(現(xiàn)代密碼學(xué)課件)07數(shù)字簽名

1、第七章 數(shù)字簽字和密碼協(xié)議數(shù)字簽字的基本概念數(shù)字簽字標(biāo)準(zhǔn)其他簽字方案認(rèn)證協(xié)議身份證明技術(shù)其他密碼協(xié)議1第七章 數(shù)字簽字和密碼協(xié)議數(shù)字簽字的基本概念1一、數(shù)字簽字的基本概念2一、數(shù)字簽字的基本概念2數(shù)字簽字應(yīng)具有的性質(zhì)能夠驗(yàn)證簽字產(chǎn)生者的身份，以及產(chǎn)生簽字的日期和時(shí)間能用于證實(shí)被簽消息的內(nèi)容數(shù)字簽字可由第三方驗(yàn)證，從而能夠解決通信雙方的爭(zhēng)議3數(shù)字簽字應(yīng)具有的性質(zhì)能夠驗(yàn)證簽字產(chǎn)生者的身份，以及產(chǎn)生簽字的(現(xiàn)代密碼學(xué)課件)07數(shù)字簽名(現(xiàn)代密碼學(xué)課件)07數(shù)字簽名數(shù)字簽字的產(chǎn)生方式由加密算法產(chǎn)生數(shù)字簽字由簽字算法產(chǎn)生數(shù)字簽字6數(shù)字簽字的產(chǎn)生方式由加密算法產(chǎn)生數(shù)字簽字6由加密算法產(chǎn)生數(shù)字簽字單鑰加密M

2、MEKDK無法實(shí)現(xiàn)數(shù)字簽名 向B保證收到的消息確實(shí)來自A B恢復(fù)M后，可相信B未被竄改，否則B將得到無意義的比特序列7由加密算法產(chǎn)生數(shù)字簽字單鑰加密MMEKDK無法實(shí)現(xiàn) 向B保證由加密算法產(chǎn)生數(shù)字簽字公鑰加密MMESKADPKA只有A才能用SKA加密，可使B相信消息來自A,不提供保密性MMESKADPKAEPKBDSKB提供保密性和認(rèn)證性8由加密算法產(chǎn)生數(shù)字簽字公鑰加密MMESKADPKA只有A才能由加密算法產(chǎn)生數(shù)字簽字RSA簽字體制體制參數(shù)大素?cái)?shù)p,q，n=pq, y(n)=(p-1)(q-1)。選整數(shù)1e y(n),且gcd(e, y(n)=1;計(jì)算d滿足de1 mod y(n). e,n

3、為公開密鑰，d,n為秘密密鑰。簽字過程S=Md mod n驗(yàn)證過程M=Se mod n實(shí)際應(yīng)用中加密是對(duì)H(M)進(jìn)行的。9由加密算法產(chǎn)生數(shù)字簽字RSA簽字體制9由加密算法產(chǎn)生數(shù)字簽字外部保密數(shù)字簽字直接對(duì)需要簽字的消息生成內(nèi)部保密數(shù)字簽字對(duì)已加密的消息產(chǎn)生外部保密有利于爭(zhēng)議的解決。10由加密算法產(chǎn)生數(shù)字簽字外部保密10由簽字算法產(chǎn)生數(shù)字簽字簽字體制=(M, S, K, V) M:明文空間，S:簽字的集合，K:密鑰空間， V:證實(shí)函數(shù)的值域，由真和偽組成。 (1) 簽字算法： 對(duì)每一mM和每一kK，易于計(jì)算對(duì)m的簽字 s=Sigk(m)S 簽字密鑰是秘密的，只有簽字人掌握； (2)驗(yàn)證算法： 1

4、1由簽字算法產(chǎn)生數(shù)字簽字簽字體制=(M, S, K, V)11由簽字算法產(chǎn)生數(shù)字簽字體制的安全性：從M和其簽字S難于推出K或偽造一個(gè)M使M和S可被證實(shí)為真。與消息加密不同點(diǎn)：消息加密和解密可能是一次性的，它要求在解密之前是安全的；而一個(gè)簽字的消息可能作為一個(gè)法律上的文件，如合同等，很可能在對(duì)消息簽署多年之后才驗(yàn)證其簽字，且可能需要多次驗(yàn)證此簽字。12由簽字算法產(chǎn)生數(shù)字簽字體制的安全性：從M和其簽字S難于推出K數(shù)字簽字的執(zhí)行方式直接方式 數(shù)字簽字的執(zhí)行過程只有通信的雙方參與，并假定雙方有共享的秘密密鑰或者接收一方知道發(fā)送方的公開鑰。缺點(diǎn)：方案的有效性取決于發(fā)方密鑰的安全性。發(fā)方可聲稱秘密鑰丟失或

5、被竊13數(shù)字簽字的執(zhí)行方式直接方式13數(shù)字簽字的執(zhí)行方式直接方式 數(shù)字簽字的執(zhí)行過程只有通信的雙方參與，并假定雙方有共享的秘密密鑰或者接收一方知道發(fā)送方的公開鑰。缺點(diǎn)：方案的有效性取決于發(fā)方密鑰的安全性。發(fā)方可聲稱秘密鑰丟失或被竊14數(shù)字簽字的執(zhí)行方式直接方式14數(shù)字簽字的執(zhí)行方式具有仲裁方式的數(shù)字簽字發(fā)方X對(duì)發(fā)往收方Y(jié)的消息簽字將消息和簽字先發(fā)往仲裁者AA對(duì)消息和簽字驗(yàn)證完后，再連同一個(gè)表示已通過驗(yàn)證的指令一起發(fā)給Y.15數(shù)字簽字的執(zhí)行方式具有仲裁方式的數(shù)字簽字15具有仲裁方式的數(shù)字簽字例1：XA: M|AY:E：?jiǎn)舞€加密算法KXA,KAY:A與X和Y的共享密鑰M：消息T：時(shí)戳IDX：X的身

6、份H(M)：M的雜湊值A(chǔ)必須獲得X和Y的高度信任X相信A不會(huì)泄漏KXA，并且不會(huì)X的簽字Y相信A只有對(duì) 中的雜湊值及X簽字驗(yàn)證無誤后才將其發(fā)給YX，Y都相信A可公正的解決爭(zhēng)議16具有仲裁方式的數(shù)字簽字例1：E：?jiǎn)舞€加密算法A必須獲得X和Y具有仲裁方式的數(shù)字簽字例2XA: IDX|AY:X對(duì)M的簽字X和Y的共享密鑰此方案提供了對(duì)M的保密性和前一方案相同，仲裁者可和發(fā)方共謀否認(rèn)發(fā)方曾發(fā)過的消息，也可和收方共謀產(chǎn)生發(fā)方的簽字17具有仲裁方式的數(shù)字簽字例2X對(duì)M的簽字X和Y的共享密鑰此方案具有仲裁方式的數(shù)字簽字例3X的私鑰Y的公鑰18具有仲裁方式的數(shù)字簽字例3X的私鑰Y的公鑰18二、數(shù)字簽名標(biāo)準(zhǔn)Dig

7、ital Signature Standard (DSS)19二、數(shù)字簽名標(biāo)準(zhǔn)Digital Signature Stan概況由NIST1991年公布1993年公布修改版美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB 186簽名長(zhǎng)度320比特只能用于數(shù)字簽字，不能用于加密20概況由NIST1991年公布20DSS的基本方式M|HESKAMHDPKA比較RSA簽字DSS簽字M|HSKAMsHPKG比較VerPKGk隨機(jī)數(shù)rPKASig全局公開鑰21DSS的基本方式M|HESKAMHDPKA比較RSA簽字D數(shù)字簽字算法DSA在Elgamal和Schnorr兩個(gè)方案基礎(chǔ)上設(shè)計(jì)的算法描述:(a) 全局公鑰( p

8、, q, g ) p：是2L-1 p 2L中的大素?cái)?shù)，512 L 1024，L是64的倍數(shù)； q：p-1的素因子，且2159 q 2160，即字長(zhǎng)160比特； g：g= h(p-1)/q mod p，且1 h 1。(b) 用戶秘密鑰 x：x為在0 xq內(nèi)的隨機(jī)數(shù)。(c) 用戶公鑰 y：y=gx mod p。(d) 用戶每個(gè)消息用的秘密隨機(jī)數(shù)k：在0kq內(nèi)的隨機(jī)數(shù)22數(shù)字簽字算法DSA在Elgamal和Schnorr兩個(gè)方案基數(shù)字簽字算法DSA(e) 簽字過程：對(duì)消息M，其簽字為S=Sigk(M, k)=(r, s)， r (gk mod p) mod q s k-1 (H(M)xr) mod

9、q (f) 驗(yàn)證過程：計(jì)算 w = s-1 mod q ; u1 =H(M)w mod q ; u2 = rw mod q ; v = (gu1yu2) mod p mod q。Ver(M, r, s)=真 v = r23數(shù)字簽字算法DSA(e) 簽字過程：對(duì)消息M，其簽字為S=S三、其他簽字方案24三、其他簽字方案24離散對(duì)數(shù)簽字體制體制參數(shù) p：大素?cái)?shù) q：(p1)或p-1的大素因子 g：gRZp*,gq=1 mod p。 x：用戶秘密鑰, x為在1xq內(nèi)的隨機(jī)數(shù)。y：用戶公鑰 gx= mod p。25離散對(duì)數(shù)簽字體制體制參數(shù)25離散對(duì)數(shù)簽字體制簽字產(chǎn)生過程計(jì)算m的雜湊值選擇隨機(jī)數(shù)k:1k

10、q，計(jì)算rgk mod p從簽字方程ak=b+cx mod q中解出s.（r,s)為數(shù)字簽字。abcrrH(m)rH(m)H(m)rH(m)ss s H(m)srsrsH(m)111126離散對(duì)數(shù)簽字體制簽字產(chǎn)生過程abcrs H(m)26離散對(duì)數(shù)簽字體制簽字驗(yàn)證過程27離散對(duì)數(shù)簽字體制簽字驗(yàn)證過程27Elgamal簽字體制離散對(duì)數(shù)簽字體制的特例體制參數(shù) p：一個(gè)大素?cái)?shù)； g：是Zp中乘群Zp*的一個(gè)生成元或本原元素； M：消息空間，為Zp*； S：簽字空間，為Zp*Zp1； x：用戶秘密鑰xZp*； y：用戶公鑰，ygx mod p p，g，y為公鑰，x為秘密鑰。28Elgamal簽字體制離

11、散對(duì)數(shù)簽字體制的特例28Elgamal簽字體制簽字過程：給定消息M，進(jìn)行下述工作。 (a) 選擇秘密隨機(jī)數(shù)kZp*； (b) 計(jì)算 H(M)； (c) 計(jì)算 r=gk mod ps=(H(M)xr)k-1 mod (p1) (r,s)作為簽字.29Elgamal簽字體制簽字過程：給定消息M，進(jìn)行下述工作。2Elgamal簽字體制驗(yàn)證過程： 收信人收到M，(r,s)，先計(jì)算H(M)，并按下式驗(yàn)證 Verk(H(M), r, s)=真 yrrsgH(M) mod p 因?yàn)閥rrsgrxgskg(rx+sk) mod p， (rx+sk) H(M) mod(p1) 故有yrrsgH(M) mod p

12、30Elgamal簽字體制驗(yàn)證過程：30Schnorr簽字體制 體制參數(shù) p, q：大素?cái)?shù)，q|p-1。q是大于等于160 bits的整數(shù)，p是大于等于512 bits的整數(shù)，保證Zp中求解離散對(duì)數(shù)困難； g：Zp*中元素，且gq1 mod p； x：用戶密鑰1xq； y：用戶公鑰ygx mod p。 消息空間M=Zp*，簽字空間S=Zp*Zq；密鑰空間K=(p,q,g,x,y): ygx mod p31Schnorr簽字體制 體制參數(shù)31Schnorr簽字體制簽字過程：令待簽消息為M，對(duì)給定的M做下述運(yùn)算：(a) 發(fā)用戶任選一秘密隨機(jī)數(shù)kZq (b) 計(jì)算 rgk mod p skxe mo

13、d p 式中 e=H(r|M) (c) 簽字S=Sigk(M)=(e,s)32Schnorr簽字體制簽字過程：令待簽消息為M，對(duì)給定的M做Schnorr簽字體制驗(yàn)證過程：收信人收到消息M及簽字S=(e,s)后(a) 計(jì)算rgsye mod p 而后計(jì)算H(r |M)。 (b) 驗(yàn)證 Ver(M, r, s) H(r|M)=e 因?yàn)椋?e|s)是M的合法簽字，則有g(shù) sy -egk-xegxegkr mod p。33Schnorr簽字體制驗(yàn)證過程：收信人收到消息M及簽字S=(Schnorr簽字體制Schnorr簽字與ElGamal簽字的不同點(diǎn)： 在ElGamal體制中，g為Z*p的本原元素；而

14、在Schnorr體制中，g為Zp*中子集Zq*的本原元素，它不是Zp*的本原元素。顯然ElGamal的安全性要高于Schnorr。 Schnorr的簽字較短，由|q|及|H(M)|決定。 在Schnorr簽字中，r=gk mod p可以預(yù)先計(jì)算，k與M無關(guān)，因而簽字只需一次mod q乘法及減法。所需計(jì)算量少，速度快。34Schnorr簽字體制Schnorr簽字與ElGamal簽字四、認(rèn)證協(xié)議Authentication Protocols35四、認(rèn)證協(xié)議Authentication Protocols相互認(rèn)證A，B雙方在建立共享密鑰時(shí)需要考慮保密性和實(shí)時(shí)性。保密性：會(huì)話密鑰應(yīng)以密文傳送，因此雙

15、方應(yīng)事先共享密鑰或者使用公鑰實(shí)時(shí)性:防止重放序列號(hào)方法時(shí)戳詢問應(yīng)答36相互認(rèn)證A，B雙方在建立共享密鑰時(shí)需要考慮保密性和實(shí)時(shí)性。3序列號(hào)方法對(duì)交換的每一條消息加上序列號(hào)，序列號(hào)正確才被接收要求每個(gè)用戶分別記錄與其他每一用戶交互的序列號(hào)，增加用戶負(fù)擔(dān)，因而很少使用37序列號(hào)方法對(duì)交換的每一條消息加上序列號(hào)，序列號(hào)正確才被接收3時(shí)戳法A收到消息中包含時(shí)戳，且A看來這一時(shí)戳充分接近自己的當(dāng)前時(shí)刻，A才認(rèn)為收到的消息是新的并接收要求各方時(shí)間同步38時(shí)戳法A收到消息中包含時(shí)戳，且A看來這一時(shí)戳充分接近自己的當(dāng)詢問應(yīng)答用戶A向B發(fā)出一個(gè)一次性隨機(jī)數(shù)作為詢問，如果收到B發(fā)來的應(yīng)答消息也包含一正確的一次性隨機(jī)

16、數(shù)，A就認(rèn)為消息是新的并接受之。39詢問應(yīng)答用戶A向B發(fā)出一個(gè)一次性隨機(jī)數(shù)作為詢問，如果收到B各種方法的比較時(shí)戳法不適用于面向連接的應(yīng)用過程要求不同的處理器之間時(shí)間同步，所用的協(xié)議必須是容錯(cuò)的以處理網(wǎng)絡(luò)錯(cuò)誤協(xié)議中任何一方時(shí)鐘出現(xiàn)錯(cuò)誤失去同步，則敵手攻擊的可能性增加網(wǎng)絡(luò)中存在延遲，不能期待保持精確同步，必須允許誤差范圍40各種方法的比較時(shí)戳法不適用于面向連接的應(yīng)用過程40各種方法的比較詢問應(yīng)答不適合于無連接的應(yīng)用過程在傳輸前需要經(jīng)過詢問應(yīng)答這一額外的握手過程，與無連接應(yīng)用過程的本質(zhì)特性不符。無連接應(yīng)用最好使用安全時(shí)間服務(wù)器提供同步41各種方法的比較詢問應(yīng)答不適合于無連接的應(yīng)用過程41Needha

17、m-Schroeder協(xié)議2. 4. KDCAB1. IDA| IDB |N13. 5. 如果敵手獲得了舊會(huì)話密鑰，則可以冒充A重放3，并且可回答5，成功的欺騙B42Needham-Schroeder協(xié)議2. 4. KDCABNeedham-Schroeder改進(jìn)協(xié)議12. 4. KDCAB1. IDA| IDB3. 5. 以時(shí)戳替代隨機(jī)數(shù)，用以向A，B保證Ks的新鮮性|ClockT|t1+t2 Clock:本地時(shí)鐘t1：本地時(shí)鐘與KDC時(shí)鐘誤差估計(jì)值t2 ：網(wǎng)絡(luò)延遲時(shí)間要求各方時(shí)鐘同步如果發(fā)方時(shí)鐘超前B方時(shí)鐘，可能導(dǎo)致等待重放攻擊43Needham-Schroeder改進(jìn)協(xié)議12. 4. K

18、DNeedham-Schroeder改進(jìn)協(xié)議2KDCAB3. 1. 4. 2. 會(huì)話密鑰的截止時(shí)間44Needham-Schroeder改進(jìn)協(xié)議2KDCAB3. Needham-Schroeder改進(jìn)協(xié)議2AB1.2.3.有效期內(nèi)可不通過KDC直接認(rèn)證45Needham-Schroeder改進(jìn)協(xié)議2AB1.2.3.公鑰加密體制ASAB1. IDA| IDB2. 3. 時(shí)戳防止重放，要求時(shí)鐘同步46公鑰加密體制ASAB1. IDA| IDB2. 3. 時(shí)戳公鑰加密體制ASAB2. 1. IDA| IDB3. 4. 6747公鑰加密體制ASAB2. 1. IDA| IDB3. 4.單向認(rèn)證不需要雙

19、方同時(shí)在線（電子郵件）郵件接收者希望認(rèn)證郵件的來源以防假冒分為單鑰加密方法和公鑰加密方法48單向認(rèn)證不需要雙方同時(shí)在線（電子郵件）48單鑰加密2. KDCAB1. IDA| IDB |N13. 不要求B同時(shí)在線，保證只有B能解讀消息，提供對(duì)A的認(rèn)證。不能防止重放攻擊。49單鑰加密2. KDCAB1. IDA| IDB |N13公鑰加密AB對(duì)發(fā)送消息提供保密性對(duì)發(fā)送消息提供認(rèn)證性AB對(duì)發(fā)送消息提供保密和認(rèn)證性ABA的證書50公鑰加密AB對(duì)發(fā)送消息提供保密性對(duì)發(fā)送消息提供認(rèn)證性AB對(duì)發(fā)五、身份證明技術(shù)51五、身份證明技術(shù)51身份證明技術(shù) 傳統(tǒng)的身份證明： 一般是通過檢驗(yàn)“物”的有效性來確認(rèn)持該物的

20、的身份。徽章、工作證、信用卡、駕駛執(zhí)照、身份證、護(hù)照等，卡上含有個(gè)人照片(易于換成指紋、視網(wǎng)膜圖樣、牙齒的X適用的射像等)。 信息系統(tǒng)常用方式： 用戶名和口令52身份證明技術(shù) 傳統(tǒng)的身份證明：52交互式證明兩方參與 示證者P(Prover)，知道某一秘密，使V相信自己掌握這一秘密； 驗(yàn)證者V(Verifier)，驗(yàn)證P掌握秘密；每輪V向P發(fā)出一詢問，P向V做應(yīng)答。V檢查P是否每一輪都能正確應(yīng)答。53交互式證明兩方參與53交互證明與數(shù)學(xué)證明的區(qū)別數(shù)學(xué)證明的證明者可自己獨(dú)立的完成證明交互證明由P產(chǎn)生證明，V驗(yàn)證證明的有效性來實(shí)現(xiàn)，雙方之間要有通信交互系統(tǒng)應(yīng)滿足完備性：如果P知道某一秘密，V將接收P

21、的證明正確性：如果P能以一定的概率使V相信P的證明，則P知道相應(yīng)的秘密54交互證明與數(shù)學(xué)證明的區(qū)別數(shù)學(xué)證明的證明者可自己獨(dú)立的完成證明Fiat-Shamir身份識(shí)別方案參數(shù)：選定一個(gè)隨機(jī)模m=pq。產(chǎn)生隨機(jī)數(shù)v，且使s2=v，即v為模m的平方剩余。 m和v是公開的，s作為P的秘密55Fiat-Shamir身份識(shí)別方案參數(shù)：55Fiat-Shamir身份識(shí)別方案(1) P取隨機(jī)數(shù)r(m)，計(jì)算x= r 2 mod m，送給V；(2) V將一隨機(jī)bit b送給P；(3) 若b=0，則P將r送給V；若b=1，則P將y=rs送給V；(4) 若b=0，則V證實(shí)x=r 2 mod m，從而證明P知道，若b

22、=1，則B證實(shí) xv=y2 mod m，從而證明A知道。 這是一次證明，A和B可將此協(xié)議重復(fù)t次，直到B相信A知道s為止。56Fiat-Shamir身份識(shí)別方案(1) P取隨機(jī)數(shù)r(mFiat-Shamir身份識(shí)別方案完備性如果P和V遵守協(xié)議，且P知道s，則應(yīng)答rs是應(yīng)是模m下xv的平方根，V接收P的證明，所以協(xié)議是完備的。正確性P不知道s，他也可取r，送x=r2 mod m給V，V送b給P。P可將r送出，當(dāng)b=0時(shí)則V可通過檢驗(yàn)而受騙，當(dāng)b=1時(shí)，則V可發(fā)現(xiàn)P不知s，B受騙概率為1/2，但連續(xù)t次受騙的概率將僅為2-tV無法知道P的秘密，因?yàn)閂沒有機(jī)會(huì)產(chǎn)生(0,1）以外的信息，P送給V的消息

23、中僅為P知道v的平方根這一事實(shí)。57Fiat-Shamir身份識(shí)別方案完備性57零知識(shí)證明最小泄露證明和零知識(shí)證明： 以一種有效的數(shù)學(xué)方法，使V可以檢驗(yàn)每一步成立，最終確信P知道其秘密，而又能保證不泄露P所知道的信息。58零知識(shí)證明最小泄露證明和零知識(shí)證明：58零知識(shí)證明的基本協(xié)議例Quisquater等1989 。 設(shè)P知道咒語， 可打開C和D之間的秘密門，不知道者都將走向死胡同中。ABCD59零知識(shí)證明的基本協(xié)議例Quisquater等1989 。零知識(shí)證明的基本協(xié)議 (1) V站在A點(diǎn)； (2) P進(jìn)入洞中任一點(diǎn)C或D； (3) 當(dāng)P進(jìn)洞之后，V走到B點(diǎn)； (4) V叫P：(a)從左邊出

24、來，或(b)從右邊出來； (5) P按要求實(shí)現(xiàn)(以咒語，即解數(shù)學(xué)難題幫助)； (6) P和V重復(fù)執(zhí)行 (1)(5)共n次。 若A不知咒語，則在B點(diǎn)，只有50 %的機(jī)會(huì)猜中B的要求，協(xié)議執(zhí)行n次，則只有2-n的機(jī)會(huì)完全猜中，若n=16，則若每次均通過B的檢驗(yàn)，B受騙機(jī)會(huì)僅為1/65 53660零知識(shí)證明的基本協(xié)議 (1) V站在A點(diǎn)；60零知識(shí)證明的基本協(xié)議哈米爾頓回路 圖論中有一個(gè)著名問題，對(duì)有n個(gè)頂點(diǎn)的全連通圖G，若有一條通路可通過且僅通過各頂點(diǎn)一次，則稱其為哈米爾頓回路。Blum1986 最早將其用于零知識(shí)證明。當(dāng)n大時(shí)，要想找到一條Hamilton回路，用計(jì)算機(jī)做也要好多年，它是一種單向

25、函數(shù)問題。若A知道一條回路，如何使B相信他知道，且不告訴他具體回路？ 61零知識(shí)證明的基本協(xié)議哈米爾頓回路61零知識(shí)證明的基本協(xié)議A將G進(jìn)行隨機(jī)置換，對(duì)其頂點(diǎn)進(jìn)行移動(dòng)，并改變其標(biāo)號(hào)得到一個(gè)新的有限圖H。因 ，故G上的Hamilton回路與H上的Hamilton回路一一對(duì)應(yīng)。已知G上的Hamilton回路易于找出H上的相應(yīng)回路；A將H的復(fù)本給B；B向A提出下述問題之一：(a) 出示證明G和H同構(gòu)，(b) 出示H上的Hamilton回路；A執(zhí)行下述任務(wù)之一：(a) 證明G和H同構(gòu)，但不出示H上的Hamilton回路，(b) 出示H上的Hamilton回路但不證明G和H同構(gòu)；A和B重復(fù)執(zhí)行 (1)(4)共n次。62零知識(shí)證明的基本協(xié)議A將G進(jìn)行隨機(jī)置換，對(duì)其頂點(diǎn)進(jìn)行移動(dòng)，并六、其他密碼協(xié)議63六、其他密碼協(xié)議63智力撲克A和B通過網(wǎng)絡(luò)進(jìn)行智力撲克比賽，不用第三方做裁判，發(fā)牌者由任一方擔(dān)任，要求發(fā)牌過程滿足任一副牌是等可能的發(fā)給A，B的牌沒有重復(fù)每人知道自己手中的牌，不知道別人的牌比賽結(jié)束后，每一方都能發(fā)現(xiàn)對(duì)方的欺騙行為為滿足要求，A,B方需要加密一些信息，比賽結(jié)束前，這些機(jī)密算法都是保密的。64智力撲克A和B通過網(wǎng)絡(luò)進(jìn)行智力撲克比賽，不用第三方做裁判，發(fā)智力撲克A和B的加密解密算法記為EA，EB，D