现代密码学-第6章数字签名-20091202
第6章 现代密码学课件
现代密码学PPT课件
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
现代密码学第1讲资料
2020/5/24
14
通信窜扰
攻击者对通信数据或通信过程进行干预, 对完整性进行攻击,窜改系统中数据的内 容,修正消息次序、时间(延时和重放)、 注入伪造消息。
2020/5/24
15
中断
对可用性进行攻击,破坏系统中的硬 件、硬盘、线路、文件系统等,使系统不 能正常工作,破坏信息和网络资源。
高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子 器件,正在研究中的电子生物可以吞噬电子器件。
2020/5/24
10
系统穿透
未授权人对认证性(真实性Authenticity) 进行攻击,假冒合法人接入系统.
对文件进行窜改(窜改系统中数据内容,修正消息次序、时间、
延时和重放).
窃取机密信息. 非法使用资源等。
一般采取伪装、利用系统的薄弱环节、收 集情报等方式实现。
2020/5/24
11
违反授权原则
2020/5/24
4
第一章:引言
信息社会的发展与挑战 Internet上的对抗与威胁 网络安全的防护措施 OSI的参考模型 OSI的安全全业务 OSI的安全机制
2020/5/24
5
信息社会的发展与挑战
人类进入信息化社会时代。数字化、信息化、网络化正在 冲击、影响、改变我们社会生活的各个方面。从科学研究、生 产制造、产品流通、商业运作、超市购物、医疗服务、教育培 训、出版印刷、媒体传播,到文化生活、娱乐消闲、人际交往、 法律规范、伦理道德、乃至军事作战等等,无一不将受到信息 网络的挑战,无一不在信息技术这一最新高科技生产力的作用 下迅速变化。
Internet的安全已受到普遍的重视。
2020/5/24
9
Internet上的对抗与威胁
现代密码学和应用 ——数字签名-精品文档
2019/2/21
13
签名方案的攻击类型
• 敌手的目标是:伪造签名
① 完全攻克:敌手能计算出私钥 ② 选择性伪造:敌手能对一个特殊的消息或 者预先选定的一类消息构造出正确的签名 ③ 存在性伪造:敌手能伪造至少一个消息的 签名,但敌手对被伪造签名所对应的消息 几乎没有控制能力
2019/2/21 14
–数字签名的签名过程 –数字签名的验证过程:不需要签名者的秘密知 识 (任何人都可验证真伪)
2019/2/21 5
数字签名的特点
① 签名是可信( 真实)的: 任何人都可以方便的验证 签名的有效性. ② 签名是不可伪造的:除了合法的签名者外,任何其 它人伪造签名是困难的,这种困难性指计算上是 不可行的。 ③ 签名是不可抵赖的:签名者不能否认自己的签名。 ④ 签名是不可复制的:如果签名是从别的地方复制 的,任何人都可发现消息与签名的不一致,从而 拒绝签名。 ⑤ 签名的消息是不可修改的
二、RSA和相关签名方案
• • • • •
RSA签名方案 有关RSA签名的可能攻击 实际中的RSA签名 ISO/IEC 9796规范 PKCS #1规范
2019/2/21
16
• RSA是以它的三个发明者Ron Rivest,Adi Shamir和Leoard Adleman的名字命名。 • RSA算法既可以用于加密,也可以用于数 字签名。 • RSA的安全性基于大数分解的困难性,该 算法已经经受住了多年深入的密码分析, 密码分析者既不能证明也不能否认RSA的 安全性,这恰恰说明该算法有一定的可信 度。
–DSA、ElGamal和Schnorr签名方案 –消息可以是任意长度
• 带消息恢复的数字签名方案:消息可从签 名自身恢复,不要求初始消息M作为验证算 法的输入
现代密码学概述
现代密码学概述现代密码学是研究保护信息安全的科学,它使用密码算法来加密和解密数据,以防止未经授权的访问和篡改。
密码学在现代社会中扮演着至关重要的角色,它保证了电子通信、互联网交易和数据存储的安全性。
一、密码学的基本概念和原理1.1 加密和解密在密码学中,加密是将明文转换为密文的过程,而解密则是将密文还原为明文的过程。
加密和解密的过程需要使用特定的密钥和密码算法。
1.2 对称密码和非对称密码对称密码算法使用相同的密钥进行加密和解密,加密和解密的速度较快,但密钥的分发和管理比较困难。
非对称密码算法使用一对密钥,分别用于加密和解密,密钥的管理更为灵活,但加密和解密的速度较慢。
1.3 数字签名和数字证书数字签名是在数字信息中添加的一种类似于手写签名的标识,用于验证数据的完整性和真实性。
数字证书则是由可信的第三方机构颁发的用于验证签名者身份的证书。
二、现代密码学的应用领域2.1 网络安全现代密码学在网络安全中扮演着重要的角色。
它通过对通信数据进行加密,保护用户的隐私和数据的安全,防止信息被窃听、篡改和伪造。
2.2 数据存储密码学被广泛应用于数据存储领域,如数据库加密、文件加密和磁盘加密等。
通过对数据进行加密,即使数据泄露也不会造成重大的损失。
2.3 电子支付现代密码学在电子支付领域也有广泛的应用。
它通过使用数字签名和加密技术,确保支付过程的安全性和可信度,防止支付信息被篡改和伪造。
三、常见的密码学算法3.1 对称密码算法常见的对称密码算法有DES(Data Encryption Standard)、AES (Advanced Encryption Standard)和RC4等。
这些算法在加密和解密的速度上都较快,但密钥的管理较为困难。
3.2 非对称密码算法常见的非对称密码算法有RSA、DSA和ECC等。
这些算法在密钥的管理上更为灵活,但加密和解密的速度较慢。
3.3 哈希函数算法哈希函数算法用于将任意长度的数据转换为固定长度的摘要值。
现代密码学-第6章数字签名
任给消息x M , 如果 y sig K ( x) C , 则将数据对(x,y)称为消息x的一个数字签名,或 直接把y称为消息x的数字签名
7
5.6.1 数字签名的基本概念
数字签名基本要求 对每一个密钥K, sigK和verK应该是多项式时间函数 verK是公开的函数, 而sigK是保密的 给定一个消息x, 除了发送者本人以外, 任何其他人找到满 足verK(x,y)为真的数字签名y,应该是计算上不可行的 如果攻击者能够找到满足verK(x,y)的数据对(x,y),而发送者 事先又没有对x签名,则称y是伪造(forgery)的数字签名。 数字签名算法必须满足的条件 签名者事后不能否认自己的签名; 其他人不能伪造签名; 当通信双方为签名真伪发生争执时, 可以由第三方解决 争端
假设签名者A采用先加密后签名的方案把消息x发送给接收 者B ,则他先用B的公开密钥eB对x加密, 然后用自己的私钥 dA签名.设A的模数为nA,B的模数为nB.于是A发送给B的数据 为: ( x eB mod nB ) d A mod nA .
如果B是不诚实的,那么B可能伪造A的签名.例如,假设B想 抵赖收到A发的消息x, 慌称收到的是x1.因为nB是B的模数, 所以B知道nB的分解,于是能够计算模nB的离散对数.即他能 找到k满足: ( x1 ) k x mod nB .
20
5.7.1 RSA算法描述
2.签名算法 设消息为x,则x的RAS签名是
y =x mod n.
3.验证算法 当接收方收到签名(x,y)后,计算
d
x , y e mod n.
如果x= x’,则y是x的RAS签名。
21
5.7.2 RSA数字签名的安全性
1.一般攻击 攻击方法: 设n与e为用户A的公钥,攻击者首先随意 选择一个数据y,并用A的公钥计算
现代密码学
摘要数字签名是现代密码学的主要研究课题之一,它是实现认证的重要工具,保证了数据的可靠性。
数字签名在金融、商业、军事等领域,尤其是在电子支票、电子邮件、电子贸易、电子购物、数据交换、电子出版以及知识产权保护等方面有着重要作用。
近些年来随着对数字签名的不断深入研究,产生了许多特殊的数字签名,例如盲签名、群签名、代理签名、多重签名、前向安全签名。
正是由于特殊数字签名具有的独特功能和实际用途,在一些特殊行业有广泛应用,特别是在数据完整性检验、身份证明、身份鉴别和防否认等方面功能独特。
关键词:盲签名1 盲签名的研究现状盲签名是一种特殊的数字签名,其特殊性体现在签名者并不知道签署的内容,即便签名者知道了签名与消息对,也无法将它们联系起来。
因此,盲签名技术应用广泛,尤其是电子投票和电子货币系统等。
盲签名的概念首先被David Chaum提出来,Chaum给出了一个基于RSA的盲签名方案,此后人们分别基于因子分解问题、离散对数问题、二次剩余问题等提出各种盲签名方案。
1992年,Okamoto基于Schnorr签名体制提出了第一个基于离散对数问题的盲签名方案[2]。
1994年,Camenisch等提出了基于离散对数的两个离散方案。
第一个方案是由DSA变形得出,第二个方案建立在Nyberg-Ruep pel签名体制之上。
1996年,Fan等基于二次剩余方根的难解性提出了一个盲签名方案,之后两年,Fan又提出一个部分盲签名方案,可以减少电子现金系统的计算量。
同年再次提出可以增强计算效率的一个盲签名方案。
2000年,姚亦峰等以Harn和Xu提出的十八种安全广义ElGamal型数字签名方案为基础,利用二元仿射变换,通过分析得到其中十二种方案是强盲签名方案。
2001年,Ch-ien 等根据RSA公钥密码系统提出一个部分盲签名方案,它能减少数据库的大小以及避免电子现金的重复花费。
2002年,黄少寅等基于Schnorr体制提出了一个必须经过多人同时盲签名才可生效的新方案,可以方便应用在电子现金需银行多个部门同时进行盲签名才可生效的情形中。
现代密码学知识点整理
第一章 基本概念1. 密钥体制组成部分:明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件:(1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量)(2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击(1)唯密文攻击:仅知道一些密文(2)已知明文攻击:知道一些密文和相应的明文(3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文【注:以上攻击都建立在已知算法的基础之上;以上攻击器攻击强度依次增加;密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码(一)单表古典密码1、定义:明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q(1)加法密码 加密算法:κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== 密钥量:q (2)乘法密码 加密算法:κκ∈∈===k X m Z Z Y X q q ;,;*对任意,密文为:q km m E c k m od )(== 解密算法:q c k c D m k mod )(1-==密钥量:)(q ϕ (3)仿射密码 加密算法:κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文q m k k m E c k m od )()(21+==解密算法:q k c k c D m k mod )()(112-==-密钥量:)(q q ϕ (4)置换密码 加密算法:κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为,密文)()(m m E c k σ==密钥量:!q仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 (1)Caeser 体制:密钥k=3 (2)标准字头密码体制: 4.单表古典密码的统计分析(1)26个英文字母出现的频率如下:频率 约为0.120.06到0.09之间 约为0.04 约0.015到0.028之间 小于0.01 字母et,a,o,i.n,s,h,rd,lc,u,m,w,f,g ,y,p,bv,k,j,x,q,z【注:出现频率最高的双字母:th ;出现频率最高的三字母:the 】 (二)多表古典密码1.定义:明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 (1)简单加法密码加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文:),...,()(11n n k k m k m m E c ++==密钥量:nq (2)简单乘法密码 密钥量:n q )(ϕ 1.简单仿射密码密钥量:n n q q )(ϕ2.简单置换密码 密钥量:nq )!( (3)换位密码 密钥量:!n(4)广义置换密码密钥量:)!(nq(5)广义仿射密码 密钥量:n n r q3.几种典型的多表古典密码体制 (1)Playfair 体制: 密钥为一个5X5的矩阵加密步骤:a.在适当位置闯入一些特定字母,譬如q,使得明文字母串的长度为偶数,并且将明文字母串按两个字母一组进行分组,每组中的两个字母不同。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现代密码学
Modern Cryptography
作 者:何大可 彭代渊 唐小虎 何明星 梅其祥 出版社:人民邮电出版社
彭代渊 信息科学与技术学院 dypeng@ 2009.9-2010.1
1
现代密码学
Modern Cryptography
第6章 数字签名
16
6.1.3 数字签名的安全需求
Hash函数与数字签名的安3 数字签名的安全需求
使用已知消息攻击的存在性伪造
攻击者E从一个有效的签名(x, y)开始,其中y=sigK(h(x)).然后他 计算z=h(x),并企图找到x’x,使得h(x’)=h(x).如果E能做到这一 点,则(x’, y)就是一个有效的签名, 从而y是消息x’的一个伪造 签名.为了阻止这种攻击, 必须要求Hash函数h是弱无碰撞的.
假设签名者A采用先加密后签名的方案把消息x发送给接收 者B ,则他先用B的公开密钥eB对x加密, 然后用自己的私钥 dA签名.设A的模数为nA,B的模数为nB.于是A发送给B的数据 为: ( x eB mod nB ) d A mod nA .
如果B是不诚实的,那么B可能伪造A的签名.例如,假设B想 抵赖收到A发的消息x, 慌称收到的是x1.因为nB是B的模数, 所以B知道nB的分解,于是能够计算模nB的离散对数.即他能 找到k满足: ( x1 ) k x mod nB .
t k r 1 l d r 1 s d c d r 1 r c d c d x mod n.
于是,获得了秘文x。
抵抗措施
用户不要轻易地对其他人提供的随机数据进行签名 对数据的Hash值进行签名
25
6.2.2 RSA数字签名的安全性
4.对先加密后签名方案的攻击 攻击方法
使用唯密钥攻击的存在性伪造
当签名算法遭到唯密钥攻击时, 即攻击者E拥有签名者A的公钥 K.E就可能对一个随机的散列值z伪造签名y=sigK(z). 此时, 如果 Hash函数h不是单向的,则E可能找到一个消息x,使得z=h(x). 所以E能够成功伪造一个签名(x, y).为了阻止这种攻击, 必须要 求Hash函数h是单向的.
d d y y1 y2 =x1 x2 =(x1 x2 )d =xd mod n.
于是攻击者E得到了用户A对消息x的RSA数字签名y 抵抗措施
用户不要轻易地对其他人提供的随机数据进行签名 对数据的Hash值进行签名
24
6.2.2 RSA数字签名的安全性
3.利用签名进行攻击从而获得明文 攻击方法
100111000101 00011000
密钥K
sigK
6
6.1.1 数字签名的基本概念
一个数字签名体制是一个满足以下条件的五元组:
(M ,C , K , S ,V )
(1)消息空间:由所有任意长度消息组成的集合 M =A * (2)签名空间: 由所有签名组成的集合。签名长 度不超过n。 C 1in A i (3)密钥空间: K
任给消息x M , 如果 y sig K ( x) C , 则将数据对(x,y)称为消息x的一个数字签名,或 直接把y称为消息x的数字签名
8
6.1.1 数字签名的基本概念
数字签名基本要求 对每一个密钥K, sigK和verK应该是多项式时间函数 verK是公开的函数, 而sigK是保密的 给定一个消息x, 除了发送者本人以外, 任何其他人找到满 足verK(x,y)为真的数字签名y,应该是计算上不可行的 如果攻击者能够找到满足verK(x,y)的数据对(x,y),而发送者 事先又没有对x签名,则称y是伪造(forgery)的数字签名。 数字签名算法必须满足的条件 签名者事后不能否认自己的签名; 其他人不能伪造签名; 当通信双方为签名真伪发生争执时, 可以由第三方解决 争端
x=ye mod n, 于是可以伪造A的一个RSA数字签名(x,y)。因为 xd =(ye)d =yed =y mod n, 所以用户A对x的RSA数字签名是y。
这种攻击实际上成功的概率是不高的 因为对于选择的数据y,得到的x=ye mod n具有正确语 义的概率是很低的。 抵抗措施
仔细设计数据格式 对数据的Hash值进行签名
然后,B再公布他的新公开密钥为keB。现在B宣布他收到 的消息是x1,而不是x。
由于下式成立,所以A无法争辩。
( x1keB mod nB ) d A mod nA ( xeB mod nB )d A mod nA
4
6.1
数字签名概念
签名是证明当事人的身份和数据真实性的一种信息。 在传统的以书面文件为基础的事物处理中,采用书面 签名的形式,如手签、手印和印章等。书面签名得到 司法部门的支持,具有一定的法律意义
5
6.1
数字签名概念
在以计算机文件为基础的现代事物处理中,应采用电 子形式的签名,即数字签名(digital signature)。 数字签名的目的是提供一种手段,使得一个实体把他 的身份与某个信息捆绑在一起。 一个信息的数字签名实际上是一个数,它仅仅依赖于 签名者的密钥和被签名的消息。
23
6.2.2 RSA数字签名的安全性
2.选择消息攻击 攻击方法: 假设攻击者E想伪造消息x的签名,他容 易找到两个数据x1和x2,使得
x=x1 x2 mod n.
攻击者E设法让用户A分别对x1和x2 进行签名,得到
d y1 x1d mod n, y2 x2 mod n.
然后E可以计算
15
6.1.3 数字签名的安全需求
攻击者对数字签名系统的攻击目的 完全破译(total break) 攻击者E能确定签名者A的私钥K,因而能够计算签名 函数sigK,可以对任何消息产生有效的签名。 选择性伪造(selective forgery) 攻击者E能以某一个不可忽略的概率对另外某个人选 定的消息产生一个有效的签名。也就是说,如果给E 选定一个消息x,那么他能以一个正的概率找到x的签 名y=sigK(x),并且签名者A以前未对x签名。 存在性伪造(existential forgery) 攻击者E至少能够为一个消息产生一个有效的签名。 也就是说,E可能生成一个数据对(x,y),其中x是 消息,y=sigK(x)。签名者A以前未对x签名。
假设攻击者E已截获了秘文c=xe mod n,他想求出明文x。 于是,他选择一个小的随机数r,并计算 s r e mod n, l s c mod n,
t r 1 mod n. 因为s=re,所以sd=( re)d= mod n,r=sd mod n.然后E 设法让签 名者对l签名. 于是E又获得k=ld mod n. 攻击者E再计算:
verK称为验证算法(verification algorithm) (6)任给密钥K K , 签名算法sig K 与验证算法 verK 满足:
对每一个消息x M 和每一个签名y C , 都有 真, y sig K ( x) verK ( x, y ) 假, y sig K ( x)
9
6.1.1 数字签名的基本概念
手写签名与数字签名的区别 手写签名是所签文件的物理组成部分,数字签名必须 与所签文件捆绑在一起。 手写签名通过与标准签名进行比较或检查笔迹来验证, 数字签名是通过验证算法来验证。手写签名容易伪造, 好的数字签名算法应该使伪造签名十分困难。 手写签名不易复制。数字签名是一个二进制串,容易 复制。所以必须防止数字签名重复使用。
21
6.2.1 RSA算法描述
2.签名算法 设消息为x,则x的RAS签名是
y =x mod n.
3.验证算法 当接收方收到签名(x,y)后,计算
d
x , y e mod n.
如果x= x’,则y是x的RAS签名。
22
6.2.2 RSA数字签名的安全性
1.一般攻击 攻击方法: 设n与e为用户A的公钥,攻击者首先随意 选择一个数据y,并用A的公钥计算
彭代渊 信息科学与技术学院 dypeng@ 2009年12月
2
第6章 数字签名
6.1 6.2 6.3 6.4 6.5 6.6 数字签名概念 RSA数字签名体制 ElGamal数字签名体制 其它数字签名方案 数字签名标准 应用
3
6.1
数字签名概念
在政治、军事、外交、商业和日常生活中,人们经常 需要对纸质材料进行签名。 签名起到确认、核准、生效和负责任等多种作用。 随着计算机网络技术的发展,电子商务、电子政务和 电子金融等系统得到广泛应用,人们需要通过网络信 息传输对电子的文件、契约、合同、信件和张单等进 行数字签名以替代手写签名。
使用选择消息攻击的存在性伪造
攻击者E首先找到x’x, 使得h(x’)=h(x). 然后将消息x发给签名 者A, 并让A对消息的散列值h(x)签名, 从而得到y=sigK(h(x)). 所以E能够成功伪造签名(x’, y). 为了阻止这种攻击,必须要求 Hash函数h是强无碰撞的.
18
6.1.3 数字签名的安全需求
14
6.1.3 数字签名的安全需求
数字签名的攻击模型 唯密钥攻击(keyonly attack) 攻击者E拥有签名者A的公钥K,因而能够计算验证函 数verK。 已知消息攻击(known message attack) 攻击者E拥有一系列以前由签名者A所签名的消息。即 E具有数据对(xi,yi),其中xi是消息,yi=sigK (xi)是 A对xi的签名(i=1, 2, …)。 选择消息攻击(chosen message attack) 攻击者E可以选择一些消息请求签名者A签名。即E选 择消息xi,并将xi发送给签名者A,请求A对xi签名。A 计算yi=sigK(xi),并将yi发给E。所以,E具有A的有效 数字签名(xi,yi)(i=1, 2, …)。