---

---

---

---

1. 對于RSA，給定大整數(shù)n分解的一對素因子p和q，p或q是否素數(shù)決定不了安全性，但決定算法的正確性，也就是說p或q不能為合數(shù)，而安全性取決于n的位數(shù)及p、q的距離，n越大則難于素因子分解（因為素數(shù)測試是一個P問題，而因子分解是一個NP問題，其耗時是關于n的指數(shù)），|p - q|要大是為抵抗一種特殊因子分解攻擊，論證如下：由(p+q)²/4 - n = (p+q)²/4 - pq = (p-q)²/4，若|p - q|小，則(p-q)²/4也小，因此(p+q)²/4稍大于n，(p+q)/2稍大于n^1/2即根號n?？傻胣的如下分解法：a) 先順序檢查大于n^1/2的每一整數(shù)x，直至找到一個x使得x² - n是某一整數(shù)y的平方；b) 再由x² - n = y² 得 n = (x+y)(x-y)。另外，p - 1和q - 1都應有大素因子（所有因子皆是大素數(shù)），以抵抗可能的重復加密攻擊（重復加密較少步后可恢復出明文）

2. 對于DH密鑰交換，通常選擇階為素數(shù)的有限循環(huán)(子)群，這時素數(shù)決定了安全性。因素數(shù)不能再因子分解，故避免了針對階為合數(shù)的質(zhì)因子分解且利用中國剩余定理求離散對數(shù)的(已知最好)攻擊。具體講就是為了防index-calculus方法求解離散對數(shù)，底層循環(huán)群G的素數(shù)模p要足夠大，長度1024位可實現(xiàn)80位安全等級，長度3072位可實現(xiàn)128位安全等級；另為了防Pohlig-Hellman攻擊，G的階p-1必須不能因式分解為全部都是小整數(shù)的素數(shù)因子，且為了p-1的每個因子構(gòu)成的子群防baby-step giant-step或Pollards's rho攻擊，要求對80位安全等級而言，p-1的最小素因子必須至少為160位，而對128位安全等級，其至少為256位

3. 對于Hash函數(shù)，安全性要求有三點：第一是單向性，由于壓縮函數(shù)理論上存在碰撞，因此單向性是指計算不可行，為什么要單向性？因為若不單向，則可從結(jié)果比如簽名逆出原文消息；第二是抗弱沖突性即第1類生日攻擊，計算不可行；第三是抗強沖突性即第2類生日攻擊，計算不可行。這三點要求，取決于壓縮函數(shù)是否能抗差分、線性等密碼分析

4. 周知Shamir門限方案基于多項式的拉格朗日插值公式，普遍的設計采用GF(q)域上的多項式，秘密s為f(0)，q是一個大于n的大素數(shù)（n是s被分成的部分數(shù)）。正常來講，參與者個數(shù)必須至少是設計時的k，才能恢復出正確的s。如果個數(shù)少于k比如k-1，則只能猜測s0=f(0)以構(gòu)建第k個方程，那么恢復得到的多項式g(x)等同設計時的多項式f(x)的概率是1/q。因為g(x)的項系數(shù)可以看作關于s0的同余式即h(s0)=(a+b*s0)mod q的形式，因q為素數(shù)，故依模剩余系遍歷定理，當s0取GF(q)一值時，則h(s0)唯一對應另一值。所以h(s0)等于f(0)的概率為1/q。由此可見，當q取80位以上，敵手攻擊概率不大于1/2⁸⁰，這已經(jīng)很低了。這種門限方案如同RSA加密，再次佐證了素數(shù)越大安全性越高

5. PGP是密碼學經(jīng)典應用，體現(xiàn)在首先支持保密與認證業(yè)務的正交，即獨立或組合，且組合時按認證、壓縮、加密的順序，這個順序是經(jīng)考究有優(yōu)勢的；其次會話密鑰是一次性的，由安全偽隨機數(shù)生成器生成，且按公鑰加密；最后使用自研的密鑰環(huán)與信任網(wǎng)解決公鑰管理問題。理論本質(zhì)上，PGP提供的是一種保密認證業(yè)務的通用框架，因為具體的對稱加密算法、隨機數(shù)生成、公鑰算法，都可依需要靈活選配擴展。PGP有兩個問題跟組合與概率相關，一個是算密鑰環(huán)N個公鑰中，密鑰ID(64位)至少有兩個重復的概率？設所求概率為p，先算任意兩個不重復的概率q，令m=2⁶⁴，則q=m!/((m-N)!*m^N)，則p=1-q，不難看出，N越小則q越大則p越小，因?qū)嶋H應用N<<m，故p非常小可忽略，即PGP取公鑰中最低64有效位作密鑰ID，是可行的。另一個是簽名摘要暴露了前16位明文，對哈希函數(shù)安全的影響有多大？這問題意思應該是敵手拿到消息后但沒發(fā)送方的私鑰作簽名，只能窮舉變換原消息并求哈希值，使之與消息摘要剩余位組相等。這本質(zhì)是求兩類生日攻擊碰撞概率大于0.5時所需的輸入量。在僅認證模式中，抗弱碰撞計算量降低為原來的1/2¹⁶，抗強碰撞計算量至少降低為原來的1/2⁸。另外，考慮到這16位明文可能的特殊性，有沒更快的代數(shù)攻擊，需進一步研究