2025年應(yīng)用密碼學(xué)期末考試試卷及答案一、單項選擇題（每題2分，共20分）1.以下關(guān)于對稱加密算法的描述中，錯誤的是（）A.AES-256的密鑰長度為256位B.3DES通過三次DES加密提高安全性，但效率較低C.ChaCha20屬于流密碼，適用于硬件資源受限的場景D.SM4算法是我國自主設(shè)計的非對稱加密算法2.后量子密碼算法CRYPTO768的安全性基于（）A.大整數(shù)分解問題B.橢圓曲線離散對數(shù)問題C.格基問題（Lattice-based）D.離散對數(shù)問題3.數(shù)字簽名中，若使用RSA算法提供簽名，實際操作是（）A.用私鑰加密消息哈希值B.用公鑰加密消息哈希值C.用私鑰加密原始消息D.用公鑰加密原始消息4.以下哈希函數(shù)中，不屬于SHA-3系列的是（）A.SHA3-256B.SHAKE128C.BLAKE3D.Keccak-5125.TLS1.3握手過程中，客戶端與服務(wù)器協(xié)商的密鑰材料不包括（）A.預(yù)主密鑰（Pre-MasterSecret）B.早期密鑰（EarlySecret）C.握手密鑰（HandshakeSecret）D.應(yīng)用數(shù)據(jù)密鑰（ApplicationSecret）6.側(cè)信道攻擊的核心是利用密碼設(shè)備的（）泄露的信息進行破解A.算法邏輯漏洞B.物理特征（如功耗、電磁輻射）C.密鑰存儲位置D.協(xié)議設(shè)計缺陷7.橢圓曲線密碼（ECC）中，若橢圓曲線參數(shù)為y2=x3+ax+bmodp，其階n表示（）A.曲線的定義域大小B.曲線上點的個數(shù)C.基域的特征D.提供元的階8.關(guān)于密鑰管理的描述，正確的是（）A.密鑰生命周期中，存儲階段只需防止非授權(quán)讀取B.密鑰分發(fā)時，使用公鑰加密對稱密鑰是常用方法C.量子密鑰分發(fā)（QKD）可以完全替代傳統(tǒng)密鑰交換協(xié)議D.密鑰更新周期越長，系統(tǒng)安全性越高9.以下屬于確定性加密（DeterministicEncryption）的是（）A.AES-CTR（計數(shù)器模式）B.AES-ECB（電子密碼本模式）C.AES-CBC（密碼分組鏈接模式）D.AES-GCM（認證加密模式）10.國密算法SM2主要用于（）A.對稱加密B.哈希運算C.數(shù)字簽名與密鑰交換D.消息認證碼二、填空題（每空1分，共15分）1.AES算法的分組長度為______位，支持的密鑰長度為128、192、256位。2.RSA算法的安全性基于______問題的困難性。3.數(shù)字簽名的三個核心特性是______、______和不可否認性。4.SHA-3算法的內(nèi)部狀態(tài)寬度為______位，其核心置換函數(shù)稱為______。5.密鑰派生函數(shù)（KDF）的典型應(yīng)用場景包括______和______（任舉兩例）。6.橢圓曲線ECC中，點加運算滿足______律和______律。7.側(cè)信道攻擊的常見類型包括______、______和電磁輻射分析（任舉兩例）。8.TLS1.3中，客戶端與服務(wù)器通過______算法協(xié)商會話密鑰，實現(xiàn)前向保密（FS）。9.后量子密碼算法中，基于編碼的典型代表是______，基于多變量的典型代表是______。三、簡答題（每題6分，共30分）1.比較對稱加密與非對稱加密的優(yōu)缺點，并說明二者在實際通信中的典型組合應(yīng)用。2.簡述數(shù)字簽名的完整流程（以RSA為例），并解釋為何需要對消息先哈希再簽名。3.分析量子計算對傳統(tǒng)公鑰密碼的威脅，說明后量子密碼的設(shè)計目標及主要候選算法類別。4.解釋認證加密（AEAD）的核心功能，列舉兩種常見的AEAD算法并說明其適用場景。5.說明密鑰生命周期管理的主要階段，并闡述密鑰存儲時的安全要求（至少三點）。四、計算題（共25分）1.（8分）已知RSA系統(tǒng)中，p=11，q=17，e=7。（1）計算n和φ(n)；（2）求私鑰d（需寫出計算過程）；（3）若明文m=5，計算密文c=E(m)；（4）驗證解密過程D(c)=m是否成立。2.（9分）使用AES-128的S盒（部分S盒值：0x00→0x63，0x01→0x7c，0x02→0x77，0x03→0x7b）對輸入字節(jié)0x02進行變換：（1）說明S盒變換的兩個步驟；（2）計算0x02對應(yīng)的S盒輸出值；（3）若該字節(jié)屬于AES輪變換中的SubBytes步驟，說明其在AES整體結(jié)構(gòu)中的位置及作用。3.（8分）ElGamal簽名方案中，設(shè)素數(shù)p=23，提供元g=5，私鑰x=3，公鑰y=g^xmodp=5^3mod23=125mod23=10。消息哈希值h(m)=7，選擇隨機數(shù)k=4（k與p-1互質(zhì)）。（1）計算簽名參數(shù)r=g^kmodp；（2）計算簽名參數(shù)s=k^-1(h(m)-x·r)mod(p-1)；（3）驗證簽名(r,s)是否滿足y^r·r^s≡g^h(m)modp。五、綜合題（共10分）設(shè)計一個基于國密算法的安全通信方案，要求支持身份認證、機密性和完整性保護。需說明：（1）使用的國密算法組合（如SM2、SM4、SM3等）；（2）通信雙方（Alice和Bob）的交互流程；（3）各階段的具體操作（如密鑰協(xié)商、加密、簽名、哈希等）；（4）方案需抵御的典型攻擊（如重放攻擊、中間人攻擊）。答案一、單項選擇題1.D2.C3.A4.C5.A6.B7.B8.B9.B10.C二、填空題1.1282.大整數(shù)分解3.真實性、完整性4.1600、Keccak-f5.密鑰協(xié)商后派生會話密鑰、密碼存儲時提供鹽值6.交換、結(jié)合7.功耗分析、時序分析8.ECDHE（橢圓曲線Diffie-Hellman臨時模式）9.McEliece、Rainbow三、簡答題1.對稱加密優(yōu)點：速度快、適合大數(shù)據(jù)加密；缺點：密鑰分發(fā)困難、無法實現(xiàn)數(shù)字簽名。非對稱加密優(yōu)點：密鑰分發(fā)安全、支持簽名；缺點：計算復(fù)雜度高、適合小數(shù)據(jù)加密。典型組合：用非對稱加密（如RSA）交換對稱密鑰（如AES），兼顧效率與安全。2.流程：①發(fā)送方計算消息哈希h(m)；②用私鑰d對h(m)加密得到簽名s=h(m)^dmodn；③接收方用公鑰e解密s得到h’(m)=s^emodn；④接收方計算消息哈希h(m)并與h’(m)比對。先哈希原因：減少簽名數(shù)據(jù)量（消息可能很大），且哈希函數(shù)的抗碰撞性保證簽名的唯一性。3.量子計算威脅：Shor算法可破解RSA（大整數(shù)分解）和ECC（橢圓曲線離散對數(shù)）；Grover算法加速對稱密碼的暴力破解。后量子密碼設(shè)計目標：抵御量子計算機攻擊，同時保持經(jīng)典安全性。候選類別：格基密碼、編碼密碼、多變量密碼、哈希密碼等。4.認證加密功能：同時提供機密性（加密）和完整性（認證）。常見算法：AES-GCM（高效，適用于網(wǎng)絡(luò)通信）、ChaCha20-Poly1305（無硬件加速時的移動端場景）。5.生命周期階段：提供、分發(fā)、存儲、使用、更新、撤銷、銷毀。存儲要求：密鑰以密文形式存儲（用主密鑰加密）；限制訪問權(quán)限（最小特權(quán)原則）；定期審計存儲介質(zhì)的物理安全（防竊聽、防篡改）。四、計算題1.（1）n=p×q=11×17=187；φ(n)=(p-1)(q-1)=10×16=160。（2）d是e的模φ(n)逆元，即7d≡1mod160。用擴展歐幾里得算法：160=22×7+6；7=1×6+1；6=6×1+0?；卮?=7-1×6=7-1×(160-22×7)=23×7-1×160，故d=23（mod160）。（3）c=m^emodn=5^7mod187。5^2=25，5^4=625mod187=625-3×187=625-561=64；5^6=5^4×5^2=64×25=1600mod187=1600-8×187=1600-1496=104；5^7=5^6×5=104×5=520mod187=520-2×187=520-374=146。（4）D(c)=c^dmodn=146^23mod187。因146≡-41mod187，146^23≡(-41)^23mod187。由歐拉定理，a^φ(n)≡1modn，故(-41)^160≡1mod187。23=160×0+23，直接計算：41^2=1681mod187=1681-8×187=1681-1496=185≡-2mod187；41^4=(-2)^2=4mod187；41^8=4^2=16mod187；41^16=16^2=256mod187=69；41^23=41^16×41^4×41^2×41^1=69×4×(-2)×41=69×(-328)mod187。-328mod187=-328+2×187=46，故69×46=3174mod187：187×17=3179，3174=3179-5，故3174≡-5mod187。因此(-41)^23≡-(-5)=5mod187，即D(c)=5=m，驗證成立。2.（1）S盒變換步驟：①將輸入字節(jié)視為GF(2^8)中的非零元素，求其乘法逆元（0x00映射到自身）；②對逆元進行仿射變換（線性變換加常數(shù)）。（2）輸入0x02，查表得輸出0x77。（3）SubBytes是AES輪變換的第一步（除最后一輪外），作用是提供非線性混淆，破壞明文與密文的線性關(guān)系，增強抗差分/線性攻擊能力。3.（1）r=g^kmodp=5^4mod23=625mod23=625-27×23=625-621=4。（2）k=4，p-1=22，k的逆元k^-1mod22：4×6=24≡2mod22；4×17=68≡68-3×22=68-66=2mod22？錯誤，正確計算：4x≡1mod22。因gcd(4,22)=2≠1，題目中k需與p-1互質(zhì)，此處k=4與22的最大公約數(shù)為2，不符合條件。假設(shè)題目修正k=5（與22互質(zhì)），則k^-1=9（5×9=45≡1mod22）。原題可能存在筆誤，按k=5計算：s=9×(7-3×4)mod22=9×(7-12)=9×(-5)=-45≡-45+3×22=21mod22。（3）驗證：y^r·r^s=10^4×4^21mod23。10^4=10000mod23：10^2=100≡8，10^4=8^2=64≡64-2×23=18；4^2=16，4^4=16^2=256≡256-11×23=256-253=3，4^8=3^2=9，4^16=9^2=81≡81-3×23=81-69=12；4^21=4^16×4^4×4^1=12×3×4=144≡144-6×23=144-138=6。故y^r·r^s=18×6=108≡108-4×23=108-92=16。g^h(m)=5^7mod23：5^2=25≡2，5^4=4，5^6=4×2=8，5^7=8×5=40≡40-2×23=40-46=-6≡17mod23。16≠17，說明簽名不成立（因k選擇錯誤）。五、綜合題（1）算法組合：SM2（非對稱，用于簽名與密鑰交換）、SM4（對稱，用于數(shù)據(jù)加密）、SM3（哈希，用于消息摘要與完整性驗證）。（2）交互流程：①身份認證階段；②密鑰協(xié)商階段；③數(shù)據(jù)傳輸階段；④會話結(jié)束階段。（3）具體操作：-認證階段：Alice提供隨機數(shù)a，計算臨時公鑰PA=a×G（G為SM2基元），用私鑰dA對（Bob身份、時間戳、PA）簽名得到σA；Bob同理提供PB=b×G，用私鑰dB對（Alice身份、時間戳、PB）簽名得到σB。雙方驗證對方簽名（用對方公鑰解密σ，比對哈希值），確認身份真實性并防止重放（時間戳需在有效期內(nèi)）。-密鑰協(xié)商階段：Alice計算共享密鑰KA=dB×PA（或通過SM2密鑰交換協(xié)議派生），Bob計算KB=a×PB，因a×PB=a×(b×G)=b×(a×G)=b×PA=KB，雙方得到相同共享密鑰。用SM3對共享密鑰、雙方身份、臨時公鑰等進行哈希，派生SM4會