第五章作业参考答案

1．6.1.3节的数据认证算法是由CBC模式的DES定义的，其中初始向量取为0，试说明使用CFB模式也可获得相同的结果。

解：设需认证的数据分为64比特长的分组，D₁,D₂,…,D_N，其中D_N不够64比特则右边补0，由题设，数据认证算法相当于在CBC模式中初始向量取为0，并按如下关系进行：

    O₁=E_K(D₁Å0)；     O₂=E_K(D₂ÅO₁)；…   O_N=E_K(D_NÅO_N-1)；

数据认证码取为O_N或O_N的最左M个比特

对于同样的认证数据序列，D₁,D₂,…,D_N，使用DES的CFB模式，且取j＝64，IV=D₁，并从D₂开始加密得

C₁= E_K(D₁)ÅD₂＝O₁ÅD₂，C₂= E_K(C₁)ÅD₃＝E_K(O₁ÅD₂)ÅD₃=O₂ÅD₃，

由此可推出，对最后一个分组D_N加密后的密文C_N-1=O_N-1ÅD_N，则此时将CFB模式再进行一步，在该步中只计算DES的输出，则该输出值为E_K(C_N-1)=E_K(O_N-1ÅD_N)＝O_N。

所以可获得相同的结果。

2．有很多杂凑函数是由CBC模式的分组加密技术构造的，其中的密钥取为消息分组。例如将消息M分成分组M₁,M₂,…,M_N，H₀=初值，迭代关系为H_i＝E_Mi(H_i-1)ÅH_i-1(i=1,2,…,N)，杂凑值取为H_N，其中E是分组加密算法。

(1)设E为DES，第3章习题1已证明如果对明文分组和加密密钥都逐比特取补，那么得到的密文也是原密文的逐比特取补，即如果Y＝DES_K(X)则Y¢= DES_K¢(X¢)。利用这一结论证明在上述杂凑函数中可对消息进行修改但却保持杂凑值不变。

证：由DES的取反特性，如果令M_i和H_i-1取反，则有

E_M¢i(H¢_i-1)ÅH¢_i-1＝[E_Mi(H_i-1)]¢ÅH¢_i-1＝E_Mi(H_i-1)ÅH_i-1＝H_i

因此对任意的初始值H₀，如果将H₀取反且将第一个消息分组M₁也取反则杂凑值不变

(2)若迭代关系改为H_i＝E_Hi-1(M_i)ÅM_i，证明仍可对其进行上述攻击。

证：与(1)同，略。

3．考虑公钥加密算法构造杂凑函数，设算法是RSA，将消息分组后用公开钥加密第一个分组，加密结果与第二个分组异或后，再对其加密，一直进行下去。设一消息被分成两个分组B₁和B₂，其杂凑值为H(B₁,B₂)=RSA(RSA(B₁)ÅB₂)。证明对任一分组C₁可选C₂，使得H(B₁,B₂)= H(C₁,C₂)，证明这种攻击方法，可攻击上述用公钥加密算法构造的杂凑函数。

证：攻击值如果获得两个消息分组B₁和B₂，及其杂凑值H(B₁,B₂)，则攻击者可任选分组C₁并令C₂＝RSA(B₁)ÅB₂ÅRSA(C₁)

于是有H(C₁,C₂)＝RSA(RSA(C₁)Å(RSA(B₁)ÅB₂ÅRSA(C₁)))＝RSA(RSA(B₁)ÅB₂)＝H(B₁,B₂)则攻击成功。

6．设a₁a₂a₃a₄是32比特长的字中的4个字节，每一a_i可看作由二进制表示的0到255之间的整数，在big－endian结构中该字表示整数a₁2²⁴+a₂2¹⁶+a₃2⁸+a₄，在little-endian结构中该字表示整数a₄2²⁴+a₃2¹⁶+a₂2⁸+a₁。

(1)用MD5使用little－endian结构，因消息的摘要值不应依赖于算法所用的结构，因此在MD5中为了对以big－endian结构存储的两个字X=x₁x₂x₃x₄和Y=y₁y₂y₃y₄，进行模2³²加运算，必须对这两个字进行调整，试说明如何调整？

解：首先对X中的4个字节做如下处理：

将x₁和x₄交换，x₂和x₃交换，对Y进行相同的处理

然后计算Z=X+Y mod2³²

最后再将z₁和z₄交换，z₂和z₃交换。

复习题&&答案

4.6. 简述用杂凑函数来实现消息认证的三大类基本方式

答：

　　1. 先对消息计算杂凑值，在对杂凑值进行对称加密，提供认证性和完整性服务，还分为带保密性和不带保密性两种方式。

　　2. 先对消息计算杂凑值，再前面签名再对称加密(也可以用收方公钥加密)，提供认证性、完整性和不可否认性，也分为带保密性和不带保密性两种方式

　　3. 连同秘密值一起对消息计算杂凑值，提供认证性和完整性，，也分为带保密性和不带保密性两种方式

6.2. 某用户A想要给用户B发送一个消息m，如果要对消息m的保密性与认证性进行保护，有四种方法，采用数据认证算法、先hash再加密、先签名再加密、HMAC

(1)  请分别给出这几种方法下认证消息m的表达式。所需符号和算法自行定义和选取。

(2)  其中安全性最强的和最弱的分别是哪一种方法，为什么

解：(1) 采用数据认证算法 m||C_K(m)，C是初始向量为0的DES-CBC算法；先hash再加密 E_K{m||H(m)}；先签名再加密:E_K{m||Sig_sk(H(m)}；HMAC：m||H(k||m)

（2）安全性最强的是先签名再加密方法，它同时能提供保密性、完整性、认证性和不可否认性；最弱的是数据认证算法和HMAC，它们只提供认证性和完整性。