现代密码学 第3章
现代密码学PPT课件
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
现代密码学-第3章分组密码习题与解答-20091206
第3章 分组密码习题及参考答案1. 设DES 算法中,明文M 和密钥K 分别为:M =0011 1000 1100 0100 1011 1000 0100 0011 1101 0101 0010 0011 1001 1110 0101 1110K =1010 1001 0011 0101 1010 1100 1001 1011 1001 1101 0011 1110 1101 0101 1100 0011求L 1和R 2。
解:初始变换IP :1001 1010 1101 0101 1101 0010 0011 1000 0101 0110 0010 0101 1100 0101 1110 1000则,0L =1001 1010 1101 0101 1101 0010 0011 10000R =0101 0110 0010 0101 1100 0101 1110 1000K 去校验位得:0C =1101 0111 1100 0000 0010 0111 01110D =1010 1000 0111 0110 0011 0101 0010循环左移一位:1C =1010 1111 1000 0000 0100 1110 11111D =0101 0000 1110 1100 0110 1010 0101经过置换选择得到:1K =0000 1111 0110 1000 1101 1000 1001 1010 1000 0111 0011 0001同样可以得到:2K =0101 0101 0110 0001 1101 1101 1011 0101 0101 0000 0110 11101L =0R =0101 0110 0010 0101 1100 0101 1110 1000经过轮函数F 后,0R 经过扩展置换E 后为:0010 1111 1100 0001 0000 1011 1110 0000 1011 1111 0000 0000和1K 异或后经S 盒替换:0100 1100 0011 1000 0100 1100 0000 1010经过P 盒置换后输出:0001 1100 0000 1110 1000 0000 0101 1100和0L 异或得1R :1000 0110 1101 1011 0101 0010 0110 01001R 经过扩展置换E 得48位输出:1000 1010 0100 0010 0000 1000 0010 0101 1101 0100 10101010同上过程可得2R :1101 0100 1100 0111 0000 1101 0001 0110即:1L =0101 0110 0010 0101 1100 0101 1110 10002R =1101 0100 1100 0111 0000 1101 0001 01102. 设DES 算法中S 4盒的输入为010101,求其输出。
现代密码学(第三章)讲述
一、分组密码的基本概念
分组密码的优缺点
分组密码的加解密算法(E,D)简洁快速,所占用的 计算资源小,易于软件和硬件实现。一般来说,用 硬件实现时,流密码比分组密码更简单快速;用软 件实现时,分组密码比流密码更简单快速。 加解密算法(E,D)参数固定,比流密码更容易实现 标准化。 由于明文流被分段加密,因此容易实现同步,而且传 输错误不会向后扩散。 分组密码的安全性很难被证明,至多证明局部安全性。
2018/12/21 17
一、分组密码的基本概念
透明性和灵活性
透明性即要求算法是可证明安全的(虽然 这是很困难的)。这就要求算法尽可能 使用通用部件,避免黑盒。 灵活性即要求算法的实现可以适应多种计 算环境;明文分组长度可以伸缩;算法 可以移植和变形。
2018/12/21 18
一、分组密码的基本概念
要求:加解密算法(E,D)不存在弱明文和弱密钥。
2018/12/21 6
一、分组密码的基本概念
为了抵抗已知明文攻击(甚至选择明文攻 击),分组密码应该满足的性质
混淆性:所设计的密码应使得明文、密文、密钥之 间的依赖关系相当复杂,以至于这种依赖关系对 密码分析者来说是无法利用的。密码分析者利用 这种依赖关系的方法非常多,因此混淆性也是一 个极为繁杂的概念。
2018/12/21 3
一、分组密码的基本概念
分组密码所面对的主要威胁: 已知明文攻击
分组密码的密钥z被重复使用,即多次一密。 因此最主要的威胁就是已知明文攻击。 设攻击者Eve获得了一组明文/密文对(m,c)。 他试图在加密方程c=E(m, z) 或解密方程 m=D(c, z)中求出密钥z 。
2018/12/21 4
2018/12/21 26
现代密码学(第三章)
我们知道: 加密算法是E(· , z) , 解密算法是D(· , z) 。 这里E(· , z)和D(· , z)使用相同的密钥z,使用不同的 算法E和D。 如果D(· , z)= E(· , z*),其中z*是z经过非常简单的 重新编排得到的,则称分组密码算法是加解密 相似的。
2015-4-17 19
2015-4-17 14
一、分组密码的基本概念
简洁性
分组密码算法在满足安全性的同时尽可能简单快速。 如果分组密码算法用软件来实现,则要求字长尽可 能自然地适应软件编程,比如8、16、32比特等。 在软件实现中,按比特置换通常是难于实现的,因 此应尽量避免使用它。字的运算应该是易于软件实 现的运算,最好是用一些标准处理器所具有的一些 基本指令,比如加法、乘法、移位等。如果分组密 码算法用硬件来实现,则尽量使用规则结构,以便 用VLSI来实现。
这个加密算法就是极不稳定的。
2015-4-17 12
一、分组密码的基本概念
分组密码的设计准则
安全性 简洁性 有效性 透明性和灵活性 加解密相似性
2015-4-17 13
一、分组密码的基本概念
安全性
概括地说安全性就是从任何角度难以攻破。 其中两个最重要的角度是 ① 对于一个正在使用的加密算法,即使攻击 者获得“许多”精心选择的明文--密文对, 他仍无法“接近”密钥; ② 即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”任一个新密文 所对应的明文。
2015-4-17 22
一、分组密码的基本概念
计算部件
群加密:明文块与密钥块进行群“乘法”运算,它的作用是一 次性地掩盖明文。如果单独使用群加密部件,则一组已知的 明文/密文对就可获得密钥。以下是最常用的两种群加密。 逐比特异或‘+’,结构最简单,缺点也最明显,密文的一个比特 只依赖于明文的一个比特和密钥的一个比特,毫无扩散功能。 (mod2n)加法“+”也是非常简单的计算部件,具有单向扩散功能, 即明文或密钥的第j位影响密文的第j位、第j+1位、…、第n位。举搜索密钥的所有可能值。 (密钥z长度为j,共有2j个可能值)为了抵抗穷举 搜索,密钥的长度j不能太小。当然密钥长度也不 能太大,否则加解密的计算量就会很大。当前常 用的密钥长度为64或128或256。 Eve的另一种办法是充分利用加解密算法(E,D) 的弱点。如果某一组明文/密文对(m,c)使得 方程m=D(c, z)特别容易解出z,m就称为一个弱明 文,z就称为一个弱密钥。
现代密码学知识点整理:
第一章 基本概念1. 密钥体制组成部分:明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件:(1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量)(2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击(1)唯密文攻击:仅知道一些密文(2)已知明文攻击:知道一些密文和相应的明文(3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文【注:①以上攻击都建立在已知算法的基础之上;②以上攻击器攻击强度依次增加;③密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码(一)单表古典密码1、定义:明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q(1)加法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== ②密钥量:q (2)乘法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;*对任意,密文为:q km m E c k m od )(== ②解密算法:q c k c D m k mod )(1-==③密钥量:)(q ϕ (3)仿射密码 ①加密算法:κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文q m k k m E c k m od )()(21+==②解密算法:q k c k c D m k mod )()(112-==-③密钥量:)(q q ϕ (4)置换密码 ①加密算法:κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为,密文)()(m m E c k σ==②密钥量:!q③仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 (1)Caeser 体制:密钥k=3 (2)标准字头密码体制: 4.单表古典密码的统计分析(二)多表古典密码1.定义:明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 (1)简单加法密码 ①加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文:),...,()(11n n k k m k m m E c ++==②密钥量:nq (2)简单乘法密码 ①密钥量:n q )(ϕ 1.简单仿射密码①密钥量:n n q q )(ϕ2.简单置换密码 ①密钥量:nq )!( (3)换位密码 ①密钥量:!n(4)广义置换密码①密钥量:)!(nq(5)广义仿射密码 ①密钥量:n n r q3.几种典型的多表古典密码体制 (1)Playfair 体制: ①密钥为一个5X5的矩阵②加密步骤:a.在适当位置闯入一些特定字母,譬如q,使得明文字母串的长度为偶数,并且将明文字母串按两个字母一组进行分组,每组中的两个字母不同。
现代密码学知识点整理:要点
第一章基本概念1.密钥体制组成部分:明文空间,密文空间,密钥空间,加密算法,解密算法2、一个好密钥体制至少应满足的两个条件:(1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易;(2)在不知解密密钥的情况下,不可能由密文c 推知明文3、密码分析者攻击密码体制的主要方法:(1)穷举攻击(解决方法:增大密钥量)(2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样)(3)解密变换攻击(解决方法:选用足够复杂的加密算法)4、四种常见攻击(1)唯密文攻击:仅知道一些密文(2)已知明文攻击:知道一些密文和相应的明文(3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文(4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文【注:以上攻击都建立在已知算法的基础之上;以上攻击器攻击强度依次增加;密码体制的安全性取决于选用的密钥的安全性】第二章古典密码(一)单表古典密码1、定义:明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{*q k Z kZ q Z q qq(1)加法密码加密算法:kX m Z Z YX q q ;,;对任意,密文为:qk m m E c k mod )()(密钥量:q (2)乘法密码加密算法:kX m Z Z YX qq ;,;*对任意,密文为:qkm m E ck mod )(解密算法:qc k c D mk mod )(1密钥量:)(q (3)仿射密码加密算法:),(;},,|),{(;21*2121k k kX mZ k Z k k k Z YX qq q 对任意;密文qm k k m E ck mod )()(21解密算法:qk c k c D m k mod )()(112密钥量:)(q q (4)置换密码加密算法:kX mZ Z YX q q ;,;对任意上的全体置换的集合为,密文)()(m m E ck 密钥量:!q 仿射密码是置换密码的特例3.几种典型的单表古典密码体制(1)Caeser 体制:密钥k=3 (2)标准字头密码体制:4.单表古典密码的统计分析(1)26个英文字母出现的频率如下:频率约为0.120.06到0.09之间约为0.04约0.015到0.028之间小于0.01 字母et,a,o,i.n,s,h,rd,lc,u,m,w,f,g ,y,p,b v,k,j,x,q,z【注:出现频率最高的双字母:th ;出现频率最高的三字母:the 】(二)多表古典密码1.定义:明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算(1)简单加法密码加密算法:),...,(,),...,(,,11n nn n qn qnnk k kX m m mZ Z YX对任意设,密文:),...,()(11n nk k m k m m E c密钥量:nq(2)简单乘法密码密钥量:nq)(1.简单仿射密码密钥量:nnq q)(2.简单置换密码密钥量:nq )!((3)换位密码密钥量:!n (4)广义置换密码密钥量:)!(nq (5)广义仿射密码密钥量:nnr q 3.几种典型的多表古典密码体制(1)Playfair体制:密钥为一个5X5的矩阵加密步骤: a.在适当位置闯入一些特定字母,譬如q,使得明文字母串的长度为偶数,并且将明文字母串按两个字母一组进行分组,每组中的两个字母不同。
密码学第4讲--Shannon信息论
m
显然,当 m n 时等号不成立; 1 当m n 时,只有当诸 全相等时,等号才成立.
25
pi
现代密码学
定理3.1 设b>1,则有 (1) 0 H ( X )
p( x ) log
i 1 i
n
b
p( xi ) logb n ;
(2) H ( X ) logb n 当且仅当i ,都有 p( xi ) 1 ; n (3) H ( X ) 0 当且仅当存在i : 1 i n 使得 p( xi ) 1 且 j i ,都有p( xi ) 0; 证明 (1) 由logb p( xi ) 0 可知 H ( X ) 0 ,再由Jensen 不等式的推论1
17
现代密码学
例3 设电脑彩票由8个10进制数组成,在开奖之前, 108个可能号码成为特等奖的概率相同,都是10-8.一旦 开奖,我们就知道了特等奖的8个具体号码,因而就获 得了8个十进制数的信息。 我们获得的信息量与开奖前每个可能号码成为 特等奖的概率10-8有何关系? 显然,有 8 = - log10 10-8 信息量的定量刻划: 定义2 设 p( Ai )是一个实验中事件 Ai 发生的概率, 则称 I ( Ai ) log p( Ai ) 为事件 Ai 包含的自信息量.
18
现代密码学
熵的数学定义
定义3.1(随机事件的熵):设一个实验X有 x1, x2 ,, xn 共n个可能的结果,则称 I ( xi ) log p( xi ) 的数学期 望
H ( X ) p( xi ) I ( xi ) p( xi ) log p( xi )
i 1 i 1 n n
i 1 i 1 m m
pi logb pi
《现代密码学》教学大纲
动、答疑模块。
六、考核方式
闭卷笔试,课程作业、实验成绩、课堂表现、考勤。
七、成绩评定方法
期末笔试成绩占 80%,平时成绩占 20%(根据课程作业、实验成绩、课堂表现、
考勤等)。
八、主要参考书籍
1.谷利泽,郑世慧,杨义先. 现代密码学教程. 北京邮电大学出版社,2015.3
(教材)。
2.B. Schneier. Applied cryptograghy second edition: protocols, algorithms, and
题;
1.2 具有扎实的专业基础理论,包括信息论与编码、密码学原理、信息
目标 5 安全数学基础、计算机网络技术等,能够用其解决信息安全相关领域
H
的复杂工程问题;
4.5 能正确采集、整理实验和模拟数据,对实验及模拟结果进行关联、 M
建模、分析处理,获取果进行关联、 H
source code in C. NewYork: John Wiley & Sons, 1996. 中译本: 吴世忠, 祝世雄, 张文
政译。
3.马春光. 现代密码学教程, 哈尔滨工程大学自编讲义。
大纲编写者:方贤进,xjfang@, /~xjfang/crypto/
一、教学目标
通过本课程的理论教学及实验训练,使学生具备以下知识和能力:
目标 1:掌握密码学与信息安全的关系、信息安全的目标(5 要素);掌握现代
密码学的研究内容与体系结构;掌握保密系统的模型及安全性、认证系统的模型及
安全性。
目标 2:掌握古典密码体制中的两种方法:置换密码与代换密码;掌握古典密
码分析方法,能使用“拟重合指数法”对“多表代换加密”实行“唯密文攻击”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/1/17
12
DES的S1-盒的输入和输出关系
x 5 x0 1 0 列号 行号 0 1 2 3 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 15 12 8 2 4 9 2 11 15 12 9 7 3 10 5 0 1 7 5 11 2 14 10 0 6 13 x5 x4 x3 x2 x 1 x0 1 0 1 1 0 0
2019/1/17
11
S盒的组合
问题: 如何将几个S盒组合起来构成一个 n值较 大的组。
将几个 S 盒的输入端并行,并通过坐标置换 (P- 盒 ) 将 各S盒输出比特次序打乱,再送到下一级各S盒的输入端, 起到了Shannon所谓的“扩散”作用。S盒提供非线性变换, 将来自上一级不同的 S 盒的输出进行“混淆”。经过 P- 盒 的扩散作用均匀地分散到整个输出矢量中,从而保证了输 出密文统计上的均匀性,这就是 Shannon 的乘积密码的作 用。
密文 y=(y0, y1,…, ym-1)
第3章 分组密码
分组密码算法应满足的要求
分组长度n要足够大:
防止明文穷举攻击法奏效。
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地好,以防止密钥 穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关系可 循,要能抗击各种已知的攻击。
2019/1/17 15
3.1.3 Feistel密码结构
1、Feistel加密结构
Feistel网络(Feistel Network)的实现与以下参 数和特性有关: ①分组大小;②密钥大小;③轮数;④子密钥产生算法。 在设计Feistel网络时,还有以下两个方面的因素需 要考虑: ①快速的软件实现;②算法容易分析。
2019/1/17
9
代换盒(S盒)
在密码设计中,可选 n=rn0,其中 r 和 n0 都为正整数, 将设计 n 个变量的代换网络转化为设计 r 个较小的子代换 网络,而每个子代换网络只有 n0 个输入变量。称每个子 代换网络为代换盒(Substitution Box)
x5 x4 x3 x2 x1 x0
DES的S盒
S盒
y3
2019/1/17
y2
y1
y0
10
S盒的设计准则
迄今为止,有关方面未曾完全公开有关 DES 的 S 盒的设计准则。 Branstead等曾披露过下述准则: S盒的输出都不是其输入的线性或仿射函数。
改变S盒的一个输入比特,其输出至少有两比特产生变化,即近一 半产生变化。
当S盒的任一输入位保持不变,其它5位输入变化时 (共有25 =32种 情况),输出数字中的0和1的总数近于相等。 这三点使DES的S盒能够实现较好的混淆。
2019/1/17 5
第3章 分组密码
分组密码算法应满足的要求
加密和解密运算简单:
易于软件和硬件高速实现。
数据扩展尽可能地小
一般无数据扩展,在采用同态置换和随机化加密技术时可引 入数据扩展。
差错传播尽可能地小。
2019/1/17
6
3.1.1 代换
代换是输入集A到输出A’上的双射变换:
2019/1/17
3
第3章 分组密码
明文序列 x1, x2,…, xi,… 加密函数E: Vn×KVm 这种密码实质上是字长为n的数字序列的代换密码。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xn-1) 加密算法 图3-1 分组密码框图
2019/1/17 4
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xn-1) 解密算法
2019/1/17
14
3.1.3 Feistel密码结构
1、Feistel加密结构
将n bit明文分成为左右各半、长为n/2 bit的段,以L和R 表示。然后进行多轮迭代,其第i轮迭代的输出为前轮输 出的函数 Li =Ri-1 Ri =Li-1 f(Ri-1, Ki) 式中,Ki是第i轮用的子密钥,f是任意密码轮函数。称这 种分组密码算法为Feistel网络(Feistel Network),它 保证加密和解密可采用同一算法实施.
(y3 , y2, y1 , y0)=(0,0,1,0)
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
2019/1/17
13
3.1.2 扩散和混淆
扩散将明文的统计特性散布到密文中。实 现的方式是使明文的每一位影响密文中多 位的值。
扩散目的:使明文和密文之间的统计关系变得尽可能复杂, 使敌手无法得到密钥。 混淆目的:使密文和密钥之间的统计关系变得尽可能复杂使 敌手无法得到密钥。
f k :AA'
式中,k是控制输入变量,在密码学中则为密 钥。 实现代换fk的网络称作代换网络。双射条件 保证在给定k下可从密文惟一地恢复出原明文。
2019/1/17
7
3.1.1 代换
代换fk的集合:
S={ fkkK }
K 是密钥空间。如果网络可以实现所有可能 的2n!个代换,则称其为全代换网络。
消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机构、实体认证协议以及 单钥数字签字体制的核心组成部分。
2019/1/17
2
第3章 分组密码
应用中对于分组码的要求
安全性 运行速度
存储量(程序的长度、数据分组长度、高速缓存 大小)
实现平台(硬、软件、芯片)
运行模式
第3章 分组密码
3.1 3.2 3.3 3.4 3.5 3.6 分组密码概述 数据加密标准 差分密码分析与线性密码分析 分组密码运行模式 IDEA算法 AES算法-Rijndael
2019/1/17
1
第3章 分组密码
分组密码是许多系统安全的一个重要组成部分。 可用于构造
伪随机数生成器
流密码
全代换网络密钥个数必须满足条件:# {k}2n!
2019/1/17
8
3.1.1 代换
密码设计中需要先定义代换集 S,而后还需定 义解密变换集,即逆代换网络S-1,它以密文y 作为输入矢量,其输出为恢复的明文矢量x。 要实现全代换网络并不容易。因此实用中常 常利用一些简单的基本代换,通过组合实现 较复杂的、元素个数较多的代换集。实用密 码体制的集合S中的元素个数都远小于2n!。