信息安全原理与实践-第二版04 公开密钥加密
信息安全原理与实践-第二版01 引言
• 什么样的软件缺陷是安全问题,它们又是如何被攻击者利用的?Alice 网银怎么能够确保软件正在正常运行? • 虽然bug可能(而且也确实会)带来安全缺陷的增加,但这些问题却是善 意的软件开发工程师们在无意之间造成的。另一方面,有些软件在编 写的时候就存有不良企图。 • 操作系统
8
1.3.1 密码学技术
• 密码学技术(或者直白地说“密码”)是基本的信息安全工具之一。密 码学技术的用途非常广泛,能够为机密性、完整性以及许多其他关键 的信息安全功能提供有力的支撑。
主要内容: • 几个经典的密码系统 • 学习现代密码技术:对称密钥密码学和公开密钥密码 • 哈希函数 • 与密码学有关的几个特定议题 • 密码分析,即破解密码系统的方法
9
1.3.2 访问控制
• 访问控制解决的是身份认证和授权的问题。在身份认证领域,我们将 关注许多有关口令的议题,口令是今天最常用的身份认证形式,但这 主要是因为口令的成本低廉,而绝不是因为在诸多选择中这种方式最 为安全。 主要内容: • 如何安全地存储口令 • 口令的替代方案,包括生物特征和智能卡 • 授权 • 多级安全性:隐藏通道和接口控制。 • 防火墙
5
1.2.2 CIA并不是全部
软件层面的信息安全机制
• 在一台独立的计算机上进行身份认证,典型的过程需要验证Bob的口 令。为了确保安全,这会用到密码学领域的一些精巧技术。另一方面, 通过网络的身份认证将打开门户,面对许多类型的攻击,而这些攻击 往往与在一台独立计算机上相对应的那些情形无关。 • 授权就是将约束施加在已认证用户的操作行为上。既然身份认证和授 权都是针对资源访问的问题,那么我们把这两个议题放在“访问控制” 这个标题下统一讨论。 • 授权就是将约束施加在已认证用户的操作行为上。既然身份认证和授 权都是针对资源访问的问题,那么我们把这两个议题放在“访问控制” 这个标题下统一讨论。这就涉及到授权和访问控制的问题。
公钥密码 信息系统安全理论与技术(第2版)课件
Alice最后计算
不要对别人提交的随机消息
(md mod r)x-1 mod r 进行签名!
=(ym’)d x-1 mod r
= m’d mod r
选择密文攻击针对协议
Eve得到用Alice的公开密钥e加密的密文c;想得到明文m=cd;
Eve选择一个随机数n,满足n小于r,查到Alice的公开密钥e, 计算:
L=R15, R=L15⊕f(R15,K16)⊕f(R15,K16)=L15
R15=L14⊕f(R14,K15), L15=R14 …..
得 L=R0, R=L0
公钥密码Public Key
RSA
公钥算法基于单向陷门函数
▪ 满足下列条件的函数f:
(1) 给定x,计算y=f(x)是容易的 (2) 给定y, 计算x使y=f(x)是困难的 (3) 存在z,已知z 时, 对给定的任何y,若相应的x存
x=yd (mod r)=?
X= xde(mod r)=xk* (r)+1 (mod r)
例
p=11,q=13,
p和q的乘积为r=p×q=143,算出秘密的欧拉函数(r) =(p-1)×(q-1)=120
再选取一个与(r)=120互素的数,例如e=7,作为公 开密钥,e的选择不要求是素数,但不同的e的抗攻击性 能力不一样,为安全起见要求选择为素数。(143,7)
x=ne mod r; y=xc mod r; t=n-1 mod r;
Eve让Alice对y签名 u=yd mod r
Eve计算
tu
mod r = n-1 = n-1
yxddcmd omdodr不r要对别进人行提签交名的!随机消息
= cd mod r
计算机网络安全技术与实训第4章
第4章数据加密技术[学习目标]1. 理解数据加密技术2. 会使用文档加密和磁盘加密实例3. 学会使用加密工具软件4. 掌握证书制作与CA系统的配置5. 了解VPN技术本章要点●传统工艺加密方法●DES加密算法和RSA加密算法●计算机网络的加密技术●几个简单加密软件的使用●数字签名的实现方法●CA认证和认证产品●鉴别技术与方法●个人数字凭证的申请、颁发和使用4.1 文档加密实例4.1.1 文件加密实例Windows 2000 支持两种数据保护方式:存储数据的保护和网络数据的保护。
1.存储数据的保护方法有:文件加密系统(EFS) ;数字签名。
2.网络数据的保护方法有:网际协议安全;路由和远程访问;代理服务器。
文件加密与数字签名技术,它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。
随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。
目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。
按作用不同, 文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
Windows2000 强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。
这样可以防止别人把你的硬盘挂到别的机器上读出里面的数据。
如果硬盘上有一个文件需要加密,则在我的电脑窗口中选中该文件的图标按鼠标右键在快捷菜单上选择属性命令,打开该文件的属性对话框。
如图4.1 所示。
图4.1 打开文件的属性对话框图4.2 打开高级属性对话框图4.3 打开详细信息可以看到用户信息在要加密的文件的属性对话框中选择高级按钮,打开高级属性对话框。
如图4.2 所示。
选中“加密内容以便保护数据”左边的选框,确定即可。
注意,文件系统应该是NTFS。
Windows 的NTFS压缩和加密是不能同时选中的。
信息安全密码学与加密技术原理与应用
信息安全密码学与加密技术原理与应用信息安全在如今的数字化时代扮演着至关重要的角色,而密码学与加密技术则是信息安全的核心。
本文将介绍信息安全密码学与加密技术的原理与应用,并探讨其在不同领域中的应用。
一、密码学的基本原理密码学是研究信息安全保护与加密算法的学科,其基本原理包括加密算法、密钥管理和解密算法。
加密算法是保护信息安全的基础,其通过将明文转换为密文,使得未经授权的人无法读取或理解其中的内容。
在加密算法中,常用的有对称加密算法和非对称加密算法。
对称加密算法使用相同的密钥对明文进行加密和密文进行解密。
这意味着密钥的保密性尤为重要,一旦密钥泄露,信息的安全性将受到严重威胁。
常见的对称加密算法有DES、AES等。
非对称加密算法使用公钥和私钥进行加密和解密。
公钥是可以公开的,而私钥则必须严格保密。
非对称加密算法常用于数字签名和密钥交换等场景中,常见的算法有RSA、ECC等。
密钥管理是保证加密算法安全性的关键,其主要包括密钥生成、密钥分发与密钥更新等环节。
合理的密钥管理可以有效避免密钥泄露和被破解的风险。
二、密码学在信息安全中的应用密码学在信息安全中有着广泛的应用,以下将重点介绍其在网络安全、金融安全和物联网安全等领域中的应用。
1. 网络安全网络安全是指通过各种技术手段保护网络和网络相关资源不受未经授权的访问、破坏、篡改和泄露的威胁。
密码学在网络安全中起到了至关重要的作用。
在网络通信中,密码学可以用于数据加密和身份验证。
数据加密可以保护数据在传输过程中的安全性,防止被窃取或篡改。
身份验证则可以通过加密技术来确保通信双方的身份合法性。
2. 金融安全随着电子支付和网上银行等金融服务的普及,金融安全问题也日益突出。
密码学在金融安全中发挥着重要的作用。
在电子支付中,通过加密技术可以保护用户的支付信息不被盗取。
同时,可以利用密码学中的数字签名技术实现对交易身份的验证和防伪。
3. 物联网安全物联网的兴起给我们的生活带来了便利,同时也带来了诸多安全隐患。
网络安全与保密(第二版) (4)
第4章 公钥密码系统
对于两个互不相等的素数p和q,如果n = p·q,则有 φ(n)=(p-1)·(q-1)= φ(p)·φ(q)。例如,φ(10) = φ(2)·φ(5) = 1·4 = 4。这四个数分别是1,3,7,9。
在数论中,欧拉定理(也称费马-欧拉定理)是一个关于同 余的性质。欧拉定理表明,若n,a为正整数,且n,a互素, gcd(a,n) = 1,则
Bob 的公钥
传输密文
明文输入 加密算法
解密算法 明文输出
图4-2 数字签名
第4章 公钥密码系统
4.1 数论基础
4.1.1 素数
素数是一种整数,除了1和此整数自身外,没法被其它
自然数整除的数。换句话说,只有两个正因数(1和自己)的
自然数即为素数。
任何大于1的正整数N可以唯一表示成有限个素数的乘
积:N=p1a1
第4章 公钥密码系统
Bob 的 公钥环
Mike Joy
Ted Alice
Alice 的公钥
传输密文
Alice 的私钥
明文输入 加密算法
解密算法 明文输出
图4-1 通信保密
第4章 公钥密码系统
(2) 数字签名。将私钥作为加密密钥,公钥作为解密密 钥,则可实现由一个用户对数据加密而使多个用户解读—数 字签名。如图4-2所示,Bob用私钥对明文进行加密并发布, Alice收到密文后用Bob公布的公钥解密。由于Bob的私钥只 有Bob本人知道,因此,Alice看到的明文肯定是Bob发出的, 从而实现数字签名。
第4章 公钥密码系统
4.1.3 欧拉定理 在数论,对正整数n,欧拉函数是少于或等于n的数中与
n互质的数的数目。此函数以其首名研究者欧拉命名,它又 称为Euler’s totient function、φ函数、欧拉商数等。 例如 φ(8)=4,因为1,3,5,7均和8互质。
网络安全——技术与实践(第二版)参考答案
网络安全——技术与实践(第二版)参考答案第一篇网络安全基础 (1)第一章引言 (1)第二章低层协议的安全性 (4)第三章高层协议的安全性 (4)第一篇密码学基础 (4)第四章单(私)钥密码体制 (4)第五章双(公)钥密码体制 (4)第六章消息认证与杂凑函数 (4)第七章数字签名 (4)第八章密码协议 (4)第二篇网络安全技术与运用 (4)第九章数字证书与公钥基础设施 (4)第十章网络加密与密钥管理 (4)第十一章无线网络安全 (4)第十二章防火墙技术 (4)第十三章入侵坚持技术 (4)第十四章VPN技术 (4)第十五章身份认证技术 (5)第一篇网络安全基础第一章引言一、填空题1.信息安全的3个基本目标是:保密性、完整性和可用性。
此外,还有一个不可忽视的目标是:合法使用。
2.网络中存在的4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和非法使用。
3.访问控制策略可以划分为:强制性访问控制策略和自主性访问控制策略。
4.安全性攻击可以划分为:被动攻击和主动攻击。
5.X.800定义的5类安全服务是:认证、访问控制、数据保密性、数据完整性和不可否认性。
6.X.800定义的8种特定的安全机制是:加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。
7.X.800定义的5种普遍的安全机制是:可信功能度、安全标志、事件检测、安全审计跟踪和安全恢复。
二、思考题1.请简述通信安全、计算机安全和网络安全之间的联系和区别。
答:通信安全是对通信过程中所传输的信息施加保护;计算机安全则是对计算机系统中的信息施加保护,包括操作系统安全和数据库安全两个子类;网络安全就是对网络系统中的信息施加保护。
在信息的传输和交换时,需要对通信信道上传输的机密数据进行加密;在数据存储和共享时,需要对数据库进行安全的访问控制和对访问者授权;在进行多方计算时,需要保证各方机密信息不被泄漏。
这些均属于网络安全的范畴,它还包括网络边界安全、Web安全及电子邮件安全等内容。
密钥管理 信息系统安全理论与技术(第2版)课件
ANSI X9.17标准
设 K是E为k(密x)表钥示产用生密器钥保K留对的X一进个行特三殊重密DE钥S。加V密0是。 一个秘密的64比特种子,T是一个时间戳。欲 产生随机密钥Ri,计算: R i= Ek(E k(Ti)⊕Vi)
欲产生Vi+1 ,计算: Vi+1=Ek(E k(Ti)⊕R I)
2、秘密分割
把秘密分割成许多碎片,每一片本身并不代表什么, 但把这些碎片放到一块,秘密就会重现出来。
Trent可以通过如下方法把密钥划分成三部分,然 后分别交给Alice、Bob、Carol:
Trent产生两个随机比特串R、S,每个随机串与密 钥K一样长;Trent用这三个随机串和密钥K异或得 到T:K⊕R⊕S=T
Bob计算K =(X)x(mod P), 易见,K = K =g xx (mod P) 由(4)知,Alice和Bob已获得了相同的秘密值K 双方以K作为加解密钥以传统对称密钥算法进行保密通信
验证密钥
密钥附着一些检错和纠错位来传输,当密钥在传输 中发生错误时,能很容易地被检查出来,并且如果 需要,密钥可被重传。
RSA DES 结合
密钥管理
现代密码学的一个基本原则
一切秘密寓于密钥之中
加密算法可以公开,密码设备可以丢失 如果密钥丢失则敌手就可以完全破译信息 窃取密钥的途径比破译密码算法的代价要小
得多 在网络攻击的许多事件中,密钥的安全管理
是攻击的一个主要环节
密钥的生存周期授权使用该密钥的周期
拥有大量的密文有助于密码分析;一个密钥 使用得太多了,会给攻击者增大收集密文的 机会。
可以使用单向函数进行更新密钥。如果双方 共享同一密钥,并用同一个单向函数进行操 作,就会得到相同的结果。
信息安全原理与实践-第二版03 对称密钥加密
• DES是具备如下基本特性的Feistel密码方案:
共16轮计算 64位分组长度 56位密钥 48位子密钥
14
• 一轮DES算法
15
• DES算法的轮函数F可以表示为:
F(Ri-1, Ki)=P-box(S-boxes(Expand(Ri-1) Ki))
• 轮函数F的组成包括排列扩展、附加的子密钥、S-box和P-box • 排列扩展将其输入从32位扩展到48位,再用子密钥与该结果进行异或 运算。然后,S-box压缩48位为32位,再将结果传递给P-box。将Pbox的输出与旧的左半部分进行异或运算,得到新的右半部分。
Information Security: Principles and Practice, 2nd Edition [美]Mark Stamp 张 戈 著 译
1
第3章 对称密钥加密
2
3.1 引言
• 本章讨论对称密钥加密技术家族的以下两个分支,并在一 定程度上熟悉其内部工作原理和用途。 • 流密码加密
D(C,K )=E(P,K) • K 和K都是已知的。这样,Trudy就已经发现可以通过用密钥 加密等式 两端来找到112位的密钥: C=E(E(P, K), K ) • 由此可以得到K1=K和K2=K 。
双重DES算法并不比单一DES算法更加安全
22Biblioteka • 三重DES • 定义: C=E(D(E(P, K1), K2), K1)
寄存器Y=(y0, y1, ... ,y21)
t =y20 y21 yi =yi -1 for i =21, 21, 19, ... , 1 y0 =t
t =z7 z20 z21 z22
寄存器Z=(z0, z1,... ,z22)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3
4.2 背包加密方案
• Merkle-Hellman背包加密系统基于一个数学问题,该问题往往被看成 NP完全问题。 • 定义: 给定一个集合,共包含n个权重值,分别标识为:W0, W1, …, Wn-1, 以及期望的和S,要求找到a0, a1, …, an-1,其中每一个ai∈{0,1}使得等 式 S=a0W0+ a1W1+ ... + a n-1Wn-1, 能够成立。 • 例子: 假设权重值为85, 13, 9, 7, 47, 27, 99, 86 期望的和S=172 对于这个问题存在一个解决方案: a=(a0, a1, a2, a3, a4, a5, a6, a7)=(11001100) 因为85+13+47+27=172
10
1. 计算出它们的乘积N=pq。 2. 选择与乘积(p-1) (q-1)互素的数e。 3. 计算出数e的模(p-1) (q-1)的乘法 逆元素,命名该逆元素为d。
这些数值满足公式ed = 1 mod (p-1) (q-1)。
• RSA加密体制真的确实有效吗?
给定C=M e mod N,我们必须证明如下等式: M=C d mod N=M ed mod N
19
• 预防中间人攻击的方法
使用共享对称密钥对DH密钥交换过程实施加密。 使用公钥对DH密钥交换过程实施加密。 使用私钥对DH密钥交换过程中的值进行数字签名。
20
4.5 椭圆曲线加密
• 椭圆曲线加密体制(Elliptic Curve Cryptography,ECC)提 供了另一个“实施复杂难解的数学操作”的方法。
•
另一个流行的通用加密指数是e=216+1。选取这个e值,每个加密运算仅需要 执行17个重复平方算法的步骤。e=216+1的另一个优势是,在运用中国剩余定 理的攻击者成功破解消息密文之前,同样的加密消息密文必须已经先行发送 给e=216+1个用户。
15
4.4 Diffie-Hellman密钥交换算法
8
• 总结:
在背包加密系统里,陷门函数存在于运用模运算将超递增背包问题转换为常规背包 问题时,因为该转换因子对于攻击者来说是无法得到的。该函数的单向特性在于一 个事实:使用常规背包实施加密非常容易,但是在没有私钥的情况下,要想解密显 然是非常困难的。当然,有了私钥,我们就能够将问题转换为超递增背包问题,解 决起来就容易了。 背包问题看起来确实是对症下药了。首先,构造包含公钥和私钥的密钥对是相当容 易的。而且,给定了公钥,实施加密是非常容易的,而了解了私钥则会使解密过程 非常容易。最后,在没有私钥的情况下,攻击者就将不得不去解决NP完全问题了。 可惜这个精巧的背包加密系统是不安全的。该方案于1983年被Shamir使用一台 Apple II计算机破解。该攻击依赖于一种称为格基规约的技术。问题的根本在于该 方案中从超递增背包问题派生出的所谓“常规背包问题”并不是真正的常规背包问 题——事实上,它是一种非常特殊的高度结构化的背包案例,而格基规约攻击能够 利用这种结构的特点比较容易地恢复出明文(可以较高的概率完成)。
优势:要获得同样等级的安全性,需要的二进制位数较少 缺点:椭圆曲线体制的数学计算更加复杂,因此,椭圆曲线体制 中的每个数学操作的代价都相对而言更加昂贵。
• 典型的椭圆曲线图
21
4.5.1椭圆曲线的数学原理
• 从加密技术的角度来说,我们希望处理的是离散的点集。这可以通过 在通用椭圆曲线的计算等式上执行“mod p”运算来轻松地实现。 y2=x3+ax+b(mod p) • 例子:y2=x3+2x+3(mod 5) 对于x的所有取值,逐个选取并计算相应的y值(一个或多个值)。因为我们 是基于模数5实施运算,所以我们只需考虑x=0, 1, 2, 3, 4的情况。在这个 例子中,我们最后获得如下这些点:
13
4.3.2 重复平方方法
• 重复平方方法通过每次构建一个二进制位的方式来生成指数并完成计 算。在每个步骤中,我们将当前的指数值乘以2,如果其二进制扩展形 式在相应的位置有值1,我们就还要对指数计算的结果再加上1。 • 例子: 计算520。
指数20以二进制形式表示为10100,指数10100可以一次一位地被构建出来, 从高阶二进制位开始,如下: (0, 1, 10, 101, 1010, 10100)=(0, 1, 2, 5, 10, 20)
因为S<411,我们就得出a7=0。 由于S>200,那么一定有a6=1, 因为剩余所有权重值的和要小于200。 接着计算S=S-200=109,这是新的目 标和值。 因为S>95,我们得到a5=1。 然后再计算S=109-95=14。 继续如法炮制,就得到了最终结果 a=10100110。 我们能够轻松地证实这个问题获得了 解决,因为3+11+95+200=309。
(gb)a mod p=gab mod p
Bob执行如下计算: (ga)b mod p=gab mod p
最后,gab mod p就是共享的秘密,其典型的用途是作为对称密钥。
17
• DH密钥交换
攻击者Trudy能够看到ga mod p 和 gb mod p,而且看起来她距离那个共 享秘密gab mod p也非常接近。但是: ga · gb=ga+b≠gab mod p 显然,Trudy需要找到a或b,看起来这就需要她去解决一个困难的离散对 数问题。
• 欧拉定理:如果数x与数n互素,那么xφ(n)= 1 mod n。
再回顾之前对e和d的选取符合等式:ed=1 mod (p-1)(q-1), 而且N = pq, 这意味着: φ(N)=(p-1)(q-1) 这两个事实结合在一起,就意味着下面的等式成立: ed-1=kφ(N)
这就证实了RSA体制的解密指数确实解密了密文C。
7
如果Alice想要加密消息M=10010110并发送给Bob,她就利用消息中值为 1的二进制位,据此来选择常规背包中的元素,将这些元素相加求和就得 到了对应的密文。 Alice执行计算:C=82+83+373+10=548 要想解密这个密文,Bob使用他的私钥执行如下计算,得到: C· m-1 mod n=548· 12 mod 491=193 然后Bob针对值193求解超递增背包问题。因为Bob拥有私钥,所以要从 中恢复出明文是比较容易的。 最后,明文的二进制表示为M=10010110,其换算成十进制是M=150。
• Diffie-Hellman密钥交换算法,或简称为DH,是由英国政府通信总部 (GCHQ)的Malcolm Williamson所发明,其后不久,该算法又被它的命 名者Whitfield Diffie和Martin Hellman独立地再次发明。 • 这里讨论的Diffie-Hellman算法版本是密钥交换算法,因为它仅仅能够 用于建立共享的秘密。 • DH算法的安全性依赖于离散对数问题的计算难度。假设给定g以及 x=gk。那么,要想确定k,就需要计算对数logg(x)。
Information Security: Principles and Practice, 2nd Edition [美]Mark Stamp 张 戈 著 译
1
第4章 公开密钥加密
2
4.1 引言
公开密钥加密技术
单向陷门函数 公开密钥 私有密钥 数字签名
公开密钥加密体系 椭圆曲线加密方案
18
• DH算法容易遭受中间人攻击(简称为MiM攻击)
• Trudy将自己置于Alice和Bob之间,截获从Alice发送给Bob的消息,同 样也截获从Bob发送给Alice的消息。Trudy如此部署,将使DH密钥交 换很容易地就被彻底破坏了。 • 在这个过程中,Trudy建立共享的秘密,比方说,和Alice共享gat mod p,和Bob共享另一个秘密gbt mod p。无论是Alice还是Bob,都不会觉 察到这其中有任何问题,于是,Trudy就能够读到或改写Alice和Bob之 间传递的任何消息了。
16
• DH算法的数学构造
设定p为素数,并假定g是生成器,即对于任何的x∈{1, 2, ... ,p -1},都存 在指数n,使得x=gn mod p。素数p和生成器g是公开的。 对于实际的密钥交换过程,Alice随机地选择秘密的指数a,Bob随机地选 择秘密的指数b。Alice计算ga mod p,并将结果发送给Bob,而Bob计算 gb mod p,也将结果发送给Alice。 Alice执行如下计算:
4
• 超递增的背包问题
当将权重值从小到大排列起来时,每一个权重值都大于前面所有权重值 相加的和。 --- 相对容易解决!
• 例子:
权重值集合为:3, 6, 11, 25, 46, 95, 200, 411 期望的和S=309 我们只需从最大间内恢复出ai。
•
现在计算520,重复平方方法的执行过程如下: So easy!
14
4.3.3 加速RSA加密体制
• • 另外一个可用于加速RSA加密体制的技巧是,对于所有用户使用同一加密指 数e。而这并不会在任何方面削弱RSA加密体制的强度。 通常加密指数的合适选择是e=3。选择这个e值,每一次公钥加密仅仅需要两 次乘法运算。不过,私钥的运算操作仍然代价高昂。
假定Bob想要发送一条消息M=15 给 Alice。 Bob先查找Alice的公钥(N, e) = (33, 3),再计算密文 C=M e mod N=153 =3375=9 mod 33 =9
12
• 存在的问题
所谓“大的”素数其实并不大,对Trudy来说分解这个模数将是小菜 一碟。在现实世界中,模数N典型的大小通常至少是1024位,而长 度为2048位或更大的模数值也是常常会用到的。 可能遭受前向检索攻击。
11