第四章序列密码—trivium 7

【国家自然科学基金】_estream_基金支持热词逐年推荐_【万方软件创新助手】_20140801

2008年序号 1分攻击假设检验 estream
推荐指数 1 1 1 1 1
2010年序号
科研热词 1 流密码的设计准则 2 trivium 3 estream
推荐指数 1 1 1
2011年序号 1 2 3 4 5 6 7 8 9 10 11 12
2014年序号 1 2 3 4 5 6 7 8 9 10 11 12
科研热词非线性反馈移存器非奇异性相关密钥攻击猜测决定攻击状态刷新变换流密码序列密码双射性 lex算法 grain算法 estream计划 aes算法
推荐指数 1 1 1 1 1 1 1 1 1 1 1 1
科研热词流密码 trivium 随机性检测统计分析线性近似序列密码差分故障分析密钥流区分密码学密码分析 salsa20 estream
推荐指数 2 2 1 1 1 1 1 1 1 1 1 1
2012年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
科研热词流密码密码分析区分攻击 trivium 线性掩码线性分析立方攻击猜测决定攻击流密码算法序列密码密钥恢复可滑动对 stream cipher sosemanuk算法 sosemanuk slid pair. sat问题 sat minisat hc-256 groebner基 grain estream计划 estream工程 estream
推荐指数 3 3 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2013年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

灰灰的密码学笔记

时间过的也真快，转眼我在密码吧已经混了一个月了，在此期间学到了不少东西，感谢各位高手的无私奉献。

不过也看到了很多不愉快的帖子，密码吧现在没有吧主，请大家多包容一点，不要老是吵架、制造垃圾帖子造成看贴不方便。

不多说了，我花了一个星期的时间把最近学到密码学知识整理成比较条理的笔记，现在拿出来与大家共享，愿能给密码的初学者带来方便，也欢迎高手来补充和指正。

另外我也把各种加密方法编写了网页程序的演示——密码机器 v1.0，现在正在调试中，先放张截图，过几天发上来，希望能够得到大家的支持哦，谢谢。

2楼目录：密码常识字母表顺序-数字进制转换密码Mod算法倒序间隔字母频率凯撒密码(Caesar Shifts, Simple Shift)凯撒移位(中文版)栅栏密码(The Rail-Fence Cipher)维吉尼亚密码(Vigenère Cipher)Polybius密码(Polybius Cipher)ADFGX/ADFGVX密码(ADFGX/ADFGVX Cipher)ADFGXADFGVX乘法密码(Multiplication Cipher)仿射密码(Affine Shift)希尔密码(Hill Cipher)加密解密Playfair密码(Playfair Cipher)摩斯电码置换密码(Transposition Cipher)替代密码(Monoalphabetic Substitution)字母表数字字母表代码反字母表随机乱序字母棋盘密码键盘密码键盘移位软键盘密码数字小键盘密码手机键盘密码数字谐音密码数字记忆编码百度/Google/网页字符百度字符(GB2312)Google字符(URI)网页编码(Unicode)Alt+数字小键盘MD52007-6-10 10:36 回复秋雨灰灰150位粉丝3楼【密码常识】字母表顺序-数字加密的时候，经常要把A~Z这26个字母转换成数字，最常见的一种方法就是取字母表中的数字序号。

【国家自然科学基金】_本原多项式_基金支持热词逐年推荐_【万方软件创新助手】_20140730

2014年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
2014年科研热词非周期长码直扩信号解扰自相关函数线性递归序列盲识别盲解扩波形设计根式扩张根式塔本原序列本原多项式整数剩余类环多输入多输出雷达可解群压缩映射分裂域分段相关共轭根系信道编码信息码同步代数方法互相关函数 bch码推荐指数 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
推荐指数 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2013年序号 1 2 3 4 5 6 7 8 9
科研热词本原多项式高阶统计非合作通信相关峰盲估计汉明码对偶码字 tcf算法 m序列
推荐指数 2 1 1 1 1 1 1 1 1
推荐指数 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
2010年序号 1 2 3 4 5 6 7 8 9 10 11 12
科研热词高阶统计分析高斯噪声量子纠错码矩阵斜消变换流密码的设计准则本原多项式循环陪集对偶码 trivium m序列 estream bch码
2008年序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
科研热词本原多项式有限域陪集逆元素迹生成幂等多项式本原元本原σ -lfsr序列最小多项式序列密码对偶码对偶基块hankel矩阵分位序列三次剩余码
推荐指数 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1

密码学（范明钰）3.2-序列密码

yi=zi xi。
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上，如果密钥使用滚动密钥流，则加法序列密码就退化成一次一密密码。
实际使用中，密码设计者的最大愿望是设计出的滚动密钥生成器，使得密钥经其扩展成的密钥流序列具有如下性质：极大的周期、良好的统计特性、抗线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后，由于输入加密器的明文可能影响加密器中内部记忆元件的存储状态，因而 σi(i>0)可能依赖于k，σ0，x0，x1，…，xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖于输入的明（或密）文字符，序列密码可进一步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit，并用密钥流来加密每个字符bit
基本上，序列密码体
制只使用混乱技术，
而不使用散布技术。这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础，对于其各种设计原则已经进行了详尽的分析。然而在公开的文献中详尽的序列密码系统却相对较少造成这种状况的部分原因是，在实际中使用的大部分序列密码归私人所有或需要保密。相比之下，大量的分组密码建议已经出版，其中的一些已经被标准化或公开
却希望它的输出（密钥序列k）对不知情的人来说象是随机的。到底该从哪些角度把握随机性等，才使所设计出来的KG能够具有我们需要的安全程度？

序列密码 3.3 序列密码编码技术

b
lr
3.3
序列密码编码技术
初始乱源发生器：为前馈函数提供具有良好统计特性的输入序列。注：一般采用线性本原移存器。源移存器初态通常由密钥决定。抽头变换：控制前馈函数的输入，不同的输入导致不同的输出，可变的抽头变换使输出序列更加复杂。
3.3
序列密码编码技术
前馈函数：对初始乱源发生器提供的输入序列进行非线性变换，提高输出序列的线性复杂度。破坏移存器序列固有的线性制约性,使由乱数求初始密钥（或移存器初态、起点）是困难的。要求前馈函数不仅能将输入序列的优点遗传下去，还要对输入序列的弱点进行有针对性的改进。
实数和序列名称的由来把N+1长序列a、b看成两个实数的二进制表示，记则有
AN ai 2 , BN bi 2 , Z N zi 2i
i i i 0 i 0 i 0 N N N
Z N ( AN BN ) mod 2 N 1
所得实数和的二进制表示就是输出序列。
…
LFSR2
…
… …
LFSRn
…
非线性变换 f (x)
…
3.3
序列密码编码技术
（二）有记忆变换模型
有记忆变换模型，使输出不仅与当前时刻的输入因素有关，而且与以前时刻的输入和输出因素有关,主要目的是实现输入信息的扩散。 1、累加器变换
a 输入为： {a1 , a2 , a3 } ；输出为：b {b1 , b2 , b3 }
序列密码就是利用少量的种子密钥产生密码学
性质好、抗还原能力强的伪随机序列，再将该伪随机序列与明文以简单的方式相结合产生密文的一类密码算法。注：与明文结合的序列通常称为密钥流或乱数。
3.3

精品文档-密码学基础(范九伦)-第4章

第4章 Hash函数
实际应用中的Hash函数可分为简单的Hash函数和带密钥的 Hash函数。带密钥的Hash函数通常用来作为消息认证码(Message Authentication Code)。假定Alice和Bob有一个共享的密钥k，通过该密钥可以产生一个Hash函数Hk。对于消息x，Alice和Bob 都能够计算出相应的消息摘要y=Hk(x)。Alice通过公共通信信道将二元组(x，y)发送给Bob。当Bob接收到(x，y)后，它可以通过检验y=Hk(x)是否成立来确定消息x的完整性。如果y=Hk(x)成立，说明消息x和消息摘要y都没有被篡改。
第4章 Hash函数
下面给出带密钥的Hash函数族的定义。定义4.1.4 一个带密钥的Hash函数族包括以下构成要素： (1) X：所有消息的集合(有限集或无限集)； (2) Y：所有消息摘要构成的有限集合； (3) K：密钥空间，是所有密钥的有限集合； (4) 对任意的k∈K，都存在一个Hash函数Hk∈H，Hk: X→Y。如果Hk(x)=y，则二元组(x，y)∈X×Y称为在密钥k下是有效的。
第4章 Hash函数生日攻击的思想来源于概率论中一个著名的问题——生日问
题。该问题是问一个班级中至少要有多少个学生才能够使得有两个学生生日相同的概率大于1/2。该问题的答案是23。即只要班级中学生的人数大于23人，则班上有两个人生日相同的概率就将大于1/2。基于生日问题的生日攻击意味着要保证消息摘要对碰撞问题是安全的，则安全消息摘要的长度就有一个下界。例如，长度为40比特的消息摘要是非常不安全的，因为仅仅在220(大约为一百万)个随机Hash函数值中就有50%的概率发现一个碰撞。所以对于安全的消息摘要，现在通常建议可接受的最小长度为128 比特(此时生日攻击需要超过264个Hash函数值)。而实际使用的消息摘要一般为160比特甚至更长。

【安全课件】第14讲—序列密码

17
反馈多项式的含义
一个r级线性移存器的线性递推式表示为：
a n c 1 a n 1 c 2 a n 2 c r a n r( n r )
引进迟延算子D：D k a k 1 ,D ia k a k i,D 0 I 递推式可改写为：c 0 In a c 1 D n c 2 a D 2 a n c r D r a n 0 即：( c 0 c 1 D c 2 D 2 c r D r) a n 0c0 1
8
序列和周期
一般地，一个移存器序列表示为：aa0a1a2ai
• 对于序列 aa0a1a2，ai若存在整数p使得对任意正整数k有ak akp 成立，称满足该式的最小正整数p为序列的周期。
r级线性反馈移存器的最长周期: 2r 1 ，能达到最长周期的线性移存器序列称为m序列。
• 在密码学中，我们希望参与变换的序列周期越长越好，因此对线性反馈移存器我们更感兴趣的是能达到最长周期的序列，即m序列。
特例：当q=2时，G(f)中任意两个序列之和仍然属于G(f)。
5
(不)可约多项式
(不)可约多项式定义：若存在g(x),h(x)，使得f(x)=g(x)h(x)，则
称f(x)是可约多项式；否则，称其为不可约多项式。
6
定理2：若f(x)|h(x)，则G(f) G(h).
例1：联结多项式为
将上式中的D用符号x代替，引入多项式：
f(x ) c rx r c r 1 x r 1 c 1 x 1
从而有：f(D )an0,(nr) 那么对于序列a， f (D)a0
18
14
二、m序列特性
（二）移加特性
L(t)(a)是左移变换，就是将序列 a 左移t位所得到的序列。

crypt4-序列密码3

a 0 , a1 , a 2 , a 3 1,1, 0 ,1，求：序列
a的有理表示
9
10
有理表示 2：设 GF 2 上序列 a的周期为 p，则 a的有理表示有 a x a 0 a1 x a 2 x 2 a p 1 x p 1 1 x p
定理：设 f x 是首1的 n次多项式，则 1 S f x S f x
总结：序列有三种表示：
序列表示：
a a 0 a1a 2 a 3
2
非全零序列 a S f x 是 n级 m 序列的充分必要条件是 f x 是 n次本原多项式。
2011-4-7
2、序列的表示
序列表示： a a 0 a1a 2 a 3
定理：对于序列 a a 0 a1a 2 a 3 和首 1的 n 次多项式， f ( x ) c0 c1 x c 2 x 2 c n 1 x n 1 c n x n , c 0 1, a S ( f ( x ))的充要条件是： a的幂级表示为以下形式：（ a x） g ( x )是次数小于 n 的多项式。 g ( x) 的展开式子 f ( x)
序列表示 :
a 1110011110 01
彻底解决了m-序列的构造问题
构造出本原多项式，就构造出m-序列
11
12
2
第四章第四节序列的表示与本原多项式
2011-4-7
常见的本原多项式： 1 x2 1 x x
3
1 x x2
4、对偶移位寄存器概述
为了便于计算机软件实现LFSR，我们引进了与 LFSR等价的移位寄存器——对偶移位寄存器。