单选题 The following scenario will be used for questions 28 and 29.Jack has been told that successful attacks have been taking place and data that have been encrypted by his company's software systems have leaked to the company's competitors. Through Jack's investigation he has discovered that the lack of randomness in the seeding values used by the encryption algorithms in the company's software uncovered patterns and allowed for successful reverse engineering.

单选题 Which of the following is most likely the item that is the root of the problem when it comes to the necessary randomness explained in the scenario?

A、 Asymmetric algorithm
B、 Out-of-band communication compromise
C、 Number generator
D、 Symmetric algorithm

【正确答案】 C

【答案解析】解析：C正确。数字生成器常用于创建一组随机值流，并且需要一个初始值作为种子。该软件从计算机系统内的某个组件(时间、CPU周期等)内获得种子值。尽管计算机系统很复杂，但它也是一个可以预测的环境，所以，如果种子值是以某种方式可预测的，那根据它而生成的结果值也不是真正的随机，而是伪随机的。如果来自数字生成器的值表现出模式。并且这些模式在加密过程中是可识别的，那么这个缺点会允许攻击者对该算法进行反向工程，进而访问机密数据。 A不正确。因为非对称算法通过使用两个不同的密钥类型(公钥和私钥)执行加密功能。这也叫公钥密码学。类似数字生成器中的组件也可以与非对称算法一起使用，但是非对称算法只是一类算法，并不需要包含随机问题。 B不正确。因为带外通信仅仅意味着传输的信道与加密数据传输的信道不同。它与随机性问题没有任何直接的关联。 D不正确。因为对称算法利用相同密钥的两个实例执行加密功能。类似数字生成器中的组件也可以与非对称算法一起使用。

单选题 Which of the following best describes the role of the values that is allowing for patterns as described in the scenario?

A、 Initialization vector
B、 One-time password
C、 Master symmetric key
D、 Subkey

【正确答案】 A

【答案解析】解析：A正确。初始化向量(Initialization Vector，IV)是算法用来确保加密过程中不会产生模式的随机值。它与密钥一起使用，并且在被发送到目的地时无须被加密。如果没有使用Ⅳ，使用相同密钥对相同的明文进行加密，将得到相同的密文。攻击者利用这些类型的模式可以更容易地破解加密方法，发现密钥。 B不正确。因为一次性填充是由Gilbert Vernam创造的加密方法，如果合理实施，则可以将其看成无法破解的。一次性填充使用随机值作为填充值，并与消息进行XOR操作，生成密文。一次性填充至少与消息本身一样长，并且仅使用一次便被丢弃。这个场景并没有说明这种技术。 C不正确。因为为了生成复杂的密钥，通常会创建一个主密钥，然后利用该主密钥生成对称密钥。例如，如果某个应用程序负责为每个请求会话密钥的主体都创建一个会话密钥，则它不能给出该密钥的相同实例。不同的主体需要拥有不用的对称密码，从而确保攻击者获取并发现密钥的窗口比重复使用相同密钥的要小。从一个主密钥创建的两个或多个密钥都叫子密钥。这并不是本场景中描述的随机性组件。 D不正确。因为从一个主密钥创建的两个或多个密钥才叫子密钥。这并不是本场景中描述的随机性组件。