头歌—密码学基础

第1关：哈希函数

题目

任务描述

本关任务：利用哈希算法统计每个字符串出现的个数。

相关知识

为了完成本关任务，你需要掌握：1.密码学哈希函数的概念及特性，2.安全哈希算法。

密码学哈希函数的概念及特性

我们需要理解的第一个密码学的基础知识是密码学哈希函数，哈希函数是一个数学函数，具有以下三个特性： ● 其输入可为任意大小的字符串。 ● 它产生固定大小的输出。为使本章讨论更具体，我们假设输出值大小为256位，但是，我们的讨论适用于任意规模的输出，只要其足够大。 ● 它能进行有效计算，简单来说就是对于特定的输入字符串，在合理时间内，我们可以算出哈希函数的输出。更准确地说，对应n位的字符串，其哈希值计算的复杂度为O（n）。这些特性定义了一般哈希函数，以这个函数为基础，我们可以创建数据结构，例如哈希表。我们将只专注于加密的哈希函数，要使哈希函数达到密码安全，我们要求其具有以下三个附加特性：

碰撞阻力（collision−resistance）
隐秘性（hiding）
谜题友好（puzzle−friendliness）

下面具体阐述这三个特性

特性1：碰撞阻力加密的哈希函数的第一个特性是它要具有碰撞阻力。这里的碰撞指对于两个不同的输入，产生相同的输出。如果对于哈希函数H(⋅)，没有人能够找到碰撞，我们则称该函数具有碰撞阻力。即：如果无法找到两个值，x和y，x\\=y，而H(x)=H(y)，则称哈希函数H具有碰撞阻力
特性2：隐秘性我们希望哈希函数拥有的第二个特性是其隐秘性。隐秘性保证，如果我们仅仅知道哈希函数的输出y=H(x)，我们没有可行的办法算出输入值x。问题是，上述的表示形式不一定是正确的。考虑以下简单的例子：我们做一个抛硬币的实验，如果抛硬币结果为正面，我们会宣布字符串哈希为“正面”；如果结果为反面，我们会宣布字符串哈希为“反面”。然后我们问我们的对手，在他没有见到抛硬币，而只见到哈希函数的输出的前提下说出哈希函数的输入字符串。为了回答问题，对手会简单计算“正面”字符串的哈希值及“反面”字符串的哈希值，然后对手便可以知道他得到的是哪一个。这样，只需要几步，对手就能反解出输入值。对手能够猜出字符串，这是因为x只有两个可能，他可以很轻易地将两个可能对应的哈希值计算出来。为了能够实现隐秘性，我们需要x的取值来自一个非常广泛的集合，也就是说，仅仅通过尝试几个特定的x，就能找到输出值的方式将不会发生了。现在的问题是：在类似抛硬币的“正面”、“反面”实验中，如果我们想要的反解的输入值并非来自分散的集合，我们是否还能得到隐秘性？幸运的是，对于这个问题答案是肯定的！我们甚至能够通过与另一个较为分散的输入进行结合，而将一个并不分散的输入进行隐秘。现在我们可以更精确地表示隐秘的含义了（双竖线‖为连接符号，代表把一系列事件、事情等联系起来）。即：哈希函数H具有隐秘性，如果：当其输入r选自一个高阶最小熵（highmin−entroy）的概率分布，在给定H（r‖x）条件下来确定x是不可行的。
特性3：谜题友好哈希函数需要的第三个安全特性为谜题友好特性。这一特性较为复杂，我们首先解释该特性的技术要求，然后通过举例来阐释该特性的意义。直觉上，谜题友好可以这样解释，如果有一个人想找到y值所对应的输入，假定在输入集合中，有一部分是非常随机的，那么他将非常难以求得y值对应的输入。即：如果对于任意n位输出值y，假定k选自高阶最小熵分布，如果无法找到一个可行的方法，在比2n小很多时间内找到x，保证H(k‖x)=y成立，那么我们称哈希函数H为谜题友好。

安全哈希算法

安全哈希算法（SecureHashAlgorithm256，简称SHA−256）。哈希函数有很多，但SHA−256是一个主要被比特币世界采用，并且效果还很不错的哈希函数。回想一下，我们要求哈希函数可以用于任意长度输入。幸运的是，只要我们能建立一个用于固定长度输入的哈希函数，然后通过一般方法，就可以将接受固定长度的哈希函数转化为可接受任意长度输入的哈希函数，我们称这个转换过程为MD（Merkle−Damgard）变换，SHA−256是采用这种变换方法的常用哈希函数之一。在通用术语中，这种基础型，可用于固定长度，具备碰撞阻力的哈希函数被称为是压缩函数（compressionfunction）。经过验证，如果基本压缩函数具有碰撞阻力的特性，那么经过转换而生成的哈希函数也具有碰撞阻力。 MD变换很简单。比如压缩函数代入长度为m的输入值，并产生长度短一些为n的输出值。哈希函数的输入（可为任意大小）被分为长度为m−n的区块。MD变换运作过程如下：将每个区块与之前区块的输出一起代入压缩函数，注意，输入长度则变为(m−n)+n=m，也刚好就是压缩函数的输入长度。对于第一个区块而言，之前没有的区块，我们需要选取一个初始向量。每次调用哈希函数，这个数字都会被再一次使用，而在实践中，你可以直接在标准文档中找到它。最后一个区块的输出也就是你返回的结果。 SHA−256函数利用了这样的一个压缩函数，这个压缩函数把一个768位的输入压缩成一个256位的输出，每一个区块的大小是512位。

编程要求

根据提示，在右侧编辑器补充代码，输出每个字符串的次数，具体格式看样例，输出按照字符串的字典序从小到大输出。

测试说明

平台会对你编写的代码进行测试：

测试输入：

 5 a ab abc a ab

预期输出：

 a 2 ab 2 abc 1

提示：可以使用map<string,int>

代码

用map统计一下每个字符串出现的次数即可。

#include<bits/stdc++.h>
using namespace std;
//在下面Begin和End之间补全代码
/*********** Begin ***********/
int main()
{int n;cin>>n;string x;map<string, int> mp;for(int i=0; i<n; i++){cin>>x;auto it = mp.find(x);if (it != mp.end()) { // 键存在mp[x] = mp[x] + 1;} else {mp[x] = 1;}}for (auto i : mp) {cout << i.first << " " << i.second << endl;}return 0;
}
/*********** End ***********/

第2关：数字签名

题目

任务描述

本关任务：对给定的身份以及消息进行数字签名。

编程要求

根据提示，在右侧编辑器补充代码，根据公钥即身份，我们可以模拟一次消息签名，假如你的身份是e,有哈希函数H(x)=ax+b,那么我们可以把pk=H(e)作为公钥，sk=H(e)−1modq作为私钥，我们用私钥对消息m进行加密，即en(m)=sk∗m，那么我们解密就可以这样计算de(en(m))=en(m)∗pk。这里q保证是素数。输入

 e a b q m

输出

 pk sk en(m)

输入

 3 4 5 11 6

输出

提示：费马定理求逆元，可以查询一下。

代码

ksm求逆元

b 与 p 互质情况下，若 a/b ≡ a*x (mod p)，则 x 为 b 的乘法逆元

可转化为 b * x ≡ 1 (mod p)

费马定理：若 p 为质数，得：b^p-1 ≡ 1 (mod p)

又有：b * x ≡ 1 (mod p)

得到：b * b^p-2 ≡ 1 (mod p)，所以 x = b^p-2

// 题目规定 p 是质数，我们使用费马定理需要 a p 是互质并且 p 是质数
// 只有 a 是 p 得倍数时，不互质if (a % p == 0) System.out.println("impossible");
else System.out.println(quick_power(a, p - 2, p));// 快速幂
private static long quick_power(long a, long k, long p) {long ans = 1;while (k > 0) {if ((k & 1) == 1) ans = ans * a % p;k >>= 1;a = a * a % p;}return ans;
}

#include<bits/stdc++.h>
using namespace std;
int e,a,b,q,m;// 快速幂求逆元
long ksm(long a, long k, long p) {long ans = 1;while (k > 0) {if ((k & 1) == 1) ans = ans * a % p;k >>= 1;a = a * a % p;}return ans;
}// 哈希函数
int H(int x) {return a * x + b;
}// 公钥
int pk() {return H(e);
}// 私钥
int sk() {return ksm(H(e), q-2, q);
}// 加密
int en() {return sk() * m;
}int main()
{cin>>e>>a>>b>>q>>m;cout << pk() << endl;cout << sk() << endl;cout << en() << endl;return 0;
}