【正文】 ,H,K（每個 5 次）和 S,F,V （各 4 次）。 例 假設 Oscar 從仿射密碼中截獲了如下密文： FMXVEDKAPHFERBNDKRXRSREFMORUDSDKDVSHVUFEDKAPRKDLYEVLRHHRH 首先分析密文各 字母 出現(xiàn)的頻數(shù) ? 可利用統(tǒng)計數(shù)據(jù)來破譯仿射密碼。 對任意的( , )K a b?? K，26,xy ? Z，定義加密變換為： 26m o d)()( baxxe K ?? 相應的解密變換為： 26m o d)()(1byaydK??? 26( , )xy ?。 ? 12 個最常見的三字母組是（出現(xiàn)次數(shù)遞減） ：THE,IN G,AND, HER,ER E,ENT, THA,NT H,WAS, ETH,FO R和 DTH 。 ? 另外，考慮兩字母組或三字母組組成的固定序列也是很有用的。目前已經(jīng)有許多從各種小說、雜志和報紙上統(tǒng)計的26 個英文字母出現(xiàn)的頻率， Beker 和 Piper 曾 給出的 一組 統(tǒng)計數(shù)據(jù) 。 ? 假設明文串是不包括標點符號及空格的普通英文文本。目前已經(jīng)有許多從各種小說、雜志和報紙上統(tǒng)計的26 個英文字母出現(xiàn)的頻率， Beker 和 Piper 曾 給出的 一組 統(tǒng)計數(shù)據(jù) 。 ? 假設明文串是不包括標點符號及空格的普通英文文本。選擇密文攻擊主要與后面幾章將要介紹的公鑰密碼體制相關。 ? 在以上任何一種情況下，敵手的目標都是為了確定正在使用的密鑰。 ? 選擇明文攻擊 ：敵手可獲得對加密機的訪問權限，這樣他能獲得任意的明文串 x 對應的密文串y。即敵手對攻擊目標知道多少？ ? 最常見的攻擊類型有： ? 唯密文攻擊 ：敵手只有密文串y。 ? 首先，我們對不同攻擊類型（模型）進行分類。但設計者不能將密碼體制的安全性建立在敵手 Oscar 不知道具體的密碼體制這樣一種（可能不確定的）假設上。高 飛 密 碼 學 第 3章 古典密碼體制續(xù) ——密碼分析 1. 攻擊模型 ? Kerckhoff 假設：在討論密碼分析技術時，一般都假設敵手 Oscar 知道正在使用的密碼體制。 ? 當然，如果 Oscar 不知道具體的密碼體制，那么完成密碼分析工作將更加困難。 ? 因此，我們的目標是設計在 Kerchhoff 假設下安全的密碼體制。一個攻擊模型就指定了敵手進行攻擊時所擁有的信息。 ? 已知明文攻擊 ：敵手具有明文串 x 和對應的密文串y。 ? 選擇密文攻擊 ：敵手可獲得對解密機的訪問權限，這樣他能獲得任意的密文串y對應的明文串 x 。 ? 顯然，這四種類型的攻擊強度依次增大。 ? 首先考慮最弱類型的攻擊，即唯密文攻擊。 ? 許多密碼分析方法都利用了英文語言的統(tǒng)計特性。 ? 首先考慮最弱類型的攻擊，即唯密文攻擊。 ? 許多密碼分析方法都利用了英文語言的統(tǒng)計特性。 字母 概率 字母 概率 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ? 在 上 表的基礎上， Beke r 和 Pi per 把 26 個英文字母劃分成如下 5 組： 1. E 的概率大約為 ； 2. T 、 A 、 O 、 I 、 N 、 S 、 H 、 R 的概率在 0. 06 至 之間； 3. D 、 L 的概率大約為 ； 4. C 、 U 、 M 、 W 、 F 、 G 、 Y 、 P 、 B 的概率在 至 之間； 5. V 、 K 、 J 、 X 、 Q 、 Z 的概率小于 。 ? 30 個最常見的兩字母組（出現(xiàn)次數(shù)遞減）：TH,HE, IN,ER, AN,RE, DE,ON, ES,ST, EN,AT, TO,NT, HA,ND,O U,EA,N G,AS,O R,TI,I S,ET,I T,AR,T E,SE,H I和 OF 。 2. 仿射密碼的密碼分析 ? 仿射密碼 回顧 密碼體制 2. 3 ： 仿射密碼 令26?? ZPC且 26 26{( , ) : g c d ( , 2 6 ) 1 }a b a? ? ? ?ZZK。 ? 可利用統(tǒng)計數(shù)據(jù)來破譯仿射密碼。 例 假設 Oscar 從仿射密碼中截獲了如下密文： FMXVEDKAPHFERBNDKRXRSREFMORUDSDKDVSHVUFEDKAPRKDLYEVLRHHRH 首先分析密文各 字母 出現(xiàn)的頻數(shù) 字母 頻數(shù) 字母 頻數(shù) A 2 B 1 C 0 D 7 E 5 F 4 G 0 H 5 I 0 J 0 K 5 L 2 M 2 N 1 O 1 P 2 Q 0 R 8 S 3 T 0 U 2 V 4 W 0 X 2 Y 1 Z 0 這里雖然只有 57 個字母，但它足以分析仿射密碼 。 首先，我們可以猜想 R 是 e 的加密而 D 是 t 的加密，因為 e 和 t （分別）是兩個出現(xiàn)頻數(shù)最高的字母。所以此猜想錯誤 。 再試一種可能性： R 是 e 的加密， H 是 t 的加密，則有8a ?，這也是不合法的。如果我們能得到有意義的英文字母串，