同济大学密码学期末试卷

多练出技巧 巧思出硕果一、 填空题（35分，1分/空）4．从熵的基本性质可推知，保密系统的 密钥量 越小，其密文中含有的关于明文的信息量就越大。

从密码系统设计者确度看，自然要选择足够大的 密钥量 ，而且希望从密文中提取的有关明文的信息尽可能地小。

5．为保证安全性，在设计分组密码时，密码变换必须足够复杂，尽量使用 混淆 与 扩散 原则。

这样使攻击者除了用 穷举 攻击以外，找不到其他简洁的数学破译方法。

6．DES 是一个 分组密码 算法，DES 是一个对称密码体制，加/解密使用同一密钥，同时DES 的加密与解密使用同一算法。

DES 的保密性依赖于 密钥 。

7．设),,,,(1111D E K C M =Φ和),,,,(2221D E K C M =Φ是两个密码体制，它们的明文和密文空间相同，1Φ和2Φ的乘积定义为密码体制(D E K K M C ,,,,21⨯)，记为21Φ⨯Φ，这就是 所谓的 乘积 密码体制。

8．群是一个代数系统，它由一个非空集合G 组成，在集合G 中定义了一个二元运算“·”，满足：（1）封闭性，即：对任意的a,b ∈G ，有a ·b ∈G ；（2）单位元结合律，即：对任何a,b,c ∈G ，有a ·b ·c=(a ·b)·c=a ·(b ·c)；（3）逆元，即：存在1G ∈一个元素，对任意元素a ∈G,(乘法运算满足)a ·1=1·a=a ；（4）即对任意a ∈G ，存在一个元素a1-∈G ，使得a ·a 1-= a 1-·a=1；把满足上面性质的代数系统称为群,记作<G,·>。

如果群<G,·>，还满足交换律,即对任何a,b ∈G 有a ·b=b ·a,则称G 为交换群。

9．唯密文攻击，是指密码分析者仅知道一些密文，并试图恢复尽可能多的明文，并进一步推导出加密信息的密钥。

密码学试题及答案# 密码学试题及答案## 一、选择题1. 密码学中的“对称密钥”指的是什么？A. 只有一个密钥的加密算法B. 加密和解密使用相同密钥的算法C. 需要两个密钥的加密算法D. 用于数字签名的密钥答案：B2. 下列哪个是流密码的一个特点？A. 密钥长度与消息长度相同B. 密钥长度与消息长度无关C. 需要使用随机数生成器D. 所有选项都正确答案：C3. RSA算法属于哪种类型的加密算法？A. 对称加密B. 非对称加密C. 哈希函数D. 消息认证码答案：B## 二、简答题1. 请简述什么是数字签名，以及它在电子商务中的应用。

答案：数字签名是一种用于验证数据完整性和身份认证的技术。

它通过使用发送者的私钥对数据进行加密，接收者使用发送者的公钥进行解密验证。

在电子商务中，数字签名用于确保交易的安全性，防止数据在传输过程中被篡改，同时验证交易双方的身份。

2. 解释公钥密码学中的“公钥”和“私钥”的概念。

答案：在公钥密码学中，每个用户拥有一对密钥：公钥和私钥。

公钥可以公开给任何人，用于加密数据或验证数字签名；而私钥必须保密，用于解密数据或生成数字签名。

公钥和私钥是数学上相关联的，但不可能从公钥推导出私钥。

## 三、论述题1. 论述密码学在网络安全中的重要性，并举例说明。

答案：密码学是网络安全的基石，它通过加密技术保护数据的机密性、完整性和可用性。

例如，在SSL/TLS协议中，密码学用于在客户端和服务器之间建立安全通信通道。

通过使用对称密钥和非对称密钥的组合，确保数据在传输过程中不被未授权的第三方窃取或篡改。

此外，密码学还用于身份验证、访问控制和数据完整性验证等多个方面，是确保网络环境安全的关键技术。

## 四、案例分析题1. 假设你是一家银行的网络安全专家，你需要设计一个系统来保护客户的交易信息。

请描述你将如何使用密码学技术来实现这一目标。

答案：在设计银行交易信息保护系统时，我会采用以下密码学技术：- 使用非对称加密技术，如RSA，来安全地交换对称密钥。

密码学试题及答案一、选择题1. 下列哪个不是对称密钥加密算法的特点？A. 密钥长度小B. 加密速度快C. 安全性较高D. 适用于大数据传输答案：A. 密钥长度小2. 常用的哈希算法包括下列哪个？A. RSAB. DESC. SHA-256D. AES答案：C. SHA-2563. 数字签名是指用私钥加密的数据，用于验证发送方的身份真实性。

A. 对B. 错答案：B. 错4. 以下哪个不是公钥加密算法？A. RSAB. ECCC. IDEAD. ElGamal答案：C. IDEA5. 在密码学中，密钥交换算法主要用于实现以下哪个目标？A. 数据加密B. 消息认证C. 数据完整性D. 密钥建立答案：D. 密钥建立二、填空题1. 对称密钥加密算法中，加密和解密过程使用的是同一个密钥，称为______密钥。

答案：对称2. 公钥加密算法中，加密使用的是公钥，解密使用的是______。

答案：私钥3. 以下是一种常用的哈希算法，SHA-______。

答案：2564. 在数字签名的过程中，发送方使用______密钥进行加密。

答案：私钥5. 密钥交换算法主要用于实现安全的______建立。

答案：密钥三、简答题1. 解释对称密钥加密算法和公钥加密算法的区别。

对称密钥加密算法使用同一个密钥进行加密和解密过程，加密和解密速度较快，但需要事先共享密钥。

而公钥加密算法使用不同的密钥进行加密和解密，公钥用于加密，私钥用于解密，由于私钥只有接收方知道，因此能够实现更好的安全性。

公钥加密算法适用于密钥交换和数字签名等场景。

2. 简述哈希算法的作用和原理。

哈希算法主要用于对数据进行摘要计算，将任意长度的数据转化为固定长度的哈希值。

通过对数据的哈希计算，可以验证数据的完整性和真实性。

哈希算法的原理是利用一系列复杂的数学函数对数据进行处理，使得不同的输入数据产生唯一的输出哈希值。

任意输入数据的改动都会导致输出哈希值的变化，因此可以通过比较哈希值来验证数据是否被篡改。

CS255:Cryptography and Computer Security Winter2010Final ExamInstructions−Answer all four questions.−The exam is open book and open notes.Wireless devices are not allowed.−You have two hours.Problem1.Questions from all over.a.Suppose a symmetric cipher uses128bit keys to encrypt1024bit messages.Can thecipher be perfectly secure?Justify your answer.b.Suppose a symmetric cipher uses128bit keys to encrypt1024bit messages.Can thecipher be semantically secure?Justify your answer.c.Suppose a cipher encrypts1024bit messages and the resulting ciphertext is1024bits long.Can the cipher be semantically secure under a chosen plaintext attack?(i.e.can we useone key to encrypt more than one message?)Justify your answer.d.What is the smallest possible positive value of e that can be used to define the RSAtrapdoor function?Explain why a smaller value of e cannot be used.e.Prove that the function F(k,x)=k⊕x is not a secure PRF.f.Consider MAC-based challenge-response authentication where the shared secret betweenthe prover and verifier is a human memorizable password.Can a passive eavesdropperwho listens in on communications between the prover and verifier carry out a dictionaryattack against the prover’s password?If not,explain why not.If yes,explain how. Problem2.Hash functions.a.Let’s explore what goes wrong if the padding block in the Merkle-Damgard constructiondoes not include the message length.Let h:X×M→X be a compression function usedin the Merkle-Damgard construction to build a hash function H taking inputs in X∗.Let IV be the initial value used by H.Suppose onefinds afixed point for h,namely amessage block m such that h(IV,m)=IV.Explain how thisfixed point can be used toconstruct collisions for H,assuming the padding block does not contain the length.b.Recall that SHA-256uses the Davies-Mayer compression function.Davies-Mayer builds acompression function h from a block cipher(E,D)by defining h(x,m):=x⊕E(m,x).Show that the designers of SHA-256could easily choose an IV for which they have afixed point for h.c.Prove that if H1and H2are collision resistant then so is H(x):=H1(H2(x)).d.Prove that if H1and H2are collision resistant,H(x):=H1(x)⊕H2(x)need not be.Hint:given a collision resistant hash function T,construct collision resistant functionsH1,H2such that H is not collision resistant.1e.Recall that in CBC-MAC the IV isfixed.Suppose we chose a random IV for every messagebeing signed and include the IV in the MAC,i.e.S(k,m):=(r,CBC r(k,m))whereCBC r(k,m)refers to the raw CBC function using r as the IV.Describe an existentialforgery on the resulting MAC.Problem3.Time lock.Our goal in this question is to build a mechanism by which Alice can encrypt a secret S that can be decrypted only after a certain amount of time has passed(e.g.a week,a year,a100years).a.Alice’sfirst solution is as follows.Let(E,D)be a symmetric cipher built from AES.Alicechooses a random AES key k and publishes(C,T)where C←E(k,S)and T containsall but t bits of k.Then by exhaustive search the attacker can decrypt C and recover Sin time2t.By tuning t Alice can choose the time it will take for S to be revealed.Unfortunately,this approach does not work.Briefly explain how an attacker can re-cover S in time2t/L for some L of the attacker’s choosing.Hint:think parallel processing.b.Alice then remembers that she read somewhere that the best algorithm for computingg x requires O(log x)sequential multiplications and that parallel processing cannot speedthis up much.She decides to use the following approach.First,she generates two primesp and q and sets n←pq.Next,she chooses a random g in Z∗n.Finally,she publishes(n,g,C)whereC←S+g(2(2t))∈Z nDescribe an algorithm that enables anyone to recover S from(n,g,C)using2t multipli-cations in Z n.Hence,by tuning t Alice can make the puzzle take as long as she wants,even if the attacker mounts your attack from part(a).c.Finally,show that Alice need not spend time2t herself to prepare the puzzle.Show thatAlice can use her knowledge ofϕ(n)to construct C using only O(t)multiplications in Z n.d.After setting this up Alice wondered if she could use a prime p in place of the RSAmodulus n in the system above.Will the resulting time-lock system remain secure if nis replaced by p?If so,explain why.If not,describe an attack.e.A different approach to time-lock:suppose a trusted party generates public/privateencryption key pairs(e.g. =105).It publishes all its public keys at time0and keepsall secret keys to itself.Every day at midnight the trusted party publishes one of itssecret keys:at day number i it publishes secret key number i on its list.Explain howAlice,and anyone else,can use this trusted party to implement time lock.Problem4Parties A1,...,A n and B wish to generate a secret conference key.All parties should know the conference key,but an eavesdropper should not be able to obtain any information about the key.They decide to use the following variant of Diffie-Hellman:there is a public group G of prime order q and a generator g of er B picks a secret random b in {0,...,q−1}and computes y:=g b.Each party A i picks a secret random a i in{0,...,q−1} and computes x i:=g a i.For i=1,...,n user A i sends x i to B and B responds to A i by sending z i:=x b i.a.Show that party i given z i(and a i)can determine y.2b.Explain why this implies that y can be used as the conference ly,(1)explainwhy at the end of the protocol all parties know y and(2)write down the complexity assumption you would need to argue that an eavesdropper cannot distinguish y from a random element in G.c.show that the scheme is not secure against a man-in-the-middle attack.Explain how anactive man-in-the-middle can eavesdrop on the conference call.d.Can you suggest a way to make the scheme secure against a man-in-the-middle attack?You may assume the existence of a Certificate Authority.3。

信息安全与密码学期末考试试题(含答案)一、选择题（每题4分，共40分）1. 下列哪个不属于信息安全的基本要求？A. 机密性B. 真实性C. 可靠性D. 可用性答案：D2. 常见的网络攻击方式包括哪些？A. ARP欺骗B. SYN洪水攻击C. XSS攻击D. 所有选项都是答案：D3. 下列哪个算法属于对称加密算法？A. RSA算法B. Diffie-Hellman算法C. DES算法D. 非对称加密算法答案：C4. 下列哪个算法不存在后门？A. RSA算法B. 椭圆曲线算法C. 双线性对算法D. 所有选项都不存在后门答案：D5. 下列哪个加密算法支持数字签名并且必须使用哈希函数？A. RSA算法B. ECC算法C. DSA算法D. 所有选项都是答案：C6. 消息认证码的作用是什么？A. 防止重放攻击B. 提供机密性C. 防止中间人攻击D. 提供数据完整性和真实性答案：D7. 下列哪个不属于数字证书中包含的信息？A. 颁发者名称B. 序列号C. 有效期D. 证书密码答案：D8. 下列哪个密钥交换算法是安全的？A. RSA算法B. Diffie-Hellman算法C. 椭圆曲线算法D. 所有选项都不安全答案：C9. 下列哪个密码协议用于在不安全的信道上安全地交换密钥？A. SSL协议B. S/MIME协议C. Kerberos协议D. 所有选项都可以答案：C10. 下列哪个安全协议使用了数据包的数字签名和IPsec的VPN技术？A. SSH协议B. SSL协议C. S/MIME协议D. IPSec协议答案：D二、判断题（每题4分，共20分）1. HMAC是用于提供机密性和真实性的消息认证码，答案是：错误答案：错误2. 非对称加密算法一般用于验证身份和身份证明，答案是：正确答案：正确3. 数字签名的目的是确保消息不被篡改和抵赖，答案是：正确答案：正确4. SSL协议是基于TCP协议的，答案是：正确答案：正确5. 随机数生成是RSA算法中非常重要的部分，答案是：错误答案：错误三、简答题（每题10分，共40分）1. 请简要介绍DES算法的加密模式。

密码学试题及答案一、选择题1. 密码学中最基本的加密方法是：A. 替换密码B. 移位密码C. 公钥密码D. 对称密钥加密2. RSA算法属于哪种类型的加密算法？A. 对称密钥加密B. 非对称密钥加密C. 哈希算法D. 流密码3. 以下哪个不是密码学中的基本概念？A. 密钥B. 明文C. 密文D. 操作系统二、简答题1. 简述对称密钥加密和非对称密钥加密的区别。

2. 解释什么是数字签名，以及它在电子商务中的作用。

三、计算题1. 给定一个简单的凯撒密码，其中明文为 "HELLO"，移位量为3，求密文。

2. 使用RSA算法，给定公钥（e, n）=（17, 3233），明文为65（ASCII码表示的'A'），求对应的密文。

四、论述题1. 论述密码学在现代网络安全中的应用及其重要性。

2. 描述一种常见的密码攻击方法，并解释如何防范。

答案：一、选择题1. 答案：A. 替换密码2. 答案：B. 非对称密钥加密3. 答案：D. 操作系统二、简答题1. 答案：对称密钥加密是指加密和解密使用相同的密钥，而非对称密钥加密使用一对密钥，即公钥和私钥，加密和解密使用不同的密钥。

对称密钥加密速度快，但密钥分发困难；非对称密钥加密解决了密钥分发问题，但速度较慢。

2. 答案：数字签名是一种用于验证消息来源和完整性的技术。

在电子商务中，数字签名确保了交易的安全性和不可抵赖性，买家和卖家可以通过数字签名验证对方的身份和交易内容的真实性。

三、计算题1. 答案：将 "HELLO" 中的每个字母向后移位3个位置，得到密文"KHOOR"。

2. 答案：使用公钥（e, n）=（17, 3233）加密明文65，计算 \( c =m^e \mod n \)，得到 \( c = 65^{17} \mod 3233 = 2201 \)。

四、论述题1. 答案：密码学在现代网络安全中扮演着至关重要的角色。

1.凯撒大帝在密码学上很有造诣，试运用密码对一段信息I like the course:stay of cryptography加密，密钥为3~6中的一个2.有人说密码无门槛，也有人说密码高不可攀，试说说你眼中的密码学解：无门槛：举例：(1)研究密码的人员。

在《四十号房间》这个故事中尤因爵士组织的一个破密班子全部由业余爱好者组成，包括神职人员、股票经纪人、银行家、海军学校教师到大学教授的各色人等。

（2）密码应用的方面。

密码的应用可以说是无处不在，尤其是日常生活中，例如银行卡，网银，网店，QQ，手机锁自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。

高不可攀：（1）从安全方面讲：不安全的密码比没有密码更不安全（2）密码要求高：密码学要求基础要深，技术要强，必须是专业人员经过专业培训，专业训练才能胜任这份工作。

例如数学家有扎实的数学基础，计算机学家有相关的专业知识，物理学家有量子物理学的基础，生物学家掌握DNA方面的知识，密码学家也有相当丰富的专业知识。

3.有这样一个观点：要成为密码学家首先要成为数学家、计算机学家、生物学家等等成为其他方面的专家，谈谈自己对此的体会，试举例说明解：密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。

它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。

成为密码学家必须要有相关的密码学知识和相应的研究手段，不同专业领域的人员组成一个团体，各尽所能，致力于密码学研究。

例如：（1）语言学家：对英语、法语、德语或者其他小语种有研究的人，遇到熟悉的语言可以发挥优势，在电影《风语者》中美军使用了一种极少数人懂的印第安某部落的语言，在战争发挥了极大作用，直到战争结束仍未被破解。

（2）数学家：数学家有代数、数论、概率等专业知识，对破解密码有相当大的优势。

《跳舞的小人》中福尔摩斯就是通过字母“E”在英语中出现的频率最高，以此为突破口来破解密码（3）物理学家：物理学家有量子理论和通讯理论的专业知识，例如在《信息论与编码》这门课程中我们学习了，1949年美国人香农发表了《秘密体制的通信理论》一文，应用信息论的原理分析了密码学中的一些基本问题。

密码学期末考试题及答案一、选择题（每题2分，共20分）1. 密码学中的“凯撒密码”属于以下哪种类型的密码？A. 替换密码B. 置换密码C. 公钥密码D. 序列密码答案：A2. 在现代密码学中，以下哪种算法属于非对称加密算法？A. DESB. AESC. RSAD. RC4答案：C3. 以下哪个选项不是哈希函数的特性？A. 确定性B. 快速计算C. 可逆性D. 抗碰撞性答案：C4. 对称加密算法中，加密和解密使用相同密钥的算法是：A. RSAB. AESC. Diffie-HellmanD. ECC5. 在密码学中，以下哪种攻击方式是通过猜测密钥来解密密文的？A. 重放攻击B. 侧信道攻击C. 差分攻击D. 穷举攻击答案：D6. 以下哪个选项不是数字签名的目的？A. 验证消息的完整性B. 验证消息的来源C. 确保消息的机密性D. 验证签名者的身份答案：C7. 在密码学中，以下哪种加密模式不提供消息认证？A. ECB模式B. CBC模式C. CFB模式D. OFB模式答案：A8. 以下哪个选项不是密码学中的攻击类型？A. 已知明文攻击B. 选择明文攻击C. 选择密文攻击D. 随机攻击答案：D9. 在密码学中，以下哪种技术用于防止重放攻击？B. 哈希函数C. 公钥加密D. 对称加密答案：A10. 在密码学中，以下哪个选项不是数字签名的组成部分？A. 哈希值B. 公钥C. 私钥D. 签名答案：B二、填空题（每题2分，共20分）1. 密码学中的“一次性密码本”被认为是理论上的________。

答案：完美安全2. 在密码学中，________算法可以保证即使在密钥泄露的情况下，之前的通信内容仍然安全。

答案：前向保密3. 密码学中的“________”是指在不知道密钥的情况下，无法从密文推断出明文。

答案：机密性4. 密码学中的“________”是指在不知道密钥的情况下，无法确定密文是否有效。

答案：认证性5. 在密码学中，________是指通过修改密文，使得解密后得到错误的明文。