密碼編碼學與網絡安全》復習題1．信息安全(計算機安全)目標是什么？機密性(confidentiality)：防止未經授權的信息泄漏完整性(integrity)：防止未經授權的信息篡改可用性(avialbility)：防止未經授權的信息和資源截留抗抵賴性、不可否認性、問責性、可說明性、可審查性(accountability):真實性(authenticity):驗證用戶身份2．理解計算安全性(即one—timepad的理論安全性)使用與消息一樣長且無重復的隨機密鑰來加密信息,即對每個明文每次采用不同的代換表不可攻破，因為任何明文和任何密文間的映射都是隨機的，密鑰只使用一次3．傳統密碼算法的兩種基本運算是什么？代換和置換前者是將明文中的每個元素映射成另外一個元素；后者是將明文中的元素重新排列。4．流密碼和分組密碼區別是什么？各有什么優缺點?分組密碼每次處理一個輸入分組，對應輸出一個分組;流密碼是連續地處理輸入元素，每次輸出一個元素流密碼Stream:每次加密數據流的一位或者一個字節.連續處理輸入分組,一次輸出一個元素，速度較快。利用playfair密碼加密明文bookstore，密鑰詞是(HARPSICOD),所得的密文是什么？I/JDRGLRQDHGHARPSbookstorexI/JDDGPUGOGVI/JCODBEFGKLMNQTUVWXYZ用密鑰詞cat實現vigenere密碼，加密明文vigenerecoper，所得的密文是什么？XIZGNXTEVQPXTKey：catcatcatcatcatcatPlaintext:vigenerecoperChipertext：XIZGNXTEVQPXT假定有一個密鑰2431的列置換密碼，則明文canyouunderstand的密文是多少？YNSDCODTNURNAUEAKey:2431Plaintext：canyouunderstandChipertext：YNSDCODTNURNAUEA什么是乘積密碼？多步代換和置換，依次使用兩個或兩個以上的基本密碼，所得結果的密碼強度將強與所有單個密碼的強度.混淆和擴散的區別是什么？擴散(Diffusion)：明文的統計結構被擴散消失到密文的，使得明文和密文之間的統計關系盡量復雜?即讓每個明文數字盡可能地影響多個密文數字混淆(confusion):使得密文的統計特性與密鑰的取值之間的關系盡量復雜,阻止攻擊者發現密鑰Feistel密碼中每輪發生了什么樣的變化?將輸入分組分成左右兩部分。以右半部數據和子密鑰作為參數，對左半部數據實施代換操作。將兩部分進行互換，完成置換操作。S-Box的概念S盒用在DES算法中，每個s盒都由6位輸入產生4位輸出，所有說，s盒定義了一個普通的可逆代換?相當程度上，DES的強度取決于s盒的設計,但是,s盒的構造方法是不公開的AES每輪變化中設計的基本操作有哪些？每輪包括4個階段：字節代換、行移位、列混淆、輪密鑰加DES、AES和RC4之間的比較(建議比較分組大小、密鑰長度、相對速度、安全強度、輪數、是否Feistel體制、基本操作等若干方面)*算法DESAESRC4分組長度(bit)64128流密碼密鑰長度56128/196/256不少于128相對速度較快慢很快安全強度2A55(窮舉)很難輪數1610/12/14一是否Feistel體制是不是?14.AES與DES相比有優點？3DES與DES相比的變化有哪些？什么是2DES中的中間相遇攻擊？(1)AES更安全.(2)3DES增加了1到2個密鑰，進行多輪DES,安全性更高。(3)C=EK2(EK1(P))X=EK1(P)=DK2(C)給定明文密文對(P,C)對所有256個密鑰，加密P,對結果按X排序與T中對所有256個密鑰，解密C,解密結果與T中的值比較找出K1,K2使得EK1(P)=DK2(C)用k1和k2對P加密，若結果為C,則認定這兩個密鑰為正確的密鑰分組密碼的工作模式有哪些?及優缺點？ECB，電碼本模式，一次處理64位明文，每次使用相同的密鑰加密。任何64位的明文組都有唯一的密文與之對應，有“結構化”的缺點.CBC，密碼分組連接模式，克服了ECB中“結構化"的缺點，同樣的明文變成密文之后就不同了，而且加密必須從頭到尾CFB，密碼反饋模式?一次處理M位，上一個分組的密文產生一個偽隨機數輸出的加密算法的輸入，該輸出與明文的異或，作為下一個分組的輸入。OFB，輸出反饋模式，與CFB基本相同，只是加密算法的輸入是上一次DES的輸出。計數器模式，計數器被初始化為某個值，并隨著消息塊的增加其值加1,在于明文組異或得到密文組。也可用于流密碼.RSA算法中密鑰的生成和加密解密過程。生成過程RSA的加解密為：給定消息M=88(88<187)加密：C=887mod187=11解密：M=1123mod187=88RSA算法計算實例(給定p，q,e，m/c，計算n，，d，c/m)1。選擇素數：p=17&q=112。計算n=pq=17x11=1873。計算0(n)=(p-1)(q一1)=16x10=1604。選擇e:gcd(e，160)=1；選擇e=75。確定d：de=1mod160andd<160,d=23因為23x7=161=1x160+16。公鑰KU={7,187}7。私鑰KR={23，17,11}描述Diffie—Hellman密鑰交換機制。算法：雙方選擇素數p以及p的一個原根a用戶A選擇一個隨機數Xa〈p,計算Ya=aXamodp用戶B選擇一個隨機數Xb〈p,計算Yb=aXbmodp每一方保密X值，而將Y值交換給對方用戶A計算出K=YbXamodp用戶B計算出K=YaXbmodp雙方獲得一個共享密鑰（aXaXbmodp）素數p以及p的原根a可由一方選擇后發給對方描述Diffie-Hellman算法（DH算法）中中間人攻擊發生的過程。中間人攻擊1雙方選擇素數p以及p的一個原根a（假定0知道）A選擇Xa〈p,計算Ya=aXamodp,A>B:YaO截獲Ya,選Xo,計算Yo=aXomodp,冒充AOB：YoB選擇Xb〈p,計算Yb=aXbmodp,BOA：YbO截獲Yb,冒充BOA：YoA計算：（Xo）Xa三（aXo）Xa三aXoXamodpB計算：（Xo）Xb=（aXo）Xb=aXoXbmodpO計算：（Ya）Xo三aXaXomodp,（Yb）Xo三aXbXomodpO無法計算出aXaXbmodpO永遠必須實時截獲并冒充轉發,否則會被發現如何使用公鑰密碼實現數據的保密性、完整性和數據源認證（簽名）？發送方用其私鑰對消息“簽名”。可以通過對整條消息加密或者對消息的一個小的數據塊（消息認證碼/摘要）加密來產生.E（K,[MII玖PRa,H（M））]）其中K為PUb解密時，第一步解密使用B的私鑰，然后使用A的公鑰。對比對稱算法和公鑰算法？（建議從用途,速度和效率等方面）對稱算法:速度快,主要用于數據加密,只有一個密鑰。公鑰算法：速度較慢,主要用于數字簽名和密鑰交換,有兩個密鑰對稱密鑰分配有哪些方法？（注意和重放攻擊相結合）對于參與者A和B,密鑰分配有以下幾種：密鑰由A選擇，并親自交給B第三方選擇密鑰后親自交給A和B如果A和B以前或最近使用過某密鑰，其中一方可以用它加密一個新密鑰后在發送給另一方.A和B與第三方均有秘密渠道，則C可以將一密鑰分別發送給A和B別人卷子上的分配方式：傳統加密方法Needham/SchroederProtocol[1978]1、AtKDC:IDAIIIDBIN12、KDCtA：EKa[KsI|IDB||N1IIEKb[Ks|IIDA]]3、AtB:EKb[Ks||IDA]4、BtA：EKs[N2]5、AtB：EKs[f（N2）]保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰.本協議的目的就是要安全地分發一個會話密鑰Ks給A和B.A在第2步安全地得到了一個新的會話密鑰，第3步只能由B解密、并理解。第4步表明B已知道Ks了。第5步表明B相信A知道Ks并且消息不是偽造的.第4,5步目的是為了防止某種類型的重放攻擊。特別是，如果敵方能夠在第3步捕獲該消息，并重放之，這將在某種程度上干擾破壞B方的運行操作。上述方法盡管有第4,5步的握手,但仍然有漏洞假定攻擊方C已經掌握A和B之間通信的一個老的會話密鑰。C可以在第3步冒充A利用老的會話密鑰欺騙B。除非B記住所有以前使用的與A通信的會話密鑰，否則B無法判斷這是一個重放攻擊。如果C可以中途截獲第4步的握手信息，則可以冒充A在第5步響應。從這一點起,C就可以向B發送偽造的消息而對B來說認為是用認證的會話密鑰與A進行的正常通信。DenningProtocol[1982]改進（加入時間戳）：1、AtKDC：IDAIIIDB2、KDCtA：EKa[KsIIIDBIITIIEKb[冬1IIDJT]]3、Atb：EKb[KsIIIDAIIT]4、BtA:EKs[N1]5、AtB:EKs[f（N1）]IClock-TI<At1+At2其中：A—是KDC時鐘與本地時鐘（A或B）之間差異的估計值；At2是預期的網絡延遲時間。23．公鑰算法中公鑰的分配和管理有哪些方法？公鑰的分配A．公開發布B．公開可訪問目錄C．公鑰授權D．公鑰證書24．消息認證碼的概念和基本用途?（237頁圖）MAC（MessageAuthenticationCode），消息認證碼，也是一種認證技術，它利用密鑰來產生一個固定長度的短數據塊，并將數據塊附加在消息之后，格式如：MAC（M）IIM.消息和MAC一起發送到接受方。從而，接受方可以知道消息沒有經過篡改，真正來自發送方（MAC的密鑰）和消息的時效性（如果MAC中包含序列號）。從這個層面來說，hash是沒有密鑰的MAC25．什么是散列函數的基本用途有哪些？（239頁圖）保密、認證和簽名26．安全散列函數有哪些特性？什么是碰撞？找到一個碰撞意味著什么？代價是多大？生日悖論和生日攻擊。Hash算法的特點有輸入變長的分組，輸出是一定長的分組；任意x,計算H（x）容易，軟件和硬件都可以實現已知H（x）=h,求x是不可行的,只是在計算上不可行（單向性）任意x,找到y,使H（x）=H（y）計算上不可行（抗弱碰撞性）找到滿足H（x）=H（y）的（x,y）計算上不可行（抗強碰撞性）碰撞指的是散列值相同而原值不同。找到一個碰撞意味著可以替換原來的消息。單向2An弱無碰撞2An強無碰撞2An/2生日問題:一個教室中，最少應有多少學生，才使至少有兩人具有相同生日的概率不小于1/2?概率結果與人的直覺是相違背的。實際上只需23人，即任找23人，從中總能選出兩人具有相同生日的概率至少為1/2。根據生日攻擊原理，對長度為m位的散列碼，共有2Am個可能的散列碼，若要使任意的x,y有H（x）=H（y）的概率為0.5,只需k=2m/227．消息認證碼和散列函數有哪些區別?散列函數（Hash）：將任意長度的消息變換為定長的消息摘要，并加以認證.消息認證碼（MAC）：依賴公開的函數（密鑰控制下）對消息進行處理，生成定長的認證標識,并加以認證。28．HMAC的原理hash是沒有密鑰的MAC,所以不可以直接將hash算法（MD5，SHA1）直接用在MAC上，所以，HMAC實現的目標就是將密鑰加入到hash函數中,簡單的說，就是“帶密鑰的hash”.29．安全hash碼的基本結構（Merkle提出的）?30．MD5和SHA—1間的差異？（建議從輸入、輸出、輪數、強度和速度等幾個方面比較）MD5SHA-1摘要長度128位160位基本處理單位512位512位步數64(4of16)80(4of20)最大消息長度無限264-1位基本邏輯函數44加法常數644EndiannessLittle—endianBig—endian性能32.4Mbps14。4Mbps什么是數字簽名？如何理解RSA私鑰運算結果做為數字簽名？【提示：最簡單的數字簽名是:EKRa(M)即用a的私鑰(KRa)加密消息M,接受方b用a的公鑰解密，得到M,b就可以認為M來自a,因為其他人不可能有a的私鑰;而且消息沒有經過修改，因為修改后的秘文不能用a的公鑰解開，從而實現了數字簽名。】如何實現用簽名進行身份和消息認證？【提示：上面算法的改進算法就可以實現用簽名進行身份和報文鑒別：EKRa(H(M))IIM。先將消息M用hash算法(MD5orSHA1)算出mac(消息認證碼)，然后，用a的私鑰加密此認證碼，最后和原始的消息并在一起，發送到接受方b.b首先用a的公鑰KPa解密前面部分，然后用同樣的hash算法對M進行hash操作，比較兩個結果是否相等。從而實現身份和消息認證。數字簽名的作用是什么當通信雙方發生了下列情況時，數字簽名技術必須能夠解決引發的爭端：(1)否認，發送方不承認自己發送過某一報文.(2)偽造，接收方自己偽造一份報文，并聲稱它來自發送方.(3)冒充，網絡上的某個用戶冒充另一個用戶接收或發送報文。(4)篡改，接收方對收到的信息進行篡改。公鑰算法RSA、DH和DSS算法的用途是什么？RSA——加密/解密、數字簽名、密鑰交換DH——密鑰交換DSS—-數字簽名實體認證(身份認證)和消息認證的區別是什么？身份認證是驗證主體的真實身份與其所聲稱的身份是否符合的過程.消息認證是是一個證實收到的消息來自可信的源點且未被篡改的過程。即驗證收到的消息確實是來自真正的發送方且未被修改的消息，也驗證消息的順序和及時性。是為了確認被認證的實體與一些特定數據項有著靜態的聯系，而身份認證主要是在連接建立或者在數據傳送階段的某些時刻使用的。什么是消息重放？有哪些方法可以抵御消息的重放攻擊，各有什么特點？消息重放：攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的。對付重放攻擊的一種方法是在認證交換中使用一個序列號來給每一個消息報文編號。僅當收到的消息序數順序合法時才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號.兩種更為一般的方法是：時間戳：A接受一個新消息僅當該消息包含一個時間戳，該時間戳在A看來，是足夠接近A所知道的當前時間；這種方法要求不同參與者之間的時鐘需要同步。挑戰/應答方式。(Challenge/Response)A期望從B獲得一個新消息，首先發給B一個臨時值(challenge),并要求后續從B收到的消息(response)包含正確的這個臨時值.挑戰問/應答方法不適應非連接性的應用，因為它要求在傳輸開始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點.對稱密鑰分配方式中有什么問題，如何避免？(針對消息重放攻擊)當采用傳統對稱加密方式時，發送者不能根據內容區分是發送的消息還是接收的消息，這種攻擊是可能的.加入時間戳。Kerberos系統適合什么樣環境中的認證服務?它采用了什么方法來防止攻擊者竊取并使用票據?kerberos系統的認證過程,每個步驟的作用？分布式服務器C/S環境AS用安全方式向用戶和TGS各自提供一個秘密信息，然后用戶也以安全方式向TGS出示該秘密來證明自己的身份。這個秘密就是會話密鑰.認證服務交換:獲得票據許可票據(1)CTAS:IDC||IDtgsIITS1(2)AStC:EKC[Kc,tgsIIIDtgsIITS2|ILifetime,IITicket^]Ticket=EKtgs[Kc，tgs1Iidc11adcI1IDtgsNTS21ILifetime』客戶端收到消息(2)后，輸入口令，生成kC,解密獲得Tickettgs，及AS產生的tgs和客戶共享密鑰Kc,tgs票據許可服務交換：獲得服務許可票據(3)CTTGS:IDvIITick%11Authenticator。接收方tgs接收Tickettgs，驗證票據，獲取Kctgs并用該密鑰解密客戶端發來的認證符Authenticatorc，驗證客戶端身份Ticket=EKgs%tgs11idc|IadcII叭$「TS2IILifetime』Authenticatorc=EKctgs[IDcIIADcIITS3]為被請求的服務器生成服務授權票據Ticketv，并發送給客戶端(4)TGSC:EKc，tgs[Kc，vIIIDVI|TS4I|Ticketv]Ticketv=EKV[Kc，vI|IDC|IADCIIIDvIITS4|ILifetime4]當客戶端收到tgs發送的該消息后，使用Kc,tgs，解密獲得Ticketv，及tgs產生的客戶和服務器共享的密鑰Kc,v什么是證書和CA?X。509證書包含哪些內容？證書：CA頒發的一種數字介質(文件)，用來對證書主體的身份進行鑒別和認證。證書的內容包含證書主體的信息，公鑰，以及CA的簽名等等.CA：CA是PKI的核心執行機構，是PKI的主要組成部分，它是數字證書的申請注冊、證書簽發和管理機構。CA的主要職責是：驗證并標識證書申請者的身份。確保CA用于簽名證書的公鑰的質量和安全性。管理證書信息資料.(CRL，LDAP等等)主要內容版本：標識不同版本的證書；序列號：標識證書唯一性的整數；A簽名算法標識符：標識簽名算法及參數；頒發者名字：創建和簽名該證書的CA的X。500名字；有效期:兩個日期組成：起始時間和結束時間；主體名：證書提及的用戶名；主體的公鑰信息：主體的公鑰及這個密鑰使用算法的標識符,和算法的相關參數；PKI公鑰基礎設施是基于證書的認證體系結構。它包含哪些基本元素？【提示：包含認證機構CA、證書和證書庫(X.509標準)、密鑰備份及恢復、密鑰和證書的更新(CRL)、交叉認證(證書鏈或者信任樹的概念)安全電子郵件SMTP/POP3的安全問題?SMTP(simplemailtransferprotocal)簡單郵件傳輸協議和POP3(postofficeprotocal)郵局協議用于Internet上的郵件傳輸和發送，協議設計的本身沒有安全性的,郵件在傳輸的過程中容易被偷聽或者篡改。垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網絡負荷,影響網絡傳輸速度，占用郵件服務器的空間.詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜,發信人能迅速讓大量受害者上當.郵件炸彈指在短時間內向同一信箱發送大量電子郵件的行為,信箱不能承受時就會崩潰。通過電子郵件傳播的病毒通常用VBScript編寫，且大多數采用附件的形式夾帶在電子郵件中。當收信人打開附件后,病毒會查詢他的通訊簿，給其上所有或部分人發信，并將自身放入附件中，以此方式繼續傳播擴散。端到端的安全電子郵件技術，保證郵件從被發出到被接收的整個過程中，內容保密、無法修改、并且不可否認。目前的Internet上，有兩套成型的端到端安全電子郵件標準：PGP和S/MIME.它一般只對信體進行加密和簽名，而信頭則由于郵件傳輸中尋址和路由的需要，必須保證原封不動。PGP的原理發送方首先使用md5實現對明文的完整性認證，然后使用私鑰對散列值進行數字簽名，再對簽名散列值以及明文消息拼接，對該拼接結果進行壓縮,利用隨機產生的密鑰對壓縮結果進行加密,增加了加密速度，實現消息的保密性。該隨機密鑰用接收方公鑰加密，將加密后的密鑰與密文拼接，實現密鑰的保密性。再經過基64位變換，得到ascII文本在網絡中傳輸?當數據到達接收方時，通過私鑰解密對稱密鑰，然后對密文解密,進行壓縮逆變換，得到明文消息和用發送方私鑰簽名的明文消息的散列值,通過公鑰解密驗證發送方簽名，獲得消息的散列值,并對明文消息做通用的變換，對比，驗證消息的完整性。總之PGP實現了消息的機密性和完整性，以及發送方不可否認(源認證)、并通過壓縮提高了加密的速度.42?設計一種報文安全交換方案，要求機密性、完整性和不可抵賴性。可以使用公鑰算法、對稱算法和Hash函數。[參考安全電子郵件PGP的設計原理即可]發送方發送Eks(MIIERa(H(M)))IIEUb(Eks)，發方通過私鑰簽名消息的認證碼，實現對消息完整性和自己身份的證明，并將結果與M一起用會話密鑰Eks加密，在將Eks用收方公鑰加密。實現消息和密鑰的保密性.接收方私鑰機密DRb(EUb(Eks))獲得ks，然后使用ks解密，Dks(Eks(MIIERa(H(M))))，獲得MlIERa(H(M))，然后計算H(M)，并與DUa(ERa(H(M))解密后的H(M),對比驗證消息完整性。43．IP安全性(1)VPN＆IPSec＆Tunnel?VpnVpn,virtureprivatenet,虛擬專用網，終結了租用專線的年代。通訊雙方可以通過建立一條虛擬的通信線路(隧道)的方式實現數據的加密傳輸，可以提供安全的遠程訪問、分布式辦公、電子商務、EDI等，主要的協議有：PPTP和L2TP原理圖如下F1F2Addition源IP目的IP數據F1是發送方防火墻的IP，F2是接受方防火墻的IP后面3段實現了加密Ipsec多服務，多算法,多粒度的框架，位于ip層，主要的服務是保密性，數據完整性及針對重放攻擊的保護，有兩種模式：傳輸模式和隧道模式.Tunnel要點是:加密整個IP分組，并放在一個新的IP分組的有效載荷部分(2)IPSec提供哪些服務？IPSec在IP層提供安全服務，使得系統可以選擇所需要的安全協議，確定該服務所用的算法，并提供安全服務所需任何加密密鑰(3)指出IPSec中傳輸模式和隧道模式的區別？傳輸模式:不改變IP地址，插入一個AH隧道模式:生成一個新的IP頭，把AH和原來的整個IP包放到新IP包的凈荷數據中(4)IPsec與VPN的關系IPsec的應用方式之一一-路由到路由(router-router):路由設備之間的安全通信，常用于在兩個網絡之間建立虛擬私有網(V