现代密码学考试题

合集下载

(完整版)北邮版《现代密码学》习题答案.doc

《现代密码学习题》答案第一章1、1949 年，（ A ）发表题为《保密系统的通信理论》的文章，为密码系统建立了理论基础，从此密码学成了一门科学。

A、Shannon B 、Diffie C、Hellman D 、Shamir2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥 5 部分组成，而其安全性是由（ D）决定的。

A、加密算法B、解密算法C、加解密算法D、密钥3、计算和估计出破译密码系统的计算量下限，利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力（如时间、空间、资金等资源），那么该密码系统的安全性是（ B ）。

A 无条件安全 B计算安全 C可证明安全 D实际安全4、根据密码分析者所掌握的分析资料的不通，密码分析一般可分为 4 类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中破译难度最大的是（ D ）。

A、唯密文攻击 B 、已知明文攻击 C 、选择明文攻击D、选择密文攻击5、1976 年，和在密码学的新方向一文中提出了公开密钥密码的思想，从而开创了现代密码学的新领域。

6、密码学的发展过程中，两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。

7、密码学是研究信息寄信息系统安全的科学，密码学又分为密码编码学和密码分析学。

8、一个保密系统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。

对9、密码体制是指实现加密和解密功能的密码方案，从使用密钥策略上，可分为称和非对称。

10、对称密码体制又称为秘密密钥密码体制，它包括分组密码和序列密码。

第二章1、字母频率分析法对（ B ）算法最有效。

A、置换密码 B 、单表代换密码C、多表代换密码D、序列密码2、（D）算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱。

A 仿射密码 B维吉利亚密码C轮转密码 D希尔密码3、重合指数法对（ C）算法的破解最有效。

A 置换密码 B单表代换密码C多表代换密码 D序列密码4、维吉利亚密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（C ）。

《现代密码学》课程复习题

第五章1. A和B之间要建立一个共享主密钥，则最安全的的密钥传递方法是_________________2. 一个安全的系统在初始化时，系统为每个用户颁发的密钥可以直接用来通信加密吗，为什么？3. A和B之间要建立一个会话密钥K s，则关于K s说法正确的是_____________A. 可用于之后的任意多次会话的加密B. A用其与B共享的主密钥加密一个随机数作为会话密钥传递给BC. 可用来做主密钥D. 需要用物理的方法传送4. 对于一个由5个用户组成的系统来说，下面哪一种会话密钥分配方式最有效__________A. 两个用户直接物理方式传递会话密钥B. 由第三方为两个用户以物理方式传递会话密钥C. 两个用户用共享主密钥为安全信道来传递会话密钥D．两个用户借助第三方颁发的主密钥来传递会话密钥5. 一次会话一密的保密机制可以实现无条件安全( )6. 如下图所示的密钥分发过程，(1) 为什么消息②要插入消息①？(2) N1和N2作用是什么？(3) 试写出消息④的表达式。

(4) 第③至⑤步的功能是什么？密钥分配实例7. 采用分层的KDC来管理密钥，可以减少主密钥的分布特性，但会降低信任度( )8. 分层结构相比于未分层结构可以减小主密钥的分布特性，但主密钥的总量并没减少( ) 9．对于面向链接的通信，会话密钥的有效期一般为_________________________；对于面向非链接的通信，会话密钥的有效期为_____________________________;10. 对于UDP协议等无连接的协议，可以选择每次连接都采用新的密钥的方法来加强安全性。

( ) 11．试给出无中心的单钥密钥分配的过程，并回答为什么不适合在大规模网络中应用12. 对于公钥密码体制中公开钥的分配，PGP协议中支持公开发布的方式，这种方法有什么缺点？13. 下面那些方法可用于安全的分发用户的公开钥_________________A. 公开发布B. 公用目录表C. 公钥管理机构D. 公钥证书E. KDC14. 公用目录表与公钥管理机构的区别是什么？15. 公钥管理机构的方式和公钥证书的方式的区别是什么？16. 如图所示(1) 时间戳Time1有什么用处？(2) N1和N2有什么用处17. 公钥管理机构方式的主要缺点是__________________________________________________18. 设证书管理机构为CA，则用户A的公钥证书中至少包括哪三个数据项_____, ____和____19. 试问对于如下的简单密钥分配协议的中间人攻击如何实现简单使用公钥加密算法建立会话密钥20. 具有保密性和认证性的密钥分配如图：试给出消息②的表示_________________具有保密性和认证性的密钥分配21．试述有限域GF(p)上的DH密钥交换协议及其中间人攻击，为防止中间人攻击应采取什么办法，如果在椭圆曲线群上实现DH密钥交换中间人攻击又如何22. 用于产生密钥的随机数应满足哪两个基本条件____________和_______________23．设线性同余算法的递推式为X n＋1＝aX n+c mod m，若c＝0，则产生的伪随机序列的最大可能周期是_______,这时，a满足什么条件____________________24．下列哪一组参数将使得线性同余算法达到整周期( )A. m＝16，a＝5，c＝0，B. m＝16，a＝9，c＝3，C. m＝35，a＝26，c＝125. 线性同余算法中m＝32，a＝17，c＝1，则其周期是多少26. 将线性同余算法的模值m取为2的幂次的优点是可以极大简化模运算，也能达到整周期( )27. 线性同余算法产生随机数序列的平方产生器形式为？28. 线性同余算法的变型算法,离散指数产生器的形式为?29. 对于循环加密的方式产生伪随机数序列，(1)是否能够达到整周期_________(2)如果采用的是DES加密算法，则产生的伪随机序列的周期是____________________30. 采用分组密码的哪种运行模式可以产生性能良好的伪随机数序列___________________ 31．如图的伪随机数产生器，则下一个产生的随机数R i+1可表示为___________________________V ii i+1ANSI X9.17伪随机数产生器32. 试述BBS产生器33. 什么是(k,n)门限方案？如果n个人中最多有t个人不在场，或者为抗击攻击者对任意t个人的攻击，为了使得秘密能够可靠的恢复应满足什么条件？34. 在(3,5)门限秘密分享中，已知多项式为f(x)=(4x2+2x+3) mod 5，则所有的子密钥为___________试给出由f(1), f(3), f(4)，恢复秘密s＝3的过程？35. (k, n)－秘密分割门限方案是完善的是指_________________________________________36. 线性同余算法产生的伪随机数序列可以用于密码学中的需要的随机数( )37. AES是指下列哪一种算法A. RijndaelB. TwofishC. Safer+D. Lucifer38. 下面哪些功能是随机数在密码学中的作用___________A. 相互认证、B. 产生会话密钥、C. 产生公私钥对、D. 用来做公钥加密中的填充39. 真随机虽然随机性不可预测但随机性难于控制，可能会产生性质较差的随机数，伪随机虽然随机性受到很大影响，但随机性容易控制，往往是产生随机数的主要方法( )40. 什么是前向保密性和后向保密性?41. “一次一密”和“一次会话一密”的区别是什么？哪一种情况更加常见。

现代密码学10-11-A卷重庆邮电大学

现代密码学10-11-A卷重庆邮电大学试题编号：重庆邮电大学10-11学年第2学期《现代密码学》试卷（期末）（A卷）（闭卷）题号得分评卷人一、选择题（本大题共10题，每小题1分，共10分）1.一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成，其安全性由（）决定的。

A. 密文B. 加密算法C. 解密算法D. 密钥一二三四五六总分 2.对密码的攻击可分为4类：唯密文攻击、已知明文攻击、选择明文攻击和选择密文攻击，其中破译难度最大的是（）。

A. 唯密文攻击 B. 已知明文攻击C. 选择明文攻击D. 选择密文攻击3.AES算法由以下4个不同的模块组成，其中（）模块是非线性模块。

A. 字节代换 B. 行移位C. 多表代换密码 4. DES密码算法中密钥长度为( )A.64比特B.128比特C.256比特D.160比特 5.目前，使用最广泛的序列密码是（）A. RC4B. A5C. SEAL 6.下列（）不是Hash函数具有的特性。

A. 单向性B. 可逆性C. 压缩性D. 抗碰撞性D. PKZIPD. 序列密码7.设在RSA公钥密码体制中，公钥（e,n）=(13,35),则私钥d = （）A. 11B. 13C. 15 需要A 选用的密钥是（）A. A的公钥B. A的私钥C. B的公钥 9. 在下列密钥中( )密钥的权限最高A.工作密钥B.会话密钥C.密钥加密密钥 D.主密钥《现代密码学》试卷第1页（共6页）D. B的私钥D. 178.A收到B发给他的一个文件的签名，并要验证这个签名的有效性，那么签名验证算法10. PGP是一个基于()公钥密码体制的邮件加密软件。

A.RSAB.ElGamalC.DESD.AES二、填空题（本大题共10空，每空1分，共10分）1.IDEA密码算法中明文分组长度为比特，密钥长度为比特，密文长度为比特，加密和解密算法相同。

2. ElGamal公钥密码体制的安全性是基于的困难性。

现代密码学复习题答案

（一）信息的载体有（媒质）和（信道）。

对信息载体的两种攻击为（被动攻击）和（主动攻击）。

密码学的两个分支是（密码编码学）和（密码分析学）。

密码体制有（单钥密码体质）和（双钥密码体质）。

现代流密码的设计思想来源于古典密码中的（维吉尼亚密码）。

现代分组密码的设计思想来源于古典密码中的（多字母代换密码）。

（二）在信息保密系统中，攻击者Eve所拥有的基本资源有哪些？Eve在不安全的公共信道上截获了密文c。

Eve知道加密算法E和解密算法D。

攻击者Eve可能拥有的更多资源有哪些？Eve可能知道密文c所对应的明文m。

（此时所进行的攻击称为已知明文攻击）Eve可能拥有强大的计算能力。

Eve可能缴获了一台加密机（也称为加密黑盒子），可以任意地输入明文，输出密文。

（此时所进行的攻击称为选择明文攻击）攻击者Eve不可能拥有的资源是什么？Eve不知道加密密钥z和解密密钥k。

（事实上，在进行安全性分析时，有时也假设Eve 知道了密钥的一部分，但决不能全部知道）（三）叙述已知明文攻击。

设攻击者Eve截获了密文c，并且知道了密文c所对应的明文m 。

（这种情况是怎样发生的呢？当明文m 是已经过期的消息，可能无法再保密，也可能必须将其公开。

因此，这种情况是经常发生的）于是：•在解密方程m=D(c, k)中，Eve知道m 和c，仅仅不知道解密密钥k。

•在加密方程c=E(m, z)中，Eve知道m 和c，仅仅不知道加密密钥z。

•如果Eve从解密方程m=D(c, k)中计算出解密密钥k ，则Eve今后就可以像Bob一样对任何密文c’进行解密：m’=D(c’, k)。

•如果Eve从加密方程c=E(m, z)中计算出加密密钥z ，则Eve今后就可以像Alice一样对任何明文m’进行加密：c’=E(m’, z)。

•还可以给更加宽松的条件。

设攻击者Eve获得了以往废弃的n组明文/密文对：（m1，c1），（m2，c2），…，（m n，c n）。

(完整版)现代密码学简答题及计算题

第七章简答题及计算题⑴公钥密码体制与对称密码体制相比有哪些优点和不足？答：对称密码一般要求： 1、加密解密用相同的密钥 2、收发双方必须共享密钥安全性要求： 1、密钥必须保密 2、没有密钥，解密不可行 3、知道算法和若干密文不足以确定密钥公钥密码一般要求：1、加密解密算法相同，但使用不同的密钥2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥安全性要求： 1、两个密钥之一必须保密 2、无解密密钥，解密不可行3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥⑵RSA 算法中n ＝11413，e ＝7467，密文是5859，利用分解11413＝101×113，求明文。

解：10111311413n p q =⨯=⨯=()(1)(1)(1001)(1131)11088n p q ϕ=--=--=显然，公钥e=7467，满足1＜e ＜()n ϕ，且满足gcd(,())1e n ϕ=，通过公式1mod11088d e ⨯≡求出1mod ()3d e n ϕ-≡=，由解密算法mod d m c n ≡得3mod 5859mod114131415d m c n ≡==⑶在RSA 算法中，对素数p 和q 的选取的规定一些限制，例如：①p 和q 的长度相差不能太大，相差比较大； ②P-1和q-1都应有大的素因子；请说明原因。

答：对于p ，q 参数的选取是为了起到防范的作用，防止密码体制被攻击①p ，q 长度不能相差太大是为了避免椭圆曲线因子分解法。

②因为需要p ，q 为强素数，所以需要大的素因子 ⑸在ElGamal 密码系统中，Alice 发送密文（7，6），请确定明文m 。

⑺11Z 上的椭圆曲线E ：236y x x =++，且m=3。

①请确定该椭圆曲线上所有的点；②生成元G=（2,7），私钥(5,2)2B B n P ==，明文消息编码到(9,1)m P =上，加密是选取随机数k=3，求加解密过程。

现代密码学期末试卷.doc

现代密码学期末试卷%1.选择题1、关于密码学的讨论中，下列（D）观点是不正确的。

A、密码学是研究与信息安全相关的方而如机密性、完整性、实体鉴别、抗否认等的综合技术B、密码学的两大分支是密码编码学和密码分析学C、密码并不是提供安全的单一的手段，而是一组技术D、密码学中存在一次一密的密码体制，它是绝对安全的2、在以下古典密码体制中，属于置换密码的是（B）。

A、移位密码B、倒序密码C、仿射密码D、PlayFair密码3、一个完整的密码体制，不包括以下（C）要索。

A、明文空间B、密文空间C、数字签名D、密钥空间4、关于DES算法，除了（C ）以外，下列描述DES算法子密钥产生过程是正确的。

A、首先将DES算法所接受的输入密钥K（64位），去除奇偶校验位，得到56位密钥（即经过PC-1置换，得到56位密钥）B、在计算第i轮迭代所需的子密钥时，首先进行循环左移，循环左移的位数取决于i的值，这些经过循环移位的值作为下一次循环左移的输入C、在计算第i轮迭代所需的子密钥时，首先进行循环左移，每轮循环左移的位数都相同，这些经过循环移位的值作为卜.一次循环左移的输入D、然后将每轮循环移位后的值经PC-2置换，所得到的置换结果即为第i轮所需的子密钥Ki5、2000年10月2日，NIST正式宣布将（B ）候选算法作为高级数据加密标准，该算法是由两位比利时密码学者提出的。

A、MARSB、RijndaclC、TwofishD、Bluefish*6、根据所依据的数学难题，除了（A）以外，公钥密码体制可以分为以下儿类。

A、模旱运算问题B、大整数因子分解问题C、离散对数问题D、椭圆曲线离散对数问题7、密码学中的杂凑函数（Hash函数）按照是否使用密钥分为两大类：带密钥的杂凑函数和不带密钥的杂凑函数，下面（C ）是带密钥的杂凑函数。

A、MD4B、SHA-1C、whirlpoolD、MD58、完整的数字签名过程（包括从发送方发送消息到接收方安全的接收到消息）包括（C ）和验证过程。

北科大现代密码学考试复习题

得 Y0,Y1,…，YL-1。
每轮输出为 128 bit，可用下述 4 个 32 bits 字表示：A，B，C，D。
• HMD5 的运算，对 512 bit(16-字)组进行运算，Yq 表示输入的第 q 组 512 bit 数据，在
各轮中参加运算。T[1,…,64]为 64 个元素表，分四组参与不同轮的计算。T[i]为 232×
解：密钥串=1010110110 0100010001=1110100111 （2 分）
0 1 1 1
1
1
1
0
0 1
0
0
0 1
1 0
a3 a2
1
1
0
0
a1
1 0 0 1
1 0 1 1
a3 1
解得
a2
0
a1 1
（4 分）
LFSR： kn1 kn kn2（1 分）（图 3 分）
LFSR 1 初始状态为(1011)，画出此线性移位寄存器的示意图，写出其输出序列并判断输出序列的周期
解
：
a4
a3
a2
a1
（图 5 分）
初始状态为 (a1,a2,a3,a4) (1,0,1,1)
则输出序列如下表（5 分）
序号 a1 a2 a3 序号 a1 a2 a3 a4
0 1 0 1 2 1 0 1 1 周期为 3
（2 分）
m2 1024211(mod 59) 2137 21 2818 21179 3 64 3 362 6(mod 59) （3 分）
m 6 1 36 mod 59 411 2295 （3 分）
2021/6/4
11
试题六（10 分）：（1）请利用著名的 RSA 公钥密码算法设计一个数字签名算法（称为 RSA 签名算法）。

现代密码学期末考试题 2

一种是基于信息论的方法（经典方法）。

另一种是基于计算复杂性理论的方法（现代方法）。

基于信息论的定义是用密文中是否蕴含明文的信息作为标准。

不严格地说，若密文中不含明文的任何信息，则认为该密码体制是安全的，否则就认为是不安全的。

基于计算复杂性理论的安全性定义则不考虑密文中是否蕴含明文的信息，而是考虑这些信息是否能有效地被提取出来。

换句话说，把搭线者提取明文信息的可能性改为搭线者提取明文信息的可行性，这种安全性称为有条件安全性，即搭线者在一定的计算资源条件下，他不能从密文恢复出明文。

试题二(10分)：假设Hill 密码加密使用密钥⎪⎪⎭⎫⎝⎛=73811K ，试对明文abcd 加密。

答：（a,b ）=(0,1)加密后变为（0,1）⨯⎪⎪⎭⎫ ⎝⎛73811=(3,7)=(d,h)；同理（c,d ）=(2,3) 加密后变为（2,3）⨯⎪⎪⎭⎫⎝⎛73811=(31,37)=(5,11)=(F,L)。

所以，明文(abcd)经过Hill 密码加密后，变为密文（DHFL ）。

试题三（10分）：设有这样一个密码系统，它的明文空间{}y x P ,=的概率分布为4/3)(,4/1)(==y p x p P P ；它的密钥空间{}c b a K ,,=的概率分布为4/1)()(,2/1)(===c p b p a p K K K ；它的密文空间{}4,3,2,1=C ，假定该密码系统的加密函数为：4)(,3)(;3)(,2)(;2)(,1)(======y e x e y e x e y e x e c c b b a a 。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

班级：________学号：_______ 班内序号_____ 姓名：_________
--------------------------------装----------------------订---------------------------------------线-------------------------------------------------
北京邮电大学2005——2006学年第二学期
《现代密码学》期末考试试题（B卷）
试题一（10分）：密码分析可分为那几类，它们的含义是什么？
根据密码分析者可能取得的分析资料的不同，密码分析（或称攻击）可分为下列四类：
1）唯密文分析（攻击），密码分析者取得一个或多个用同一密钥加密的密文；
2）已知明文分析（攻击），除要破译的密文外，密码分析者还取得一些用同一密钥加密的明密文对； 3）选择明文分析（攻击），密码分析者可取得他所选择的任何明文所对应的密文（当然不包括他要恢复的明文），这些明密文对和要破译的密文是用同一密钥加密的； 4）选择密文分析（攻击），密码分析者可取得他所选择的任何密文所对应的明文（要破译的密文除外），这些密文和明文和要破译的密文是用同一解密密钥解密的，它主要应用于公钥密码体制。

试题二（15分）：假设Hill 密码加密使用密钥⎪⎪⎭
⎫ ⎝
⎛=73811K
，试对密文DHFL 解密。

答：密钥矩阵K
的逆矩阵是⎪⎪⎭⎫ ⎝⎛1123
187
，所以，（d,h ）=(3,7)解密后变为（3,7）⨯⎪⎪⎭
⎫
⎝
⎛1123187
=(0,1)=(a,b)；同理（F,L ）=(5,11) 解
密后变为（5,11）⨯⎪⎪⎭
⎫
⎝⎛1123
187=(2,3)= (c,d)。

所以，密文(DHFL)经过Hill 密码解密后，恢复的明文是（abcd ）。

试题三（15分）：考虑一个密码体制},,{c b a M =，{}321,,k k k K =和{
}4,3,2,1=C 。

假设加密矩阵为
已知密钥概率分布为4/1)()(,
2/1)(213===k p k p k p ，且明文概率分布为3/1)(=a p ，
15
/2)(,
4/1)(==c p b p 。

试计算)(M H ，)(K H ，)(C H 。

答：（1）将已知的密钥概率分布4/1)()(,
2/1)(213===k p k p k p ，代入求熵的公式
∑=-=n
i i i x p x p X H 1
2
)(log
)()(
就立即得到H （K ）。

（2）将已知的明文概率分布3/1)(=a p ，15
/2)(,
4/1)(==c p b p 代入求熵的公式
∑=-=n
i i i x p x p X H 1
2
)(log
)()(
就立即得到H （M ）。

（3）将已知的密钥概率分布和明文概率分布代入公式{}
∑
∈=
k C c k
k P K C c d p k p c p ))(()()(就得到密文的概率分布。

将该密文
的概率分布代入公式∑=-=n
i i i x p x p X H 1
2
)(log
)()(
就立即得到H （C ）。

试题四（15分）考虑一个数据块长度为256且密钥长度为128位的AES 加密算法。

请问该密码算法的一个数据块中字的个数Nb 是多少？密钥中字的个数Nk 是多少？算法轮数Nr 是多少？并请详细描述（Nr+1）个子密钥的产生过程。

答：对该AES 算法而言，Nb=8, Nk=4, Nr=14。

该算法所需要的15个子密解的生成过程可分为主密钥扩展和子密钥选取
两个步骤。

主密钥的扩展：当3210，，，=i 时，定义→
→
=i i k w 。

当1191)114(84=-+⨯≤≤i 时，若0mod ≠Nk i ，定义→
-→
-→
⊕=1i Nk i i w w w ；若0m o d =Nk i ，令)2(][8
1
GF x
i RC i ∈=-， )1/(])[2()'00','00','00'],[(][4
8+∈=→
x x GF i RC i Rcon ，
定义]/[))((1Nk i Rcon w Rotate ByteSub w w i Nk i i →
→-→
-→
⊕⊕=，其中Rotate(a,b,c,d)是左移位，即Rotate(a,b,c,d)＝（b,c,d,a ）。

子密钥的选取：对于i=0,1,…,14, AES 加密算法的第i 个子密钥就是1)1(8188-+→
+→
→
i i i w w w 。

试题五（15分）考虑Z 23上的一个椭圆曲线y 2=x 3+11x+18。

请你（1）验证P=（6，1）和Q=（9，15）确实是该椭圆曲线上的两个点；（2）请计算出P+Q=？和2P=?
答：（1）直接验证P=（6，1）和Q=（9，15）确实满足方程式y 2=x 3+11x+18，因此，P 和Q 都是该椭圆曲线上的点。

（2）直接计算后得到P+Q=（17，9）和2P=(15,4)。

注：如果学生在答题过程中有个别计算错误，那么，扣分情况将根据学生是否真正掌握了如下椭圆曲线的运算规则而做出。

对Z p 上的椭圆曲线E 上的两个点P=(x 1,y 1)∈E 和Q=(x 2,y 2)∈E 。

若 x 1=x 2且y 1=-y 2，那么 P+Q=O ；否则P+Q=(x 3,y 3) ,这里的x 3=λ
2
-x 1-x 2,y 3=λ(x 1-x 3)-y 1。

λ=⎪⎪⎩⎪
⎪⎨⎧=+≠--Q P y a x Q x x y y 如果如果1
211
21
223P
对于所有的P ∈E ，定义P+O=O+P=P 。

试题六（15分）：（1）在实用中，如何利用杂凑（HASH ）函数来对长消息进行数字签名？（2）如果所用的杂凑函数有一个碰撞，那么“黑客”能够伪造一个假签名吗？请具体给出一种伪造方法。

答：（1）在签名端：首先对长消息进行HASH ，将其压缩成为一个短消息，然后再对短消息进行签名，并以该短签名来作为对长消息的签名。

在验证端：首先对长消息进行HASH ，得到压缩消息。

然后，验证所获得的签名是否是该压缩消息的签名。

如果是，那么签名被验证；否则，签名有假。

（2）设所用的HASH 函数有一个碰撞，比如，找到了两个不同的长消息m 和n ，他们经过该HASH 后，被压缩成为同一个短消息k 。

那么，黑客可以根据对消息m 的签名(m,p)伪造出对消息n 的签名(n,p)。

试题七（15分）：请利用多项式19
mod )1127()(2
++=x x x h 设计一个（5,3）Shamir 门限方案来共享密钥k=11。

答：可信中心任取五个不同的x 值，比如，5,4,3,2,1,==i i x i ，然后，将这些值代入多项式h(x)，得到51),(≤≤=i x h y i i ，
6)5(,17)4(,4)3(,5)2(,1)1(=====h h h h h 。

可信中心将这五个5
,4,3,2,1,==i i y i 分别秘密发送给五个合法的用户。

假如，某三
个用户（比如，用户2、3、5）想共同合作恢复出密钥k ，那么，他们分别贡献出各自知道的3个子密钥6)5(,4)3(,5)2(===h h h ，最后，他们就可按下述方式重构多项式)(x h ：
)
5)(3(65)5)(3(135)
5)(3()19mod 3
(5)
3)(1()5)(3(5
)
52)(32()5)(3(5
1
--=--⋅=--⋅⋅=----=-----x x x x x x x x x x
)
5)(2(36)5)(2(94)
5)(2()19mod )
2((4)
2)(1()
5)(2(4
)
53)(23()5)(2(4
1
--=--⋅=--⋅-⋅=---=-----x x x x x x x x x x
)
3)(2(96)3)(2(166)
3)(2()19mod 6
(6)
2)(3()
3)(2(6
)
35)(25()3)(2(6
1
--=--⋅=--⋅⋅=--=-----x x x x x x x x x x
所以
11
2719mod )29618826(19
mod )]3)(2(96)5)(2(36)5)(3(65[)(2
2
++=+-=--+--+--=x x x x x x x x x x x h
从而得共享的秘密密钥k =11。