本书介绍密码编码学和密码分析方法，对破译密码的方法提出了许多建议。本书从密码学的历史中摘录了大量史料，内容丰富，叙述生动，不仅适合密码学研究人员和网络安全技术人员参考，也适合想了解密码学的普通读者阅读。

20世纪60年代末，受电子科学快速发展的影响，机械密码机开始被使用大规模集成电路的电子数据加密设备所取代。这使得低成本的安全加密设备成为可能。随后，在1976年， Diffie和Hellman开辟了公钥密码体系的崭新领域。从此，密码术揭开了神秘的面纱，成为公开讨论的话题。此外，ENIGMA（恩尼格码）的破译也唤起了公众极大的兴趣。
　　计算机科学是一个空前繁荣的新领域，而且计算机科学家也开始关注密码学的发展，但他们大多对密码学几个世纪的历史以及它所达到的深度了解不多。我看到有人开始琢磨并试图重新发明轮盘密码机，也有人对安全加密持有令人难以置信的天真想法。所以我对专业密码学在计算机科学领域的商业和科学发展，以及官方安全机构对此问题的复杂态度，开始感到担忧。
　　我曾在慕尼黑技术学院举办密码学的讲座。首期讲座是在1977-1978学年的冬季学期，采用的教材是戴维·卡恩（David Kahn）于1967年写的一本较综合、全面的书—《The Codebreakers》（破译者）。当时讲座的名称叫Special Problems Of Information Theory（信息论中的特殊问题），因此既没有激发校内学生的兴趣，也没有吸引学校以外的持怀疑态度的人。
　　第二期，是在1981年夏季学期举办的，讲座的名称正式公开宣布为“Cryptology”（密码学）。似乎这是在德国首次正式公开以“Cryptology”命名的讲座，即使它不是在欧洲大陆的第一次。
　　这个系列讲座重复了多次，而且在1986-1987学年，该讲义出版发行，即本书的第一部分。到1988年夏季学期，由于学生对此方面知识的浓厚兴趣，又举办了密码分析方法的讲座班，这部分内容形成了本书的第二部分。
　　1993年我的《Cryptologie》（密码学）一书出了第一版，尽管写书的初衷是针对计算机科学专业的学生，但这本书也引起了其他专业学生的极大兴趣。经过几位科技新闻记者热心的评审后，于1995年出版了精装本，书名改为《Decrypted Secrets》（破解秘密），在这个版本中我完善了某些主题的论述。美国的评论杂志建议推出本书的英文版，这便产生了本书的英文版。
　　通常，密码学家有个惯例，就是要解释他们是如何涉足并熟悉这一领域的。依我看，这与第二次世界大战没有什么关系。实际上，我从来不是任何官方机构的成员—我认为这也是我最大的优势，因为我不必受保密誓约的束缚。另一方面，可以保持眼界开阔，博览群书，从各种谈话中获取很多有益的东西（这是我科学生涯的良好起点），尽管我从来就不知道我碰巧获知的信息是否为允许我所知道的信息。
　　我对密码学的兴趣开始于1951年，当时我告诉我的老师Wilhelm Britzemayr—慕尼黑大学的形式逻辑学教授，说我发明了电传码的纠错码。这使他产生了错误的联想，他就给我了一本刚刚出版的Sacco（萨索）的书。幸运的是，这是当时能够找到的最好的一本书。尽管我还不知道，我仍通读了这本书。我的朋友、同事—Paul August Mann，注意到了这些，他还知道我熟悉香农（Shannon）的冗余化简编码，他给了我香农的一篇著名文章—Theory of Secrecy System（保密系统的通信理论）（当时这篇文章是Bell系统实验室的技术报告，在德国根本是不可能得到的）的复印件。我对香农信息论的这一背景简直着了迷，尽管以前我对香农信息论有所耳闻。这极大地激发了我的兴趣，当时密码学还是编码理论和形式化语言理论的一个分支，它们也是我多年来研究兴趣之所在。
　　奇怪的事件—或许是敏锐的观察力，使我同更多的密码学爱好者建立了联系。起初，在1955年，有Willi Jensen(Flensburg)、Karl Stein(Munich)；在1959年，有Hans Rohrbach—我在Mainz大学的同事，还有Helmut Grunsky、Gisbert hasenj er和Ernst Witt。在1957年，我认识了Erich H焧tenhain(Bad Godesberg)，但我们关于计算机对密码工作的适宜性讨论在当时受到一定的限制。在我熟知从事数值分析和计算机科学的英美等国的同事中，有些在二战中参与了密码技术的研究，但从未有人提及，特别是在1974年以前，那一年Winterbotham的书《The Ultra Secret》（超级机密）正式出版。到1976年，我听说B.Randall和I.J.Good在Los Alamos的一次专家研讨会披露了有关Colossi的情况。作为一名密码学界从事科学研究的普通成员，我研究密码学的兴趣从开始就一直集中于计算机化的密码分析。通信情报的其他方面，比如流量分析和方向定位，不在本书讨论范围之列。同样，对密码机的电磁辐射的问题也不做讨论。
　　本书的第一部分介绍密码编码学的方法，第二部分介绍密码分析。总之，这些对密码学方法的论述，其本意是让用户从意想不到的缺陷中解脱出来。这正好印证了克尔克霍夫斯（Kerckhoffs）原理：“只有密码分析者才能评判密码体制的安全性”。单一的密码方法的理论教程对我似乎没有吸引力。因为某些密码分析教程存在太多问题，要么就是结论不太充分，其中的例证也毫无用处；要么就是结论很充分，却涉及到敏感问题，二者之间很少有平衡。我试图囊括至少是公开文献中的所有重要事实或者由它们推断出的事实，所以不涉及任何保密审查。
　　密码学是一门具有国际交流和特定术语的学科。因此有时用外语给出参考文献是非常有益的。
　　我在研究密码学方面的乐趣还在于我发现了其实际的应用，即在Deutsches博物馆收藏的“信息化和自动化”设备。Deutsches博物馆是于1984~1988年创建的，它里面有一个陈列室专门陈列密码设备和密码机，这里我要感谢Deutsches博物馆提供了那里展出的部分实物的彩色插图。
　　我要感谢我以前在慕尼黑的学生和合作人，感谢Manfred Broy、Herbert Ehler和Anton Gerold多年来一如继往的支持；感谢Hugh Casement语言学方面的指导；感谢我的妹夫Alston S.Householder指导我的英语；Karl Stein和Otto Leiberich为我提供了ENIGMA故事的详情。我与Ralph Erskine、Heinz Ulbricht、Tony Sale、Frode Weierud、Kjell-Ove Wideman、J.Horak和Fritz-Rudolf G焠tsch进行了有益的讨论和信件交流；Kirk H.Kirchhofer也为我在CRYPTO. AG. Zug方面提供了较大帮助。Hildegard Bauer-Vogg帮助翻译了难懂的拉丁文字；Martin Bauer、Ulrich Bauer和Bernhard Bauer做了大量计算并绘制了图表。对他们的热情帮助，在此表示感谢。
　　J.Andrew Ross对本书英文版做了全面的审校工作，和他共事是我莫大的荣幸。此外，诚挚的谢意还要献给David Kahn，他极力鼓励（这本书非常优秀，值得大力推广）我并提出了许多宝贵的改进意见。最后，我要感谢Springer-Verlag出版社的Hans W歴sner，我们长期的友好合作促成了本书的出版，出版社为此付出了大量的心血。最后，欢迎热心的读者指出书中的错误和疏漏。


F.L.Bauer
于2000年新年

（德）E.L.Bauer：暂无简介

吴世忠 宋晓龙 李守鹏：吴世忠: 吴世忠，博士、研究员，中国信息安全产品测评认证中心主任。现为全国信息安全标准化技术委员会副主任，中国信息产业商会信息安全产业分会理事长，《信息安全与通信保密》杂志主编。已公开出版文章百余篇，著有《信息系统的互连与互通》、《C3I系统的安全与保密》、《关贸总协定：中国准备好了吗？》、《首都信息化标准指南·信息安全与保密标准化体系》等专著五部和《应用密码学》、《密码编码和密码分析原理和方法》、《网络世界信息安全的真相》、《密码学的理论和实践》、《中文Windows2000的安全性》、《密码学导引》译著六部，同时还主持起草了防火墙、应用网关安全技术要求以及信息技术安全性评估准则等7项国家标准，并主笔撰写了与信息安全战略与技术发展有关的多篇专题报告。
宋晓龙: 男，1970年9月出生。2000年5月毕业于中国人民解放军信息工程大学，获理学硕士学位；主要研究兴趣为密码算法与理论、密码分析和密码产品测试技术；曾在《通信学报》、《信息安全与通信保密》等刊物发表论文多篇，译著有《密码编码与密码分析原理和方法》和《密码学导引》。

近20年来，密码学的理论发展和技术进步都相当迅速。国际上有关密码学的会议接连不断，文章、书刊层出不穷。随着我国信息化进程的加快，信息安全问题备受社会各界的重视，密码学著作在最近3年来呈现出一个出版高潮，图书市场上的大部头专著已超过10种。其中译著居多，像Denning、Stallings、Schneier、Simomons等大家的著作名列其中。这些专著有一个十分显著的特点，那就是都是以密码学为主的，对密码分析或破译，要么掠鸿而过，要么只字不提，究其原因：一方面是受产业应用影响，另一方面则是因为密码分析问题至为敏感，总让人读来不过瘾，有缺或一半之感。
　　德国学者F. L. Bauer所著《密码编码和密码分析：原理与方法》一书弥补了这一不足。他从“只有密码分析者才能评判密码体制的安全性”这一理念出发，将密码编码与密码分析熔为一炉。几乎使用平等的篇幅，全面系统地介绍了密码学两大部分的原理和方法。前十一章讨论的是密码编码学，内容涉及编码学的方法和目标、加密方法。加密体制和加密的安全性等；后十一章讨论的是密码分析学，内容涉及穷举法、语言分析、Kappa和Chi方法、周期检验、线性分析、解码破译、猜字和泄露等。全书内容丰富、结构严谨、深入浅出、逻辑严密。不仅适合密码学和网络安全的专业人士参考，也适合广大学生和信息安全管理者和爱好者阅读，我们谨将这部书翻译、推荐给广大读者，希望读者能够有所启发，有所收益。
　　本书由吴世忠、宋晓龙、李守鹏主持翻译，其他参与翻译工作的还有刘晖、李鹤田等，葛静、马醒轩等同志在校稿和录入方面作了大量工作，在此一并表示感谢。
　　由于水平所限，翻译不妥或错误之处在所难免，敬请广大读者批评指正。


译者
2001年9月
中国信息安全产品测评认证中心

译者序
前言
第一部分　 密码编码学
第1章　 导论 5
1.1　 密码编码学和隐写术 5
1.2　 符号码 5
1.3　 公开代码：伪装 8
1.4　 暗示 11
1.5　 公开代码：利用虚码掩蔽 12
1.6　 公开代码：采用栅格的隐藏 15
1.7　 密码编码的方法的分类 16
第2章　 密码编码学的方法和目标 18
2.1　 密码编码学的本质 18
2.1.1　 加密与解密方法 18
2.1.2　 加密与解密机 20
2.1.3　 密码技术与文学 20
2.1.4　 密码研究机构 21
2.2　 加密 22
2.2.1　 词汇表、字符集 22
2.2.2　 加密和解密 22
2.2.3　 归纳定义 23
2.3　 密码体制 23
2.3.1　 基本概念 23
2.3.2　 加密和编码 24
2.3.3　 文本流 24
2.4　 多音码 25
2.4.1　 多音码 25
2.4.2　 字间空格 26
2.5　 字符集 26
2.5.1　 明文字符集 26
2.5.2　 技术字符集 27
2.5.3　 同态的情形 28
2.6　 密钥 28
2.6.1　 密钥需要变化 28
2.6.2　 分组 28
2.6.3　 同构 29
2.6.4　 香农 29
第3章　 加密方法：简单代替 30
3.1　 V(1)→W的情形 30
3.1.1　 V→W：没有多名码和空字符的加密 30
3.1.2　 V(1)→W：有多名码和空字符的加密 31
3.2　 特殊情况：V玍 31
3.2.1　 自反置换 32
3.2.2　 电路实现 33
3.2.3　 单循环置换 33
3.2.4　 混合密表 34
3.2.5　 借助口令字构造密表 35
3.2.6　 记数 35
3.2.7　 圆盘加密和滑尺加密 36
3.2.8　 带滑动窗的循环字符 36
3.3　 V(1)→Wm：多叶简单代替 36
3.3.1　 m=2双叶简单代替：V(1)→W2 36
3.3.2　 m=3三叶简单代替：V(1)→W3 38
3.3.3　 m=5五叶简单代替：V(1)→W5 38
3.3.4　 m=8八叶简单代替：V(1)→W8 39
3.4　 V(1)→W(m)的一般情况：夹叉式加密 39
3.4.1　 约束条件 39
3.4.2　 俄国的接合 41
第4章　 加密方法：多字母代替和编码 42
4.1　 V2→W(m)的情形 42
4.1.1　 字母 42
4.1.2　 双叶双码加密步V2玍2 42
4.1.3　 三叶双码代替V2→W3 46
4.2　 Playfair和Delastelle的特殊情况：分层方法 47
4.2.1　 Playfair密码 47
4.2.2　 修改后的PLAYFAIR 49
4.2.3　 Delastelle密码 49
4.3　 V3→W(m)的情形 50
4.3.1　 GioPPi 50
4.3.2　 Henkels 50
4.4　 V(n)→W(m)的一般情况：密本 51
4.4.1　 词汇手册 52
4.4.2　 两部本密本 53
4.4.3　 现代密本 55
4.4.4　 电报代码 56
4.4.5　 商用密本 57
4.4.6　 检错和纠错编码 58
4.4.7　 短命的密本 58
4.4.8　 战壕密码 58
第5章　 加密方法：线性代替 60
5.1　 自反线性代替 61
5.2　 齐次线性代替 62
5.2.1　 希尔 62
5.2.2　 非齐次情况 62
5.2.3　 计数 63
5.2.4　 矩阵对的构造 64
5.2.5　 自反矩阵的构造 65
5.3　 二元线性代替 65
5.4　 一般线性变换 65
5.5　 线性代替的分解 66
5.6　 十选一字母表 68
5.7　 带有十进制和二进制数的线性代替 69
5.7.1　 N=10的情况 69
5.7.2　 N=2的情况： 69
5.7.3　 图灵 70
第6章　 加密方法：换位 71
6.1　 最简单的方法 71
6.1.1　 Crab 71
6.1.2　 首字母互换 71
6.1.3　 路径抄写 72
6.1.4　 格子变换 73
6.2　 纵行换位 74
6.2.1　 口令字 74
6.2.2　 矩形方案 75
6.2.3　 两步法 75
6.2.4　 Ubchi 76
6.2.5　 置换的构造 76
6.3　 变位字 77
6.3.1　 历史 77
6.3.2　 惟一性 78
第7章　 多表加密：加密表族 80
7.1　 迭代代替 80
7.1.1　 同态 80
7.1.2　 循环置换 81
7.2　 移位和旋转密表 81
7.2.1　 移位加密表 81
7.2.2　 旋转加密表 82
7.2.3　 伴随加密表 82
7.2.4　 加密表的数量 83
7.3　 转轮密码机 83
7.3.1　 背景 84
7.3.2　 自反转轮机 85
7.3.3　 国防军的方案 86
7.3.4　 TYPEX 89
7.3.5　 ENIGMA代替 89
7.4　 移位标准加密表：维吉尼亚密表和博福特密表 91
7.4.1　 维吉尼亚加密步 91
7.4.2　 EYRAUD 92
7.4.3　 博福特加密步 92
7.4.4　 逆向维吉尼亚加密步和逆向博福特加密步 92
7.4.5　 波他加密步 93
7.5　 非相关加密表 93
7.5.1　 置换 94
7.5.2　 Gripenstierna 94
7.5.3　 MULTIPLEX 95
7.5.4　 拉丁方要求 98
第8章　 多表加密：密钥 101
8.1　 早期使用周期密钥的方法 101
8.1.1　 艾伯蒂 101
8.1.2　 特理特米乌斯 101
8.2　 双密钥 103
8.2.1　 波他 103
8.2.2　 维吉尼亚 103
8.2.3　 三重密钥 103
8.3　 弗纳姆加密 103
8.3.1　 逐比特加密 104
8.3.2　 弗纳姆 104
8.3.3　 进位问题 104
8.4　 准非周期密钥 105
8.4.1　 繁琐的多表加密 105
8.4.2　 多表加密的安全性 105
8.4.3　 渐进加密 106
8.4.4　“规则”的转轮运动 106
8.5　 密钥序列的产生机器—密钥生成器 106
8.5.1　 惠斯通 106
8.5.2　 不规则的尝试 106
8.5.3　 由缺口和棘轮控制的轮运动 108
8.5.4　 打字密码机 109
8.5.5　 赫本 110
8.5.6　 亚德利 111
8.5.7　 绿密、红密和紫密 112
8.6　 线外形成密钥序列 115
8.6.1　 矩阵方幂 115
8.6.2　 二元序列 115
8.7　 非周期密钥 116
8.7.1　 错觉 116
8.7.2　 自身密钥 117
8.7.3　 明文函数 119
8.7.4　 流密码 119
8.8　 单个的一次性密钥 120
8.8.1　 弗纳姆 120
8.8.2　 无尽头和无意义 120
8.8.3　 坏习惯 120
8.8.4　 不可破译的加密 121
8.8.5　 不可破译密钥序列的生成 121
8.8.6　 实际使用 121
8.8.7　 误用 121
8.9　 密钥协商和密钥管理 122
8.9.1　 背景 122
8.9.2　 密钥协商 122
8.9.3　 密钥管理 124
第9章　 方法类的合成 125
9.1　 群性质 125
9.1.1　 密钥群 125
9.1.2　 方法的合成 126
9.1.3　 T52 126
9.1.4　 SZ 126
9.2　 复合加密 127
9.2.1　 复合加密 127
9.2.2　 复台加密的需求 127
9.2.3　 插接板 128
9.2.4　 ADFGVX 128
9.2.5　 ENIGMA复合加密 128
9.3　 加密方法的相似性 128
9.4　 香农的“和面团法” 128
9.4.1　 混淆和扩散 129
9.4.2　 Heureka 130
9.4.3　 香农 133
9.4.4　 分层方法 133
9.4.5　 Polybios 133
9.4.6　 Koehl 133
9.4.7　 其他方法 134
9.5　 数学运算产生的混淆和扩散 134
9.5.1　 剩余运算 134
9.5.2　 方幂 135
9.5.3　 双向通信 137
9.5.4　 普利尼·厄尔·蔡斯 137
9.6　 DES和IDEA 137
9.6.1　 DES算法 137
9.6.2　 雪崩效应 140
9.6.3　 DES的操作模式 141
9.6.4　 DES的安全性 141
9.6.5　 DES的继承者 142
9.6.6　 密码系统和芯片 143
第10章　 公开加密密钥体制 145
10.1　 对称和非对称的加密方法 145
10.1.1　 对称方法 145
10.1.2　 非对称方法 146
10.1.3　 加密和签名方法 146
10.2　 单向函数 147
10.2.1　 严格单向函数 147
10.2.2　 陷门单向函数 148
10.2.3　 效率界限 148
10.2.4　 已知单向函数的例子 149
10.3　 RSA方法 152
10.4　 对RSA的密码分析攻击 153
10.4.1　 qi的分解攻击 153
10.4.2　 迭代攻击 154
10.4.3　 ei较小时的攻击 156
10.4.4　 风险 156
10.4.5　 缺陷 157
10.5　 保密与认证 157
10.6　 公钥体制的安全性 158
第11章　 加密安全性 159
11.1　 密码错误 159
11.1.1　 加密错误 159
11.1.2　 技术错误 159
11.1.3　 可能字攻击 160
11.1.4　 填充 161
11.1.5　 压缩 162
11.1.6　 人为错误 162
11.1.7　 使用容易记忆的口令和密钥 162
11.1.8　 密钥的规律性 163
11.1.9　 冒名顶替 163
11.1.10　 通过非法手段获得密码资料 163
11.1.11　 通过战争获得密码资料 163
11.1.12　 细节泄露 164
11.2　 密码学的格言 164
11.2.1　 格言1 165
11.2.2　 格言2 166
11.2.3　 格言3 166
11.2.4　 格言4 167
11.2.5　 格言5 167
11.3　 香农的标准 168
11.4　 密码学和人权 169
11.4.1　 问题 169
11.4.2　 解决方案 170
11.4.3　 托管加密标准 170
11.4.4　 NSA 171
11.4.5　 国家权力 171
11.4.6　 出口政策 171
第二部分　 密 码 分 析
第12章　 穷尽法的组合复杂度 175
12.1　 单表简单加密 175
12.1.1　 通常的简单代替（12.2.1中n=1的特例） 175
12.1.2　 十选一采样字母表 176
12.1.3　 CAESAR加法（12·2·3中n=1的情况） 176
12.2　 单表多字母加密 176
12.2.1　 一般的多字母代替 177
12.2.2　 多字母齐次线性代替 177
12.2.3　 多字母变换 177
12.2.4　 换位 178
12.2.5　 单表代替总结 178
12.3　 多表加密 179
12.3.1　 d个字母表的PERMUTE加密 179
12.3.2　 d张表的MULTIPLEX加密 179
12.3.3　 d张表的艾伯蒂加密 179
12.3.4　 d张表的维吉尼亚或博福特加密 179
12.3.5　 多表加密总结 179
12.4　 组合复杂度注记 180
12.4.1　 杰斐逊和巴泽里埃斯的圆柱加密 180
12.4.2　 双重换位 181
12.4.3　 维吉尼亚加密 181
12.5　 穷尽密码分析 181
12.6　 惟一解距离 183
12.7　 穷尽攻击的实现 184
12.8　 机械化穷尽 185
12.8.1　 代替的穷尽 185
12.8.2　 换位的穷尽 187
12.8.3　 蛮力与不变性 187
第13章　 语言分析：模式 188
13.1　 重码模式的不变性 188
13.2　 加密方法的排除 190
13.3　 模式查找 190
13.3.1　 例子 190
13.3.2　 Aristocrats 191
13.3.3　 字母脱漏 192
13.4　 多字母模式查找 193
13.5　 可能字方法 194
13.5.1　 对照表 194
13.5.2　 Murphy和J奼er 194
13.5.3　 F焗rerbefehl 194
13.5.4　 代替选取的不变性 198
13.6　 模式词例的自动化穷尽 198
13.6.1　 单词列表 198
13.6.2　 模式查找 199
13.6.3　 模式连接 199
13.6.4　 搜索空间的减小 200
13.7　 Pangrams 200
第14章　 多表情形：可能字 202
14.1　 可能字位置的非重合穷尽 202
14.2　 可能字位置的二元非重合穷尽 204
14.3　 德维亚里攻击 206
14.3.1　 部分解密 206
14.3.2　 完整解密 207
14.3.3　 字母组合 209
14.3.4　 德维亚里和吉维埃格 210
14.3.5　 历史 211
14.4　 可能字位置的Z字形穷尽 212
14.5　 同构方法 213
14.5.1　 Knox和Candela 213
14.5.2　 条形方法 214
14.5.3　 部分考查 214
14.5.4　 可插接反射器 217
14.5.5　 对策 217
14.6　 隐藏明文—密文泄露 217
第15章　 语言分析：频率 219
15.1　 加密方法的排除 219
15.2　 模式的不变性 220
15.3　 直觉方法：频率轮廓 220
15.4　 频率排序 222
15.4.1　 频率排序的缺陷 223
15.4.2　 频率计数 224
15.5　 小集团和模式匹配 225
15.5.1　 波动 225
15.5.2　 小集团 228
15.5.3　 例子 228
15.5.4　 经验频率 229
15.6　 最优匹配 230
15.6.1　 平方距离 230
15.6.2　 最优化 230
15.7　 多字母频率 231
15.7.1　 频率表 231
15.7.2　 单词频率 233
15.7.3　 位置 235
15.7.4　 单词长度 235
15.7.5　 单词的格式 235
15.7.6　 空格 236
15.8　 频率匹配的结合方法 236
15.8.1　 例之一 236
15.8.2　 例之二 238
15.8.3　 最后结果 240
15.8.4　 匹配一个尾部 241
15.8.5　 一个不同的方法 241
15.9　 多字母代替的频率匹配 242
15.9.1　 可约情况 242
15.9.2　 利用隐含的对称性 242
15.10　 各式各样的其他方法 243
15.10.1　 一个著名的密码 243
15.10.2　 注记 244
15.11　 再谈惟一解距离 244
第16章　 Kappa和Chi 246
16.1　 Kappa的定义和不变性 246
16.1.1　 常用语言的Kappa值 247
16.1.2　 两个结论 247
16.1.3　 Kappa的期望值 248
16.2　 Chi的定义和不变性 248
16.2.1　 一般结果 249
16.2.2　 特殊情形 249
16.2.3　 两个结论 249
16.2.4　 Chi的期望值 250
16.3　 Kappa-Chi定理 250
16.4　 Kappa-Phi定理 251
16.4.1　 Kappa-Phi定理 251
16.4.2　 Phi(T)与Psi(T)的区别 252
16.4.3　 两个结论 252
16.4.4　 Phi的期望值 253
16.5　 字符频率的对称函数 253
第17章　 周期性检验 255
17.1　 弗里德曼的Kappa试验 256
17.2　 多字母的Kappa试验 258
17.3　 用机器进行的密码分析 259
17.3.1　 穿孔卡的使用 259
17.3.2　 锯木架 260
17.3.3　 Robinson方法 261
17.3.4　 比较器 262
17.3.5　 快速分析机RAM 262
17.4　 卡西斯基试验 263
17.4.1　 早期的方法 263
17.4.2　 巴贝奇对破解密码的贡献 264
17.4.3　 例子 264
17.4.4　 机器 266
17.5　 建立深度和库尔巴克的Phi试验 267
17.5.1　 列的形成 267
17.5.2　 Phi试验忧于Kappa试验 268
17.5.3　 例子 268
17.6　 周期长度的估计 270
第18章　 伴随加密表的校准 272
18.1　 轮廓匹配 272
18.1.1　 使用深度 272
18.1.2　 绘制轮廓图 274
18.2　 根据已知加密表校准 275
18.2.1　 利用Chi 275
18.2.2　 条形方法 276
18.2.3　 额外的帮助 276
18.2.4　 滑尺方法 278
18.2.5　 方法总结 278
18.3　 Chi试验：伴随字母表的互相校准 278
18.3.1　 例子 279
18.3.2　 获得中间密文 279
18.3.3　 一个附带结果 282
18.4　 原始加密表的恢复 282
18.5　 克尔克霍夫斯的位置对称性 284
18.5.1　 例子 284
18.5.2　 Volap焝 287
18.5.3　 令人吃惊的例子 287
18.6　 剥离复合加密：求差方法 289
18.6.1　 剥离 289
18.6.2　 位置的对称性 289
18.6.3　 使用机器 290
18.7　 密本的破解 291
18.8　 口令字的恢复 291
18.8.1　 弗里德曼 291
18.8.2　 再论弗里德曼 292
第19章　 泄露 293
19.1　 克尔克霍夫斯的重叠法 293
19.1.1　 例子 293
19.1.2　 位置对称性 294
19.2　 用密钥群加密情况下的重叠法 294
19.2.1　 纯加密 295
19.2.2　 差 296
19.2.3　 循环密钥群 296
19.2.4　 其他密钥群 299
19.2.5　 特殊情况C52- 299
19.2.6　 Tunny 301
19.2.7　 Sturgeon 306
19.3　 复合加密代码的同相重叠法 307
19.3.1　 指标的使用 307
19.3.2　 孔策 309
19.4　 密文-密文泄露 310
19.4.1　 密钥的密文-密文泄露 310
19.4.2　 化简为明文-明文的泄露 311
19.5　 辛科夫方法 314
19.5.1　 密钥的直积 314
19.5.2　 中间加密 316
19.5.3　 还原 318
19.6　 密文-密文泄露：双倍法 319
19.6.1　 法国 320
19.6.2　 波兰I 321
19.6.3　 波兰II 324
19.6.4　 英国 327
19.7　 明文-密文泄露：反馈循环 330
19.7.1　 图灵BOMBE 331
19.7.2　 Turing-Welchman BOMBE 334
19.7.3　 更多的BOMBE 335
19.7.4　 计算机的出现 337
第20章　 线性分析 339
20.1　 线性多码代替的化简 339
20.1.1　 例子 339
20.1.2　 一个缺憾 340
20.2　 密钥还原 340
20.3　 线性移位寄存器的还原 341
第21章　 猜字法 344
21.1　 换位 344
21.1.1　 例子 344
21.1.2　 移位的列 346
21.1.3　 说明 346
21.1.4　 代码组模式 346
21.1.5　 虚幻的复杂 346
21.2　 双重纵行换位 347
21.3　 复合猜字法 347
21.3.1　 例子 347
21.3.2　 实际应用 348
21.3.3　 Hassard、Grosvenor、Holden 348
第22章　 总结 350
22.1　 成功的破译 350
22.1.1　 海军侦察破译处和外交部密码服务处 351
22.1.2　 日本的密码分析机构 353
22.1.3　 前苏联陆军总情报局 354
22.2　 非授权解密者的操作方式 354
22.2.1　 魅力与不幸 354
22.2.2　 个性 355
22.2.3　 策略 355
22.2.4　 隐藏的危险 356
22.2.5　 解密的层次 356
22.2.6　 暴力 357
22.2.7　 预防 357
22.3　 虚假的安全 357
22.4　 密码学的重要性 358
22.4.1　 顾虑 358
22.4.2　 新思想 359
22.4.3　 破解秘密的实质 359
附录A　 公理化信息论 361