2z3交换。

复习题&&答案

4.6. 简述用杂凑函数来实现消息认证的三大类基本方式

答:

  1. 先对消息计算杂凑值,在对杂凑值进行对称加密,提供认证性和完整性服务,还分为带保密性和不带保密性两种方式。

第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析

  2. 先对消息计算杂凑值,再前面签名再对称加密(也可以用收方公钥加密),提供认证性、完整性和不可否认性,也分为带保密性和不带保密性两种方式

第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析

  3. 连同秘密值一起对消息计算杂凑值,提供认证性和完整性,,也分为带保密性和不带保密性两种方式

第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析

6.2. 某用户A想要给用户B发送一个消息m,如果要对消息m的保密性与认证性进行保护,有四种方法,采用数据认证算法、先hash再加密、先签名再加密、HMAC

(1)  请分别给出这几种方法下认证消息m的表达式。所需符号和算法自行定义和选取。

(2)  其中安全性最强的和最弱的分别是哪一种方法,为什么

解:(1) 采用数据认证算法 m||CK(m),C是初始向量为0的DES-CBC算法;先hash再加密 EK{m||H(m)};先签名再加密:EK{m||Sigsk(H(m)};HMAC:m||H(k||m)

(2)安全性最强的是先签名再加密方法,它同时能提供保密性、完整性、认证性和不可否认性;最弱的是数据认证算法和HMAC,它们只提供认证性和完整性。文章来源地址https://www.toymoban.com/news/detail-746584.html

 

到了这里,关于第六章 消息认证和哈希函数 —— 现代密码学(杨波)课后题答案解析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【11.10】现代密码学1——密码学发展史:密码学概述、安全服务、香农理论、现代密码学

    参考:密码学发展简史 骆婷老师的《现代密码学(32H)》课程,笔记+查找的资料补充 期末为闭卷考试的形式 密码学早在公元前400多年就已经产生,人类使用密码的历史几乎与使用文字的时间一样长,密码学的发展大致可以分为 3 个阶段: 1949年之前的古典密码学阶段; 1949 年

    2024年02月04日
    浏览(48)
  • 现代密码学复习

    目录 密码学总结 第一章——只因础模型与概念 1.1 密码学五元组(结合🐏皮卷) 1.2 Dolev-Yao威胁模型 1.3 攻击类型 1.4 柯克霍夫原则(Kerckhoffs\\\'s principle) 1.5 对称、非对称加密 1.6 密码的目标 1.7 保密通信模型 第二章——古典密码 2.1 仿射密码 2.2 Hill密码 例题0 ——解同余方程

    2023年04月09日
    浏览(59)
  • 现代密码学基础(2)

    目录 一. 介绍 二. 举例:移位密码 (1)密文概率 (2)明文概率 三. 举例:多字母的移位密码 四. 完美安全 五. 举例:双子母的移位密码 六. 从密文角度看完美安全 七. 完美保密性质 在密码学中,K代表密钥,M代表明文,C代表密文,每个都有各自的概率分布。 密钥是通过密

    2024年01月17日
    浏览(57)
  • 第四章 公钥密码 —— 现代密码学(杨波)课后题答案解析

    4. 用推广的Euclid算法求67 mod 119的逆元 解:初始化:(1,0,119), (0,1,67) 1:Q=119/67=1,(0,1,67) , (1,-1,52) 2:Q=67/52=1,(1,-1,52), (-1,2,15) 3:Q=52/15=3,(-1,2,15), (4,-7,7) 4:Q=15/7=2,(4,-7,7), (-9,16,1) 所以67 -1  mod 119=16 10.设通信双方使用RSA加密体制,接收方的公开钥是( e , n )=(5,35),接收到

    2024年02月05日
    浏览(54)
  • 第二章 流密码 —— 现代密码学(杨波)课后题答案解析

    1.3级线性反馈移位寄存器在 c 3 =1时可有4种线性反馈函数,设其初始状态为( a 1 , a 2 , a 3 )=(1,0,1),求各线性反馈函数的输出序列及周期。 解:此时线性反馈函数可表示为 f ( a 1 , a 2 , a 3 )= a 1 Å c 2 a 2 Å c 1 a 3 当 c 1 =0, c 2 =0时, f ( a 1 , a 2 , a 3 )= a 1 Å c 2 a 2 Å c 1 a 3 =

    2024年02月05日
    浏览(50)
  • 《现代密码学》学习笔记——第三章 分组密码 [二] AES

    版本 密钥长度 分组长度 迭代轮数 AES-128 4 4 10 AES-192 6 4 12 AES-256 8 4 14 (1)字节代换(SubByte) (2)行移位(ShiftRow) (3)列混合(MixColumn) (4)密钥加(AddRoundKey) 1.字节代换   字节代换是非线性变换,独立地对状态的每个字节进行。代换表(S-Box)是可逆的。   将

    2024年02月05日
    浏览(91)
  • 现代密码学实验五:签名算法

    一、实验目的 1.掌握数字签名的基本原理,理解RSA算法如何提供数字签名。 2.熟悉实验环境和加密软件CrypTool 1.4(CrypTool 2)的使用。 3.编写代码实现签名算法。 二、实验内容 运行CrypTool 1.4(CrypTool 2),使用 RSA 算法对消息进行签名操作,选择公钥PK=(e,N),私钥为sk=(d,N)。例如: 消息

    2024年02月02日
    浏览(49)
  • 自然语言处理: 第六章Transformer- 现代大模型的基石

    Transformer(来自2017年google发表的Attention Is All You Need (arxiv.org) ),接上面一篇attention之后,transformer是基于自注意力基础上引申出来的结构,其主要解决了seq2seq的两个问题: 考虑了原序列和目标序列自身内部的自注意力 大大降低的计算成本以及复杂度,完全由全连接层替代了

    2024年02月14日
    浏览(35)
  • 密码学基础(一)——哈希算法

    一、常用密码学算法分类 哈希算法:哈希算法不可逆,包括:MD4、MD5、hash1、ripeMD160、SHA256、SHA3、Keccak256、国家标准SM3(国家密码管理局) 加密/解密算法:加密解密算法可逆,但是必须要有秘钥,对称加密,非对称加密,数字签名算法DSA 编码/解码算法:编码解码算法可逆

    2023年04月16日
    浏览(38)
  • 【现代密码学基础】详解完美安全与不可区分安全

    目录 一. 介绍 二. 不可区分性试验 三. 不可区分性与完美安全 四. 例题 五. 小结 敌手完美不可区分,英文写做perfect adversarial indistinguishability,其中adversarial经常被省略不写,在密码学的论文中经常被简称为IND安全。 完美不可区分与香农的完美安全是类似的。该定义来源于一

    2024年01月21日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包