第三章 分组密码体制 —— 现代密码学（杨波）课后题答案解析

第三章作业参考答案

1．(1)设M¢是M的逐比特取反，证明：若Y＝DES_K(X)则Y¢= DES_K¢(X¢)

证：①以P_D记DES中的所有置换，包括循环移位、左右交换，则P_D满足如下性质：

     若T=P_D(Z)，则T¢=P_D(Z¢)

     在DES中，异或运算显然满足性质a¢Åb¢＝aÅb，及a¢Åb＝(aÅb)¢

     因而DES中的函数F(R_i－1, K_i)在S盒前是异或运算，所以F(R¢_i－1, K¢_i)＝F(R_i－1, K_i)

②由密钥编排方案中的运算部件知，

 若K的子密钥为K₁,K₂,…,K₁₆，那么K¢的子密钥为K¢₁,K¢₂,…,K¢₁₆

③若X经初始置换IP后记为L₀||R₀，则X¢经初始置换IP后记为L¢₀||R¢₀，

  用K对X加密的第i轮输入为L_i－1||R_i－1，输出为L_i||R_i，

  其中，L_i＝R_i－1，R_i＝L_i－1ÅF(R_i－1, K_i)

设用K¢对X¢加密的第i轮输入为L¢_i－1||R¢_i－1，则其第i轮的输出满足

  左半部分＝R¢_i－1＝L¢_i

  右半部分＝L¢_i－1ÅF(R¢_i－1, K¢_i)＝L¢_i－1ÅF(R_i－1, K_i)＝(L_i－1ÅF(R_i－1, K_i))¢＝R¢_i

  即L¢_i||R¢_i，

④由归纳法知，前16轮的输出均满足逐比特取反的关系，在经过左右交换盒IP^-1两个置换运算，输出密文也满足取反关系       #

(2)由(1)的结论，在对DES进行穷搜索攻击时，选择两个明密文对(M,C₁)和(M¢,C₂)，然后选择KÎF₂⁵⁶，对M加密C＝DES_K(M)，判断C=C₁或C¢=C₂则分别说明K或K¢为正确密钥，否则K和K¢都不是密钥，从而一次加密运算可同时验证一对互反密钥，使搜索量减少一半

2．证明：DES的解密变换是加密变换的逆

   证：DES的加密变换由IP，16轮迭代，左右交换，IP^-1四部分构成，注意到解密时子密钥逆续使用，16轮迭代与左右交换一起刚好构成Feistel网络，若Feistel网络输入为X，输出为Y，即Y＝Feistel(X,K)，其中K为密钥，如果K的子密钥逆续使用则记为Inv(K)，那么由Feistel网络的性质有X=Feistel(Y,Inv(K))。

对任意的明文消息M加密可表示为C=IP^-1[Feistel(IP(M),K)]

即IP(C)=Feistel(IP(M),K)

由Feistel网络的性质有IP(M)=Feistel(IP(C),Inv(K))

而对密文C解密，即为明文＝IP^-1[Feistel(IP(C),Inv(K))]＝IP^-1[IP(M)]＝M，所以解密变换是加密变换的逆                               #

3．在DES的CBC模式中C₁的一个错误明显地将影响P₁和P₂的结果

（1）P₂以后的分组不受影响，这是因为C₁以后的密文都是正确的，而恢复明文主要看对应密文分组和其前一个密文分组的正确性。

（2）加密前的明文分组P₁有1比特错误，则这一错误将在所有后续密文分组中传播，但接受者能够正确解密，除了P₁的一个错误比特之外。这是因为相当于发送者将明文改变了1比特得到一个新明文，而该明文的对应密文正确的传送给了接受方。

4．在8bitCFB中密文字符中出现1比特错误，该错误将影响包括该密文的连续9组密文的解密。

5．在实现IDEA时，最困难的部分是模2¹⁶＋1乘法运算，设a和b是两个n比特的非0整数，记(ab mod 2ⁿ)为ab的n个最低有效位，(ab div 2ⁿ)为ab右移n位

(1) 证明存在惟一的非负整数q和r，使得ab＝q(2ⁿ+1)+r

证：令q为ab/(2ⁿ+1)的商，r为ab/(2ⁿ+1)的余数，均非负，则ab＝q(2ⁿ+1)+r

若存在另一对数q₁，r₁满足ab＝q₁(2ⁿ+1)+r₁

两式相减的(r₁－r)＝(q－q₁)(2ⁿ+1)

由于|(r₁－r)|£2ⁿ，所以当且仅当r₁＝r，q₁＝q时上式才成立  #

(2) 求q和r的上下界

解：由(1)知，r为余数，所以有0£r£2ⁿ

又a和b的最大值为2ⁿ－1，所以0£q£[ab/(2ⁿ+1)]£[(2ⁿ－1)²/(2ⁿ－1)]＝[2ⁿ－3＋4/(2ⁿ+1)]= 2ⁿ－3对于n³2时都成立，当n＝1时，q＝0

所以，q的上下界为0£q£2ⁿ－3 （n³2）n＝1时，q＝0

(3) 证明q＋r<2ⁿ⁺¹

证：q＋r£2ⁿ－3＋2ⁿ＝2ⁿ⁺¹－3<2ⁿ⁺¹

(4)，(5) 求(ab div 2ⁿ)关于q的表达式和(ab mod 2ⁿ)关于q和r的表达式

解：设ab＝q₁2ⁿ+r₁，则显然有q₁＝(ab div 2ⁿ)，r₁＝(ab mod 2ⁿ)

又ab＝q(2ⁿ+1)+r，记为(a)式

当q₁£ r₁时，ab＝q₁2ⁿ+r₁＝q₁(2ⁿ+1)+(r₁- q₁)  记为(b)式

此时0£ (r₁- q₁)£ r₁£2ⁿ－1

由(1)的唯一性结论,比较(a),(b)两式知，q₁＝q，r₁- q₁＝r

即q₁＝(ab div 2ⁿ)＝q，r₁＝(ab mod 2ⁿ)＝r＋q₁＝r＋q

当q₁> r₁时，ab＝q₁2ⁿ+r₁＝(q₁-1)(2ⁿ+1)+(r₁- q₁)+(2ⁿ+1)  记为(c)式

此时，由假设q₁> r₁，知(r₁- q₁)<0，及(q₁-1)³0所以

0<(r₁- q₁)+(2ⁿ+1)£ 2ⁿ

即(r₁- q₁)+(2ⁿ+1)为ab/(2ⁿ+1)的余数

所以比较两式(a),(c)两式知(q₁-1)＝q，(r₁- q₁)+(2ⁿ+1)＝r

即q₁＝(ab div 2ⁿ)＝q+1，r₁＝(ab mod 2ⁿ)＝r＋q₁-(2ⁿ+1)＝r＋(q+1)-(2ⁿ+1)

综上所述有

q₁＝(ab div 2ⁿ)＝＝

r₁＝(ab mod 2ⁿ)＝＝

(6) 用(4)和(5)的结果求r的表达式，说明r的含义

当q₁£ r₁时，r＝(r+q)-q=(r₁- q₁) =(ab mod 2ⁿ)- (ab div 2ⁿ)

当q₁> r₁时,  r=( r＋q-2ⁿ)-(q+1)+ (2ⁿ+1)= (r₁- q₁) + (2ⁿ+1)= (ab mod 2ⁿ)- (ab div 2ⁿ) + (2ⁿ+1)

所以r=ab mod (2ⁿ＋1)= 

6. （1）在IDEA模乘运算中，将模数取为2¹⁶＋1，是因为它是素数，从而所有非0元都有逆元

   (2) 在IDEA的模加运算中，模数取为2¹⁶使所有元素都有逆元，构成群运算，同时刚好在16位子段上运算，求模运算易于实现，而取为2¹⁶＋1时则必须做额外处理

复习题&&答案

4.11. 试分析一下CBC、CFB、OFB运行模式的错误传播情况。

CBC的错误传播只影响当前分组和下一分组的解密

CFB的错误传播影响当前分组的对应bit解密和后续的ë64/j û或ë64/j û+1个分组的解密

OFB的错误传播只影响当前分组的对应比特解密，无错误传播

4. 14. Rijndael算法是建立在GF(2⁸)有限域上的，且模多项式为m(x)=x⁸+x⁴+x³+x+1，试计算(x⁶+x²+x+1)×(x⁴+x+1) mod m(x)，该计算用x乘来表示时，试给出计算过程。

解：上述乘法即求’47’ ×’13’

     ’47’ ×’02’=xtime(47)=’8E’    //×x

     ’47’ ×’04’=xtime(8E)=’07’    //×x²

     ’47’ ×’08’=xtime(07)=’0E’    //×x³

     ’47’ ×’10’=xtime(0E)=’1C’    //×x⁴

     而’13’=’01’+ ’02’+ ’10’

     所以’47’ ×’13’=’47’ ×(’01’+ ’02’+ ’10’)= ’47’+ ’8E’+ ’1C’=’D5’

     即(x⁶+x²+x+1)×(x⁴+x+1) mod m(x)= x⁷+ x⁶+ x⁴+x²+1

5.3 试证明：在Feistel结构密码中解密过程第1轮的输出等于加密过程最后一轮输入左右两半交换值

证明：假设加密过程的最后一轮输入左右两半分别表示为LE₁₅，RE₁₅，输出的左右两半分别表示为LE₁₅，RE₁₅，第16轮子密钥为K₁₆

解密过程取密文作为同一算法的输入，由于加密最后一轮输出后又进行了左右交换，所以解密第1轮输入是RE₁₆‖LE₁₆ 

在加密过程中： 

LE₁₆＝RE₁₅ ；     RE₁₆＝LE₁₅ÅF(RE₁₅, K₁₆)

在解密过程中 

LD₁＝RD₀=LE₁₆＝RE₁₅ 

RD₁＝LD₀ÅF(RD₀, K₁₆)＝RE₁₆ÅF(RE₁₅, K₁₆)

＝[LE₁₅ÅF(RE₁₅, K₁₆)] ÅF(RE₁₅, K₁₆)＝LE₁₅

证毕#