Збірник Тестів з БРІС

МIНIСТЕРСТВО ОСВIТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ "ЛЬВІВСЬКА ПОЛІТЕХНІКА"
ТЕСТИ З БЕЗПЕКИ РОЗПОДІЛЕНИХ ІНФОРМАЦІЙНИХ

СИСТЕМ
для студентів спеціальності 126 “Інформаційні системи та технології”
Затверджено на засіданні кафедри

інформаційних систем та мереж.
Протокол № 11 від 24.04.2023
Львів – 2023
1
Тести з Безпеки розподілених інформаційних систем: Збірник
тестових завдань з дисциплiни "Безпека розподілених інформаційних
систем" для студентів спеціальності 126 “Інформаційні системи та
технології” освітнього рівня „Магістр” / Упорядник Кравець П.О. – Львів:
Видавництво Національного університету „Львівська політехніка”, 2023. –
108 с.
Укладач: Кравець П.О., канд. техн. наук, доц.
Відповідальний за випуск: Литвин В.В. д-р техн. наук, проф.
Рецензенти: Берко А.Ю., д-р техн. наук, проф.

Верес О.М., канд. техн. наук, доц.
2
Тестові завдання з «Безпеки розподілених інформаційних
систем» для студентів спеціальності
126 «Інформаційні системи та технології»
освітнього рівня – магістр
(складено на основі [15])
Символ * позначає багатоваріантну відповідь. Такі відповіді оцінюються за

правилом «все – або нічого».
1. У яких з наведених нижче випадків використовується криптографічний захист

інформації?
a) на грошовій купюрі національний банк наносить водяні знаки, що повторюють основний
малюнок банкноти;
b) у програмі-архіваторі комбінації символів, які зустрічаються багато разів, подаються у
вигляді певного запису, який має меншу довжину;
с) шпигун передає у «центр» повідомлення, у яких замінює кожну букву іншими заздалегідь
узгодженими символами;
d) у комп’ютері кожен символ подається у двійковому коді ASCII, що доповнюється додатковим
бітом так, щоб загальна кількість бітів була непарною.
2. Як називається метод захисту інформації, коли секретна інформація приховується

всередині графічних комп’ютерних об’єктів?
a) криптографія;
b) стенографія;
с) стеганографія;
d) тунелювання;
e) інформаційне перенаправлення.
3. Що є метою криптоаналізу?
a) визначення рівня стійкості алгоритму шифрування або знаходження методу відновлення
початкового тексту без знання секретного ключа;
b) розроблення методів синтезу функцій шифрування у криптографічних алгоритмах;
с) зменшення кількості функцій шифрування у криптографічному алгоритмі;
d) реалізація практичних способів обміну інформацією.
4. Цілісність інформації – це неможливість

a) її несанкціонованого перегляду;
b) її несанкціонованої зміни;
с) несанкціонованого доступу до неї;
d) відмови від авторства.
5. Забезпечення конфіденційності даних означає

a) їх захист від несанкціонованого перегляду;
b) їх захист від модифікації, зміни, видалення та повторної передачі;
с) встановлення справжності інформаційних об’єктів;
d) неможливість відмови від авторства.
3
6. Який метод гарантує, що передана інформація отримана від легального джерела і
надійшла належному абонентові?
a) забезпечення конфіденційності;
b) збереження цілісності;
с) автентифікація;
d) гарантія доступності.
7. Які властивості інформації розуміють під терміном автентичність?

a) її цілісність;
b) її конфіденційність;
с) неможливість відмови від авторства;
d) її доступність;
e) справжність авторства.
8. Поставте у відповідність послуги із захисту інформації, що записані у нумерованому

списку, та задачі, розв’язувані системами захисту інформації зі списку, позначеному
буквами:
1) конфіденційність; а) встановлення джерела інформації і її автора;
2) автентифікація; б) шифрування інформації;
3) неможливість відмови; в) розмежування доступу до ресурсів автоматизованої системи;
4) цілісність г) електронний цифровий підпис.
a) 1-б, 2-а, 3-г, 4-в;

b) 1-г, 2-б, 3-в, 4-а;
c) 1-в, 2-г, 3-а, 4-б;
d) 1-а, 2-в, 3-г, 4-б;
e) 1-б, 2-г, 3-в, 4-а.
9. В алгоритмі симетричного шифрування секретним має бути

a) алгоритм шифрування;
b) ключ;
с) окремі частини алгоритму шифрування;
d) криптограма.
10. Криптосистема називається симетричною, якщо при шифруванні

a) відкритий текст розбивається на блоки однакової довжини;
b) ключі зашифрування та розшифрування збігаються або легко обчислюються один з одного;
с) використовуються циклічно повторювальні операції (раунди);
d) перший та останній символи криптограми однакові.
11. Криптографія з симетричними ключами застосовує

a) секретний ключ тільки з боку отримувача криптограми;
b) відкритий ключ з боку отримувача криптограми;
с) секретний ключ тільки з боку відправника криптограми;
d) секретний ключ у відправника та у отримувача криптограми.
12. У симетричній криптографічній системі обов’язково

a) процес шифрування має вигляд ab...yz (відкритий текст)zy...ba ;
b) ключ шифрування у два рази коротший, ніж ключ розшифрування;
4
с) ключі зашифрування і розшифрування є секретними;
d) відкритий текст шифрується посимвольно.
13. У чому переваги симетричних криптосистем над асиметричними?

a) висока швидкість шифрування для однотипних реалізацій;
b) менша довжина ключа для забезпечення порівняної стійкості;
с) стійкість у разі компрометації одного з ключів;
d) простота реалізації для будь-яких операційних систем;
e) простота розподілу ключів у мережі, що зазнає постійних змін.
14. Які основні проблеми застосування симетричних криптоалгоритмів?

a) складність реалізації на ЕОМ;
b) за допомогою ЕОМ такі шифри легко розкриваються;
с) ускладненість доставки ключів шифру;
d) шифрування за їх допомогою потребує великих обчислювальних ресурсів.
15. Які з наведених властивостей симетричних шифрів не відповідають дійсності?

a) складність розподілу ключів;
b) масштабованість (легкість підключення до мережі додаткових користувачів та ресурсіс);
с) неможливість забезпечити теоретичну стійкість;
d) повільніше виконання операцій зашифрування/дешифрування порівняно з асиметричними
шифрами.
n(n − 1)
16. Якщо n – кількість абонентів у мережі, то за формулою N = розраховується:
2
a) мінімальна кількість різних ключів, що необхідні для забезпечення попарних шифрованих
з’єднань у мережі у разі застосування симетричної криптосистеми;
b) середня кількість ключів, що необхідна кожному абоненту мережі для відправлення
криптограм будь-якому іншому абоненту;
с) кількість ключів, необхідних для запобігання колізій;
d) загальна кількість секретних ключів, що необхідні для забезпечення асиметричного
шифрування даних в мережі.
17. Які з наведених видів криптосистем є симетричними?

a) криптосистеми з відкритим ключем;
b) потокові шифри;
с) блокові шифри;
d) системи ЕЦП.
18. За принципом Керкгоффса криптографічна стійкість шифру повинна визначатися

тільки
a) його складністю;
b) часом шифрування;
с) довжиною ключа шифру;
d) секретністю ключа;
e) секретністю алгоритму шифрування.
19. Археологи знайшли манускрипт, написаний невідомою мовою. Пізніше до них

потрапила маленька табличка, яка містила пропозицію, записану тією самою мовою з
5
перекладом на грецьку. Використавши табличку, вони прочитали манускрипт. Яку атаку
здійснили археологи?
a) атаку за методом «людина всередині»;
b) атаку на основі відомої пари «відкритий – шифрований текст»;
с) атаку на основі вибраного відкритого тексту;
d) атаку на основі вибраної криптограми.
20. Студент читає книгу з криптографії. На сторінці 112 автор книги наводить
шифрований текст, а на сторінці 113 повідомляє, який було використано шифр, і який
відкритий текст відповідає криптограмі. Пізніше на сторінці 133 наведена інша
криптограма. Студент миттєво дешифрував криптограму, оскільки ключ не змінився. Про
який тип атаки йдеться?
a) атаку на основі криптограми;
b) атаку на основі відомого відкритого тексту;
21. Щоб дістати ключ шифру, криптоаналітик таємно отримав доступ до чужого
комп’ютера та, використавши шифр законного користувача, записав у вікно для вводу
тексту слово СВІТЛО. На екрані з’явився шифротекст ПРЕШНА. Яку атаку здійснив
криптоаналітик?
a) атаку на основі криптограми;
b) атаку на основі відомого відкритого тексту;
22. Криптоаналітик перехопив електронний лист з невідомим для нього кодуванням.

Перевіривши всі кодування (Windows Cyrillic, юнікод тощо), він прочитав відкритий
текст. Це була атака
a) на основі шифрованого тексту;
b) на основі вибраного шифрованого тексту;
с) на основі вибраного відкритого тексту;
d) за допомогою грубої сили;
e) статистична.
23. Агент, який здійснював у компанії економічну розвідку, умовив її президента

підписати діловий лист щодо продажу продукції словами ПРЕЗИДЕНТ КОМПАНІЇ
ВЕРНИГОРА, зашифрувати його та надіслати дочірньому підприємству. Перехопивши
криптограму, він розкрив увесь текст і завдяки значному часу життя ключа отримав
можливість читати пошту компанії. Це була атака
b) на основі вибраного шифрованого тексту;
с) на основі відкритого тексту;
e) на основі вибраного відкритого тексту.
24. Криптоаналітик виявив, що багато шифрованих листів, які фірма-виробник надсилає

замовникам, починаються зі слів «У відповідь на ваше прохання…». Це дало йому змогу,
6
перехопивши шифрований текст, відновити ключ шифру та прочитати все повідомлення.
Яку атаку здійснив криптоаналітик?
b) статистичну;
25. Криптоаналітик, спостерігаючи за діяльністю торгівельного кооперативу, встановив,

що більшість шифрованих ділових листів, надісланих партнерам, містили слова
ТОРГІВЕЛЬНА МАРКА, ЛОГОТИП, ДИЗАЙН. Перехопивши шифрограму, він
підрахував частоту вживання однакових слів та розкрив ключ. Це була атака
b) статистична;
26. Нехай abStwdRd; pVtrKRLp; iryzhToz; URbhhbEH; JEXHZmJ; zTDXJrZ – це попередні

паролі доступу до сервера (усі букви латинського алфавіту). Яку кількість паролів слід
перебрати за методом «грубої сили» (у найгіршому випадку), щоб отримати доступ до
сервера за новим паролем?
a) 28 ;
b) 528 ;
с) 826 ;
d) 268;
e) 852 ;
f) 8!
g) 26!
27. Атаки за часом базуються на можливості високоточного вимірювання часу

a) передачі шифрованого повідомлення;
b) дешифрування шифротексту;
с) виконання алгоритмом шифрування операції піднесення до степеня;
d) виконання алгоритмом шифрування логічних операцій.
28. Припустимо, зловмисник може виконувати 220 розшифрувань за секунду, а розмір

ключа шифру 40 бітів. Як довго триватиме атака за допомогою грубої сили?
a) близько 25 діб;
b) близько 20 діб;
с) близько 18 діб;
d) близько 12 діб;
e) близько 3 діб;
f) близько 2 діб.

ключа шифру 80 бітів. Як довго триватиме атака за допомогою грубої сили?
a) 3,8*1016 років ;
b) 3,7*1010 років;
7
с) близько 25 років;
d) близько 2 років;
e) близько 3 діб.

ключа шифру 40 бітів. В якій ситуації припустимо використання шифру з такою
довжиною ключа?
a) для зашифрування повідомлень електронних переказів, за умов що доставка цих повідомлень
відбувається не більш однієї доби;
b) для зашифрування запитів у технічному комплексі системи протиповітряної оборони, який
забезпечує автоматичну ідентифікацію своїх літаків, у випадку коли єдиний ключ
використовується протягом місяця;
с) для зашифрування повідомлень електронної пошти за умов щоквартальної зміни ключу;
d) жоден з наведених сценаріїв не є припустимим.
31. Яке твердження неправильне?

a) криптографічний алгоритм, для якого не знайдено методу дешифрування, буде обов’язково
більш стійким до криптоатак ніж той, для якого такий метод вже розроблено;
b) розробник шифру має оцінювати криптографічні властивості криптосистеми, припускаючи,
що зловмиснику відомі зміст криптограм та усі елементи криптосистеми, окрім ключа шифру;
с) одна з вимог до сучасних криптоалгоритмів – це зміна принаймні 50% бітів криптограми у
разі зміни біта ключа шифрування;
d) алгоритм повного перебору ключів шифрування може бути розпаралелений.
32. Корпоративна мережа банку об’єднує 100 відділень. Скільки необхідно мати ключів
для шифрування за допомогою симетричного криптоалгоритму, якщо всі відділення банку
повинні мати можливість передавати конфіденційні повідомлення один одному?
a) 4950;
b) 99;
с) 50;
d) 495.
33. Яку умовну назву мала шифрувальна машина японського дипломатичного відомства,
що була успішно дешифрована американською спецслужбою на початку Другої світової
війни?
a) «Енігма»;
b) М-209;
с) шифр «Сцітала»;
d) «Пурпурний код»;
e) шифр Ямамото.
34. Шифрувальна машина «Енігма», що використовувалася у нацистській Німеччині у

часи Другої світової війни реалізовувала
a) потоковий шифр;
b) блоковий шифр;
с) шифр перестановки;
d) поліалфавітний шифр підстановки
e) асиметричний шифр.
8
35. Нехай M i і Ci – символи відкритого та шифрованого текстів відповідно; M i ∈ Z10 ,
Ci ∈ Z10 , де Z10 = {0,1,2,3,4,5,6,7,8,9} ; Ci = EK ( M i ) – формула шифрування. Котру з
наведених функцій можна застосувати як функцію шифрування EK ?
a) EK ( M ) = M (mod10) ;
b) EK ( M ) = K (mod10) ;
с) EK ( M ) = M + K (mod10)  ;
d) EK ( M ) = M ⋅ K (mod10) ;
K +1
e) EK ( M ) = M (mod10) .
36. Яким буде результат шифрування слова КУТ шифром Цезаря з ключем 2?
a) ЛФУ;
b) НФХ ;
с) МХФ;
d) ХМФ.
37. Яка потужність ключового простору у шифрі Цезаря, якщо для запису текстів
використано алфавіт з n символів?
a) ϕ ( n) , де ϕ – функція Ейлера;
b) n − 1 ;
с) n! ;
n
d) 2 ,
e) n .
38. За допомогою простої моноалфавітної підстановки зашифрували слова ГОРН, АРГО та

НЕРО і отримали криптограми АБЦЛ, ГЦВЛ і ВЛЦА (відповідність між словами та
криптограмами невідомa). Словам НОГА і ГАНГРЕНА при такому шифруванні
відповідають криптограми:
a) ВЛАЦ, ВГЦБААВГ;
b) ЦАЛВ, ГАБЦВАГВ;
с) ЦВГЛ, БАГЦВАГВ;
d) АЛВГ, ВГАВЦБАГ.
39. Використавши ключову фразу БУТИ ЧИ НЕ БУТИ? ОСЬ В ЧОМУ ПИТАННЯ як

лозунг, сформуйте ключ простої моноалфавітної підстановки. У відповідь записати другий
рядок підстановки.
a) БУТИЧНЕОСЬВМПАЯЖЗГҐДЄІРФЇЙКЛХЦЮШЩ;
b) БУТИЧНЕОСЬВМПАЯГҐДЄЖЗІЇЙКЛРФХЦШЩЮ;
с) АБВЕИМНОПСТУЧЬЯГҐДЄЖЗІЇЙКЛРФХЦШЩЮ;
d) ГҐДЄЖЗІЇЙКЛРФХЦШЩЮБУТИЧНЕОСЬВМПАЯ.
40*. У чому полягає основна слабкість простої моноалфавітної підстановки?

a) невелика потужність простору ключів;
b) шифрований текст зберігає статистичні властивості відкритого тексту;
с) якщо два тексти зашифровані за допомогою одного ключа, то шифр розкривається
автоматично шляхом додавання двох криптограм;
9
d) супротивник може легко знайти ключ, отримавши пару «відкритий текст – відповідний
шифрований текст».
41. Яка потужність ключового простору шифру простої заміни, якщо використаний
алфавіт нараховує n букв?
n
a) n ;
b) n ⋅ ϕ (n) , де ϕ ( n) – функція Ейлера;
с) n!;
d) n .
42. При шифруванні текстів за допомогою простої заміни як шифропозначення для букв
задіяно двоцифрові числа. Один з наведених шифрованих текстів відповідає повідомленню
українською, а інший – англійською (пропуски між словами і розділові знаки виключено).
Який з шифрованих текстів відповідає повідомленню українською?
Перший текст:
95 96 96 92 73 79 92 33 98 95 32 92 90 93 38 92 96 73 94 90 91
75 73 77 96 92 98 74 92 79 96 90 79 92 96 98 94 90 76 98 74 92
77 98 95 90 38 77 70 70 90 98 74 92 96 98 96 77 72 92 34 77 96
79 92 38 98 95 91 34 95 73 77 96 92 78 95 73 98 92 96 92 72 98
96 91 73 92 98 74 95 73 33 72 96 90 34 95 73 73 97 36 71 92 33
98 98 90 77 38 92 38 72 91 73 92 96 70 95 33 92 38 33 92 90 96
77 96 72 92 34 77 96 75 90 76 95 38 98 92 70 33 90 96 79.
Другий текст:
38 94 70 73 79 77 79 78 39 94 75 94 70 73 75 74 76 94 39 74 96
29 78 74 96 74 92 30 38 79 70 72 94 78 79 22 92 92 79 98 37 70
92 74 94 77 74 93 31 78 74 70 39 39 71 75 94 98 70 39 97 92 72
71 75 74 39 74 73 74 72 30 73 74 78 33 79 98 94 78 36 79 97 72
22 23 39 78 94 70 74 76 78 94 78 78 30 77 39 94 74 75 94 39 79
74 72 74 92 71 75 94 98 35 22 92 72 22 23 39 71 75 74 39 74 73
74 76 78 74 96 79 94 39 79 71 30 27 39 79 32.
a) перший (довший шифротекст);

b) другий;
с) недостатньо інформації;
d) питання некоректне.
43. Текст українською шифрують за допомогою шифру простої заміни (пропуски між
словами і розділові знаки виключено). Шифропозначення букв – двоцифрові числа.
Визначити, скільки існує можливих місць, на яких у відкритому тексті могло б бути
записано слово СТАРИНА, якщо тексту відповідає криптограма:
92 97 36 72 97 92 70 73 97 90 97 72 38 39 74 76
97 34 79 78 97 70 76 74 72 74 73 74 76 70 70 97
76 74 96 74 37 39 75 97 70 39 74 79 39 37 71 74
98 35 94 90 98 97 94 96 74 98 74 76 97.
a) 5;
b) 4;
с) 3;
10
d) 2;
e) на жодному.
44. При шифруванні слова ШИФР підстановкою з ключем воно змінюється на слово
ПКОВ. Якщо слово за допомогою цієї підстановки зашифрувати ще раз, то отримаємо
слово АТБД, а після третього циклу шифрування – ЯИМЬ. На якому циклі шифрування
знову побачимо слово ПКОВ, якщо кількість виконаних циклів шифрування не
обмежити?
a) 16;
b) 24;
с) 64;
d) 576;
e) 2040.
45. Рівняння шифрування має вигляд yi = xi + k (mod m) , де , xi , yi – цифрові еквіваленти

букв відкритого та шифрованого текстів відповідно, k – ключ зашифрування, m–
потужність використаного алфавіту. У цьому разі відкритий текст відновлюється за
допомогою рівняння xi = yi + k ′(mod m) , де ключ розшифрування k ′ пов’язаний з
ключем k формулою
a) k ′ = m − k ;
b) k ′ = k − 1
с) k ′ = k (mod m)
−1
d) k ′ = k + 1
e) k ′ = k + 1(mod m)
46. Відкритий текст українською (алфавіт з 33 літер) спочатку шифрують за допомогою

шифру зсуву з ключем k1 =17, а далі до отриманої криптограми знову застосовують той
самий шифр, але з ключем k2=23. Такі послідовні шифрувальні операції еквівалентні
одноразовому застосуванню шифру зсуву з ключем
a) k=40 ;
b) k=23;
с) k=6;
d) k=7.
47. Які умови накладаються на ключ шифрування k лінійного шифру з рівнянням

шифрування yi = (kxi ) mod m , де xi , yi – цифрові еквіваленти букв відкритого та закритого
текстів відповідно, m – потужність використаного алфавіту?
a) НСД (k , m) ≠ 1 ;
b) НСД (k , m) = km ;
с) m ≤ k < 2m , НСД (k , m) > m ;
d) 0 < k < m ; НСД (k , m) = 1 .
48*. Потужність алфавіту відкритого тексту становить 36. Якщо текст шифрувати за
допомогою афінного шифру, то в якості ключа k можна вибрати числа
a) 41;
b) 20;
11
с) 17;
d) 15;
e) жодне з наведених.
49. Якщо m – потужність алфавіту відкритого тексту, то ключ шифрування k і ключ

розшифрування k ′ в афінному шифрі при НСД(k,m)=1 пов’язані формулою
a) k ′ = ( k + 1) mod m  ;
−1
b) k ′ = − k mod m ;
с) k ′ = − k mod m ;
−1
d) k ′ = k mod m .
−1
50. Нерухомою літерою відносно афінного шифру з рівнянням шифрування

y = (kx + t ) mod m ( 0 < k < m , НСД (k , m) = 1 , 0 ≤ t , x < m ) називають таку літеру x, для якої
x = (kx + t ) mod m . Скільки нерухомих літер існує для афінного шифру з ключем k=10,
t=15?
a) 1;
b) 2;
с) 3;
d) 4;
e) таких літер не існує.
51. Яка потужність ключового простору афінного шифру, якщо використаний алфавіт
нараховує n літер?
n
a) n ;
b) n ⋅ ϕ (n) , де ϕ ( n) – функція Ейлера;
с) n!;
n
d) 2 .
52. Знайти можливі ключі k і t афінного шифру, якщо за допомогою рівняння шифрування
y = kx + t (mod33) біграма МИ відкритого тексту перетворюються на біграму ЛЧ у
шифрованому тексті?
a) k = 20, t = 25 ;
b) k = 24, t = 29 ;
с) k = 10, t = 17 ;
d) k = 11, t = 19 .
53. Відкритий текст спочатку шифрують за допомогою афінного шифру

y = ax + b(mod n) , а далі до отриманої криптограми застосовують інший афінний шифр
y = kx + t (mod n) . Така композиція шифрів еквівалентна афінному шифру
y = px + q (mod n) , де
a) p = bk , q = ak + t ;
b) p = ak , q = tk + b ;
12
с) p = tk , q = ab + t ;
d) p = tk , q = at + b ;
e) p = ak , q = bk + t ;
f) p = ak , q = at + b .
54*. Що допомагає при шифруванні за допомогою омофонної підстановки приховати

частоту появи символів алфавіту відкритого тексту?
a) те, що для шифропозначень літер алфавіту вибирають числа;
b) те, що для заміни літер відкритого тексту використовують не одну, а кілька алфавітів;
с) те, що для літер з великою частотою вживання в даній мові пропонується кілька різних
шифропозначень, а для рідко вживаних літер – одне шифропозначення;
d) те, що для літер з низькою частотою вживання в даній мові, пропонується декілька різних
шифропозначень, а для часто вживаних літер – одне шифропозначення.
55. У часи Другої світової війни для шифрування даних широко використовувся шифр
a) шифр Сцітала;
b) схема Фейстеля;
c) DES;
d) одноразовий блокнот.
56. Коли у шифрі перестановки ключем зашифрування є (7 3 2 1 4 5 6),

то ключем розшифрування буде
a) (7 3 2 1 4 5 6);
b) (3 4 7 1 6 5 2);
c) (6 5 4 1 2 3 7);
d) (4 3 2 5 6 7 1).
57. Якщо фразу ОДНА ЛАСТІВКА ВЕСНИ НЕ РОБИТЬ зашифрувати за допомогою

шифру перестановки з ключем (3 1 4 5 2), то отримаємо
a) НОАЛД ТАІВС ВКЕСА ННЕРИ ИОТЬБ;
b) ТАІВС НОАЛД ВКЕСА ННЕРИ ИОТЬБ;
с) ВКЕСА НОАЛД ННЕРИ ИОТЬБ ТАІВС;
d) ННЕРИ ИОТЬБ НОАЛД ТАІВС ВКЕСА.
58. Що допомагає при шифруванні за допомогою поліалфавітних шифрів приховати

частоту появи символів абетки, якою записано відкритий текст?
a) те, що на початку шифрування потрібно перевести відкритий текст у цифрову форму, а це
змінює частоту появи букв абетки;
b) те, що у процесі шифрування абетка шифротексту змінюється залежно від номера букви у
відкритому тексті;
с) те, що для букв, що мають велику частоту вживання в даній мові, пропонується декілька
різних шифропозначень, а для рідко вживаних букв – одне шифропозначення;
d) те, що для букв, що мають низьку частоту вживання в даній мові, пропонується декілька
різних шифропозначень, а для часто вживаних букв – одне шифропозначення.
59. Застосування тесту Казіскі до криптограми, отриманої за допомогою шифру Віженера,

дозволяє
13
a) знайти довжину ключа;
b) провести частотний аналіз;
с) провести атаку за допомогою грубої сили;
d) відразу дістати відкритий текст.
60. Якщо слово ШПИГУН зашифрувати за допомогою шифру Віженера (алфавіт

український з 33 букв без пропуску між словами) з ключем РОМБ, то отримаємо
шифротекст
a) Л Ґ Ц Ґ И В;
b) А П Р Н О А;
с) В Ч С Ь Б З;
d) Ф Р А Ф П Н.
61. Шифротекст ОТПБХ отримано зі слова МІДЯК за допомогою шифру Віженера

(алфавіт український з 33 букв без пропуску між словами) з секретним ключем
a) МІНОР;
b) НІС;
с) ВІК;
d) КРИК;
e) ДІМ.
62. Скільки можливих ключів довжиною l існує для шифру Віженера, якщо використаний
алфавіт нараховує n літер?
a) ( n − l )! ;
b) n!;
n
с) l ;
l
d) n .
63. За якої умови при шифруванні за допомогою шифру Віженера слова x з ключем y і
слова y з ключем x в обох випадках виникають дві однакові криптограми?
a) до складу слова та ключа мають входити однакові букви, але порядок їх може бути різним;
b) довжина слова та ключа має бути однаковою;
с) слова обов’язково не можуть мати однакових букв;
d) однакові криптограми не можуть виникнути у жодному випадку, що забезпечує ін’єктивність
функції шифрування.
64. При якому ключовому слові γ у шифрі Віженера результат шифрування тексту
українською буде таким самим, як і під час застосування до тексту шифру Цезаря?
a) γ = Г ;
b) γ = АБВ ;
с) γ = ЬЮЯ ;
d) γ = Я .
65. Відкритий текст українською (алфавіт з 33 літер) спочатку шифрують за допомогою

шифру Віженера з ключем 1 довжиною 8, а далі до отриманої криптограми знову
застосовують той самий шифр, але з ключем 2 довжиною 4. Такі послідовні шифрувальні
14
операції еквівалентні одноразовому застосуванню шифру Віженера з ключем мінімальної
довжини
a) 32;
b) 16;
с) 12;
d) 8;
e) 6;
f) 4.
66*. Відкритий текст спочатку шифрують за допомогою шифру Віженера з ключем

довжиною l1 , а далі до отриманої криптограми знову застосовують той самий шифр, але з
іншим ключем довжиною l2 . Така композиція двох шифрів Віженера породжує
еквівалентний шифр Віженера з деяким іншим ключем довжиною l3 . Вкажіть випадки,
коли для наведених значень l1 , l2 значення l3 обчислене правильно.
a) l1 = 4, l2 = 5, l3 = 4 ;
b) l1 = 4, l2 = 5, l3 = 5 ;
с) l1 = 4, l2 = 5, l3 = 20 ;
d) l1 = 12, l2 = 4, l3 = 4 ;
e) l1 = 12, l2 = 4, l3 = 12 ;
f) l1 = 12, l2 = 4, l3 = 48 .
67. Що називають індексом збігу у текстовому рядку?

a) імовірність того, що дві навмання вибрані букви алфавіту стоятимуть поруч у даному рядку;
b) імовірність того, що навмання вибрана буква рядка збігається з навмання вибраною буковою
алфавіту;
с) імовірність того, що дві навмання вибрані букви цього рядка збігаються;
d) різницю ( xi − x j ) mod n , де xi , x j – номери двох букв, розташованих поруч у даному
рядку, n – потужність алфавіту.
68. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , n –

потужність використаного алфавіту. За якою формулою обчислюється індекс збігу
текстового рядка x = ( x1 , x2 ,..., xm ) ?
m −1
∑ f (f i i − 1)
a) I C ( x) = i =0
;
n(n − 1)
n −1
∑ f (f i i − 1)
b) I C ( x) = i =0
m(m − 1)
n −1
с) I C ( x ) = ∑ f (f
i =0
i i − 1)
15
m −1
d) I C ( x) = ∑ f (f
i =0
i i − 1)
69. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , pi –

імовірність появи букви алфавіту в осмисленому тексті заданою мовою, n – потужність
використаного алфавіту. Для рядка довжиною m осмисленого тексту індекс збігу I C ( x)
тексту дорівнює:
n −1
a) I C ( x) = ∑p
i =0
2
i ;
1
b) I C ( x) = ;
m
n −1
∑ f (f i i − 1)
с) I C ( x) = i =0
;
m(m − 1)
m −1
∑ f (f i i − 1)
d) I C ( x) = i =0
.
n(n − 1)
70. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , pi –

імовірність появи букви алфавіту в осмисленому тексті даною мовою, n – потужність
використаного алфавіту. Для рядка довжиною m неосмисленого тексту індекс збігу I C ( x)
дорівнює
n −1
a) I C ( x) = ∑p
i =0
2
i ;
1
b) I C ( x) = ;
m
n −1
∑ f (f i i − 1)
с) I C ( x) = i =0
;
m(m − 1)
m −1
∑ f (f i i − 1)
d) I C ( x) = i =0
.
n(n − 1)
71. Що називають взаємним індексом збігу двох текстових рядків?

a) імовірність того, що дві навмання вибрані букви стоятимуть у рядках на одних й тих самих
позиціях;
b) імовірність того, що навмання вибрана буква першого рядка збігається з навмання вибраною
буквою другого рядка;
16
с) імовірність того, що дві сусідні букви з першого рядка стоятимуть у другому рядку у
зворотному порядку;
d) різницю ( xi − x j ) mod n , де xi , x j – номери двох букв, розташованих у позиціях з
номерами i та j у першому та другому рядках відповідно, n – потужність алфавіту.
72. f 0 , f1 ,..., f n−1 і f 0′, f1′,..., f n′−1 – відповідно частоти появи букв у рядках
x = ( x1 , x2 ,..., xm ) та y = ( y1 , y2 ,..., yM ) відкритого тексту, n – потужність алфавіту. За
якою формулою обчислюється взаємний індекс збігів рядків?
n
a) MI C ( x) = ;
f i f i′
mM
b) MI C ( x ) = ;
f i f i′
m −1
∑ f f′ i i
с) MI C ( x ) = i =0
;
nM
m −1
∑ f f′ i i
d) MI C ( x) = i =0
.
mM
73. Джерело відкритих текстів породжує текст із використанням алфавіту а, b, c, d, e,

імовірність появи букв якої p(a)=0,2; p(b)=0,1; p(с)=0,3; p(d)=0,3; p(f)=0,1. Обчислити індекс
збігу для тексту, генерованого цим джерелом.
a) 1,0;
b) 0,45;
с) 0,24;
d) 0, 48;
e) 0,12;
f) 0,54.
74. Три різних відкритих тексти складені з букв українського алфавіту та записані у три
рядки, індекси збігу яких дорівнюють відповідно 0,0575; 0,0057; 0,0157. Який з рядків може
бути осмисленим текстом?
a) перший;
b) другий;
с) третій;
d) усі три;
e) жоден не є осмисленим текстом.
75. Щоб провести криптоаналіз шифру Віженера методом імовірних слів (потужність
використаного алфавіту n >2 ), необхідно
a) відняти від криптограми ймовірне слово за модулем n у всіх можливих позиціях;
b) додати до криптограми ймовірне слово за модулем n у всіх можливих позиціях;
с) обчислити взаємний індекс збігу у криптограмі та ймовірному слові;
d) обчислити індекс збігу для ймовірного слова.
17
76. Виберіть неправильне твердження.
a) шифр Віженера – поліалфавітний;
b) довжину ключа шифру Віженера можна знайти за допомогою тесту Казіскі;
с) при шифруванні за допомогою шифру Віженера частоти букв криптограми збігаються з
середньостатистичними частотами появи букв у мові, якою написано відкритий текст;
d) індекс збігу для рядків осмисленого тексту завжди більший, ніж для рядків неосмисленого
тексту.
77. При шифруванні за допомогою поліалфавітного шифру

a) букви відкритого тексту міняються місцями;
b) змінюються ключі залежно від номеру букви у відкритому тексті;
с) змінюються слова відповідно до кодової книги;
d) змінюється алфавіт шифротексту залежно від місця букви у відкритому тексті.
78. Скільки можливих ключів існує для шифру перестановки, якщо використаний алфавіт
нараховує 15 букв, а текст містить 10 букв?
a) 10!;
b) 15!;
15
с) 10 ;
10
d) 15 ;
10
e) 2 ;
15
f) 2 .
79. У шифрі одноразового блокноту ключ вибирають

a) за номером першої букви відкритого тексту;
b) з урахуванням шифрування попереднього блоку відкритого тексту;
с) відповідно до ключового розкладу;
d) рівноймовірно та випадково.
80. Нехай ДШОХ – це шифротекст, отриманий за допомогою матричного шифру Хілла при
шифруванні слова КІНЬ з секретним ключем
3 2
a)  
1 9
12 11
b)  
2 9
 9 1
с)  
 2 3
11 9 
d)  
 2 3
81. Якій криптоаналітичній атаці піддається шифр Хілла?

a) атака тільки на основі криптограми;
18
b) атака на основі відомого невибраного відкритого тексту;
с) атака на основі вибраного відкритого тексту;
d) атака на основі вибраної криптограми.
82. Відкритий текст українською (абетка з 33 букс) спочатку шифрують за допомогою

 4 8
шифру Хілла з ключем K1 =   , а далі до отриманої криптограми знову застосовують
 3 1
 15 1 
той самий шифр, але з ключем K 2 =   . Такі послідовні шифрувальні операції
10 2 
еквівалентні одноразовому застосуванню шифру Хілла з ключем
9 4
a)  ;
1 2
 21 10 
b)  ;
 2 5 
 8 20 
с)  ;
 22 5 
 30 22 
d)  .
 13 16 
83. Який з нижченаведених шифрів має інформаційно-теоретичну стійкість?

a) RSA;
b) шифр Віженера;
с) DES;
d) одноразовий шифрувальний блокнот;
e) шифр Хілла.
84. Які умови має задовольняти матриця K , щоб її можна було вибрати як ключ шифру
Хілла для шифрування відкритого тексту, написаного з використанням алфавіт з n букв?
a) усі елементи матриці K мають бути взаємно простими з n ;
b) визначник матриці K має бути взаємно простим з n;
−1
с) має існувати обернена матриця K  у полі цілих чисел;
d) визначник матриці K має ділитися на n.

a) шифр Віженера відноситься до поліалфавітних шифрів;
b) якщо ключ шифру Хілла є квадратна матриця другого порядку, то одиницею шифрування
буде біграма відкритого тексту;
с) шифр Хілла вразливий до методу повного перебору ключів;
d) афінні шифри відносяться до перестановочних.
19
86. Дехто, ігноруючи принципи Керкгоффса, приховує тип шифру, який використовує. Як,
перехопивши шифрограму, з’ясувати, чи використовувався шифр перестановки або шифр
простої заміни?
a) при застосуванні шифру перестановки частоти повторюваності букв у шифрограмах близькі
до середньостатистичних частот букв мови, а при застосуванні шифру простої заміни, частоти
букв у шифрограмах практично збігаються з середньостатистичними частотами букв відкритого
тексту з точністю до їх перестановки.
b) шифрограми, отримані за допомогою шифрів перестановки, мають лінійну структуру,
шифрограми, здобуті при шифруванні заміною, такої структури не мають;
с) провести атаку «зустріч посередині», до якою вразливими є тільки шифри простої заміни, а
шифри перестановки – ні;
d) якщо змінити принаймні одну букву відкритого тексту, то у шифрограмі, отриманій за
допомогою шифру перестановки, частоти букв значно збільшаться, а у шифрограмі, отриманій
при шифруванні підстановкою, частоти майже не зміняться.

a) небезпечно шифрувати двічі за допомогою одного й того самого одноразового блокноту;
b) гама для шифрувального блокноту має бути згенерована випадково;
с) після шифрування одноразовий блокнот має бути знищеним;
d) блокнот, так само, як і відкритий ключ у асиметричній криптографії, не потребує захисту від
фізичного розкриття.
88. Поставте у відповідність поняття: пароль (I); вектор ініціалізації (II); сіль (III); ключ
криптосистеми (IV) та їх визначення.
а) випадкове число, що регулярно обновлюється, передається каналом керування та
використовується для початку роботи алгоритму шифрування;
б) рядок випадкових даних, що подається на вхід однобічної функції разом з паролем, причому
обчислене значення функції зберігається для наступної автентифікації;
в) змінний параметр, кожному значенню якого відповідає одне з можливих відображень, які
можна здійснити за допомогою криптосистеми;
г) послідовність символів, що задає ключ або надає доступ до криптографічних або
обчислювальних засобів.
а) І – б; ІІ – в; ІІІ – а; IV – г;
b) І – в; ІІ – г; ІІІ – б; IV – а;
c) І – г; ІІ – а; ІІІ – б; IV – в;
d) І – а; ІІ – б; ІІІ – г; IV – в;
e) І – г; ІІ – в; ІІІ – а; IV – б.
89. Розташуйте наступні чотири шифри за зростанням розсіювання інформації при

шифруванні: шифр Цезаря (1), шифр Віженера (2), одноразовий шифрувальний блокнот
(3), моноалфавітна підстановка (4).
a) 1, 2, 4, 3;
b) 2, 1, 4, 3;
с) 3, 1, 2, 4;
d) 4, 2, 3, 1.
90. Криптографічна стійкість шифру – це:

a) здатність криптографічного алгоритму генерувати сильні ключі;
20
b) засекреченість криптографічного алгоритму;
с) здатність криптографічного алгоритму протистояти криптоаналізу;
d) захищеність каналів обміну даними.
91. Що таке теоретична (абсолютнa) криптографічна стійкість криптосистеми?

a) стійкість криптосистеми за наявності у криптоаналітика необмеженого часу, необмежених
обчислювальних ресурсів, найкращих методів криптоаналізу;
b) стійкість криптосистеми на поточний момент часу з врахуванням того, що криптоаналітик
володіє сучасними методами криптоаналізу, проте час та обчислювальні ресурси обмежені;
с) немає правильної відповіді.
92. Що таке практична (обчислювальнa) криптографічна стійкість криптосистеми?

a) стійкість криптосистеми за наявності у криптоаналітика необмеженого часу, необмежених
обчислювальних ресурсів, найкращих методів криптоаналізу;
b) стійкість криптосистеми на поточний момент часу з врахуванням того, що криптоаналітик
володіє сучасними методами криптоаналізу, проте час та обчислювальні ресурси обмежені;
с) немає правильної відповіді.
93*. Що з перерахованого належить до показників стійкості криптосистеми?

a) час, необхідний для реалізації атаки на доступних або перспективних обчислювальних
засобів;
b) обсяг пам’яті, необхідний для виконання криптографічного аналізу;
с) мінімально необхідна для успішної реалізації атаки кількість пар „відкритий текст-
шифротекст”;
d) максимально необхідна для успішної реалізації атаки кількість пар „відкритий текст-
шифротекст”;
e) секретність алгоритму шифрування;
f) секретність ключа шифрування.
94. Що таке атака на шифр на основі шифротексту?

a) криптоаналітику відомий алгоритм шифрування і в його розпорядженні є деяка множина
перехоплених повідомлень (криптограм), але не відомий секретний ключ;
b) криптоаналітик має доступ, принаймні, до обмеженої кількості пар відкритого тексту та
відповідного шифрованого тексту;
с) криптоаналітик володіє певною кількістю відкритих текстів і відповідних шифротекстів, крім
того, він має можливість зашифрувати кілька попередньо обраних відкритих текстів;
d) криптоаналітик збирає інформацію про шифр шляхом підбору зашифрованого тексту; для
цього він вибирає необхідну кількість криптограм і отримує для них відкриті тексти. Як
правило, криптоаналітик може скористатися пристроєм розшифрування один або декілька разів
без знання ключа.
95. Що таке атака на шифр на основі відкритого тексту?

21
96. Що таке атака на шифр на основі обраного відкритого тексту?

97. Що таке атака на шифр на основі обраного шифротексту?

98. Як називають метод розкриття шифру, що ґрунтується на припущенні про існування

залежності між частотою появи символів у відкритих текстах і відповідних шифрозамін у
шифрограмах:
a) диференційний криптоаналіз;
b) інтегральний криптоаналіз;
с) частотний криптоаналіз;
d) лінійний криптоаналіз;
e) адаптивний криптоаналіз;
f) грубої сили.
99. Як називають метод розкриття симетричного блокового шифру та інших

криптографічних примітивів, наприклад, хеш-функцій, заснований на вивченні різниць
між шифрованими значеннями на різних раундах для пари підібраних відкритих
повідомлень при їх шифруванні з одним і тим же ключем:
22
100. Як називають аналогічний диференційному метод розкриття шифру, який
відрізняється тим, що розглядає дію алгоритму не на пару, а на множину відкритих
текстів:
a) атака по словнику;
101. Як називають метод розкриття шифру, що використовує лінійні наближення для

опису його роботи і виконується у два етапи: 1) побудова лінійних співвідношень, які з
високою імовірністю справедливі між відкритим текстом, шифрограмою і ключем; 2)
використання цих співвідношень з відомими парами „відкритий текст – шифрограма” для
отримання бітів ключа:
102. Метод „грубої сили” в криптоаналізі інакше називається методом:

a) частотного криптоаналізу;
b) повного перебору ключів;
с) лінійного криптоаналізу;
d) диференційного криптоаналізу;
e) інтегрального криптоаналізу.
103. Як називають метод розкриття шифру, у якому криптоаналітик має можливість

вибирати нові шифрограми для розшифровки з урахуванням того, що йому відома деяка
інформація з попередніх повідомлень, наприклад, криптоаналітик може використовувати
повідомлення криптосистеми про помилки невідповідності шифрограми стандарту і
послідовно надсилати помилкові шифрограми для уточнення параметрів криптосистеми:
a) атака з вибором шифротексту;
b) атака з відомим шифротекстом;
с) адаптивна атака з вибором шифротексту;
d) атака на основі зв’язаних ключів;
e) диференційний криптоаналіз;
f) атака по словнику.
104. Як називають метод криптоаналізу, коли криптоаналітик знає не самі ключі, а деякі
відмінності (співвідношення) між ними, наприклад, для кожного нового повідомлення
попереднє значення ключа збільшується на деяке число:
a) атака з вибором шифротексту;
b) атака з відомим шифротекстом;
с) адаптивна атака з вибором шифротексту;
d) атака на основі зв’язаних ключів;
23
e) диференційний криптоаналіз;
f) атака по словнику.
105. Шифр має теоретико-інформаційну стійкість, якщо:

a) розкриття шифру найкращим з існуючих криптоаналітичних алгоритмів потребує
невиправдано великих витрат обчислювальних ресурсів;
b) отримання інформації про шифротекст C не змінює інформацію про відповідний відкритий
текст M : P ( M | C ) = P ( M ) ;
с) розкриття шифру можна звести до розв’язання деякої важкорозв’язувальної математичної
проблеми, покладеної в основу криптоалгоритму;
d) розкриття шифру можливо тільки за умови, що криптоаналітик має нескінченно великі
обчислювальні ресурси та необмежений час.
106. Щоб шифр мав довідну стійкість, потрібно

a) довести, що шифр неможливо зламати за допомогою всіх існуючих криптоаналітичних
алгоритмів;
b) довести стійкість шифру за допомогою теорії інформації;
с) звести розкриття шифру до розв’язання важкої математичної проблеми, що лежить в основі
шифру;
d) показати, що розкриття шифру можливо тільки, коли криптоаналітик має нескінченно великі
обчислювальні ресурси.
107. Якщо шифр має гарантовану обчислювальну стійкість, то

a) алгоритм, що реалізує процес шифрування, потребує невиправдано великих витрат
обчислювальних ресурсів;
b) розкрити шифр неможливо будь-яким криптоаналітичним алгоритмом, навіть маючи
необмежені обчислювальні ресурси та час;
с) найкращий з існуючих критоаналітичних алгоритмів потребує невиправдано великих витрат
обчислювальних ресурсів (обчислювальні ресурси та час є обмеженими);
d) в основу криптоалгоритму шифрування покладено розв’язання деякої важкообчислювальної
проблеми.
108*. Які з нижченаведених шифрів мають теоретико-інформаційну стійкість?

a) RSA;
с) DES;
d) одноразовий шифрувальний блокнот (Вернамa);
109*. Які з нижченаведених шифрів на сьогодні не мають гарантованої обчислювальної

стійкості?
a) RSA;
с) AЕS;
d) DES;
110*. Які з нижченаведених шифрів відносяться до шифрів з довідною стійкістю?
24
a) RSA;
с) AЕS;
d) одноразовий шифрувальний блокнот (Вернамa);
e) шифр Ель-Гамаля.
111. Нехай x – відкритий текст, y – його криптограма, k – ключ шифру. Яка ймовірність
цікавіша для криптоаналітика?
a) p ( x | y ) ;
b) p ( y | x) ;
с) p ( x | k ) ;
d) p ( y ) .
112. Нехай x – відкритий текст, y – його криптограма, отримана за допомогою шифру з

ключем k . За якої умови шифр буде досконало стійким?
a) p ( x | y ) = p ( y ) ;
b) p ( x | y ) = p ( x) ;
с) p ( x | y ) = p ( k ) ;
d) p ( x | k ) = p ( y ) .
113. Для шифру з ентропіями ключів H ( K ) , криптограм H (Y ) та відкритих текстів

H ( X ) у будь-якому випадку не може виконуватися співвідношення
a) H (Y | X , K ) = 0 ;
b) H ( X | K , Y ) = 0 ;
с) H ( K | Y ) = H ( K ) + H ( X ) − H (Y ) ;
d) H ( K | Y ) = H ( X ) − H ( K ) .
114. Якими нерівностями зв’язані потужності просторів відкритих текстів | X | ,

шифрованих текстів | Y | та ключів | K | досконало стійкого шифру?
a) | X |≥| Y |≥| K | ;
b) | X |≥| Y |,| Y |≤| K | ;
с) | X |≤| Y |≤| K | ;
d) | X |≤| Y |,| Y |≥| K |
115. Нехай | K | – потужність простору ключів деякого шифру. З цього простору

обирається навмання сукупність з n ключів. Яка ймовірність того, що потрібний ключ
буде відсутній у цій сукупності (у відповіді ця ймовірність апроксимується за допомогою
числа e)?
−| K |/ n
a) e ;
− |K | / n
b) e ;
− n / |K |
с) e ;
25
−| K |/ n 2
d) e .
116. Шифр називається ендоморфним, якщо

a) простір відкритих текстів збігається з простором криптограм;
b) для букв (або їх сукупностей) з великою частотою вживання в даній мові пропонується кілька
різних шифропозначень;
с) його стійкість можна довести за допомогою теорії інформації;
d) у криптоалгоритмі для зашифрування і розшифрування використовують різні ключі.
117. Яке з нижченаведених положень не має відношення до шифрування за допомогою

одноразового шифрувального блокноту?
a) шифрувальна гама має бути істинно випадковою числовою послідовністю;
b) шифрувальна гама може використовуватися лише один раз;
с) довжини використаної шифрувальної гами та відкритого тексту однакові;
d) відкритий текст розбивається на блоки, до кожного з яких додається однаковий блок
шифрувальної гами.
118. Джерело відкритих текстів породжує текст посимвольно із використанням алфавіту

{а,b,c,d,e}. При якому з нижченаведених розподілів імовірностей символів алфавіту
ентропія згенерованого тексту буде максимальною?
a) p(a) = p(b) = 0,3; p(с) = p(d) = 0,2; p(f) = 0;
b) p(a) = p(b) = p(с) = p(d) = p(f) = 0,2;
с) p(a) = p(b) = p(с) = p(d) =0; p(f) = 1;
d) p(a) = 0,2; p(b) = 0,1; p(с) = 0,3; p(d) = 0,3; p(f) = 0,1.
119. Джерело відкритих текстів породжує текст посимвольно із використанням алфавіту

{а,b,c,d,e}. При якому з нижченаведених розподілів імовірностей символів алфавіту
ентропія згенерованого тексту буде мінімальною?
a) p(a) = p(b)=0,3; p(с) = p (d) = 0,2; p(f) = 0;
b) p(a) = p(b) = p(с) = p(d) = p(f) = 0,2;
с) p(a) = p(b) = p(с) = p(d) = 0; p(f) = 1;
d) p(a) = 0,1; p(b) = 0,2; p(с) = 0,3; p(d) = 0,3; p(f) = 0,1.
120. Ентропія мови – це

a) різниця між кількостями інформації, що містяться у відкритому та шифрованому текстах;
b) міра кількості інформації, що припадає на одну букву відкритого тексту даною мовою;
с) міра кількості інформації, що припадає на всі букви відкритого тексту даною мовою;
d) міра кількості інформації, яка залишається у шифрованому тексті.
121. Якщо H r – ентропія ймовірнісного розподілу r -грам відкритого тексту деякою

Hr
мовою, то чому дорівнює границя lim ?
r →∞ r
a) надлишковості мови;
b) відстані єдиності (унікальності) шифру;
с) абсолютній ентропії мови;
d) ентропії мови.
26
122. За якою формулою визначається надлишковість мови з ентропією Н, якщо для запису
відкритих текстів цією мовою використовується алфавіт з m букв?
H
a) D = ;
log 2 m
log 2 m
b) D = ;
H
log 2 m
с) D = − 1;
H
H
d) D = 1 − .
log 2 m
123. Якщо у комп’ютері стискання тексту, поданого у коді ASCII, відбувається за

допомогою ідеально архівуючого алгоритму, то надлишковість стиснутого тексту
a) зростає;
b) дорівнює надлишковості мови;
с) не змінюється;
d) наближається до нуля.
124. Нехай надлишковість деякої мови становить 75%. Тоді без втрати інформації
a) у відкритому тексті цією мовою можна викреслити будь-які три з чотирьох букв;
b) у відкритому тексті цією мовою можна викреслити не більше, ніж одну з чотирьох букв;
с) при оптимальному кодуванні відкритий текст можна стиснути на 3/4 довжини;
d) при оптимальному кодуванні відкритий текст можна стиснути не більше, ніж на чверть
довжини.
125. Відстань єдиності (унікальності) шифру за ключем – це

a) мінімальна довжина шифрованого тексту, необхідного для однозначного визначення
істинного ключа шифру;
b) максимальна довжина шифрованого тексту, що можна отримати при шифруванні одного
блока інформації;
с) довжина істинного ключа шифру;
d) кількість фальшивих ключів шифру.
126. Відстані єдиності (унікальності) двох шифрів дорівнюють L1 і L2 відповідно. Якому з

них слід віддати перевагу при шифруванні, якщо L1 > L2 ?
a) першому;
b) другому;
с) жоден з шифрів не має переваг;
d) інша відповідь.
127. За якою формулою визначається відстань єдиності (унікальності) шифру за ключем

для потокового шифру з рівноймовірним вибором ключів, якщо потужність ключового
простору K , надлишковість мови D, ентропія мови H , а алфавіт відкритих текстів
складається з m букв?
27
log 2 | K |
a) L0 = ;
D ⋅ log 2 H
log 2 m
b) L0 = ;
D ⋅ log 2 | K |
log 2 | K |
с) L0 = ;
D ⋅ log 2 m
log 2 | K |
d) L0 = .
m ⋅ log 2 H
128. Обчислити відстань єдиності (унікальності) шифру за ключем для потокового шифру
60
з рівноймовірними ключами, якщо потужність ключового простору дорівнює 2 ,
надлишковість мови 75 %, а абетка налічує 32 букви?
a) 48 букв;
b) 25 букв;
с) 64 букви;
d) 16 букв.
129. Формула для невизначеності (ентропії) H шифру Y за ключем K має вигляд

a) H ( K | Y ) = H ( K ) − H ( X ) − H (Y )
b) H ( K | Y ) = H ( K ) − H ( X ) + H (Y )
с) H ( K | Y ) = H ( K ) + H ( X ) − H (Y )
d) H ( K | Y ) = H ( K ) + H ( X ) + H (Y )
130. Скільки бітів інформації залишається знайти про істинний ключ шифрування після
перехоплення криптограми, якщо ентропія відкритих текстів H ( X ) = 2 біта, ентропія
ключів H ( K ) = 1,5 біта, ентропія шифрованих текстів H (Y ) = 2,7 біта? Скільки при
цьому бітів інформації про ключ «повідомляє» криптограма?
a) 0,4 бітів; 1,1 біта;
b) 0,8 бітів; 0,7 біта;
с) 2,2 бітів; 0,7 біта;
d) 3,2 бітів; 1,7 біта.
131*. Завдяки надлишковості мови

a) усі відкриті тексти є рівноймовірними;
b) невизначеність відкритого тексту зменшується у разі зростання кількості відомих символів
шифрованого тексту;
с) середня ентропія букви у відкритому тексті значно більша, ніж log 2 m (m – потужність
використаної абетки);
d) ентропія мови менша, ніж її абсолютна ентропія.
132. Перемішування інформації під час шифрування приховує зв’язок між:

a) секретним та відкритим ключем;
b) відкритим та зашифрованим текстом;
28
с) між початком та кінцем шифротексту;
d) шифротекстом та ключем.
133. Ефект розсіювання під час шифрування

a) збільшує кількість шифротекстів, які зашифровані на одному ключі;
b) поширює вплив кожного знаку відкритого тексту та елемента ключа на значну кількість
знаків шифротексту, що дозволяє приховати статистичні властивості відкритого тексту;
с) спрощує процедуру розшифрування криптограми;
d) приховує елементи ключа серед знаків шифрованого тексту.
134*. Які з наступних шифрів забезпечують ефективне розсіювання та перемішування

інформації?
a) шифр простої заміни;
b) шифр Хілла;
с) шифр Віженера;
d) криптосистема DES.
135. Алгоритм шифрування є блоковим, якщо

a) він не застосовує схему Фейстеля;
b) він зашифровує/розшифровує блоки тексту фіксованої довжини;
с) в алгоритмі обов’язково використовуються S-бокси;
d) у ньому ключ завжди поділяється на блоки фіксованої довжини, які послідовно
використовуються при шифруванні.
136. Мережу Фейстеля покладено в основу багатьох блокових шифрів, оскільки

a) збільшення кількості раундів шифрування забезпечує підвищення стійкості криптоалгоритму;
b) для оборотності мережі Фейстеля обов’язково потрібна оборотність функції ускладнення;
с) мережа Фейстеля достатньо компактна та проста для реалізації;
d) інших способів реалізації блокових шифрів не існує.
137. Необоротність функцій ускладнення, що застосовані у схемі Фейстеля, можна

подолати за допомогою
a) перестановок;
b) S-боксів;
с) операції ХOR;
d) розбиття процесу шифрування на раунди.
138. Нехай мережа Фейстеля, що складається з n раундів, використовує лінійні функції

ускладнення, тобто в i -му раунді виконуються такі операції: Li +1 = Ri , Ri +1 = Li ⊕ Ri ⊕ K i , де
Ki – підключ раунду. Як розшифрувати шифрований текст?
a) Ri = Li +1 , Li = Ri ⊕ Li ⊕ K i , i = n, n − 1,...,1 ;
b) Ri = Li +1 , Li = Ri +1 ⊕ Li +1 ⊕ Ki , i = n, n − 1,...,1 ;
с) Ri = Li +1 , Li = Li +1 ⊕ Ki +1 , i = n, n − 1,...,1 ;
d) Ri = Li ⊕ Ki , Li = Li +1 ⊕ Ri +1 , i = n, n − 1,...,1 .
139. Нехай блоковий шифр з довжиною блоку 32 біта реалізує моноалфавітну заміну.
Скільки спроб у найгіршому випадку знадобиться виконати криптоаналітику для
дешифрування перехопленого шифрованого блоку, що містить 7 одиниць та 25 нулів?
29
a) 27 ;
b) 218 ;
с) 232 ;
d) 264 .
140. При шифруванні на вхід блокового шифру, котрий спроектовано як шифр
перестановки, мають подаватися 32-бітові блоки відкритого тексту. Скільки спроб має
виконати криптоаналітик (у найгіршому випадку), щоб дешифрувати перехоплений
шифрований блок, що містить 7 одиниць та 25 нулів?
32
a) 2 ;
7
b) 2 ;
с) 32! ;
7
d) C32 .
141. Стійкість правильно спроектованого блокового шифру при збільшенні кількості

раундів шифрування
a) зростає;
b) зменшується;
с) не змінюється;
142. Яка інша назва операторів перестановки у блокових шифрах?

a) P-бокси;
b) S-бокси;
с) оператори циклічного зсуву;
d) ключовий розклад.
143. Яка інша назва операторів підстановки у блокових шифрах?

a) P-бокси;
b) S-бокси;
с) оператори циклічного зсуву;
d) ключовий розклад.
144. S-боксом блокового шифру називають оператор

a) циклічного зсуву на змінну кількість бітів;
b) табличну заміну, за допомогою якої одна група бітів відображається в іншу групу;
с) оператор перевпорядкування бітів у блоці;
d) фіксовану перестановку бітів у блоці.
145. Який оператор блокового шифру називають P-боксом?

a) циклічного зсуву на змінну кількість бітів;
b) табличну заміну, за допомогою якої одна група бітів відображається в іншу групу;
с) оператор упорядкування байтів у блоці;
d) фіксовану перестановку бітів у блоці.
30
146. Сконструюйте прямий P-бокс 8х8 , що у вхідному блоці міняє місцями четвертий і
перший біти, а також п’ятий та восьмий відповідно, залишаючи решту бітів без змін.
a) (1 4 5 8);
b) (1 2 3 6 7 8);
с) (4 1 8 5 2 3 6 7);
d) (4 2 3 1 8 6 7 5).
147. Яка з нижченаведених послідовностей бітів описує P-бокс розширення довжиною вісім
бітів?
a) (1 2 6 7 5 8);
b) (1 2 6 4 5 3 7 8);
с) (1 3 7 2 4 5 6 5 7 8);
d) (1 3 2 4 6 7 5 8).
148. Яка з нижченаведених послідовностей бітів описує P-бокс стискання довжиною вісім
бітів?
a) (1 2 6 7 5 8);
b) (1 2 6 4 5 3 7 8);
с) (1 3 7 2 4 5 6 5 7 8);
d) (1 3 2 4 6 7 5 8).
149. Які з нижченаведених операторів блокових шифрів є оборотними?

a) прямі P-бокси;
b) P-бокси розширення;
с) P-бокси стискання;
d) S-бокси, що мають на вході та виході різну кількість бітів.
150. Яке значення буде на виході S-боксу блокового шифру, який задається
нижченаведеною таблицею, якщо на вхід боксу подано комбінацію 101?
Праві біти
Ліві біти 00 01 10 11
0 011 101 111 100
1 000 010 001 110
a) 110;
b) 011;
с) 101;
d) 010.
151. У шифрах, що реалізують схему Фейстеля, застосовуються оператори (функції

перетворення)
a) тільки оборотні;
b) тільки необоротні;
с) оборотні та необоротні;
152. У шифрах, які не реалізують схему Фейстеля, застосовуються оператори (функції

перетворення)
a) тільки оборотні;
31
b) тільки необоротні;
с) оборотні та необоротні;
153. Які з нижченаведених шифрів побудовані на основі мережі Фейстеля?

a) AES;
b) DES;
с) RSA;
d) ДСТУ ГОСТ 28147:2009.
154* Які з нижченаведених шифрів не побудовані на основі мережі Фейстеля?

a) AES;
b) DES;
с) RSA;
d) ДСТУ ГОСТ 28147:2009.
155* Які твердження правильні щодо побудови алгоритму DES?

a) в його основі лежить мережа Фейстеля;
b) ефективна довжина ключа шифру дорівнює 64 біти;
с) для шифрування використовується множення за модулем 2 + 1 ;
64
d) для шифрування застосовуються S-бокси.
156. Яку довжину має ключ алгоритму DES після вилучення перевірочних бітів?
a) 48;
b) 56;
с) 64;
d) 128 .
157. Який розмір раундового ключа у алгоритмі DES (у бітах):

a) 48;
b) 56;
с) 64;
d) 128.
158. Скільки раундів шифрування у алгоритмі DES?

a) 32 ;
b) 4;
с) 12;
d) 16.
159. Після виконання скількох раундів шифрування за допомогою алгоритму DES можна
вважати шифрований текст випадковою функцією відкритого тексту та ключа?
a) 5 ;
b) 6;
с) 7;
d) 8.
32
160. При зашифруванні за алгоритмом DES після 16-го раунду правий та лівий півблоки
шифрованого тексту
a) не міняються місцями, а відразу об’єднуються в один блок;
b) міняються місцями, а потім об’єднуються в один блок;
с) міняються місцями, об’єднуються в один блок і далі шифруються останній раз;
d) додаються до лівого та правого півблоків відкритого тексту.
161. За яким порядком використовують раундові ключі при розшифруванні тексту,

зашифрованого за допомогою криптоалгоритму DES?
a) у тому ж порядку, що й при зашифруванні;
b) у зворотному порядку порівняно з зашифруванням;
с) у будь-якому порядку;
d) раундові ключі при зашифруванні та розшифруванні не збігаються.
162. Чому під час генерації раундових ключів у алгоритмі DES не використовуються
перевірочні біти?
a) вони лінійно виражаються через відповідні інші біти;
b) неможливо побудувати схему формування раундових ключів з ключа довжиною 64 біти;
с) не існує P-боксу стискання з 64 бітів до 48 бітів;
d) не існує P-боксу розширення з 48 бітів до 64 бітів.
163. За допомогою якої операції у алгоритмі DES довжина раундового ключа зменшується
до 48 бітів?
a) вилучення перевірочних бітів;
b) зсуву межових бітів;
с) застосування S -боксу;
d) використання стискаючої перестановки.
164. Відомі слабкі ключі алгоритму DES породжують

a) раундові підключі малого розміру;
b) два різних раундових підключі, що повторюються вісім разів;
с) однакові підключі для усіх раундів;
d) раундові підключі великого розміру.
165. Напівслабкі ключі алгоритму DES породжують

a) раундові підключі малого розміру;
b) два різних раундових підключі і далі повторюють їх вісім разів;
с) однакові раундові підключі того самого вигляду, що й ключ шифру;
d) ключі, що не шифрують відкритий текст.
166. На вхід S-боксу алгоритму DES подаються два вектори: x та y = x ⊕ 001100 . Якою
найменшою кількістю бітів відрізнятимуться вектори x та y на виході S-боксу ?
a) 1;
b) 2;
с) 3;
d) 4.
167. Заміни у S - боксі алгоритму DES мають наступний вигляд:
33
15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10
3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5
0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15
13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9
Які вхідні бітові вектори мають потрапити на вхід S -боксу, щоб на виході з нього
отримати комбінацію 0101?
a) 001100; 011101; 100000; 101001;
b) 000110; 011011; 100010; 110011;
с) 011100; 011111; 110000; 111011;
d) 000110; 001111; 101010; 100011.
168. Гіпотетичний S -бокс S( x )

12 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7
1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2
7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8
2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11
використовується аналогічно стандартним S-боксам алгоритму DES, перетворюючи
вхідний 6-бітовий вектор у вихідний 4-бітовий. Установіть відповідність між вхідними
векторами 111001, 000110, 000101, 001101 та виходами 0100, 1101, 0111, 0011.
a) S(111001)=0011, S(000110)=0100, S(000101)=1101, S(001101)=0111;
b) S(111001)=0111, S(000110)=1101, S(000101)=0100, S(001101)=0011;
с) S(111001)=0100, S(000110)=1101, S(000101)=0011, S(001101)=0111;
d) S(111001)=0011, S(000110)=1101, S(000101)=0100, S(001101)=0111.
169. Вставте пропущене слово: «За допомогою P-боксів алгоритму DES чотири біти від
кожного S-боксу у наступному раунді потрапляють у ……… інших різних S -боксів».
a) чотири;
b) п’ять;
с) шість;
d) вісім.
170. З якою метою в алгоритм DES введена розширювальна перестановка?

a) для перемішування даних;
b) для узгодження розмірів півблока даних та раундового ключа;
с) для зручність подальшої роботи з S -боксами;
d) для уведення далі стискаючої перестановки.
171. Якщо за допомогою криптоалгоритму DES зашифрувати відкритий текст M = [0]

64
(64 нулі), то отримаємо

a) підключ першого раунду;
64
b) шифрований текст, що буде відрізнятися від [0] ;
с) ключ шифру;
64
d) шифрований текст у вигляді [0] .
34
172*. Для яких з нижченаведених шифрів буде правильним таке твердження: «Композиція
двох шифрів з різними ключами K1 і K 2 еквівалентна такому самому шифру з деяким
іншим ключем K 3 »?
a) афінний шифр;
b) шифр Віженера з ключами однакової довжини;
с) алгоритм DES;
d) шифр Віженера з ключами різної довжини;
e) шифр Хілла з ключовими матрицями однакового порядку;
f) моноабеткова підстановка.
173. Основний чинник того, що шифрування за допомогою криптоалгоритму DES

вважається на сьогодні нестійким – це …
a) виявлення небезпечного дефекту у конструкції S-боксів алгоритму;
b) відмова провідних розробників шифрів від мережі Фейстеля;
с) можливість зламати шифр за допомогою квантового комп’ютера;
d) недостатня довжина ключа шифру в умовах зростання потужності обчислювальної техніки.
174. Відкритий текст M = [0] [1]

32 32
шифрують за допомогою алгоритму DES з ключем
K = [1] і після першого раунду отримують шифрований текст C . Якщо, використавши
56
ключ K ′ = [0] , на вхід алгоритму DES подати відкритий текст M ′ = [1] [0] , то після
56 32 32
першого раунду отримаємо шифрований текст:

a) C ;
b) M;
с) C;
d) C ⊕ M ;
e) недостатньо інформації.
175. Відкритий текст M = [1]

64
шифрують за допомогою алгоритму DES та ключа
K = [1] . Який проміжний текст буде отримано після першого раунду?
56
a) FFFFFFFF43272443;
b) 1111111143272443;
с)FFFFFFFF27272443 ;
d) ABABABABABABABAB;
e) 4327244311111111 .
176*. Нехай [0]28 позначає вектор, що складається з 28 нульових бітів. Які 4 з наведених
ключів алгоритму DES відносяться до слабких?
a) [0]28 [0]28 ;
b) [ A]7 [ A]7
с) [ F ]7 [ F ]7
d) [ A]7 [ B ]7
e) [0]28 [1]28
f) [1]28 [0]28
35
177*. Які твердження правильні щодо шифрування за допомогою алгоритму DES?
a) у першому раунді розшифрування використовується раундовий ключ K1 ;
b) у тринадцятому раунді розшифрування використовується раундовий ключ K 4 ;
с) якщо на вхід i -ого раунду зашифрування потрапив блок Li −1 || Ri −1 , то на вхід (16–i)-ого раунду
розшифрування подається блок Ri || Li ;
d) у процесі розшифрування на вхід фінальної перестановки IP −1 потрапляє блок L16 || R16 .
178. Алгоритм DES з 56-бітовим ключем у 1979 р., коли він був стандартом шифрування,
мав достатню криптостійкість, щоб протистояти повному перебору ключів на
стандартному комп’ютері тих часів. Приймемо, що потужність комп’ютерної техніки
загального призначення щороку зростає приблизно на 40%. Тоді у 2013 році алгоритм DES
«не поступився» б повному перебору ключів, якби довжина його ключа була б не меншою,
ніж
a) 68 біт;
b) 70 біт;
с) 73 біти;
d) 85 біт;
e) 98 біт.
179. Криптоалгоритм 2DES вразливий щодо атаки «зустріч посередині». Її суть полягає у
наступному: для пари «відкритий текст M – відповідний шифрований текст C» на
кожному з можливих ключів зашифровується відкритий текст EK ( M ) і розшифровується
шифрований текст DK (C ) . Ключ шифру складається з пари ключів ( K1 , K 2 ) , для якої
a) EK ( M ) ⊕ C = DK (C ) ⊕ M ;
1 2
b) EK (C ) = DK ( M ) ;
1 2
с) EK ( M ) = EK ( M ), DK (C ) = DK (C ) ;
1 2 1 2
d) EK ( M ) = DK (C ) .
1 2
180. Чому алгоритм 2DES не використовується для шифрування інформації?

a) занадто велика складність обчислень такого шифрування;
b) різко зростає кількість слабких та напівслабких ключів;
с) недостатня довжина ключа;
d) за допомогою атаки «зустріч посередині» стійкість алгоритму 2DES зводиться до стійкості
звичайного DES.
181. Яка атака робить шифрування за допомогою криптоалгоритму 2DES марним у

порівнянні з шифруванням за алгоритмом DES?
a) атака «зустріч посередині»;
b) атака за допомогою грубої сили;
с) атака на основі вибраного відкритого тексту;
d) атака на основі вибраного шифрованого тексту.
182. Який об’єм комп’ютерної пам’яті знадобиться для проведення атаки «зустріч
посередині» на l-блоковий шифр, якщо подвійне зашифрування здійснюється у
відповідності з рівнянням C = EK EK ( M ) , а довжина кожного з ключів K1 , K 2 складає n
1 2
бітів?
36
a) 2nl ;
b) 2n +l ;
c) 2n (n + l ) ;
d) 2l ( n + l ) ;
e) 2n + n + l
183. Вставити пропущені слова: «Якщо відкритий текст шифрують за допомогою

криптосистеми 3DES з двома ключами, то найпоширенішою схемою є така: у першому
каскаді виконується … , у другому каскаді – …, у третьому каскаді – …»
a) зашифрування, зашифрування, розшифрування;
b) зашифрування, розшифрування, зашифрування;
с) розшифрування, зашифрування, розшифрування;
d) розшифрування, розшифрування, зашифрування.
184. Яким є відношення довжини ефективного ключа алгоритму 3DES до довжини

ефективного ключа простого алгоритму DES? Врахувати можливість проведення атаки
«зустріч посередині».
a) 80/32;
b) 112/64;
с) 168/56;
d) 80/56.
185. Чому дорівнює відношення швидкості шифрування v1 за допомогою криптоалгоритму

DES до швидкості шифрування v2 за допомогою криптоалгоритму 3DES?
a) 9;
b) 2;
с) 3;
d) 1/3;
e) 6;
f) 1/2.
186. Поясніть принцип схеми шифрування криптосистеми 3DES.

a) у криптосистемі 3DES завжди використовуються три окремі 128-бітові ключі, з яких за
ключовим розкладом виробляється ефективний ключ довжиною 384 біти;
b) у криптосистемі 3DES спочатку двічі виконується шифрування на двох 56-бітових ключах, а
далі – шифрування за допомогою функції «зустріч посередині» і ключа довжиною 112 бітів;
с) у криптосистемі 3DES використовуються два або три 56-бітові ключі, текст обробляється за
схемою «зашифрування-розшифрування-зашифрування» або «зашифрування-зашифрування-
зашифрування»;
d) у криптосистемі 3DES спочатку виконується зашифрування і розшифрування на двох різних
56-бітових ключах, а далі – шифрування за допомогою функції «зустріч посередині» і ключа
довжиною 256 бітів.
187. Який алгоритм став стандартом симетричного алгоритму блокового шифрування

США, витіснивши алгоритм DES?
a) RSA;
b) KERBEROS;
с) BLOWFISH;
37
d) RIJNDAEL.
188. Поліном x 7 + x5 + 1 у полі GF (28 ) відповідає 8-бітовому слову:

a) 10100001;
b) 10000010;
с) 01100001;
d) 11100001.
189. У алгоритмі AES певні операції виконуються над байтами, які розглядаються як
елементи поля
a) GF (216 ) ;
b) GF (28 ) ;
с) GF (22 ) ;
d) GF (232 ) .
190. Який многочлен у полі GF (28 ) відповідає байту 01010111 (57 у шістнадцятирічній
системі числення)?
a) x8 + x5 + x3 + x 2 + x ;
b) x5 + x3 + x 2 + 1 ;
с) x 7 + x 4 + x 2 + x + 1 ;
d) x 6 + x 4 + x 2 + x + 1 .
191. Який многочлен у полі GF (28 ) відповідає байту F8 у шістнадцятковій системі

числення?
a) x8 + x 7 + x 6 + x5 + x 4 ;
b) x 7 + x 6 + x5 + x 4 + x3 + x + 1 ;
с) x 7 + x 6 + x5 + x 4 + x3 ;
d) x 2 + x + 1 .
192. У алгоритмі AES множення елементів поля GF (28 ) зводиться до множення

многочленів із зведенням їх за модулем двійкового многочлену
a) x8 + x5 + x3 + x 2 + 1 ;
b) x 6 + x3 + x 2 + x + 1 ;
с) x8 + x 4 + x3 + x + 1 ;
d) x 6 + x 4 + x 2 + x + 1 .
193. Чим відрізняється шифрування в останньому раунді алгоритму AES від шифрування
у попередніх раундах?
a) відсутністю перемішування стовпців матриці State;
b) відсутністю заміни байтів;
с) відсутністю зсуву рядків матриці State;
d) відсутністю додавання раундового підключа.
194*. Що забезпечує стійкість криптоалгоритму AES?

a) модульність та гнучкість;
b) простота реалізації;
38
с) довжина ключа;
d) можливість шифрувати блоки різної довжини.
195. Довжина ключа криптоалгоритму AES залежить від

a) довжини блока шифрованого тексту;
b) кількості раундів шифрування;
с) варіанту криптоалгоритму AES;
d) не змінюється у будь-якому разі.
196. Яка довжина ключа у стандарті AES?

a) тільки 128 бітів;
b) тільки 192 біта;
с) тільки 256 бітів;
d) будь-яка з наведених вище.
197. Яка довжина раундових ключів встановлена у стандарті шифрування AES?

d) залежить від версії криптоалгоритму;
e) залежить від кількості раундів даної версії.
198. При шифруванні за допомогою алгоритму AES відкритий текст розбивається на

блоки довжиною
d) залежить від версії криптоалгоритму;
e) залежить від кількості раундів даної версії.
199. Як називають проміжні результати при шифруванні за допомогою алгоритму AES?

a) блоки;
b) раундові стани;
с) матриці;
d) байти.
200. Яка з чотирьох внутрішніх операцій раунду шифрування алгоритму AES не змінює
вмісту байтів блоку, поданого на її вхід?
a) SubBytes(State);
b) ShiftRows(State );
с) MixColumns(State);
d) AddRoundKey(State, RoundKey).
201. У алгоритмі AES операція SubBytes(State) – це

a) перетворення, при якому рядки матриці State стану циклічно зсуваються на різні значення;
b) операція XOR над байтами ключа раунду і байтами матриці State;
с) нелінійна байтова підстановка, що виконується незалежно для кожного байту стану;
d) перемішування стовпців матриці State.
39
202. S -бокс у алгоритмі AES відображає
a) один байт в один байт;
b) шість бітів у чотири біти;
с) шість байтів у чотири байти;
d) чотири біти у шість бітів.
203. Яка алгебра використовується в операції MixColumns шифра АES?

a) алгебра многочленів над полем GF (28 ) ;
b) алгебра многочленів над полем GF ( p) ;
с) алгебра многочленів над полем GF (24 ) ;
d) нечітка логіка.
204. Вставте потрібні числівники: «У алгоритмі AES матриця State містить ... рядки, а
кількість її стовпців є часткою від ділення довжини блоку на …»
a) чотири; чотири;
b) чотири; вісім;
с) вісім; шістнадцять;
d) чотири; тридцять два;
e) вісім; вісім.
205. В алгоритмі AES кількість 32-бітових слів, що складають ключ шифру,

a) може дорівнювати тільки 8;
b) дорівнює 4, 6, або 8;
с) залежить від кількості раундів;
d) завжди стала.
206. В алгоритмі AES при зашифруванні на вхід першого раунду подається матриця State ,
що збігається з матрицею …, а виходом останнього раунду є…
a) OutputBlock; шифрований текст;
b) InputBlock; шифрований текст;
с) InputBlock ; OutputBlock;
d) SubBytes(State) ; ShiftRows(State).
207*. Які твердження правильні щодо внутрішніх функцій шифру AES?

a) за допомогою функції SubBytes(State) виконується лінійна підстановка кожного байта змінної
State ;
b) функція MixColumns(State) починає діяти тільки при великому ключі у 256 бітів;
с) призначення функцій ShiftRows і MixColumns – перемішати байти, розташовані в різних
місцях блока вихідного повідомлення;
d) функція ShiftRows(State) вживається до кожного рядка матриці State .
208. Результат послідовного застосування яких двох функцій шифру AES не залежить від
порядку їх виконання?
a) SubBytes і ShiftRows;
b) ShiftRows і MixColumns;
с) MixColumns і AddRoundKey;
d) AddRoundKey і SubBytes .
40
209. У скільки разів більше операцій шифрування потрібно провести для проведення
атаки за допомогою грубої сили проти алгоритму AES-128, ніж проти алгоритму DES?
a) 272 ;
b) 264 ;
с) 256 ;
d) 218 .
210. Нехай існує програмно-апаратний пристрій, здатний перевіряти 1 млрд 128-бітових

ключів алгоритму AES за секунду. Як довго в цих умовах триватиме пошук ключа
алгоритму?
a) менше, ніж годину;
b) більше за день, але менше тижня;
с) більше за тиждень, але менше місяця;
d) більше 100 років, але менше ніж мільйон років;
e) більше, ніж мільярд років.
211. Для кожної з наведених операцій, використаних в алгоритмі DES, знайдіть операцію в
алгоритмі АES, схожу за своєю дією.
1. Підсумовування за модулем 2 раундового ключа та вихідного значення функції f DES ;
2. Підсумовування за модулем 2 вихідного значення функції f DES та бітів лівого півблока;
3. S -бокс;
4. P-бокс;
5. Заміна половин блоків.
а) MixColumns;
б) SubBytes;
в) операція не має еквівалента;
г) ShiftRows;
д) AddRoundKey.
a) 1-д; 2-в; 3-б; 4-а; 5-г;

b) 1-б; 2-а; 3-в; 4-г; 5-д;
c) 1-г; 2-в; 3-б; 4-д; 5-а;
d) 1-в; 2-д; 3-а; 4-г; 5-б;
e) 1-а; 2-г; 3-д; 4-б; 5-в;
212. Метод застосування блокового шифру, який перетворює послідовність блоків

відкритих даних у послідовність блоків шифрованих даних називають
a) протоколом;
b) режимом шифрування;
с) криптографічним примітивом;
d) гамуванням.
213*. Різні режими шифрування блокових шифрів розроблені з метою

a) підвищити стійкість алгоритму;
b) збільшити довжину ключа шифру;
с) забезпечити можливість шифрування відкритого тексту, довжина якого більша, ніж довжина
блока шифрування, яка передбачена алгоритмом;
41
d) забезпечити можливість шифрування відкритого тексту порціями, меншими, ніж довжина
блока шифрування, яка передбачена алгоритмом.
214*. У яких режимах блокові шифри можна використовувати як потокові?

a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB;
e) СTR.
215*. Для шифрування та дешифрування файлів з довільним доступом доцільно

застосовувати блоковий шифр у режимі
a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB;
e) СTR.
216. У яких режимах DES можна шифрувати блоки від 1 до 8 бітів?

a) CTR, OFB, CFB;
b) OFB, CFB, ECB;
с) OFB, CFB, CBC;
d) CTR, СВС, CFB;
e) CFB, ЕСВ, CBC.
217. Встановіть відповідність між наведеними на рисунку схемами 1 – 4 та режимами

шифруваня блокових шифрів.
a) cхема 1 – ЕСВ; cхема 2 – СВС; cхема 3 – СFВ; cхема 4 – OFB;
b) cхема 1 –СВС; cхема 2 – ЕСВ; cхема 3 – ОFВ; cхема 4 – СFB;
с) cхема 1 – ОFB; cхема 2 – СFB; cхема 3 – ЕСВ; cхема 4 – СВС;
d) cхема 1 – СFB; cхема 2 – СВС; cхема 3 – ЕСВ; cхема 4 – ОFB.
42
Схеми блокових шифрів
218*. Які режими блокових шифрів дають змогу шифрувати блоки відкритого тексту
довжиною від 1 біта до 8 бітів без додаткового доповнення?
a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB;
e) СTR.
219. Яка з наведених властивостей не притаманна режиму ЕСВ блокових шифрів?

a) будь-які два однакові блоки відкритого тексту при шифруванні перетворюються на однакові
блоки шифротексту;
b) можна здійснити паралельне розшифрування різних зашифрованих блоків;
с) якщо зашифрований блок буде змінено або передано з помилкою, то при розшифруванні
відповідний відкритий блок та всі наступні блоки будуть пошкоджені;
43
d) властивості а, б, в усі правильні.
220. У режимі ЕСВ відкритий текст порівнюється за допомогою кодової книги з

a) кодовим ключем;
b) операцією шифрування;
с) певним алгоритмом;
d) шифрованим текстом.
221. Недолік режиму ЕСB – це

a) детерміністичне шифрування;
b) складність алгоритму реалізації;
с) незначний розмір блоків, що можна шифрувати;
d) необхідність розбиття відкритого тексту на блоки.
222*. Які основні проблеми безпеки режиму ЕСВ блокових шифрів?

a) лінійна залежність між блоками шифрованого тексту;
b) висока ймовірність перехоплення одного блока;
с) незалежність блоків та можливість збігу блоків після шифрування;
d) нестійкість до атаки з повторенням блоків.
223*. Як можна подолати проблеми безпеки режиму ЕСВ блокових шифрів?

a) збільшенням довжини ключа шифру;
b) застосуванням зворотного зв’язку між вже зашифрованими блоками і ще незашифрованими
блоками даних;
с) введенням вектора ініціалізації;
d) нерівномірним розбиттям відкритого тексту на блоки.
224. За допомогою режиму СВС блокового шифру можливо

a) забезпечити потокоорієнтовану передачу даних;
b) підвищити швидкість шифрування;
с) перетворити однакові блоки відкритого тексту на різні блоки шифротексту;
d) відмовитися від розбиття відкритого тексту на цілу кількість блоків потрібної довжини.
225. Шифрування у режимі СВС виконують згідно з правилом Ci = EK ( Pi ⊕ Ci −1 ), i = 1, 2,... ,

де блок C0 називається
a) вектором ініціалізації;
b) головною частиною ключа шифру;
с) блоком відбілювання;
d) блоком доповнення.
226. Вектор ініціалізації у режимі СВС застосовують

a) при шифруванні першого блоку відкритого тексту;
b) для відмежування першого блока шифрованого тексту;
с) для спеціальної обробки останнього блока шифрованого тексту;
d) для визначення розмірів першого блока відкритого тексту.
227. Яка з наведених властивостей притаманна режиму СВС блокових шифрів?
44
a) будь-які два блоки відкритого тексту при шифруванні перетворюються на однакові блоки
b) можна здійснити паралельне розшифрування різних зашифрованих блоків;
с) якщо зашифрований блок буде змінено або передано з помилкою, то при розшифруванні
відповідний відкритий блок та всі наступні блоки будуть пошкоджені;
d) режим СВС має всі вищеназвані властивості а, б, в.
228*. У яких режимах блокових шифрів шифрований текст залежить від усього
попереднього відкритого тексту?
a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB.
229. У яких режимах сторона, що шифрує інформацію, і сторона, що розшифровує,

використовують блоковий шифр для шифрування?
a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB;
e) усі перераховані режими.
230. Режим ОFB базується на тому, що кожен біт у шифрованому тексті залежить від
a) попередніх бітів відкритого тексту;
b) попередніх бітів шифрованого тексту;
с) бітів ключа;
d) бітів вектора ініціалізації.
231. У якому режимі блокових шифрів не використовується вектор ініціалізації?

a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB.
232. Яким буде ефект від помилки в одному біті блока шифрованого тексту, отриманого
при шифруванні за допомогою DES у режимі ЕСВ?
a) помилка з ймовірністю 1/2 при розшифруванні у будь-якому біті наступного блока
b) помилка при розшифруванні в тому самому біті цього блока;
с) помилка з ймовірністю 1/2 при розшифруванні у будь-якому біті цього блока;
d) помилка при розшифруванні в одному біті у тій самій позиції у всіх подальших блоках.
при шифруванні за допомогою DES у режимі СВС?
a) помилка при розшифруванні у будь-якому біті цього блоку;
b) помилка при розшифруванні в іншому біті наступного блоку;
с) помилка при розшифруванні у будь-якому біті решти блоків;
d) помилка при розшифруванні в одному біті у тій самій позиції у всіх подальших блоках
відкритого тексту.
45
при шифруванні за допомогою DES у режимі СFB?
a) помилка при розшифруванні у всіх бітах цього блоку;
b) помилка при розшифруванні у цьому ж біті цього блоку;
c) помилка у біті в тій самій позиції при розшифруванні у всіх блоках з парними номерами;
d) помилка у будь-якому біті при розшифруванні цього і всіх наступних блоків.
при шифруванні за допомогою DES у режимі ОFB?
a) помилка при розшифруванні у всіх бітах цього блока;
b) помилка при розшифруванні у тому самому біті цього блока;
с) помилка у біті в тій самій позиції при розшифруванні у всіх блоках;
d) помилка при розшифруванні у тому ж самому біті наступного блока.
236. Яким буде ефект від помилки в i-ому біті вектора ініціалізації при шифруванні за
допомогою DES у режимі СВС?
a) помилка при розшифруванні в i -ому біті у кожному блоці;
b) помилка при розшифруванні в (i+1) -ому біті останнього блока;
с) помилка в одному біті при розшифруванні першого блока;
d) помилка в i -ому біті вектора ініціалізації не вплине на розшифрування.
237. На рис. подано оригінальне бітове зображення емблеми сімейства операційних систем
LINUX (пінгвіна Тукс) та результат шифрування цієї емблеми, отриманий за допомогою
блокового шифру. Збереження статистичних особливостей відкритого зображення при
шифруванні свідчить, що блоковий алгоритм використовувся у режимі
a) ЕСВ;
b) СВС;
с) ОFВ;
d) CTR.
Емблема ОС Linux
238. Серед блоків M 1 , M 2 ,..., M l відкритого тексту i -ий та j -ий блоки однакові, тобто
M i = M j при i ≠ j . При якому режимі шифрування можна бути впевненим, що відповідні
шифровані блоки Ci та C j також збігатимуться?
a) ЕСВ;
b) СВС;
46
с) ОFВ;
d) CTR.
239. Шифрування повідомлень, складених з великої кількості блоків, буде ефективнішим,

якщо окремі блоки шифрувати паралельно. Це можливо за умови, що шифрування
кожного блоку залежить лише від фіксованої кількості попередніх блоків та вектора
ініціалізації (якщо останній потрібний). У якому режимі блокового шифрування можна
здійснювати паралельне шифрування?
a) ЕСВ;
b) СВС;
с) ОFВ;
d) CTR.
240*. Окремі блоки великого шифрованого повідомлення, складеного зі значної кількості

блоків, можна розшифрувати паралельно, якщо розшифрування блока залежить від
вектора ініціалізації (якщо він передбачається режимом) та фіксованої кількості
попередніх шифрованих блоків. У яких режимах блокового шифрування можна
здійснювати паралельне розшифрування?
a) ЕСВ;
b) СВС;
с) ОFВ;
d) CTR.
241*. Довжина відкритого повідомлення менша за довжину блока, що має подаватися на

вхід блокового шифру. При яких режимах шифрування можна зашифрувати таке
повідомлення без доповнення?
a) ЕСВ;
b) СВС;
с) СFВ;
d) OFB.
242. Відомо, що пошкодження під час передачі блоку C j шифрованого тексту, отриманого
за допомогою блокового криптоалгоритму, спричиняє при розшифруванні виникнення
помилок у деяких блоках відкритого тексту. Установіть відповідність між режимами
шифрування ЕСВ, СВС, СFВ, ОFВ та CTR та пошкодженням блоків відкритого тексту.
1 – пошкодження одного блока M j відкритого тексту;
2 – пошкодження блоків M j та M j +1 відкритого тексту;
n
3 – пошкодження блока M j та наступних − 1 блоків відкритого тексту (n – розмір блока, r –
r
довжина порції шифротексту).
a) 1 – ЕСВ, CTR, ОFВ; 2 – СВС; 3 – СFВ;

b) 1 – ЕСВ, CTR; 2 – СВС, ОFВ; 3 – СFВ;
с) 1 – ЕСВ, CTR, ОFВ; 2 – СFВ; 3 – СВС;
d) 1 – ЕСВ, ОFВ; 2 – СВС, CTR; 3 – СFВ;
e) 1 – CTR, СFВ; 2 – СВС, ЕСВ; 3 – ОFВ;
f) 1 – ЕСВ, CTR, СВС; 2 – СFВ; 3 – ОFВ.
47
243. Який режим шифрування дає змогу з’ясувати, що шифротекст був змінений у процесі
передачі, тобто переданий шифротекст не відповідає відкритому тексту?
a) ЕСВ;
b) СВС-MAC;
с) ОFВ;
d) CTR.
244. Відкрите повідомлення M, що складається з 128-бітових блоків M 1 , M 2 ,..., M l ,

шифрують за допомогою криптоалгоритму AES-128 з ключем K . Перший блок
шифротексту – навмання вибраний 128-бітовий блок C0 а решта шифрованих блоків
утворюються за правилом: Ci = Ci −1 ⊕ AES K ( M i ), i = 1, 2,..., l . Увесь шифрований текст – це
конкатенація блоків C0 || C1 || C2 || ... || Cl . У чому полягає небезпека такого режиму
шифрування?
a) перестановка блоків шифрованого тексту зумовлює перестановку відповідних блоків
відкритого тексту і порушує цілісність інформації;
b) супротивник може непомітно підмінити окремі блоки шифротексту іншими;
с) неможливо приховати структуру інформації, що захищається;
d) пошкодження одного блока шифрованого тексту спричиняє неправильне розшифрування всіх
наступних блоків.
345. Відкритий текст довжиною 640 бітів шифрують за допомогою алгоритму DES у
режимі ECB. Припустимо, що під час передачі 500-го біта виникла радіоперешкода. При
розшифруванні приймальною стороною може бути неправильно розшифровано
a) тільки 500-й біт;
b) тільки 500-й, 564-й і 628-й біти;
с) будь-який біт з 449-го по 512-й;
d) усі біти з 500-го по 640-й;
e) будь-який біт з 449-го по 512-й та 564-й біт.
режимі CBС. Припустимо, що під час передачі 505-го біта виникла радіоперешкода. При
с) будь-який біт з 449-го по 512-й біт;
d) усі біти з 501-го по 640-й біт;
e) будь-який біт з 449-го по 512-й біт та 569-й біт.
247. Відкритий текст довжиною 640 бітів шифрують за допомогою алгоритму DES у 8-
бітовому режимі CFВ. Припустимо, що під час передачі 510-го біта виникла
радіоперешкода. При розшифруванні приймальною стороною може бути неправильно
розшифровано
с) 510-й біт та будь-який біт з 513-го до 640-го;
d) будь-який біт з 449-го по 512-й біт;
e) усі біти з 510-го по 640-й біт.
48
248. Відкритий текст довжиною 640 бітів шифрують за допомогою криптоалгоритму DES у
режимі ОFB. Під час передачі 187-го біта шифротексту виникла радіоперешкода. Скільки
бітів можуть бути розшифровано неправильно приймальною стороною?
a) 0;
b) 1;
с) 5;
d) 10;
e) 13;
f) 453.
режимі СTR. Під час передачі 150-го біта шифротексту виникла радіоперешкода. При
b) 22-й біт у блоках з третього по десятий;
с) 150-й біт та будь-який біт з 192-го до 640-го;
d) усі біти після 151-го;
e) будь-який біт з 150-го до 640-го.
250. Відкритий текст довжиною 6400 бітів шифрують за допомогою алгоритму DES у 8-
бітовому режимі CFВ. Під час передачі шифротексту було втрачено 40-й біт. Скільки
блоків відкритого тексту приймальна сторона розшифрує неправильно?
a) 0;
b) 1;
с) 2;
d) 9;
e) 10;
f) 100.
251. Впорядкуйте нижченаведені шифри за спаданням їх швидкості шифрування за умов

однакової програмної реалізації:
1) 3DES у режимі OFB з r = 32 ;
2) DES у режимі OFB з r = 8 ;
3) DES у режимі СFB з r = 32 ;
4) DES у режимі СBС.
a) 2-4-3-1;
b) 3-2-1-4;
с) 4-2-1-3;
d) 1-3-4-2.
252. Впорядкуйте нижченаведені шифри за спаданням їх швидкості розшифрування при

апаратній реалізації, припустивши можливість паралельної обробки даних на чотирьох
паралельних працючих машинах DES:
1) DES у режимі ОFB з r = 8 ;
2) DES у режимі СFB з r = 8 ;
3) 3DES у режимі OFB з r = 16 ;
4) 3DES у режимі CBC.
49
a) 3-2-4-1;
b) 1-4-2-3;
с) 2-4-3-1;
d) 4-1-3-2.
253. До потокових відносять шифри, які:

a) шифрують від 64 до 256 бітів відкритого тексту, розбивши їх на байти;
b) здатні зашифрувати блоки вхідних даних різного розміру за один й той самий час;
с) перетворюють кожен символ відкритого тексту у символ шифротексту залежно не тільки від
ключа, а й від його місцерозташування у відкритому тексті;
d) переводять відкритий текст будь-якого розміру у бітову послідовність фіксованої довжини.
254. Ключовий потік – це:

a) бітова послідовність, що визначається за допомогою ключа шифру;
b) бітова послідовність, що не залежить від ключа шифру;
с) послідовність потоку відкритих даних, що потрібно зашифрувати;
d) шифрування без ключа.
255. З якою метою при потоковому шифруванні використовують генератори

псевдовипадкових числових послідовностей?
a) для отримання «нескінченної» гами на основі ключа малої довжини;
b) для захисту інформації від випадкових перешкод при передачі;
с) для захисту інформації від навмисних змін вже переданої інформації;
d) для стискання інформації при шифруванні;
e) для формування відкритих ключів.
256*. Що з нижченаведеного є ознакою стійкого потокового шифру?

a) невідтворюваність гами;
b) великий період;
с) статистична передбачуваність гами;
d) нелінійний зв’язок гами з ключем шифру.
257. Яку з нижчезазначених властивостей не можна віднести до переваг потокових

шифрів?
a) один й той самий шифратор може використовуватися і для зашифрування, і для
розшифрування текстів;
b) апаратна реалізація потокових шифрів обумовлює високу швидкість обробки текстів;
с) у синхронних потокових шифрах відсутнє розповсюдження помилок;
d) генератори гами на передавальній та приймальній сторонах мають бути синхронізовані.
258*. Перерахуйте переваги потокових шифрів над блоковими?

a) у потокових шифрів більш висока швидкість шифрування;
b) у потокових шифрах відсутнє розповсюдження помилок;
с) зміна одного біта відкритого тексту приводить до лавинного ефекту;
d) ключовий потік можна визначити заздалегідь до операції шифрування.
259*. Потокові шифри доцільно використовувати

a) для зашифрування даних у режимі реального часу;
b) за потребою у негайному зашифруванні окремих бітів чи коротких бітових послідовностей;
50
с) для зашифрування інформації, що передається у спеціалізованих мікропроцесорних системах
керування (банкомати, платіжні термінали);
d) коли при шифруванні не мають поширюватися помилки;
e) для зашифрування бази даних на жорсткому диску;
f) для створення імітовставки;
g) для автентифікації у глобальному цифровому стандарті GSM для мобільного сотового
зв’язку;
h) для зашифрування даних RFID-міток (радіохвильова ідентифікація).
260. В яких прикладних задачах криптографії застосовують випадкові числа?

a) генерація ключів;
b) зашифрування за допомогою одноразового шифроблокноту;
с) обчислення значень однобічних функцій;
d) сіль у схемах електронного цифрового підпису;
e) диференціальний криптоаналіз;
f) одноразові випадкові числа для протоколів (nonce);
g) у всіх вищенаведених задачах.
261. Якe висловлювання неправильне ?

a) якщо після використання ключа потокового шифру двічі нападник дізнається, який відкритий
текст шифрували вперше, то, перехопивши обидва шифротексти, він зможе знайти відкритий
текст, відповідний другому шифротексту;
b) якщо нападник знає відкритий текст і відповідний йому шифрований текст, отриманий за
допомогою крипто алгоритму АES, то він може знайти використаний ключ, провівши повний
перебір ключів;
с) атака на потоковий шифр з вибором відкритого тексту може бути ефективніша, ніж «атака
грубої сили»;
d) подовження ключа ускладнює повний перебір ключів, що обумовлює більшу криптографічну
стійкість асиметричних шифрів порівняно з симетричними.
262. Який тип шифру найімовірніше атакував нападник, якщо його атаки базувалися на
аналізі довжини повідомлень?
a) блокові;
b) потокові;
с) асиметричні;
d) симетричні.
263. Яка властивість не притаманна синхронним потоковим шифрам?

a) непоширення помилок;
b) зміна у шифротексті одного символу призводить до неправильного розшифрування решти
символів;
с) у разі втрати символу шифротексту неможливо правильно розшифрувати весь текст за
втраченим символом;
d) вставка активним супротивником додаткового символу в шифротекст порушує подальше
розшифрування.
264*. Які з нижченаведених властивостей мають самосинхронізовані потокові шифри?

a) непоширення помилок;
b) обмежене поширення помилок;
51
с) для гарантій цілісності даних потрібні додаткові контрольні заходи;
d) самосинхронізація;
e) розсіяння статистики відкритого тексту.
265. Який режим зашифрування не має сенсу використовувати для потокового

a) ЕСВ;
b) СFВ;
с) OFB;
d) CTR.
266. Що з нижченаведеного є потоковим шифром?

a) RC4;
b) AES;
с) DES;
d) AES-OFB;
e) AES-CBC;
f) AES-CTR.
267*. Одна з перших версій мережевого протоколу SSH застосовувала потокові шифри так,
що шифровані дані передавали в обох напрямках (від користувача до хосту та від хосту до
користувачa) із використанням одного й того самого ключа (тобто гама, що накладалась
на відкритий текст, двічі була однаковою). Які проблеми Ви бачити у цьому?
a) виникає загроза проведення атаки з перекриттям;
b) жодної, бо у цьому випадку кількість можливих гам велика і метод повного перебору ключів
потребуватиме необмежених обчислювальних можливостей;
с) загроз безпеці не виникає, оскільки доведена теоретико- інформаційна стійкість усіх шифрів
гамування;
d) використана гама через подвоєння своєї довжини втрачає рівномірний розподіл імовірностей
своїх знаків;
e) можливо здійснити атаку за допомогою вставки символу між двома сеансами.
268*. За стандартом 802.11b у Wireless LAN системі використовується потоковий шифр

Wireless Equivalence Protocol з 40-бітовим ключем і 24-бітовим вектором ініціалізації, за
допомогою яких генерується ключовий потік. Яке призначення вектора ініціалізації у
цьому шифрі?
a) ускладнити повний перебір ключа;
b) запобігти «атаці вставкою»;
с) дати можливість двічі використовувати один й той самий ключ для зашифрування;
d) ввести часову мітку.
269. WEP – старий стандарт захисту бездротового трафіку, заснований на потоковому

кодуванні з використанням алгоритму RC4. Цей стандарт виявився вразливим до
активних атак, коли нападник змінює біти в зашифрованому тексті, що спричиняє
несанкціоновану модифікацію повідомлення, отриманого законним користувачем. Що є
кращим захистом від таких атак?
a) використання різних ключів кожною стороною для кожного бездротового пристрою;
b) захист шифротексту за допомогою MAC;
с) зашифрування за допомогою шифру AES в режимі CBC;
52
d) зашифрування за допомогою шифру AES в режимі ЕCB.
270. Яку з наступних криптосистем можна вибрати як високошвидкісну систему

шифрування при передачі даних?
a) MAC;
b) MD5;
с) RC4;
d) RSA.
271. Якщо за допомогою шифру гамування зашифрувати відкритий текст 0000000000…, то

a) отримаємо ключ шифру;
b) ключ шифру автоматично подвоїться;
с) отримаємо шифрований текст 0000000000…;
d) дістанемо вектор ініціалізації.
272. На біти x1 x2 x3 x4 x5 x6 чотирьох різних відкритих текстів накладається гама γ 1γ 2γ 3γ 4γ 5γ 6 у

відповідності з рівнянням шифрування yi = xi + γ i (mod 2) , де yi – біти шифротексту.
Встановіть відповідність між виглядом відкритого тексту та виглядом шифротексту.
Відкритий текст Шифротекст
1) 00000000 A) γ 1γ 2γ 3γ 4γ 5γ 6
2) 11111111 B) γ 1γ 2γ 3γ 4γ 5γ 6
3) 01010101 С) γ 1γ 2γ 3γ 4γ 5γ 6
4) 10101010 D) γ 1γ 2γ 3γ 4γ 5γ 6
a) 1-В; 2-Г; 3-Б; 4-А;

b) 1-Б; 2-А; 3-Г; 4-В;
с) 1-А; 2-Б; 3-В; 4-Г;
d) 1-Г; 2-В; 3-А; 4-Б;
273. Криптоаналітик перехопив криптограму 2,3,5,0,6,4,4, отриману за допомогою шифру

гамування при шифруванні відкритого тексту 1,2,4,4,0,3,5 за рівнянням шифрування
yi = xi + γ i (mod 7) . Яку криптограму він має надіслати законному користувачеві, щоб при
розшифруванні при старій гамі той отримав текст 5,3,0,4,4,2,1?
a) 6,5,3,2,2,1,0;
b) 2,1,5,6,6,3,4;
с) 4,4,6,0,5,3,2;
d) 6,4,1,0,3,3,0.
274. Які з нижченаведених тверджень щодо шифру одноразового блокноту (Вернамa) не є

правильними?
a) довжина ключа шифру має бути не меншою за довжину відкритого повідомлення;
b) ключ шифру можна створити за допомогою регістру зі зворотним лінійним зв’язком;
с) шифр має теоретико-інформаційну стійкість;
d) якщо передавальна і приймальна сторони мають спільний псевдовипадковий ключ, то його
потрібно змінювати після кожного сеансу передачі, якщо ж ключ істинно випадковий, то
його не потрібно змінювати.
53
275. При використанні одноразового шифрувального блокноту відкритий текст M можна
перетворити на шифротекст C за допомогою
a) тільки одного ключа;
b) двох ключів;
с) багатьох ключів;
d) M -1 ключів.
276. Абонент А відкрив акаунт для брокера В, щоб отримати доступ до торгів в он-лайн
режимі. За домовленістю між брокером та абонентом команда «купуй» кодуватиметься
однією буквою «К», а команда «продай» – буквою «П». Після букви через пробіл у
повідомленні стоятиме п’ятизначне десяткове число, що вказує на кількість акцій, які
абонент хоче купити чи продати (якщо кількість акцій виражається числом меншим за
п’ятизначне, то попереду проставляється необхідна кількість додаткових нуліс). Далі
повідомлення має містити знову пробіл і чотирибуквений тікер компанії, чиї акції
цікавлять абонента. Наприклад, повідомлення «К 04000 UTEL» означає «Купити 4000
акцій Укртелекому», а повідомлення «П 10000 AZST» – «Продати 10000 акцій Азовсталі».
Загальна довжина повідомлення не перевищує 96 бітів. Для підвищення безпеки акаунта
абонент задіяв шифрування повідомлень за допомогою одноразового блокноту, вибравши
за гаму шифру одну істинно випадкову 96-бітову послідовність. Яку інформацію може
отримати криптоаналітик, перехопивши два шифротексти c1 і c2 ?
a) визначити обидва відкриті тексти m1 та m2 , що відповідають шифротекстам c1 і c2 ;
b) відновити тільки один з відкритих текстів: або m1 , або m2 ;
с) визначити m1 ⊕ m2 ;
d) обчислити значення 2m ⊕ m ;
1 2
e) жодної інформації отримати неможливо, бо одноразовий блокнот належить до досконало

стійких шифрів.
277. Чи можна визначити ключ шифру одноразового блокноту, якщо відома пара
«відкритий текст – відповідний шифротекст»?
a) ні, бо шифр одноразового блокноту має досконалу стійкість;
b) так, ki = ci + mi , де ki , ci , mi – біти ключа, шифротексту і відкритого тексту ;
с) можна визначити тільки половину бітів ключа;
d) так, ki = 2mi .
278. Поставте у відповідність тип послідовності та її визначення.

1. істинно випадкова послідовність;
2. псевдовипадкова послідовність;
3. послідовність збалансована;
4. ідеальна випадкова послідовність.
а) послідовність знаків скінченного алфавіту, в якій кожен знак зустрічається однакову
кількість разів;
б) генерована недетермінованим фізичним пристроєм або процесом;
в) реалізація послідовності незалежних випадкових величин, що мають рівномірний
розподіл на даному скінченому алфавіті.
г) генерована детермінованим пристроєм або програмою;
a) 1-г; 2-а; 3-в; 4-б;

b) 1-в; 2-б; 3-г; 4-а;
54
c) 1-б; 2-г; 3-а; 4-в;
d) 1-а; 2-в; 3-б; 4-г;
279. Поставте у відповідність тип послідовності і спосіб її генерування.

1. Ідеальна випадкова послідовність;
2. Псевдовипадкова послідовність;
3. Істинно випадкова послідовність.
а) детермінований пристрій або програма;
б) недетермінований фізичний пристрій або процес;
в) реалізація послідовності незалежних випадкових величин, що мають рівномірний
розподіл.
a) 1-б; 2-в; 3-а;

b) 1-в; 2-а; 3-б;
c) 1-а; 2-б; 3-в;
d) 1-в; 2-б; 3-а
280. Послідовність істинно випадкових чисел

a) має нормальний закон розподілу ймовірностей;
b) має рівномірний закон розподілу ймовірностей;
с) є монотонно зростаючою;
d) є монотонно спадною.
281. Збалансовані бітові послідовності – це послідовності, на періоді яких спостерігається

однакова кількість нулів та одиниць. Скільки збалансованих послідовностей мають період
10?
a) 232;
b) 242;
с) 252;
d) 374;
e) 384;
f) 394;
g) 5!.
282*. Згідно з постулатами Голомба на псевдовипадкову бітову послідовність

накладаються обмеження на
a) зустрічальність знаків;
b) зустрічальність мультиграм;
с) автокореляційну функцію;
d) профіль лінійної складності;
e) розподіл елементів послідовності на площині;
f) ступінь стискання послідовності.
283. Для ідеальної випадкової послідовності ймовірність збігу біта з будь-яким його
прогнозним значенням
a) дорівнює 1;
b) дорівнює 1/2;
с) більше 1/2;
d) близька до 1.
55
284. Сукупність статистичних критеріїв, призначених для перевірки відповідності
аналізованої числової послідовності гіпотезі про незалежність і рівноймовірність її
елементів, називається
a) статистичним вимірами послідовності;
b) тестами виявлення залежності;
с) тестами дисперсного аналізу;
d) набором статистичних тестів.
285. Критерій перевірки якості двійкової псевдовипадкової послідовності, оснований на

порівнянні сумарної кількості серій з нулів і серій з одиниць з розподілом цього числа для
ідеальної випадкової послідовності, називається
a) серійним тестом;
b) перевіркою профілю лінійної складності;
с) універсальним тестом Маурера;
d) перевіркою пересічних серій;
e) перевіркою непересічних серій.
286. Які шифри використовують два типи ключів та однобічні функції з лазівкою?
a) симетричні;
b) блокові;
с) потокові;
d) асиметричні.
287. Дайте визначення однобічної функції y = F ( x) , що здійснює відображення X → Y , де X,

Y – довільні множини.
a) існує поліноміальний алгоритм обчислення значень функції F ( x) для всіх аргументів x ∈ X ,
але не існує поліноміального алгоритму обчислення значень оберненої функції x = F −1 ( y ) ;
b) існують поліноміальні алгоритми обчислення як значень функції F ( x) , так і значень
оберненої функції x = F −1 ( y ) для всіх x ∈ X і y ∈ Y ;
с) обчислити значення функції F ( x) для деяких аргументів x ∈ X можна лише за
експоненціальний час;
d) існують експоненціальні алгоритми обчислення значень функції F ( x) для всіх x ∈ X і
поліноміальний алгоритм для обчислення значень оберненої функції x = F −1 ( y ) для всіх y ∈ Y .
288. Функція належить до однобічних функцій з лазівкою, якщо

a) для неї не існує оберненої;
b) за будь-яких умов алгоритм обчислення значень її оберненої функції має поліноміальну
складність;
с) вона є однобічною коли невідома додаткова інформація;
d) алгоритм обчислення значень її оберненої функції має поліноміальну складність за умови, що
відома додаткова інформація.
289. Однобічна функція з лазівкою y = F ( x, k ) здійснює відображення X → Y , k ∈ K –

параметр, де X, Y, K – довільні множини. Вкажіть, яка часова складність нижченаведених
алгоритмів:
56
і – алгоритм обчислення значень функції y = F ( x, k ) для всіх аргументів x ∈ X і всіх значень
параметрів k ∈ K ;
іі – алгоритм обчислення значень оберненої функції x = F −1 ( y, k ) для всіх аргументів x ∈ X без
знання значення параметра k ∈ K ;
ііі – алгоритм обчислення значень оберненої функції x = F −1 ( y, k ) для всіх аргументів x ∈ X при
відомому значенні параметра k ∈ K .
a) і – експоненціальна; іі – поліноміальна; ііі – експоненціальна;

b) і – експоненціальна; іі – експоненціальна; ііі – експоненціальна;
с) і – поліноміальна; іі – експоненціальна; ііі – експоненціальна;
d) і – поліноміальна; іі – експоненціальна; ііі – поліноміальна.
290*. Наведені нижче пари функцій задають час роботи деяких алгоритмів.
Визначте, які алгоритми матимуть однаковий порядок зростання складності.
a) n(n + 2) і 2000n 2 ;
b) 1000n 2 і 0,001n3 ;
с) log 2 n і ln n ;
d) 2n −1 і 2n +1 .
291. Для розв’язання задачі маємо два алгоритми, перший із яких з часовою складністю
O (4n ) , а другий – O (n 4 ) . При якій довжині n вхідних даних другий алгоритм має переваги
над першим?
a) n = 2 ;
b) n ≥ 2 ;
с) n > 2 ;
d) при будь-якій.
292. У скільки разів довше буде розв’язуватися задача за допомогою алгоритму з часовою
складністю T ( n) = O (n3 ) , якщо розмір вхідних даних подвоїти?
a) 2;
b) 4;
с) 6;
d) 8;
e) 64.
293*. Нижче наведено часову складність T = O( f (n)) алгоритмів розв’язання деяких задач.
Які з них належать до класу P-задач?
a) f (n) = n 2 ;
b) f (n) = 5n ;
с) f (n) = n 2 + 2n ;
d) f (n) = n! ;
e) f (n) = 4n ;
f) f (n) = n ⋅ lg(n) .
294. Часова складність O( f (n)) деяких алгоритмів описується функціями:
57
1) f (n) = n n ; 2) f (n) = exp log 2 n log 2 log 2 n ; 3) f (n) = 1 ; 4) f (n) = log 2 log 2 n ; 5) f (n) = nc ; 6) f ( n) = nε ;
7) f (n) = n log n ; 8) f (n) = log 2 n , де ε і c – константи, для яких 0 < ε < 1 < c . Впорядкуйте ці функції
2
за зростанням їх темпів асимптотичного зростання.

a) 3; 8; 4; 6; 5; 2; 7; 1;
b) 3; 4; 8; 6; 5; 2; 7; 1;
с) 3; 4; 8; 6; 2; 5; 7; 1;
d) 4; 3; 8; 5; 2; 6; 7; 1;
e) 3; 4; 8; 5; 6; 7; 2; 1.
295*. Для розв’язання яких з нижченаведених задач існують ефективні алгоритми з

поліноміальною складністю?
a) факторизація великих чисел;
b) обчислення значення функції Ейлера для великого числа;
с) визначення секретного параметра d криптосистеми RSA за відомим відкритим ключем (n, e);
d) шифрування C = M e (mod n) відкритого тексту M за допомогою криптосистеми RSA;
e) обчислення ЕЦП RSA M d (mod n) для документа M за відомим відкритим ключем (n, e).
296. Часову складність алгоритмів часто описують функцією L(t ,ν , λ ) = exp(λ tν (log t )1−ν ) , де
0 < ν < 1 , λ > 0 , t =  log 2 n  – довжина у бітах вхідного числа. Яке з наведених тверджень
щодо складності алгоритмів правильне?
a) при ν = 0 функція L(t ,0, λ ) описує експоненціальну складність;
b) при ν = 1 функція L(t ,1, λ ) описує поліноміальну складність;
с) при 0 < ν < 1 функція L(t ,ν , λ ) описує субекспоненціальну складність;
d) усі твердження a) – с) правильні.
297*. У криптографії з відкритим ключем

a) як зашифрування, так і розшифрування виконується тільки за допомогою відкритого ключа;
b) як зашифрування, так і розшифрування виконується тільки за допомогою секретного ключа;
с) для зашифрування використовується відкритий ключ, а для розшифрування – секретний;
d) для електронного цифрового підпису використовується секретний ключ, а для його
верифікації – відкритий.
298*. Криптосистеми з відкритим ключем можна використовувати

a) як засіб автентифікації користувачів;
b) як засіб для захищеного розподілу ключів;
с) безпосередньо для зашифрування і передачі інформації невеликого обсягу;
d) для зашифрування інформаційних потоків великого об’єму у реальному часі.
299*. Стійкість усіх криптосистем з відкритим ключем базується на

a) можливості отримання верхніх оцінок складності задач, що покладено в основу
криптосистеми;
b) припущенні про ймовірнісний характер шифрування;
с) припущенні існування однобічних функцій;
d) гіпотезі P ≠ NP ;
e) існуванні нетривіального статистичного розподілу символів одночасно у відкритому тексті та
шифротексті.
58
300*. Які переваги асиметричних шифрів над симетричними?
a) не потрібно передавати секретний ключ надійним безпечним каналом зв’язку;
b) за умови забезпечення одного й того самого рівня безпеки довжини ключів, що
використовуються у асиметричних шифрах, будуть меншими, ніж довжини ключів симетричних
шифрів.
с) швидкість шифрування асиметричних шифрів вище за швидкість симетричних;
d) спрощення керування ключами у великій мережі.
301. Що відноситься до недоліків асиметричних шифрів?

a) за умови забезпечення одного й того самого рівня безпеки довжини ключів, що
використовуються у асиметричних шифрах, більші, ніж довжини ключів симетричних шифрів;
b) ускладнюється процес керування ключами у мережі з великою кількістю абонентів;
с) швидкість шифрування асиметричних шифрів вище за швидкість симетричних;
d) процеси зашифрування і розшифрування потребують великих обчислювальних ресурсів.
302. Чому криптосистеми з відкритим ключем використовують лише для захисту даних
невеликого об’єму?
a) ключі криптосистем з відкритим ключем повинні бути фіксованої довжини;
b) відкриті ключі мають зберігатися у секреті;
с) відповідні алгоритми дуже повільно працюють;
d) відкриті ключі мають дуже часто змінюватися.
303*. У гібридній криптографічній системі зазвичай

a) зашифрування відкритих текстів здійснюють за допомогою асиметричного шифру на
відкритому ключі;
b) секретний сеансовий ключ використовується для зашифрування відкритих текстів;
с) ні відкритий ключ, ні секретний ключі асиметричного шифру не застосовують;
d) не використовується цифровий сертифікат;
e) секретний сеансовий ключ передається у зашифрованому вигляді за допомогою
криптосистеми з відкритим ключем.
304*. Серед наведених тверджень щодо криптоалгоритму RSA два неправильні. Які?
a) криптоалгоритм був затверджений як національний стандарт шифрування;
b) криптоалгоритм RSA використовується як для шифрування масивів даних, так і для
створення електронного цифрового підпису;
с) криптоалгоритм RSA застосовується для розподілу ключів між користувачами;
d) назва криптоалгоритму RSA походить від перших букв прізвищ його розробників.
305*. Виберіть криптосистеми, що основані на задачі факторизації великих чисел.

a) RSA;
b) Ель-Гамаля;
с) DES;
d) Рабіна.
306. Криптографічна стійкість алгоритму RSA базується на складності

a) обчислення дискретного логарифма у скінченних полях;
b) операції множення двох великих чисел;
с) факторизації великих чисел;
d) перевірки простоти великих простих чисел.
59
307. Доведення коректності шифрування за допомогою алгоритму RSA основане на
a) теоремі Ейлера;
b) теоремі про існування первісних коренів за модулем великого числа;
с) властивостях символу Лежандра;
d) розширеному алгоритмі Евкліда.
308. Модуль криптоалгоритму RSA являє собою

a) добуток двох великих простих чисел;
b) квадрат великого простого числа;
с) частку від ділення великого простого числа на менше просте число;
d) результат обчислення степеня числа з великим показником.
309. Тільки одне з наведених нижче тверджень про криптоалгоритм RSA є правильним.
Яке?
a) криптоалгоритм RSA дозволяє виконувати зашифрування набагато швидше, ніж
криптоалгоритм DES;
b) криптоалгоритм RSA використовується для захисту корпоративних даних у середовищі з
високою пропускною здатністю і низькою латентністю (з низьким рівнем затримання);
с) RSA – симетричний криптоалгоритм;
d) RSA з ключами довжиною у 512 бітів можна задіяти для більш швидкого зашифрування, а з
ключами довжиною 2048 бітів – для збільшення безпеки шифрування.
310. Якщо n – модуль криптосистеми RSA, e – її відкрита експонента, то яка з

нижченаведених задач називається задачею RSA?
a) для числа 1 < C < n знайти число M , для якого C ≡ M e mod n ;
b) знайти прості дільники p і q числа n ;
с) визначити, чи буде число 1 < C < n квадратичним лишком за модулем n ;
d) за даним числом 1 < C < n знайти таке значення M , для якого C ≡ M e mod p .
311. Якщо користувач криптосистеми RSA вибрав для генерації модуля два числа p=11 ,
q=47, то як відкриту експоненту серед чисел 12; 33; 125; 513 він може вибрати
a) 12;
b) 33;
с) 125;
d) 513.
312. Згенеруйте другу частину відкритого ключа та секретний ключ абонента

криптосистеми RSA, якщо відомо, що він вибрав p = 5 , q = 11 , e = 13 .
a) n = 16 ; d = 23 ;
b) n = 55 ; d = 37 ;
с) n = 55 ; d = 2 ;
d) n = 16 ; d = 17 ;
e) n = 55 ; d = 17 .
313. Зашифруйте відкрите повідомлення M = 100 за допомогою криптосистеми RSA,

відкритий ключ якої (n, e) = (517,3) .
a) C = 12 ;
60
b) C = 21 ;
с) C = 122 ;
d) C = 221 ;
e) C = 212 .
314. Розшифруйте повідомлення 1552–352 (тут пропуск коду другої літери), отримане при
зашифруванні за допомогою криптосистеми RSA, модуль якої n = 1739 , а закрита
експонента d = 5 (абетка українськa).
a) ДОБА;
b) ОДЯГ;
с) РЯД;
d) КІТ.
315. Яке з нижченаведених простих чисел недоцільно вибирати як відкриту експоненту

криптоалгоритму RSA?
a) 32771;
b) 32801;
с) 32833;
d) 32749.
316. Чому не вибирають парне число як відкриту експоненту e криптоалгоритму RSA?

a) шифрування потребує піднесення до степеня з показником e, а така операція триває значно
довше, якщо показник парний;
b) при парній відкритій експоненті закрита експонента обов’язково непарна, а тоді дешифрувати
текст неможливо;
с) якщо відкрита експонента парна, то НСД (e,ϕ (n)) ≠ 1 і тоді неможливо знайти закриту
експоненту d з порівняння ed ≡ 1(mod ϕ (n)) і, відповідно, дешифрувати закритий текст.
317. За яких умов число p називається сильним псевдопростим?

a) p – велике просте число;
b) p – добуток двох великих простих чисел;
с) число p-1 має достатньо великий простий дільник q1 , а число q1 − 1 , у свою чергу, має
достатньо великий простий дільник q2 ;
p −1
d) p – складене, і якщо НCД ( a, p ) = 1, то a ≡ 1(mod p) ;
e) число p+1 має великі прості дільники.
318. Зашифрування відкритого тексту M=1 за допомогою криптосистеми RSA на будь

якому ключі породжує шифротекст C=1. Тому коли супротивник побачить такий
шифротекст, він може легко здогадатися, що шифрували відкритий текст M=1. Як у
реальності долають цю проблему?
a) у цифрових еквівалентах відкритих текстів завжди викреслюють усі одиничні блоки;
b) повідомлення перед шифруванням кодується, наприклад, за допомогою ОАЕР кодування;
с) додатково шифрують вектор ініціалізації і здійснюють конкатенацію шифрованого тексту та
шифрованого вектора ініціалізації, що приховує структуру тексту;
d) у цифрових еквівалентах відкритих текстів замінюють усі одиничні блоки на блоки вигляду
101, 1001, …, 10..01.
61
319. Якщо (n, e) – відкритий ключ криптоалгоритму RSA, (p, q, d ) – його закритий ключ,
то атака на криптоалгоритм може зводитися до задачі факторизації числа
a) q;
b) p;
с) n;
d) ϕ ( n) ;
e) e;
f) d .
320. Яка слабкість притаманна шифруванню за допомогою криптоалгоритму RSA?

Вважайте, що E ( M ) – функція зашифрування, n – модуль криптосистеми.
a) E (− M ) = − E ( M ) mod n ;
b) E ( M 1 ) + E ( M 2 ) = E ( M 1 + M 2 ) mod n ;
с) E ( M 1 ) − E ( M 2 ) = E ( M 1 − M 2 ) mod n ;
d) E ( M 1 ) ⋅ E ( M 2 ) = E ( M 1 ⋅ M 2 ) mod n ;
e) E ( M ) k = E ( M k ) mod n , де k – ціле число.
321. Перехопивши криптограму повідомлення M ∈ Z n , для якого НСД ( M , n) > 1 ,

криптоаналітик отримує нетривіальний дільник модуля n криптоалгоритму RSA. Якщо e
– відкрита експонента, ( p, q, d ) – закритий ключ криптоалгоритму, то скільки існує таких
відкритих повідомлень?
a) p + q ;
b) p + q − 1 ;
с) p + q − d ;
d) p + q + e ;
e) pe + qd .
322. Яка атака на криптоалгоритм RSA базується на властивості мультиплікативності

цього алгоритму?
a) зустріч посередині;
b) людина посередині;
с) безключове читання;
d) Вінера.
323. Якщо перехоплено деякий шифротекст C , отриманий за допомогою криптоалгоритму

RSA з відкритим ключем (n, e) , то при проведенні атаки безключового читання, потрібно
виконувати послідовні шифрування на відкритому ключі: C e (mod n) ≡ C1 ; C1e (mod n) ≡ C2 ;
C2 (mod n) ≡ C3 ... доти, поки не виникне
e
a) початковий шифротекст C;
b) будь-яке просте число;
с) одиниця;
d) нуль;
e) відрізок ключа.
62
324. Криптоаналітик намагається застосувати метод безключового читання до
шифротексту C = 2342 , отриманого при за шифруванні деякого тексту за допомогою
криптосистеми RSA з відкритим ключем (2773,17) . Скільки послідовних зашифрувань
йому доведеться здійснити, щоб отримати початковий шифротекст?
a) 16;
b) 17;
с) 43;
d) 44;
e) 2772.
325. Нехай (n, e) – відкритий ключ криптоалгоритму RSA. У разі малого порядку відкритої
експоненти за модулем ϕ (n) криптоалгоритм піддається атаці
a) «зустріч посередині»;
b) «людина посередині»;
с) безключового читання;
d) Вінера.
326. Нехай (n, e) – відкритий ключ криптоалгоритму RSA, (p, q, d) – його закритий ключ.
За якої умови криптоалгоритм не може встояти перед атакою Вінера?
14
a) d > n +e;
3
1
b) d < 3 ne ;
2
13
с) d< n;
4
1
d) d< 4n;
3
14
e) d< p+q ;
3
1
f) p+q< 4 n;
3
1
g) p+q≥ n n.
4
327. Атака Вінера на криптоалгоритм RSA з відкритим ключем (n, e) базується на

зображенні ланцюговим дробом числа
e
a) ;
n
n
b) ;
e
e n
с) + ;
n e
n
d) ;
e2
n
e) ;
3e
63
n+e
f) .
e −1
328. Криптоаналітик намагається провести атаку Вінера і розкрити закриту експоненту d

криптосистеми RSA з відкритими ключами (n, e) = (6852403, 3651823) . Він знаходить перші
3651823 0 1 1 8 81
п’ять підхідних дробів для числа : , , , , , звідки випливає, що
6852403 1 1 2 15 152
d ∈ {1; 2; 15; 152} . Серед наступних тверджень виберіть ті, з якими Ви згодні.
a) d ≠ 2 , бо d має бути взаємно простим із значенням функції Ейлера ϕ (n) , яке завжди є
парним;
14
b) d ≠ 152 , оскільки 152 > n ≈ 17,0545 ;
3
с) d може бути тільки парним числом, тому d ≠ 15 ;
ed − 1 3651823 ⋅ 15 − 1
d) ϕ (n) = = .
8 8
329. Одне відкрите повідомлення зашифроване і надіслано двом користувачам

криптосистеми RSA, які мають відкриті ключі (n, e1 ) та (n, e2 ) відповідно. Як
криптоаналітик, перехопивши обидва надіслані шифротексти C1 і C2 , може прочитати
відкрите повідомлення M ?
a) M = C2t C2− t (mod n) , де t1 ≡ e1−1 (mod e2 ) , t2 ≡ (t1e1 + 1) / e2 ;
1 2
b) M = C2t C2− t (mod n) , де t1 ≡ e1−1 (mod e2 ) , t2 ≡ (t1e1 − 1) / e2 ;

1 2
с) M = (C2 C2 )t −t (mod n) , де t1 ≡ e1−1 (mod e2 ) , t2 ≡ (t1e1 − 1) / e2 ;

1 2
d) M = (C2 C2 )t + t (mod n) , де t1 ≡ e2−1 (mod e1 ) , t2 ≡ (t1e2 − 1) / e1 .

1 2
330. Нехай абоненти А, В і С криптосистеми RSA мають відповідно відкриті ключі (n1 ,3) ,
(n2 ,3) , (n3 ,3) . Дехто надсилає кожному з них однакове відкрите повідомлення, зашифроване
за допомогою цих ключів. Як криптоаналітик, перехопивши три надіслані шифротексти
C1 , C2 , C3 , зможе відновити відкритий текст M ?
a) M = (C1C2C3 )3 mod(n1 + n2 + n3 ) ;
b) M = (C1 + C2 + C3 )3 mod(n1n2 n3 ) ;
m ≡ C1 (mod n1 ),

с) M = 3m , де m – розв’язок системи m ≡ C2 (mod n2 ),
m ≡ C (mod n );
 3 3
m ≡ C1 (mod n1 ),

d) M = m , де m – розв’язок системи m ≡ C2 (mod n2 ),
3
m ≡ C (mod n ).
 3 3
331. Порівняйте швидкості шифрування за допомогою алгоритмів DES, AES і RSA-1024.

Що з нижченаведеного є правдою?
a) AES швидший за RSA-1024, який швидший за DES;
b) RSA-1024 швидший за AES і DES;
с) AES швидший за DES, який швидший за RSA-1024;
64
d) DES швидший за AES, який швидший за RSA-1024.
332. Якщо C = M e (mod n) і M = C d (mod n) – рівняння зашифрування і розшифрування

криптосистеми RSA відповідно, то її стійкість визначається
a) розміром модуля;
b) тільки розміром відкритої експоненти;
с) тільки розміром закритої експоненти;
d) розміром відкритого тексту.
333. Нехай C = 42 – шифртекст, отриманий за допомогою криптосистеми RSA з відкритими

ключами (n, e) = (247,17) . Відповідна закрита експонента криптосистеми d = 89 .
Розшифрування за допомогою RSA-СRT зводиться до системи рівнянь
 M = 42 mod19
5
a)  ;
 M = 42 mod13
17
 M = 425 mod 247

b)  ;
 M = 42 mod 216
17
 M = 425 mod13
с)  ;
 M = 42 mod19
17
 M = 42 mod17
89
d)  .
 M = 42 mod89
17
334. Яку мінімальну кількість множень за модулем потрібно виконати, щоб обчислити
значення a 75 (mod m) за методом квадратів і множень (двійкового потенціювання)?
a) відповідь залежить від значення чисел a і m;
b) 8;
с) 9;
d) 10;
e) 74;
f) 75.
335. Яка часова складність обчислення значення a k (mod m) за методом квадратів і множень
(двійкового потенціювання)?
a) O(k ) ;
b) O(log 2 a ) ;
с) O(log 2 m) ;
d) O(log 2 k ) ;
e) O(m) ;
f) відповідь залежіть від значення чисел a, k , m .
336. Яка ймовірність помилково визнати складене число n за просте у разі перевірки його
простоти за допомогою тесту Соловея – Штрассена k разів?
a) (3/ 4)− k ;
b) 2− k ;
с) 4− k ;
65
d) 4− nk ;
e) 2− n ;
f) (3/ 4)− n .
337. У разі k -разового застосування тесту Міллера – Рабіна для перевірки простоти числа
n імовірність помилково визнати складене число за просте дорівнює
a) (3/ 4)− k ;
b) 2− k ;
с) 4− k ;
d) 4− nk ;
e) 2− n ;
f) (3/ 4)− n .
338. Яку мінімальну кількість разів потрібно застосувати тест Міллера – Рабіна для
перевірки простоти числа n , щоб імовірність помилково визнати складене число за просте
не перевищила 2−80 ?
a) 2;
b) 4;
с) 20;
d) 30;
e) 40;
f) інша відповідь.
339. В основу тесту Міллера – Рабіна перевірки простоти чисел покладено

a) малу теорема Ферма;
b) обчислення символу Якобі;
с) умову: непарне число n буде складеним, якщо воно є повним квадратом або існують такі
числа x, y ∈ N , що x ≠ ± y mod n , x 2 ≡ y 2 mod n ;
d) критерій Ейлера.
340. Уявіть, що за допомогою алгоритму Міллера – Рабіна ви перевіряєте простоту

множників для модуля криптосистеми RSA і вибрали для перевірки число
n = 1000000000039=1012 + 39 . У першій серій досліджень жодне з чисел i = 2,3,...,100 не стало
свідком непростоти числа n. У другій серії досліджень Ви за допомогою того самого тесту
встановили, що усі числа i = 2,3,...,0,3 ⋅ 106 не вказують на можливість факторизувати число
n. Яке з наступних тверджень неправильне?
a) тест Міллера – Рабіна відноситься до ймовірнісних;
b) якщо число n було складеним, то принаймні 75% перевірених свідків засвідчили б непростоту
числа;
с) ймовірність того, що за результатами другої серії досліджень число n визнане простим
помилково, складає 4−300000 ≈ 0 .
d) ймовірність того, що за результатами другої серії досліджень число n визнане простим
правильно, складає 2−100 .
341. Який з нижченаведених тестів перевірки на простоту найчастіше не розпізнає

непростоту чисел Кармайкла?
a) Ферма;
66
b) Соловея – Штрассена;
с) Міллера;
d) Міллера – Рабіна.
342. При перевірці числа Кармайкла n = 561 = 3 ⋅ 11 ⋅ 17 за допомогою імовірнісного тесту

Ферма кількість баз a (1 ≤ a ≤ n) , при кожній з яких буде отримано результат «ймовірно
просте число», дорівнює
a) 1;
b) 241;
с) 320;
d) 560;
e) 561;
343. Впорядкуйте наведені тести на простоту чисел за зростанням імовірності помилки у

найгіршому випадку (тобто помилково визнати складене число за просте або «ймовірно
просте»).
1 – простий алгоритм Ленстри тестування простоти (ЕСРР);
2 – п’ять проходів тесту Міллера – Рабіна;
3 – п’ять проходів тесту Соловея – Штрассена;
4 – п’ять проходів тесту на основі малої теореми Ферма.
a) 2,1,3 = 4;
b) 1,2, 3 = 4;
с) 1,2,4,3;
d) 3,2,4,1;
e) 2,4=3, 1.
344. Щоб ускладнити факторизацію модуля криптосистеми RSA, на вибір множників p і q

накладають умови
a) p чи q має бути числом Мерсенна або числом Ферма;
b) p і q обов’язково є числами-близнюками;
с) p = 1mod k або p = 1mod l при деяких великих цілих k, l;
d) p і q – великі сильно прості числа.
345. Якщо не брати до уваги довжину далі використаних чисел і, врахувавши, що усі вони
прості, визначте, який з поданих добутків доцільно вибрати як модуль криптосистеми
RSA?
a) n = 10007 ⋅10009 ;
( )
b) n = ( 213 − 1) 22 + 1 = 8191 ⋅ 65537 ;
4
с) n = ( 27 − 1)( 217 − 1) = 127 ⋅ 131071 ;

d) n = 101 ⋅10000019 ;
e) будь-яке з наведених у пунктах a) – d);
f) жодного.
346. У якому разі числа p і q називаються сильними простими числами?

a) коли вони є числами-близнюками p − q = 2 ;
67
b) коли різниця p − q є великою;
с) за умови, що p ≠ 1(mod r ) , r ≠ 1(mod t ) , де p, r , t – прості числа;
d) за умови, що p − 1 ≡ 0(mod r ) , p + 1 ≡ 0(mod s ) , r ≡ 1(mod t ) , де p, r , s, t – великі прості числа.
347*. Які обмеження у криптосистемі RSA накладають на вибір множників p і q, щоб

модуль криптосистеми не був вразливим до факторизації чисел за методом Ферма?
a) числа p − 1 і q − 1 повинні мати великий простий дільник;
b) числа p + 1 і q + 1 повинні мати малий простий дільник;
с) добуток pq має бути псевдопростим;
d) різниця p − q має бути великою.
348. ρ -метод Полларда для факторизації чисел використовує

a) парадокс днів народження;
b) алгоритм Флойда;
с) простоту чисел, за модулем яких виконуються обчислення;
d) істинно випадкову числову послідовність.
349. Нехай n = pq , де множник p є таким, що число p − 1 – гладке. Припустимо, що усі

множники числа p − 1 менші, ніж 30. Тоді для запуску ( p − 1) -алгоритму Полларда
показник k при обчисленні виразу a ≡ a k mod n (при деякому a ) має бути
a) k = 2 ⋅ 3 ⋅ 5 ⋅ 7 ⋅11 ⋅13 ⋅ 17 ⋅19 ⋅ 23 ⋅ 29 (добуток усіх простих чисел, менших тридцяти);
b) k = 2 ⋅ 4 ⋅ 6 ⋅ ... ⋅ 30 (добуток усіх парних чисел, менших тридцяти);
с) k = 230 − 1 ;
d) k =  30 − 1 .
350. При факторизації модуля n криптосистеми RSA за методом неперервних дробів

знаходять підхідні дроби до звичайного неперервного дробу, що відповідає числу
1
a) ;
n
1
b) ;
n
1
с) 2 ;
n
d) e− n ;
e) n .
351. В алгоритмі квадратичного решета при факторизації модуля n криптосистеми RSA

для просіяних чисел обчислюють значення функції f ( x) і перевіряють гладкість цих
значень. Укажіть цю функцію.
( )
2
a) f ( x) = x +  n  − n ;
f ( x) = ( x −  n  )
2
b) −n;
с) f ( x) =  n  − x 2 ;
68
( )
2
d) f ( x) = n −  n  + x .
352. Часова складність алгоритму решета числового поля для факторизації чисел
описується функцією L( N ) = 21,9229⋅ N ⋅ (log 2 N ) 2 / 3 , де N – довжина числа. Скільки операцій
1/ 3
потрібно виконати алгоритму, аби розкласти на множники число довжиною 1024 біти?
a) 243 ;
b) 266 ;
с) 2 89 ;
d) 2129 ;
e) 2256 .
353*. Якщо p, q – два великих простих множники, то які з нижченаведених задач

поліноміально еквівалентні задачі факторизації великих чисел?
a) визначення закритої експоненти криптоалгоритма RSA за відомими значеннями модуля і
відкритої експоненти;
b) обчислення функції Ейлера від числа n = pq ;
с) обчислення степеня M e (mod n) , де модуль n = pq ;
d) визначення дискретного логарифма числа за великим модулем;
e) добування квадратних коренів за модулем числа n = pq .
354. П. Шор для розробки свого квантового алгоритму факторизації чисел використав
a) квантовий варіант лінійного криптоаналізу S –боксів криптоалгоритму RSA;
b) квантове перетворення Фур’є для визначення періоду функції;
с) розв’язання NP-проблеми за допомогою квантової імітації відпалу;
d) квантове розфарбування графа.
355. Який асиметричний криптоалгоритм, використовуючи 160-бітові ключі, має

стійкість, близьку до стійкості алгоритму RSA-1024?
a) Ель-Гамаля;
b) 3-DES;
с) криптосистема на еліптичних кривих;
d) Діффі – Хеллмана.
356. Нехай абонент В криптосистеми RSA вибрав для за шифрування модуль n і дві
відкриті експоненти e1 і e2 та умовив абонента А спочатку зашифрувати своє
повідомлення M на ключі e1 , а далі до отриманого шифротексту C1 знову застосувати
крипто алгоритм RSA, але на ключі e2 . Виберіть правильне твердження щодо стійкості
такого подвійного зашифрування, припустивши, що криптоаналітик перехопив
шифротексти C1 і C2 .
a) стійкість шифрування збільшується порівняно з однократним використанням RSA;
b) стійкість шифрування не зростає, оскільки, якщо криптоаналітик розкриє закритий ключ d1 ,
відповідний відкритому ключу e1 , то він зможе факторизувати модуль криптосистеми, знайти
закритий ключ d 2 і далі прочитати відкритий текст;
с) стійкість шифрування зростає, оскільки, навіть, якщо криптоаналітик розкриє закритий ключ
d1 , відповідний відкритому ключу e1 , то він не зможе факторизувати модуль криптосистеми;
69
d) стійкість шифрування не збільшується порівняно з однократним використання RSA, бо
криптоаналітик легко зможе застосувати частотний аналіз.
357. Порівняно з криптоалгоритмом RSA застосування алгоритму RSA-ОАЕР дає змогу

протистояти атакам:
a) суперзашифрування;
b) на основі зашифрування множини подібних шифрів за допомогою відкритого ключа і
порівняння їх з перехопленим шифротекстом;
с) факторизації модуля RSA за допомогою методу числового решета;
d) на основі використання спільної відкритої експоненти e = 3 кількома користувачами;
e) факторизації модуля RSA за допомогою ( p − 1) -алгоритму Полларда.
358. Криптографічна стійкість алгоритму Ель-Гамаля базується на складності

a) обчислення дискретного логарифма у скінченних полях;
b) операції піднесення до степеня за модулем;
с) факторизації великих чисел;
d) обчислення символу Лежандра.
359. Чому криптосистему Ель-Гамаля можна віднести до схеми ймовірнісного

a) через подвоєння довжини шифротексту порівняно з довжиною відкритого тексту;
b) через використання відкритих і секретних ключів;
с) через уведення у процес шифрування рандомізатора;
d) через складність задачі дискретного логарифмування, покладеної в основу криптосистеми.
360. Нехай p = 17 , g = 3 – відкриті параметри криптосистеми Ель-Гамаля, спільні для

декількох користувачів, a = 7 – секретний ключ одного з них. Завершіть формування його
відкритих ключів.
a) h = 10 ;
b) h = 11 ;
с) h = 12 ;
d) h = 3 ;
e) h = 4 ;
f) h = 5 .
361. Нехай (p, g, h) – відкритий ключ, a – секретний ключ криптосистеми Ель-Гамаля, r –

рандомізатор, вибраний для зашифрування відкритого повідомлення M . Як знайти
шифротекст?
a) (h r mod p, M ⋅ g r mod p ) ;
b) ( g r mod p, M + h r mod p ) ;
с) ( g r mod p, M ⋅ h r mod p ) ;
d) ( Mg − r mod p, h r mod p) ;
e) ( M ⋅ g r mod p, h − r mod p ) ;
f) ( g a mod p, M ⋅ h a mod p ) .
70
362. Нехай (p, g, h) – відкритий ключ, a – секретний ключ криптосистеми Ель-Гамаля, C1 ,
C2 – отриманий шифротекст, отриманий у результаті зашифрування відкритого
повідомлення M . Як провести розшифрування?
a) M = C2 (C1a )−1 mod p ;
b) M = C1 (C2a ) −1 mod p ;
с) M = (C1a C2 )−1 mod p ;
d) M = (C1C2a )−1 mod p ;
e) M = C1a C2 h mod p ;
f) M = C1C2a h mod p .
363. Нехай p = 23 , g = 5 , h = 21 – відкриті параметри користувача у криптосистемі Ель-

Гамаля. Дехто хоче надіслати йому повідомлення M = 15 , вибравши рандомізатор r = 7 .
Знайдіть шифротекст.
a) (13, 8);
b) (14, 9);
с) (14, 17);
d) (16, 12);
e) (12, 15);
f) (17, 12).
364. Відкритому тексту M відповідає шифротекст (C1 , C2 ) = (3,5) , отриманий за допомогою

криптосистеми Ель-Гамаля. Відновіть цей текст, якщо секретний ключ a = 4 , доменний
параметр p = 7 .
a) 2;
b) 3;
с) 4;
d) 5;
e) 6.
365. Розшифруйте повідомлення C=(119827, 100638), отримане при зашифруванні за

допомогою криптосистеми Ель-Гамаля, відкритий ключ якої (p=150607, g=2, h=16), а
секретний ключ a=4 (алфавіт український).
a) РОМБ;
b) КІНО;
с) ГЕН;
d) ЛАН.
366. Два різних повідомлення M 1 і M 2 зашифровані за допомогою криптосистеми Ель-

Гамаля на одному й тому самому ключі ( p, g , h) . Відповідні шифротексти: (5,10) і (5,9) .
Якщо при цьому M 1 = 4 , p = 17 , то M 2 =
a) 3;
b) 5;
с) 7;
d) 10;
e) 13.
71
367. Нехай ( p, g , h) – відкриті ключі, a – секретний ключ криптосистеми Ель-Гамаля,
результатом зашифрування відкритого повідомлення M < p з рандомізатором r є
шифротекст C = (C1 , C2 ) . Вкажіть перший етап у доведенні коректності роботи
криптосистеми, на якому допущено помилку:
D(C ) = C2 (C1a ) −1 mod p = M r h( g ra ) −1 mod p = M r hM − r +1h −1 mod p = M
a) b) с) d)
368*. Які з наведених алгоритмів дискретного логарифмування у мультиплікативній групі

простих скінченних полів мають субекспоненціальну складність?
a) алгоритми «index calculus», що використовують факторну базу;
b) алгоритм Сілвера – Поліга – Хеллмана;
с) алгоритм Шенкса;
d) алгоритм решета числового поля.
369*. Які з наведених алгоритмів дискретного логарифмування у мультиплікативній групі

простих скінченних полів мають експоненціальну складність?
a) алгоритми index calculus, що використовують факторну базу;
b) алгоритм Сілвера – Поліга – Хеллмана;
с) алгоритм Адлемана;
d) ρ -метод Полларда.
370. Для розв’язку задачі дискретного логарифмування g x ≡ h(mod n) використовується

алгоритм Шенкса. Скільки значень міститиме перший список {e, g , g 2 ,...} за умови, що
порядок числа g дорівнює 10000?
a) 10000;
b) 10001;
с) 101;
d) 100;
e) 200.
371. Один з важливих кроків при розв’язанні задачі дискретного логарифмування у групі
GF * ( p ) за допомогою алгоритмів index calculus – вибір границі гладкості B числа p .
Запишіть вигляд функції, що апроксимує значення B:
a) exp(const ⋅ log 2 p + log 2 log 2 p ) ;
b) exp(const ⋅ log 2 p + log 2 log 2 p) ;
с) exp(const ⋅ log 2 p log 2 log 2 p) ;
d) exp(const ⋅ log 2 log 2 p ) ;
372. Припустимо, що для листування вибрано дві криптосистеми Ель-Гамаля у групі

GF * ( p1 ) і групі GF * ( p2 ) , де p1 = 48947 і p2 = 15502033 – прості, p1 − 1 = 2 ⋅ 24473 ,
p2 − 1 = 24 ⋅ 32 ⋅ 7 2 ⋅ 133 . З погляду на те, що криптоаналітик намагатиметься розв’язати задачу
дискретного логарифмування за допомогою алгоритму Сільвера – Поліга – Хеллмана,
визначте якій системі логічно надати перевагу.
a) першій, оскільки часова складність алгоритму O ( q ) , де q – найбільший простий дільник
модуля;
72
b) другій, оскільки часова складність алгоритму O( p ) ;
с) жоден алгоритм не має переваг;
d) недостатньо інформації.
373. Часова складність алгоритму решетачислового поля для дискретного

(64/9)1/ 3⋅(log p )1/ 3⋅(log log p)
логарифмування у групі GF * ( p ) описується функцією L( p) = 2
2/3
2 2 2
.
Скільки операцій потрібно виконати алгоритму, якщо p ~ 2 ?
1024
a) 240 ;
b) 260 ;
с) 290 ;
d) 2128 ;
e) 2256 .
374. Алгоритм Діффі – Хеллмана забезпечує:

a) безумовно безпечний обмін загальним секретом абонентам мережі;
b) безпечний обмін загальним секретом двом абонентам мережі за умови автентифікації сторін;
с) електронний цифровий підпис повідомлень;
d) надійне зашифрування повідомлень.
375. Навіщо в протоколі Діффі – Хеллмана доцільно передбачати автентифікацію

абонентів?
a) без автентифікації можливо зламати задачу дискретного логарифмування;
b) без автентифікації можливо зламати задачу факторизації великих чисел;
с) без автентифікації супротивник може замінити своїм ключем відкритий ключ одного з
абонентів, який той надсилає законному користувачеві;
d) завдяки автентифікації неможливо провести атаку на основі «парадоксу днів народження»
абонентів.
376*. Які з нижченаведених асиметричних шифрів або алгоритмів електронного цифрового

підпису використовують операції, подібні тим, що задіяні в протоколі Діффі – Хеллмана?
a) криптосистема RSA;
b) ЕЦП RSA;
с) криптосистема Ель-Гамаля;
d) ЕЦП Ель-Гамаля.
377. За допомогою якого алгоритму можливо розподілити ключі, але неможливо

реалізувати стійке шифрування та гарантувати невідмову від авторства?
a) RSA;
b) Діффі – Хеллмана;
с) ЕСС (Elliptic Curve Cryptosystem) ;
d) Ель-Гамаля.
378. П’ятдесят користувачів встановили секретний зв'язок на основі симетричного шифру

так, що листування кожних двох недоступне для інших. У скільки разів зменшиться
кількість потрібних ключів, якщо вони перейдуть на шифрування за допомогою
асиметричної криптосистеми?
a) у 50;
73
b) у 2450;
с) у 24,5;
d) у 49;
e) у 2500.
379. За протоколом Діффі – Хеллмана розподілу ключів

a) виробляється ключ симетричного шифру;
b) виробляється ключ асиметричного шифру;
с) використовується електронний цифровий підпис;
d) виробляється рандомізатор.
380. Для обміну ключами за схемою Діффі – Хеллмана вибрано скінчене поле GF(37) і
первісний корінь g=5 за модулем 37. Які числа розкриваються користувачами, якщо їх
закриті ключі (вибрані ними випадкові числa) xA = 4 і xB = 3 ?
a) 31 і 12;
b) 32 і 13;
с) 33 і 14;
d) 34 і 15;
e) 35 і 16.
381. Для обміну ключами за схемою Діффі – Хеллмана вибрано скінчене поле GF (37) і
первісний корінь g = 2 за модулем 37. Визначте спільний секретний ключ користувачів,
якщо їх закриті ключі xA = 15 і xB = 20 .
a) 29;
b) 28;
с) 27;
d) 26;
e) 25.
382. Як формулюється задача розкриття експоненційного обміну ключів за протоколом

Діффі – Хеллмана?
a) дано: p, g , a ∈ N , де 1 < g < p − 1 . Знайти: x , для якого a ≡ g x mod p ;
b) дано: p, g , a, b ∈ N , де 1 < g < p − 1 , a = g x mod p , b = g y mod p . Знайти: g xy mod p ;
с) дано: p, g , a, b, c ∈ N , де 1 < g < p − 1 , a = g x mod p , b = g y mod p , c = g z mod p . З’ясувати, чи
виконується рівність z = xy ;
d) дано: p, g , x ∈ N , де 1 < g < p − 1 . Знайти: g x mod p .
383. Яким є спільний секретний ключ, визначений за протоколом відкритого розподілу

ключів між трьома абонентами А, В і С, аналогічним протоколу Діффі – Хеллмана для
двох абонентів, якщо G – спільна для всіх користувачів скінченна циклічна група, g – її
генератор, a, b, c – секретні ключі користувачів А, В і С і відповідно.
a) g abc ;
b) g ab + c ;
с) g a +b + c ;
d) g ab c ;
e) g c ab .
74
384*. Нехай g – генератор такої скінченної циклічної групи GF * ( p ) , в якій значення функції
Діффі – Хеллмана f ( g a , g b ) = g ab є важко обчислювальними. Які з нижченаведених функцій
також будуть важко обчислювальними?
a) f ( g a , g b ) = ( g 2 ) a +b ;
b) f ( g a , g b ) = g a (b +1) ;
с) f ( g a , g b ) = g ab + a +b +1 ;
d) f ( g a , g b ) = ( g )a +b .
385. Якщо p – просте число, то скільки генераторів g є в групі GF * ( p ) ?

a) ( p − 1) / 2 ;
b) ϕ ( p) ;
с) ϕ ( p − 1) ;
d) ( p + 1) / 2 ;
e) p − 1 .
386. Припустимо, що за протоколом Діффі – Хеллмана, як завжди, користувач А вибирає

секретний ключ a = {1, 2,... p -1} і надсилає користувачу В значення X = g a . Той, у свою
чергу, визначає свій таємний ключ b ∈{1, 2,... p -1} та посилає користувачу А число Y = g 1/ b .
Яким буде спільний ключ та які обчислення вони мають зробити?
a) b) с) d)
Ключ K=g ab
K=g ab
K=g a/b
K = g a/b
Обчислення
Ya Y 1/ a Y 1/ a Ya
користувача A
Обчислення
Xb Xb Xb X 1/ b
користувача B
387. Для обміну ключами за схемою Діффі – Хеллмана вибрано скінченну циклічну групу
GF * ( p ) , де p – просте число, і g – твірний елемент. Які рекомендації щодо вибору чисел p і g
для реальних умов Ви можете надати?
a) число p слід вибирати так, щоб число p − 1 мало простий множник q > 2160 ;
b) абонентам слід перевіряти умови: g ( x) ≠ y mod p і g ( y ) ≠ x mod p , де x, y – їх секретні ключі;
с) достатньо, щоб число g було твірним елементом підгрупи групи GF * ( p ) , яка б мала достатньо
великий порядок (наприклад, 2160 );
d) число g обов’язково має бути твірним елементом групи GF * ( p) .
388. Проміжні результати g x mod p і g y mod p за протоколом Діффі – Хеллмана

використовуються для
a) захисту від атаки «людина посередині»;
b) захисту від атаки відтворення;
с) для забезпечення автентифікації учасників протоколу;
d) для їх передачі один одному.
75
389. У яких алгебраїчних структурах можна використовувати протокол Діффі –
Хеллмана?
a) у будь-якій комутативній скінченній групі;
b) у нескінченних групах;
с) у групі перестановок;
d) у групі невироджених квадратних матриць порядку n .
390. Якщо E p (a, b) – еліптична крива над полем GF ( p) , характеристика якого p ≠ 2;3 , то
рівнянням Вейєрштрасса цієї кривої є
a) y 2 + y ≡ x 3 + ax + b(mod p) ;
b) y 2 + xy ≡ x 3 + ax 2 + b(mod p ) ;
с) y 2 ≡ x 3 + ax + b(mod p ) ;
d) y 2 ≡ x3 + ax 2 + bx + c(mod p) .
391. Нехай кубічний многочлен x3 + ax + b над полем GF ( p) розкладено на множники

x 3 + ax + b = ( x − α )( x − β )( x − γ ) , де α , β , γ ∈ GF ( p) . За якої умови дискримінант
D = 4a + 27b (mod p ) дорівнює нулю?
3 2
a) α = γ ,α ≠ β ;
b) α ≠ β ,α ≠ γ , β ≠ γ ;
с) α = β = γ ;
d) D ≠ 0 за жодних умов.
392. Яка з еліптичних кривих, поданих на рисунку, є сингулярною?
a) b) c)
393*. Якi з нижченаведених еліптичних кривих E p (a, b) над полем GF ( p) будуть

несингулярними?
a) y 2 = x3 − 35 x − 9 над полем GF (883) ;
b) y 2 = x 3 + 41x − 89 над полем GF (101) ;
с) y 2 = x 3 + 28 x + 49 над полем GF (67) ;
d) y 2 = x 3 − 22 x + 2 над полем GF (43) ;
394. У групі точок еліптичної кривої E p (a, b) над скінченним полем GF ( p) груповою
операцією є:
a) додавання точок;
b) інверсія точки;
с) множення точок;
d) з’єднання точок.
395. Еліптичній кривій y 2 = x3 + 4 x + 1 над полем GF (7) належить точка
76
a) (1,1);
b) (2,6);
с) (6,3);
d) (3,4);
e) (4,5).
396. Якщо P = (3,2) – точка еліптичної кривої y 2 = x3 − 2 x − 3 над полем GF (7) , то точка 2P
має координати
a) (4, 2);
b) (2, 6);
с) (0, 5);
d) (2, 1);
e) (3, 5).
397. Яке з нижченаведених співвідношень щодо точок еліптичної кривої y 2 = x 3 + 2 x + 7 над

GF (11) помилкове?
a) −(7,1) = (−7, −1) ;
b) −(10, 2) = (10, −2) ;
с) −(7,1) = (7,10) ;
d) −(6, 2) = (6,9) .
398*. У якому випадку правильно додані точки кривої y 2 = x3 + 2 x + 7 над полем GF (11) ?
a) (6, 2) + (6,9) = O ;
b) (6, 2) + O = (6, 2) ;
с) O + O = 2 ⋅ O ;
d) (6, 2) + (10, 2) = O
399. Яка з позначених точок еліптичної кривої, зображеної на рисунку, дорівнює точці 2A?
a) B;
b) C;
с) D;
d) M;
e) N .
400. Вкажіть таку пару чисел a і b, щоб для точок (5, a) і (5, b) еліптичної кривої
y 2 = x 3 + 5 x + 2 над GF (11) справджувалась рівність (5, a) + (5, b) = O .
a) a = −5, b = −5 ;
b) a = 8, b = 3 ;
с) a = 8, b = 8 ;
77
d) a = 2, b = −2 .
401. Яка з позначених точок еліптичної кривої, зображеної на рисунку, дорівнює точці
R+Q?
a) M;
b) N;
с) P;
d) S;
e) T .
402*. Використовуючи наведене на рисунку зображення еліптичної кривої, вкажіть, які

скалярні добутки визначено неправильно.
a) 2A=B;
b) 3A=D;
с) 4A=C;
d) 5A=O;
e) 6A=A .
403. За даними рисунку, на якому подано деяку еліптичну криву, знайдіть порядок точки
A.
a) 2;
b) 3;
с) 4;
d) 5;
e) 6.
78
404. За даними рисунку, на якому подано деяку еліптичну криву, визначте, яка сума точок
обчислена неправильно.
a) A+A=B;
b) B+A=C;
с) C+A=O;
d) D+A=O.
405. Що називається порядком групи точок еліптичної кривої E p (a, b) над полем GF ( p) ?
a) кількість точок кривої;
b) число D = 4a 3 + 27b 2 (mod p ) ;
с) найменше натуральне число n , при якому скалярний добуток nG = G , де G – генератор групи;
d) сума a + b .
406. Наведена на рисунку діаграма відображає результати скалярного множення точки P

=(3,3) еліптичної кривої y 2 = x3 + x над полем GF(7). За допомогою діаграми знайдіть
скалярний добуток P=2(5,5).
a) (1,3);
b) (5,2);
с) (3,4);
d) O;
e) (1,4).
407. При якому значенні C точка (4,2) належить кривій y 2 ≡ x3 + 3 x + C (mod 7) ?

a) С=1;
b) C=2;
с) C=3;
d) C=4;
e) C=5;
f) C=6.
408. Якщо точки P, Q і R еліптичної кривої лежать на одній прямій, заданій рівнянням
y 2 ≡ x 3 + ax + b(mod p ) , то
a) P + Q + R = O ;
b) P + Q = R ;
с) P = Q + R ;
79
d) P = Q − R .
409. Як зв’язані між собою кількість N точок еліптичної кривої E p (a, b) над полем GF ( p) і
характеристика p поля?
a) ( p − 1)2 ≤ N ≤ ( p + 1)2 ;
b) ( p − a)2 ≤ N ≤ ( p + a)2 ;
с) ( p − a)2 ≤ N ≤ ( p + b)2 ;
d) p − ab ≤ N ≤ p + ab .
410. Якщо Q – точка еліптичної кривої E p (a, b) над полем GF ( p) , то найменше натуральне
число n з умовою nQ = O називають
a) порядком кривої;
b) дискримінантом точки;
с) порядком точки;
d) скалярним добутком точки;
e) дискретним логарифмом точки.
411. За умови, що порядок N групи точок еліптичної кривої E p (a, b) є простим числом,
неправильним є твердження
a) будь-яка точка еліптичної кривої, крім точки O, є генератором усіх точок кривої;
b) якщо точка Q ∈ E p (a, b) , то точки Q, 2Q,3Q,..., NQ, O складають усю множину точок кривої;
с) через три точки Q,α Q, і −(α + 1)Q , α = 1, 2,3,..., N , можна провести одну пряму;
d) ( p − 1) 2 ≤ N ≤ ( p + 1)2 .
412. За допомогою наведених нижче результатів додавання точок еліптичної кривої

y 2 = x 3 + x + 1 над полем ( GF (5) , визначте порядок точки (3,1) .
(0,1) (0,4) (2,1) (2,4) (3,1) (3,4) (4,2) (4,3) O

(0,1) (4,2) O (3,4) (4,3) (2,4) (3,1) (2,1) (0,4) (0,1)
(0,4) O (4,3) (4,2) (3,1) (3,4) (2,1) (0,1) (2,4) (0,4)
(2,1) (3,4) (4,2) (2,4) O (0,4) (4,3) (3,1) (0,1) (2,1)
(2,4) (4,3) (3,1) O (2,1) (4,2) (0,1) (0,4) (3,4) (2,4)
(3,1) (2,4) (3,4) (0,4) (4,2) (0,1) O (4,3) (2,1) (3,1)
(3,4) (3,1) (2,1) (4,3) (0,1) O (0,4) (2,4) (4,2) (3,4)
(4,2) (2,1) (0,1) (3,1) (0,4) (4,3) (2,4) (3,4) O (4,2)
(4,3) (0,4) (2,4) (0,1) (3,4) (2,1) (4,2) O (3,1) (4,3)
O (0,1) (0,4) (2,1) (2,4) (3,1) (3,4) (4,2) (4,3) O
a) 2;
b) 3;
с) 4;
d) 6;
e) 8;
f) 9;
g) 12.
80
413. Якщо група E точок еліптичної кривої має порядок N=6557, а порядок точки P ∈ E
дорівнює n , то можливі значення n – це
a) {1,79,83,6557};
b) {1,2,84,6556};
с) {2,4,16,256, ...,6144};
d) {1,6556}.
414. Задача дискретного логарифмування у групі точок еліптичної кривої E p (a, b) над
полем GF ( p) формулюється так: за даними точками P і Q кривої знайти число k , для
якого
a) | PQ |= k ;
b) Q + P = (k , k ) ;
с) Q k = P ;
d) Q = kP .
415. Яка математична проблема забезпечує стійкість криптосистем, побудованих на

еліптичних кривих?
a) визначення точок на кривій, координати яких були б надзвичайно великими числами;
b) пошук на еліптичній кривій точок P( x, y ) , в яких x > y ;
с) дискретне логарифмування на еліптичній кривій;
d) пошук двох точок кривої, які мали б однакові абсциси, а їх ординати відрізнялись знаками.
416. Установіть відповідність між параметрами і операціями криптоалгоритмів над

простим скінченним полем та на еліптичній кривій (поле GF ( p) ).
Криптоалгоритм над GF ( p) :
І Група
ІІ Групова операція
ІІІ Обернений елемент
ІV Піднесення до степеня
Криптоалгоритм на базі еліптичної кривої над GF ( p) :

а) додавання точок;
б) E p ( a , b ) ;
в) Z *p ;
г) множення точок за модулем,
д) g −1 ;
е) − P ;
ж) скалярне множення;
з) віднімання точок.
a) I – в; II – а; III – д; IV – г;
b) I – б; II – з; III – е; IV – г;
c) I – б; II – а; III – е; IV – ж;
d) I – в; II – ж; III – е; IV – д;
81
417. Яку мінімальну кількість подвоєнь і додавань точок потрібно виконати, щоб знайти
на еліптичній кривій за даною точкою P скалярний добуток 397P?
a) 4 подвоєння та 8 додавань;
b) 8 подвоєнь та 4 додавання;
с) 198 подвоєнь та одне додавання;
d) 16 подвоєнь та 8 додавань;
e) 8 подвоєнь та 16 додавань;
f) залежить від рівняння кривої.
418. Для обміну ключами за схемою Діффі – Хеллмана вибрано групу точок еліптичної
кривої y 2 = x 3 + x + 1 над полем GF (23) і базову точку P = (0,1) . Значення xA = 9 і xB = 2 –
секретні ключі користувачів. Використавши таблицю скалярного множення точки P,
визначте, яким буде спільний секретний ключ за умови, що він збігатиметься з абсцисою
згенерованої точки.
a) 12;
b) 11;
с) 10;
d) 9;
e) 7;
f) 6;
g) 5;
h) 4.
419. Для обміну ключами за схемою Діффі – Хеллмана вибрано групу точок еліптичної
кривої y 2 = x 3 + 5 x + 2 над полем GF (11) і базову точку P = (2,3) . За допомогою наведеної
таблиці скалярного множення точки P, визначте спільний секретний ключ користувачів
за умови, що вони обмінялися точками (8,2) і (5,3).
a) (4,8);
b) (3,0);
с) (4,3);
d) (5,8);
e)(8,9);
f) (2,8) .
420. При обміні ключами за схемою Діффі – Хеллмана у групі точок еліптичної кривої у
рівнянні PA = xAG
82
a) G – відкритий ключ учасника А, пара ( xA , PA ) – його секретний ключ;
b) PA – відкритий ключ учасника А, G – його секретний ключ;
с) xA – відкритий ключ учасника А, PA – його секретний ключ;
d) PA – відкритий ключ учасника А, xA – його секретний ключ.
421. Який асиметричний криптоалгоритм, використовуючи 160-бітовий ключ, має

стійкість, близьку до стійкості криптоалгоритму RSA-1024?
a) Ель-Гамаля;
b) 3-DES;
с) ЕСС;
d) Шаміра.
422. Серед наведених тверджень щодо криптосистем на еліптичних кривих тільки одне
неправильне. Яке?
a) довжина повідомлення, поданого у вигляді цілого числа, при зашифруванні за допомогою
криптосистеми на еліптичній кривій не може перевищити порядок групи точок еліптичної
кривої;
b) у криптосистемах на еліптичних кривих ключ довжиною 512 бітів забезпечує при
зашифруванні еквівалентний рівень безпеки тому, що дає криптосистема RSA-512;
с) перевірка електронного цифрового підпису за схемою ECDSA триває приблизно вдвічі
довше, ніж його створення;
d) перевірка електронного цифрового підпису за схемою ECDSA триває довше, ніж перевірка
підпису за схемою RSA.
423. Нехай порядок N еліптичної кривої E над полем Fq розкладається на множники

N = h ⋅ l , де l – просте. За яких умов таку криву можна використати для побудови
еліптичної криптосистеми? Вважайте, що q – велике просте число або великий степінь
двійки.
a) 250 ≤ l ≤ 2150 ;
b) q k ≠ 1mod l при k = 1, 2,...,30 ;
с) l > 2160
d) q h ≡ 1mod l ;
e) l ≠ q ;
f) l = q .
424. Нехай порядок N еліптичної кривої E над полем Fq розкладається на декілька простих
множників. За наведеними довжинами цих множників вкажіть криву, яку доцільну
вибрати для побудови еліптичної криптосистеми.
a) 33 біти, 70 бітів;
b) 70 бітів, 70 бітів, 70 бітів;
с) 30 бітів, 150 бітів, 70 бітів;
d) 3 біти, 200 бітів.
425*. Визначте чинники, що ускладнюють застосування криптосистем на еліптичних

кривих.
a) реальна стійкість таких систем недостатньо вивчена;
83
b) ускладнена генерація криптографічно стійких еліптичних кривих;
с) відносно повільна генерація електронного цифрового підпису;
d) відносно повільна верифікація електронного цифрового підпису;
e) наявність субекспоненціальних алгоритмів дискретногологарифмування у групі точок
еліптичної кривої
426. Вкажіть класи еліптичних кривих над полем GF ( p) , для яких задачу дискретного
логарифмування розв’язати простіше, ніж у загальному випадку.
a) суперсингулярні;
b) аномальні;
с) ізоморфні;
d) несингулярні.
427*. Вкажіть шифри із змінною довжиною ключа.

a) RC5;
b) лінійний афінний шифр;
с) DES;
d) 2DES;
e) RSA;
f) Віженера.
428. Криптографічна хеш-функція – це

a) бієкція;
b) ін’єкція;
с) сюр’єкція;
429. При збереженні та передачі даних часто застосовують їх стискання. Якщо Ви хочете
використати стискання разом з шифруванням, то має сенс
a) спочатку зашифрувати дані, а потім їх стискати;
b) порядок шифрування та стискання не має значення;
с) спочатку стиснути дані, а потім їх зашифрувати;
430. Що називають дайджестом повідомлення?

a) повідомлення, що подається на вхід хеш-функції;
b) електронно-цифровий підпис повідомлення;
с) контрольну комбінацію бітів, що дає змогу виявити помилки;
d) результат обчислення хеш-функції;
e) шифрований текст.
431. Дайджест вихідного повідомлення використовується для

a) захисту від несанкціонованої зміни повідомлення;
b) безпечного обміну ключами;
с) стискання даних для формування ЕЦП;
d) таємної передачі повідомлення іншій стороні.
432. У чому полягає суть процесу хешування?

a) шифрування за допомогою асиметричного алгоритму;
84
b) піднесення тексту у вигляді числа у степінь відкритої експоненти;
с) застосування афінних функцій для шифрування повідомлень;
d) перетворення вхідного повідомлення довільної довжини у вихідний бітовий рядок фіксованої
довжини.
433. Колізія – це…

a) створення стеганографічною програмою двох зображень, які хоч і мають однаковий вигляд,
але в одному прихована таємна інформація;
b) помилка при хешуванні;
с) протиріччя у документі;
d) створення за допомогою хеш-функції однакового дайджесту для двох різних повідомлень;
e) виникнення однакового шифротексту у разі зашифрування одного повідомлення
симетричним шифром на двох різних ключах.
434. Яка основна причина виникнення колізій для стійкої хеш-функції?

a) легкість обчислення хеш-образів повідомлень;
b) парадокс «дня народження»;
с) ситуація «людина посередині»;
d) стійкість хеш-функції до першого прообразу.
435. Чому дорівнює ймовірність появи двох однакових знаків у вибірці з t незалежних
випадкових знаків n -елементного алфавіту?
a) 1 − e− a , де 0 < a ⋅ n < Ct2 ;
b) 1 − e− nt ;
с) 1 − ∑ e − at , де 0 < a ⋅ n < Ct2 ;
t =1,2
d) 1 − e − t n .
436. Яка властивість криптографічних хеш-функцій вказана неправильно?

a) можливість створювати дайджести повідомлень без ключів;
b) стійкість до виникнення колізій;
с) функціональний зв'язок між аргументами та значеннями функції;
d) взаємно однозначна відповідність між аргументами та значеннями функції;
e) складність визначення аргументу за відомим значенням функції.
437*. Які властивості притаманні криптографічним хеш-функціям H ( M ) ?

a) для будь-якого значення H1 хеш-функції неможливо обчислювально ефективно знайти таке
повідомлення M , для якого H1 = H ( M ) ;
b) для будь-якого повідомлення M неможливо обчислювально ефективно знайти H ( M ) ;
с) на вхід хеш-функції можуть подаватися лише блоки даних фіксованої довжини;
d) незалежно від того, яку довжину має вхідне повідомлення M , довжина значення хеш-функції
H ( M ) завжди буде фіксованою;
e) за будь-якої довжини вхідного повідомлення значення хеш-функції обчислюється за
поліноміальний час;
f) для будь-якого повідомлення M 1 обчислювально неможливо знайти інше повідомлення M 2 ,
щоб H ( M 1 ) = H ( M 2 ) .
85
438. У чому полягає стійкість функції хешування H ( M ) до колізій першого роду?
a) для будь-якого хеш-образу H1 практично неможливо обчислити таке повідомлення M, для
якого H1 = H ( M ) ;
b) якщо H ( M 1 ) = H ( M 2 ) , то M 1 = M 2 ;
с) довжина хеш-образу має бути фіксованою незалежно від довжини повідомлення;
d) для будь-якого повідомлення M 1 практично неможливо обчислити або підібрати інше
повідомлення M 2 , для якого H ( M 1 ) = H ( M 2 ) .
439. Яку властивість хеш-функції характеризує її стійкість до колізій другого роду?

a) практично неможливо знайти таку пару повідомлень M 1 , M 2 , які мали б однакові хеш-образи;
b) якщо хеш-образи одного й того самого повідомлення створені за допомогою різних хеш-
функцій, то ці хеш-образи мають збігатися;
с) можливість виправлення помилок при хешуванні;
d) для будь-якого хеш-образу H1 практично неможливо обчислити таке повідомлення M, для
якого H1 = H ( M ) .
440. Ускладнена стійкість хеш-функцій до колізій означає

a) складність знайти дві хеш-функції, значення яких для певних повідомлень збігаються;
b) складність знайти два різних аргументи, хеш-образи яких однакові;
с) відсутність кореляції між повідомленнями та їх хеш-образами;
d) можливість зміни довжини хеш-образів однієї функції.
441. Нехай криптоаналітик намагається за відомими повідомленням M і його дайджестом

H ( M ) знайти інше повідомлення M ′ , для якого H ( M ) = H ( M ′) . Така постановка задачі
характеризує атаку
a) першого прообразу;
b) другого прообразу;
с) створення колізії;
d) за допомогою грубої сили.
442. Назвіть принцип атаки на електронний цифровий підпис, в основу якої покладено
«парадокс днів народження».
a) фабрикується задана кількість повідомлень і їх хеш-образів з метою відшукати однакові хеш-
образи;
b) фабрикується задана кількість повідомлень однакової довжини;
с) фабрикується задана кількість хеш-образів для одного повідомлення;
d) фабрикується задана кількість однакових хеш-образів одного повідомлення за допомогою
різних хеш-функцій.
443. Хеш-функція створює для повідомлень дайджести фіксованої довжини із m бітів. Як

називається атака на хеш-функцію, у ході якої намагаються обчислити 2m / 2 можливих
хеш-образів повідомлень з метою знайти однакові?
a) адаптивна атака на основі вибраного відкритого тексту;
b) атака на основі вибраного шифротексту;
с) атака на основі «парадоксу днів народження»;
d) атака «зустріч посередині».
86
444. Яка ймовірність створити колізію для ідеальної криптографічної хеш-функції, якщо її
значення мають довжину 60 бітів?
30!
a) ;
230
2
b) ;
60!
1
с) ;
245
30
d) ;
260
1
e) .
230
445. За допомогою ідеальної криптографічної хеш-функції H ( x) для повідомлень якої

завгодно довжини створюється хеш довжини n . Супротивник намагається знайти колізію
цієї функції. Як залежить від n кількість спроб, які він має здійснити, щоб досягти мети?
a) O(2n ) ;
b) O(2 n ) ;
с) O(2n / 2 ) ;
d) O(2log n ) .
446*. Функція H ( M ) – стійка до колізій. Які з нищенаведених функцій також будуть

стійкими до колізій? Символ || означає конкатенацію.
a) H1 ( M ) = H (0) ;
b) H 2 ( M ) = H ( M ) || H ( M ) ;
с) H 3 ( M ) = H ( H ( M )) ;
d) H 4 ( M ) = H ( M ) ⊕ H ( M ) .
447*. Для якої з хеш-функцій H1 , H 2 , H 3 , H 4 пара повідомлень M 1 = 000 і M 1 = 111

створюватиме колізію, якщо вихідна хеш-функція H ( M ) стійка до колізій? | M | – довжина
повідомлення.
a) H1 ( M ) = H (0) ;
b) H 2 ( M ) = H (| M |) ;
с) H 3 ( M ) = H ( M ) ⊕ H ( M ) ;
d) H 4 ( M ) = H ( M [1, 2,...,| M | −1]) (повідомлення без останнього бітa).
448. У схемі Меркля – Дамгарда ітеративна функція хешування, основана на

a) побітовому хешуванні;
b) поблоковому хешуванні за допомогою стискання;
с) підстановках;
d) перестановках.
449. При створенні дайджесту повідомлення за схемою Меркля –Дамгарда на i -му кроці
ітерації за допомогою однокрокової функції стискання обробляється
a) все повідомлення відразу;
87
b) результат хешування, отриманий на (i-1)-му кроці;
с) результат хешування, отриманий на (i-1)-му кроці, та i -ий блок повідомлення;
d) результати хешування, отримані на (i-1)-му та (i-2)-му кроках;
e) тільки i -ий блок повідомлення.
450. Перетворення блока даних за допомогою алгоритму MD5 здійснюється за

a) за 4 раунди;
b) за 16 раундів;
с) за 64 раунди;
d) кількість раундів залежить від довжини повідомлення.
451. Навіщо виробники програмного забезпечення при завантаженні його своїм клієнтам
через Інтернет публікують хеш-образи програм, отримані за допомогою алгоритму MD5?
a) за допомогою хеш-образів клієнти можуть перевірити справжність сайту, з якого вони
завантажили патчі;
b) клієнти можуть у подальшому запитати оновлення програмного забезпечення за допомогою
отриманих хеш-образів;
с) хеш-образи потрібні для успішної активації нового програмного забезпечення;
d) клієнти можуть перевірити цілісність програмного забезпечення після завантаження.
452. Що є спільним для алгоритмів хешування MD2, MD4 і MD5?

a) для довільного повідомлення усі алгоритми генерують 160-бітовий хеш-образ;
b) на вхід кожного з них можна подати лише повідомлення довжиною 160 бітів;
с) усі оптимізовані до роботи на комп’ютерах з 32-бітовою архітектурою;
d) усі алгоритми виробляють хеш-образ повідомлення за однакову кількість раундів;
e) у раунді всіх алгоритмів задіяно по чотири логічні функції.
453*. Вкажіть правильні твердження щодо роботи алгоритмів хешування SHA-1 и MD5.
a) якщо алгоритм SHA-1 створює дайджест y повідомлення x , то у разі подачі на вхід алгоритму
MD5 повідомлення y на виході отримаємо дайджест x ;
b) навіть зміна одного біта у повідомленні, що подається на вхід обох алгоритмів, може
спричинити зміну більше 50 % бітів у дайджесті;
с) для обох алгоритмів легко визначити вхідне повідомлення за результуючим дайджестом;
d) існують реальні успішні атаки на криптоалгоритм MD5, за сценарієм яких генеруються пари
текстів, що створюють колізію.
454. У скільки разів більше дайджестів повідомлень потрібно створити, щоб знайти
колізію хеш-функції SНA-1, ніж у разі підбору колізії хеш-функції МD-4?
a) у 2 рази;
b) у 1,5 рази;
с) у 1,25 разів;
d) у 4 рази;
e) у 5 разів;
f) у 10 разів.
455*. Які висловлювання щодо хеш-функції SHA-1 є неправдивими?

a) якщо після подачі повідомлення x на вхід хеш-функції SHA-1 буде згенеровано дайджест y ,
то у разі подання на вхід повідомлення y на виході виникає дайджест x;
88
b) зміна одного біта повідомлення може спричинити зміну більше, ніж одного біта у дайджесті
повідомлення, створеного за допомогою SHA-1;
с) довжина дайджесту, створеного за допомогою SHA-1, для будь-якого повідомлення дорівнює
160 бітів;
d) на вхід алгоритму SHA-1 можна подавати тільки повідомлення довжиною 160 бітів;
e) в алгоритмі використовується циклічний код виправлення помилок.
456. Яку кількість бітів міститиме доповнення повідомлення довжиною 3616 бітів, якщо
воно подається для хешування на вхід алгоритму SHA-512?
a) 32;
b) 416;
с) 480;
d) 512;
e) інша відповідь.
457. Криптографічна хеш-функція, що реалізується алгоритмом імітозахищеного

кодування і призначена для забезпечення неможливості для порушника створювати нові
або модифікувати старі повідомлення, називається
a) однобічною хеш-функцією;
b) хеш-функцією з ускладненим виявленням колізій;
с) хеш-функцією, стійкою до виявлення другого прообразу;
d) ключовою хеш-функцією.
458*. Навіщо повідомлення передається спільно з його кодоавтентифікацєю (МАС-підпис)?

a) для забезпечення конфіденційності повідомлення;
b) для контроля цілісності повідомлення;
с) для забезпечення достовірності повідомлення;
d) для гарантій неможливості у подальшому відмовитися від авторства;
e) для автентифікації джерела повідомлення.
459*. Які активні атаки можна виявити за допомогою МАС повідомлення?

a) зміна повідомлення;
b) видалення повідомлення;
с) вставка додаткового повідомлення;
d) повторення старого повідомлення;
e) зміна порядку передачі двох або більше повідомлень.
460. Алгоритм HMAC – це

a) незалежний від повідомлень алгоритм генерації ключів у синхронних потокових шифрах;
b) алгоритм відкритого розподілу ключів, побудований на складності задачі дискретного
логарифмування;
с) алгоритм, який комбінує безключову хеш-функцію та секретний ключ і забезпечує цілісність,
істинність та неможливість повторного використання повідомлень;
d) високий рівень доступу до секретного тексту;
e) МАС коди, побудовані із застосуванням блокового шифру.
461. З якою метою було розроблено алгоритм НМАС?

a) щоб зробити швидкість роботи алгоритму близькою до швидкості роботи відповідної хеш-
функції;
89
b) щоб мати можливість стиснути повідомлення без втрати інформації;
с) заради можливості використання секретних ключів та простоти роботи з ними;
d) щоб гарантувати автентичність повідомлення та джерела двом сторонам, що не довіряють
одна одній.
462. Для побудови НМАС повідомлення M використано алгоритм хешування SHA-1:

HMAC ( K , M ) = SHA1[( K ⊕ opad ) || ( K ⊕ ipad )] ,
де ipad і opad – блоки виду 0x3636...36 та 0x5c5c ...5c відповідно. Які попередні розрахунки
можна виконати заради прискорення обчислення НМАС, якщо секретний ключ K
фіксований?
a) ітерації блоків K + ⊕ ipad ;
b) ітерації блоків K + ⊕ opad ;
с) обчислення дайджесту повідомлення;
d) ( K + ⊕ ipad ) || M , ( K + ⊕ opad ) || M .
463. За стандартом НМАС на відміну від стандарту МАС повідомлення

a) шифрують;
b) розбивають на блоки та, за необхідністю, доповнюють до потрібної довжини;
с) доповнюють контрольною сумою;
d) розбивають на блоки та кодують.
464. Яке з тверджень щодо НМАС правильне?

a) для побудови НМАС використовується RSA хеш-функція;
b) для побудови НМАС повідомлення використовується секретний ключ, відомий лише
відправнику;
с) НМАС використовують в протоколах SSL i TLS, щоб забезпечити конфіденційність обміну
інформацією;
d) це МАС коди, побудовані на основі безключових швидких хеш-функцій і секретного ключа.
465. На відміну від коду виявлення помилок (MDC) у коді автентифікації повідомлення
(МАС) використовують
a) хеш-функцію;
b) секретний ключ;
с) несекретний канал;
d) перестановки.
466*. З погляду на те, що код МАС та ЕЦП призначені для автентифікації повідомлень,
визначте, яке твердження правильно описує їх відмінність.
a) код МАС можна перевірити тільки, знаючи повідомлення, а для верифікації ЕЦП потрібен
секретний ключ абонента, що підписав повідомлення;
b) код МАС можна перевірити без секретного ключа, а для верифікації ЕЦП потрібен відкритий
ключ абонента, що підписав повідомлення;
с) код МАС можна отримати за допомогою секретного ключа, а для верифікації ЕЦП достатньо
отримати сертифікат секретного ключа;
d) код МАС можна отримати за допомогою секретного ключа, використаного для його
генерації, а верифікувати ЕЦП можна за відомим відкритим ключем абонента, що підписав
повідомлення.
90
467. Якщо на стороні відправника приєднати до повідомлення його хеш, зашифрований за
допомогою симетричного алгоритму з секретним ключем, то це еквівалентно
a) створенню електронного цифрового підпису;
b) забезпеченню таємності передачі повідомлення;
с) генеруванню однобічної функції;
d) створенню кода автентифікації повідомлення МАС.
468*. Які з нижченаведених алгоритмів хешування застосовують при високошвидкісних

обчисленнях?
a) MD4;
b) MAC;
с) SHA-1;
d)RSA;
e) RSA-ОАЕР;
f) WHIRLPOOL.
469. Якої властивості не має в електронного цифрового підпису повідомлення?

a) гарантування достовірності;
b) непідробленості;
с) можливості повторного використання;
d) підтвердження цілісності документу;
e) ЕЦП не змінюється при зміні тексту документа;
f) кожна копія документа повинна підписуватися окремо.
470. У разі придбання покупцем товару на сайті електронної комерції останній повинен
надати докази того, що купівля дійсно відбулася між сайтом і покупцем. Якщо для цього
задіяти електронний цифровий підпис, то найбільш важливо, що за його допомогою можна
гарантувати
a) справжність цифрового підпису;
b) цілісність даних з цифровим підписом;
c) справжність зобов’язань щодо торгової угоди;
d) конфіденційність відкритих ключів.
471. При генерації ЕЦП повідомлення його дайджест шифрується за допомогою

a) відкритого ключа відправника;
b) секретного ключа відправника;
с) відкритого ключа отримувача;
d) секретного ключа отримувача.
472. Чому шифротекст повідомлення, отриманий за допомогою симетричного шифру з

використанням спільного секретного ключа користувачів, не може замінити електронний
підпис повідомлення?
a) третя сторона (арбітр) не зможе дізнатися, хто з двох користувачів підписав повідомлення, і
розв’язувати спори щодо істинності підпису;
b) третя сторона (арбітр) не зможе бути впевненою, що хтось інший не викрав закритий ключ;
с) симетричний шифр не гарантує, що протягом достатньо довгого терміну такий електронний
цифровий підпис неможливо підробити;
d) секретний ключ має бути відкритий третій стороні (арбітру) для перевірки підпису.
91
473. Якщо Ви вважаєте, що дехто замінив надіслане Вам захищене повідомлення, то якою
буде ваша дія щодо з’ясування правди?
a) перевірка теми повідомлення;
b) перевірка часу і дати отримання шифротексту;
с) перевірка цифрового підпису повідомлення;
d) звернення до центру сертифікації з метою припинити дію сертифікату вашого відкритого
ключа.
474. У разі потреби в криптографічному механізмі, що забезпечить цілісність і

автентичність вашого повідомлення, Ви виберете
a) стеганографію;
b) хешування;
с) протокол Kerberos;
d) цифровий підпис.
475. Яка послідовність підпису повідомлень за допомогою ЕЦП?

a) спочатку обчислюють хеш повідомлення і далі хеш підписують;
b) повідомлення спочатку шифрують, піддають хешуванню і далі підписують;
с) при створенні підпису повідомлення шифрують, а під час верифікації підпису обчислюють
хеш повідомлення;
d) обчислюють хеш повідомлення, шифрують його і далі підписують.
476. Наведіть наступні чотири дії в порядку, за яким Ви зможете створити, а дехто потім
перевірити ваш електронний цифровий підпис.
1 – шифрування хеша повідомлення за допомогою секретного ключа;
2 – порівняння надісланого хеша із створеним хешем повідомлення;
3 – створення хеша повідомлення;
4 – розшифрування підпису за допомогою вашого відкритого ключа.
a) 4,2,1,3;
b) 1,4,3,2;
с) 3,1,4,2;
d) 3,4,2,1.
477. Поставте у відповідність тип підробки електронного цифрового підпису і механізм її

здійснення. Вважайте, що супротивник не володіє секретним ключом для підпису, але знає
відкритий ключ відправника.
Підробка Дії супротивника
А. Супротивник розробляє алгоритм функціонально
І - селективна; еквівалентний алгоритму ЕЦП;
ІІ - екзистенціальна; Б. Супротивник для даного повідомлення підробляє підпис;
ІІІ - універсальна. В. Супротивник створює пару „повідомлення – підпис”, що
приймається алгоритмом верифікації.
a) І-А; ІІ-В; ІІІ-Б;

b) І-Б; ІІ-В; ІІІ-А;
с) І-В; ІІ-А; ІІІ-Б;
d) І-Б; ІІ-А; ІІІ-В.
92
478*. Що з наступного є перевагою схеми ЕЦП на основі криптосистеми RSA над ЕЦП за
стандартом DSS?
a) у схемі ЕЦП на основі RSA підписується не саме повідомлення, а його хеш, а в стандарті DSS
цього непередбачено;
b) підпис на основі криптосистеми RSA не піддається екзистенціальній підробці;
с) на відміну від криптоалгоритму DSA криптоалгоритм RSA також можна задіяти для
шифрування;
d) розмір підпису на основі RSA зазвичай коротший, ніж за стандартом DSS.
479*. Нехай (n, e) – відкритий ключ користувача криптосистеми RSA, d – секретний ключ.
При підписанні довгих повідомлень M > n він створює підпис ( M mod n)d mod n . Які з
нижченаведених тверджень будуть правильними?
a) при підписанні повідомлень за допомогою ЕЦП RSA існують обмеження на довжину
повідомлення;
b) повідомлення M і M mod n матимуть різні підписи;
с) при такій організації підпису легко генерувати різні повідомлення, що матимуть однаковий
електронний підпис;
d) при підписанні довгих повідомлень M > n потрібно збільшити відкриту експоненту.
480. Якщо абонент, який користується криптосистемою RSA з модулем n = 55 та

відкритою експонентою e = 3 , підпише деяке повідомлення, дайджест якого H ( M ) = 2 , то
для перевірки підпису він має надіслати іншому абоненту
a) M , 23 ;
b) H ( M ), 29 ;
с) M ,11 ;
d) M ,18 ;
e) H ( M ),19 ;
481*. Порівняйте час виконання операцій з відкритим та секретним ключами в

криптоалгоритмі RSA та ЕЦП RSA.
a) шифрування тексту триває довше, ніж дешифрування;
b) розшифрування тексту триває довше, ніж шифрування;
с) генерація підпису триває довше, ніж його перевірка;
d) перевірка підпису триває довше, ніж його генерація.
482. Нехай S1 і S 2 – електронні підписи повідомлень m1 і m2 відповідно, створені за

допомогою алгоритму RSA. Як створити електронний підпис повідомлення m1j ⋅ m2k , де j і k –
додатні цілі значення, якщо відомі лише модуль n і відкрита експонента e криптосистеми?
a) ( S1j ⋅ S 2k )e (mod n) ;
b) S1j ⋅ S 2k (mod n) ;
с) S1k ⋅ S 2j (mod n) ;
d) ( S1 ⋅ S 2 )( k + j ) e (mod n) .
93
483. Порівняйте особливості схеми ЕЦП на основі криптосистеми RSA і криптосистеми
Ель-Гамаля. Виберіть неправильне твердження.
a) підпис, отриманий за схемою Ель-Гамаля, має дві компоненти, а за схемою RSA – одну;
b) у схемі ЕЦП на основі криптосистеми Ель-Гамаля складність обчислення підпису і його
верифікакації однакова;
с) у схемі ЕЦП на основі криптосистеми RSA процес створення підпису повідомлення триває
довше, ніж його перевірка;
d) генерація цифрового підпису за схемою Ель-Гамаля – це рандомізований алгоритм, а за
схемою RSA – детермінований.
484. Яка умова верифікації електронного цифрового підпису M , R, S за схемою Ель-

Гамаля, якщо доменні параметри p і g , відкритий ключ абонента y, дайджест
повідомлення H ?
a) y R g S ≡ R H mod p ;
b) g R + H ≡ y S mod p ;
с) y S S R ≡ g H mod p ;
d) y R R S ≡ g H mod p .
485*. Вкажіть усі умови, за яких порушується стійкість ЕЦП на основі криптосистеми Ель-
Гамаля. Вважайте, що ( p, g , y ) – відкриті параметри криптосистеми, M , R, S –
електронний цифровий підпис.
a) R > p ;
b) p − 1 > S ;
с) параметр g кратний R ;
d) R = g ;
e) S = y ;
f) багаторазове використання ефемерного ключа.
486. Нехай p = 17, g = 3 – доменні параметри криптосистеми Ель-Гамаля, y = 5 – відкритий

ключ абонента, x = 5 – його секретний ключ. Вибравши рандомізатор r = 7 , він підписав
повідомленням M , дайджест якого H = 9 . Яким є цей підпис?
a) M ,8,11 ;
b) M ,9,12 ;
с) M ,10,13 ;
d) M ,11,14 ;
e) M ,12,15 ;
487. Схема Ель-Гамаля електронного цифрового підпису M , R, S стала взірцем для

побудови цілої сім’ї багато в чому схожих за своїми властивостями інших схем підпису. У
них підпис верифікується за допомогою перевірки умови g A y B ≡ R C (mod p ) , де трійка
( A, B, C ) збігається з однією з перестановок чисел ± H , ± R, ± S при певному виборі знаків, H –
94
хеш повідомлення, y – відкритий ключ абонента. Якими є значення ( A, B, C ) для
американського стандарту DSS електронного цифрового підпису?
a) A = H , B = R, C = S ;
b) A = − H , B = S , C = R ;
с) A = H , B = − R, C = S ;
d) A = H , B = − S , C = R .
488*. До основних недоліків схеми ЕЦП на основі криптосистеми Ель- Гамаля відносять
a) повільну швидкість, особливо при підписанні;
b) необхідність змінювати секретний ключ після кожного підписання документу;
с) детермінований тип алгоритму ЕЦП;
d) значну довжину підпису.
489. Який алгоритм лежить в основі алгоритму DSА ЕЦП?

a) RSA;
b) Ель-Гамаля;
с) DES;
d) Діффі – Хеллмана.
490. Який з нижченаведених варіантів описує в алгоритмі DSA основні операції на стадії
підписання повідомлення? Вважайте, що довжина повідомлення менша за 264 бітів.
a) повідомлення подається на вхід алгоритму DSA і далі створений 160-бітовий хеш
повідомлення передається на вхід алгоритму SHA, який генерує ЕЦП повідомлення;
b) повідомлення подається на вхід алгоритму SHA і далі створений 128-бітовий хеш
повідомлення подається на вхід DSA, який генерує ЕЦП повідомлення;
с) повідомлення подається на вхід алгоритму SHA і далі отриманий 160-бітовий хеш
повідомлення використовується як ЕЦП повідомлення;
d) повідомлення подається на вхід SHA і далі згенерований 160-бітовий хеш повідомлення
передається на вхід алгоритму DSA, який генерує ЕЦП повідомлення.
491*. Які з відкритих параметрів (p, q, g, y) алгоритму DSА можуть бути спільними для
кількох користувачів одночасно?
a) p;
b) q;
с) g;
d) y .
492. Числа (p, q, g, y) – відкриті параметри алгоритму DSА, число a – секретний ключ,
M , R, S – електронний цифровий підпис, де S = ( H + aR)k −1 mod q , H – дайджест
повідомлення. Якщо замінити останнє рівняння на S = ( Ha − R )k −1 mod q , то якою стане
умова верифікації підпису?
−1 −1
a) R = ( y SH g − SR mod p) mod q ;
b) R = ( y SH g − SR mod p ) mod q ;
−1 −1
с) R = ( y S H g − S R mod p ) mod q ;
d) залишиться без змін.
95
493*. Як на практиці можна прискорити реальну генерацію алгоритмом DSА електронного
цифрового підпису M , R, S повідомлення M (без втрати стійкості)?
a) при різних випадкових значеннях ефемерного ключа k виконати попередні обчислення
першої компоненти R підпису;
b) при різних випадкових значеннях ефемерного ключа k виконати попередні обчислення другої
компоненти S підпису;
с) заздалегідь визначити обернені значення k −1 mod q для різних випадкових ефемерних ключів;
d) зменшити доменний параметр q до 80 бітів;
e) змінити порядок зведення за модулями чисел p і q при обчисленні першої компоненти R
підпису.
494. Порівняйте переваги алгоритмів DSА і Ель-Гамаля електронного цифрового підпису.

Виберіть правильну відповідь:
a) довжина підпису у 320 бітів, отриманого за алгоритмом DSА, набагато коротша за довжину
підпису за схемою Ель-Гамаля;
b) робота алгоритму DSА потребує більшого об’єму пам'яті, ніж робота алгоритму Ель-Гамаля;
с) час обчислення підпису за алгоритмом DSА менший, ніж за алгоритмом Ель-Гамаля;
d) на відміну від алгоритму Ель-Гамаля в алгоритмі DSА параметр p стає спільним для групи
користувачів, що послабляє стійкість алгоритму.
495. За американським стандартом DSS електронний цифровий підпис може бути

сформовано усіма наведеними нижче алгоритмами за винятком
a) ECDSA;
b) AES;
с) RSA;
d) DSA.
496. Стійкість алгоритму ECDSA основана на складності проблеми

a) факторизації великих чисел за допомогою еліптичної кривої;
b) дискретного логарифмування у скінченному полі;
с) дискретного логарифмування у групі точок еліптичної кривої;
d) перевірних матриць лінійних кодів.
497*. Не існує субекспоненційного алгоритму для розв’язання задачі

a) факторизації великих чисел;
b) факторизації великих чисел за допомогою еліптичної кривої;
с) дискретного логарифмування у скінченному полі;
d) дискретного логарифмування у групі точок еліптичної кривої.
498*. Що є спільного в алгоритмах ECDSA і DSA?

a) в обох алгоритмах легко згенерувати системні параметри;
b) обидва підписи коротші, ніж підпис за схемою RSA;
с) друга компонента S підпису R, S в обох алгоритмах обчислюється за рівняннями, що мають
однакову структуру;
d) генерування підписів за допомогою кожного алгоритму триває довше, ніж його верифікація.
499*. Які відмінності між алгоритмами ECDSA і DSA Ви можете назвати?
96
a) алгоритм DSA базується на схемі електронного підпису Ель-Гамаля, а алгоритм ECDSA – на
схемі підпису RSA;
b) алгоритм DSA використовує для хешування алгоритм SНA-1, а алгоритм ECDSA – алгоритм
SНA-2;
с) алгоритм DSA використовує підгрупу порядку q групи GF * ( p ) , а алгоритм ECDSA – групу
точок еліптичної кривої над полем GF ( p) ;
d) різна кількість зведень за модулем при обчисленні першої компоненти R підпису R, S .
500. Назвіть довжину ключа алгоритму ECDSA, при якому забезпечується рівень захисту,
еквівалентний рівню, що дає алгоритм DSA з ключем довжиною 1024 бітів.
a) 2048 бітів;
b) 512 бітів;
с) 320 бітів;
d) 160 бітів;
e) 80 бітів.
501. Користувач підписав повідомлення M з хешем H = 4 за стандартом ECDSS

електронного цифрового підпису з алгоритмом ECDSА, вибравши еліптичну криву
y 2 = x 3 + 2 x + 9 над полем GF (13) і базову точку G = (1,8) порядку 17. За умови, що закритий
ключ користувача d = 5 , рандомізатор k = 2 , цей підпис
a) M ,10,7 ,
b) M ,9,6 ;
с) M ,8,5 ;
d) M ,7, 4 ;
e) M ,6,3 ;
f) немає правильної відповіді.
502. Українським стандартом електронного цифрового підпису є

a) DSS;
b) ESIGN;
с) СТБ 1176.2-99;
d) ДСТУ 4145-2002.
503. Що може надати можливість абонентам мережі упевнитися, що особи або організації,
від яких вони отримують шифровані повідомлення, дійсно є тими, за кого вони себе
видають?
a) хеш-образи повідомлень;
b) біометричні підписи;
с) симетричне шифрування;
d) сертифікати ключів.
504. Яку з організацій чи установ можна визначити як нейтральну, що засвідчує цифрові

сертифікати ключів?
a) центр сертифікації (CA);
b) центр затвердження ключів;
с) зона авторизації;
97
d) парольна установа.
505. Який з наведених принципів не покладено в основу створення інфраструктури

відкритих ключів (РКІ)?
a) секретний ключ відомий лише користувачу;
b) центр сертифікації створює сертифікат відкритого ключа;
с) усі користувачі довіряють один одному і центру сертифікації;
d) центр сертифікації підтверджує або спростовує належність відкритого ключа користувачу,
який має відповідний секретний ключ.
506*. Задачі, що вирішує інфраструктура РКІ, – це

a) забезпечення конфіденційності та цілісності інформації;
b) забезпечення автентифікації користувачів;
с) забезпечення захисту від DDoS атак;
d) забезпечення можливості підтвердження дій, скоєних користувачами з інформацією;
e) авторизація суб’єктів.
507. В умовах децентралізації керування ключами, користувач відповідає за створення

a) цифрового сертифікату відкритого ключа;
b) списку анульованих сертифікатів відкритих ключів;
с) відкритого і секретного ключів для асиметричного шифрування;
d) анулювання цифрового сертифікату відкритого ключа.
508*. Назвіть серед нижченаведеного дві компоненти інфраструктури відкритих ключів:

a) паспорти користувачів;
b) цифрові сертифікати;
с) зашифровані дані;
d) центр сертифікації.
509. Центр сертифікації ключів є

a) основною структурою, що формує цифрові сертифікати центрів сертифікації нижчого рівня
та/або кінцевих користувачів;
b) допоміжною структурою, що формує цифрові сертифікати центрів нижчого рівня та кінцевих
користувачів;
с) основною структурою, що формує пари секретних та відкритих ключів центрів нижчого рівня
та кінцевих користувачів;
d) основною структурою, що формує цифрові сертифікати тільки центрів сертифікації нижчого
рівня, але не кінцевих користувачів.
510. Відкриті ключі та інша інформація про користувача зберігається центром

сертифікації у вигляді
a) зламозахищених пристроїв;
b) цифрових сертифікатів;
с) електронних відбитків пари «відкритий ключ – секретний ключ» користувача;
d) білетів з часовими мітками звернень до центру по інформацію.
511. Зберігання секретних ключів третьою стороною називається

a) ключовою банківською операцією;
b) хешуванням ключів;
98
с) депонуванням ключів;
d) резервним копіюванням ключів.
512. Що з вищенаведеного не входить до складу цифрового сертифікату відкритого

ключа?
a) серійний номер;
b) ім’я власника сертифіката;
с) закритий ключ;
d) ім’я центру сертифікації.
513. Припустимо, що менеджер вашої компанії хоче створити інфраструктуру для

керування відкритими ключами і переконатися, що система повністю стандартизована.
Якому стандарту мають відповідати сертифікати відкритих ключів?
a) Х.501;
b) Х.509;
с) ІЕЕЕ 802.3;
d) ІЕЕЕ 802.11.
514. Якщо центр сертифікації видає Вам, як користувачеві, сертифікат формату Х.509
вашого відкритого ключа, то цей сертифікат підписаний за допомогою
a) вашого відкритого ключа;
b) вашого закритого ключа;
с) відкритого ключа центру сертифікації;
d) закритого ключа центру сертифікації.
515. Як Ви, звернувшись до центру сертифікації з питання отримання сертифікату для

свого відкритого ключа, можете довести останньому, що Ви знаєте закритий ключ,
відповідний вашому відкритому?
a) поставити на запиті свій електронний цифровий підпис, який центр сертифікації перевірить за
допомогою відкритого ключа користувача;
b) за допомогою залученого посередника;
с) письмово повідомити центр про значення закритого ключа;
d) за допомогою протоколу з нульовим розголошенням;
e) за допомогою протоколу «людина посередині».
516. Мінімальна інформація, що має бути записана у сертифікаті відкритого ключа, – це

a) прізвище, дата закінчення дії сертифіката, цифровий підпис центру та його поштова адреса;
b) прізвище, дата видачі сертифіката, дата закінчення дії сертифікату, відкритий ключ;
с) прізвище, роль користувача в інформаційній системі; серійний номер сертифіката, відкритий
ключ;
d) прізвище, відкритий ключ, серійний номер сертифіката, цифровий підпис центру.
517. Центр сертифікації анулює сертифікати формату Х.509 відкритих ключів за

допомогою
a) знищення з комп’ютерної пам’яті;
b) публікації у репозиторії списку анульованих сертифікатів;
с) циркулярних листів центру сертифікації;
d) оголошення в пресі.
99
518. Уявіть, що 20.03.2023 р. дехто поставив свій електронний цифровий підпис під
документом, а 22.03.2023 р. центр сертифікації ключів анулював сертифікат його
відкритого ключа. При яких датах перевірки цей підпис вважатиметься легітимним, якщо
сертифікат ключа було видано 01.03.2023 р.? Звичайно, алгоритм верифікації підпису не
виявив протиріч.
a) 19 квітня 2023 р.;
b) 21 березня 2023 р.;
с) 23 березня 2023 р.
519. У якій із ситуацій сертифікат відкритого ключа треба анулювати?

a) клієнт банку на вимогу співробітника банку повідомив йому код доступу і пароль, що
захищають його ЕЦП на ключовому носії;
b) банк повідомив свого клієнта, що виникли технічні несправності, які перешкоджали
використанню електронних документів, підписаних клієнтом;
с) звільнився відповідальний співробітник компанії, який мав доступ до секретних ключів;
d) власник секретного ключа згенерував іншу ключову пару і отримав ще один сертифікат
нового відкритого ключа;
e) смарт-картка, на якій зберігався секретний ключ, була дуже пошкоджена вогнем і перестала
працювати;
f) протягом останнього часу власник ключа довго не використовував відкритий ключ.
520. Якими є наслідки втрати вашим співробітником зв’язки криптографічних ключів?

a) це порушення безпеки, потрібно анулювати його сертифікат відкритого ключа;
b) співробітник може відновити ключі;
с) він не зможе розшифрувати збережені файли;
521*. Як можна отримати інформацію про анульовані сертифікати відкритих ключів?

a) перевірити статус сертифіката у режимі реального часу, надіславши запит до центру
сертифікації;
b) перевірити статус сертифіката, зробивши запит власнику відкритого ключа за допомогою
онлайнового протоколу;
с) звернутися до списку анульованих сертифікатів (CRL), що надсилається центром сертифікації
додаткам, де використовуються сертифікати;
d) запитати у відвідувачів веб-форуму, де обговорювалися останні зміни у списках анульованих
сертифікатів з моменту його випуску.
522. Яке твердження правильне?

a) у будь-якому протоколі автентифікації ключ сесії завжди створюється третьою довіреною
стороною;
b) у будь-якому протоколі автентифікації ключ сесії завжди створюється тільки одним
учасником;
с) в одних протоколах автентифікації ключ сесії створює центр розподілу ключів (KDC), а в
інших – один з учасників мережі;
d) у будь-якому протоколі автентифікації ключ сесії залежить від вже існуючих «старих»
ключів, що є в учасників мережі.
523. У якій спосіб учасники криптографічних протоколів розподілу ключів не можуть

підтвердити наявність ключа у себе?
100
a) обчислення хеш-коду ключа;
b) використання ключа в хеш-функції з ключем;
с) шифрування відомої величини з використанням ключа;
d) створення колізії для хеш-коду ключа;
e) доказ з нульовим розголошенням знання.
524*. Правильними твердженнями щодо протоколу простого оновлення сеансового ключа

на основі випадкових чисел є
a) в основі протоколу лежить симетричний алгоритм шифрування;
b) на першому кроці учасник A надсилає учаснику B відкритим каналом зв’язку випадкове
число rA ;
с) на другому кроці учасник B надсилає зашифроване повідомлення, що містить число rA і свою
часову мітку t B ;
d) усього протокол потребує надсилання двох повідомлень.
525. Яку з наведених систем автентифікації використовує центр розподілу ключів (KDC)?
a) сертифікати;
b) алгоритм СHAP;
с) компактний пристрій у вигляді USB-брелока – Security token;
d) протокол Kerberos.
526*. У протоколі Нідхейма – Шредера з асиметричним протоколом центр розподілу

ключів (KDC)
a) автентифікує учасників обміну інформацією;
b) розподіляє ключі сесії;
с) розподіляє відкриті ключі учасників протоколу;
d) перевіряє сертифікати відкритих ключів учасників протоколу.
527. Яка головна мета передачі двох останніх повідомлень у симетричному протоколі
Нідхейма – Шредера?
a) учасник В хоче упевнитися, що учасник А реально володіє сеансовим ключем, виробленим
центром довіри і вказаним у квитку у третьому повідомленні;
b) центр розподілу ключів має записати у квиток створений і зашифрований ним сеансовий
ключ та передати квиток учаснику А;
с) центр розподілу ключів хоче підтвердити «свіжість» сеансового ключа і вказує час його
передачі у вигляді часової мітки у квитку, надісланому учаснику В;
d) учасник А надає учаснику В зашифроване випадкове число, яке той повинен розшифрувати і
модифікувати так, щоб довести свою спроможність використовувати сеансовий ключ.
528. Яка головна мета передачі двох останніх повідомлень в асиметричному протоколі
Нідхейма – Шредера?
a) учасник В хоче упевнитися, що учасник А реально володіє сеансовим ключем, виробленим
центром довіри і вказаним у квитку у третьому повідомленні;
b) центр розподілу ключів має записати у квиток створений і зашифрований ним сеансовий
ключ та передати квиток учаснику А;
с) центр розподілу ключів хоче підтвердити «свіжість» сеансового ключа і вказує час його
передачі у вигляді часової мітки у квитку, надісланому учаснику В;
101
d) учасник А надає учаснику В зашифроване випадкове число, яке той повинен розшифрувати і
модифікувати так, щоб довести свою спроможність використовувати сеансовий ключ.
529*. Яке твердження щодо протоколу Kerberos є правильним?

a) це двосторонній протокол розподілу ключів;
b) це протокол, який реалізує схему Діффі – Хеллмана відкритого розподілу ключів;
с) це протокол розподілу ключів, оснований на симетричних криптосистемах;
d) це протокол автентифікації користувачів за допомогою SMS-повідомлень.
530. Вкажіть послідовність взаємодії учасників протоколу Kerberos:
a) 4,2,3,6,1,5;
b) 5,3,6,4,2,1;
с) 6,4,2,1,5,3;
d) 3,6,4,2,5,1.
531*. Які основні відмінності протоколу Kerberos від протоколу Нідхема –Шредера?
a) у протоколі Kerberos збільшена кількість повідомлень, що пересилаються між клієнтом і
сервером автентифікації;
b) на відміну від протоколу Нідхема – Шредера у протоколі Kerberos користувачеві видається
первинне посвідчення (квиток – Ticket Granting Ticket) для доступу до мережевих ресурсів;
с) у протоколі Нідхема – Шредера передбачена синхронізація системних годинників учасників
протоколу, а у протоколі Kerberos – ні;
d) у протоколі Нідхема – Шредера передбачені технічні заходи проти атаки методом повторення
сеансу, а протокол Kerberos цій атаці легко піддається.
532. З якої причини у протоколі Kerberos застосовані системні годинники учасників

протоколу?
a) для забезпечення надійного зв’язку;
b) для коректного визначення терміну дії квитків для доступу до мережевих ресурсів;
с) для генерації вектора ініціалізації, потрібного для шифрування ключів;
d) для визначення оптимального режиму шифрування.
533. За допомогою асиметричних ключів окрім виконання криптографічних операцій:

a) керують симетричними ключами;
b) зберігають ключі;
с) генерують нові симетричні ключі;
d) відновлюють старі ключі.
102
534. У яких криптографічних протоколах його учасники виробляють спільний секрет як
функцію від інформації, що вноситься кожним з них, при цьому ніхто наперед визначити
спільний секрет не може?
a) протоколах транспортування ключів;
b) протоколах оновлення ключів;
с) протоколах обміну ключів;
d) протоколах розробки похідного ключа.
535. Який ризик виникає в мережі при організації шифрованого листування між
користувачами, якщо в задіяній криптосистемі принципово неможливо використати усі
можливі ключі з ключового простору?
a) небезпека повторення ключів;
b) скорочення довжини ключа;
с) колізія ключів;
d) поява слабких ключів.
536. Нехай зашифрування/розшифрування здійснюється за допомогою симетричного

семантично стійкого шифру з ключем довжиною l бітів. Банк хоче розділити ключ на 3
частини p1 , p2 , p3 так, щоб розшифрувати повідомлення можна було тільки при наявності
будь-яких двох з цих частин. Для цього банк генерує пари бітових рядків (k1 , k1′) , (k2 , k2′ ) з
умовою k1 ⊕ k1′ = k і k2 ⊕ k2′ = k (довжина кожного з рядків k1 , k1′, k2 , k2′ дорівнює l бітіс). Як
банку розподілити ці частини, щоб ключ розшифрування відновлювався тільки з двох
будь-яких частин, а одна частина ключ не відновлювала?
a) p1 = (k1 , k2 ) , p2 = (k1 , k2 ) , p3 = k2′ ;
b) p1 = (k1 , k2 ) , p2 = (k1′, k2 ) , p3 = k2′ ;
с) p1 = (k1 , k2 ) , p2 = k1′ , p3 = k2′ ;
d) p1 = (k1 , k2 ) , p2 = (k1′, k2′ ) , p3 = k2′ ;
e) p1 = (k1 , k2 ) , p2 = (k1 , k2′ ) , p3 = k2′ ;
537. Щоб розділити секрет за (3,5) –пороговою схемою Шаміра, вибрано деякий многочлен
y= f( x) над полем GF(139), графік якого подано на рисунку. Чому дорівнює цей секрет?
a) 30;
b) 40;
с) 50;
d) 60;
e) 80;
f) 90.
538*. Протокол Шаміра розподілу секрету
103
a) оснований на можливості відновити многочлен n -го степеня з коефіцієнтами із поля GF(p) за
його значеннями у n точках;
b) оснований на можливості відновити многочлен n -го степеня за його значеннями у n+1$ точці;
с) дозволяє побудувати (t, n)-порогову схему;
d) розбиває секрет на n частин так, що його відновлення можливо лише за умови, що відомі
значення всіх частин секрету.
539. Яка з нищенаведених схем не відноситься до схем розподілу секрету?

a) схема Діффі – Хеллмана;
b) (t, n)-порогова схема Шаміра;
с) векторна схема, основана на використанні точок багатовимірного простору (схема Блеклі);
d) схема, основана на китайській теоремі про остачі.
540. Фармацевтична компанія вирішила зашифрувати рецептуру нових ліків за

допомогою симетричного шифру, а секретний ключ розділити між головним
фармацевтом, двома його заступниками та п’ятьма офісними клерками так, щоб
відновити секретний ключ зміг або сам головний фармацевт, або, якщо свої секретні
частини об’єднають, один заступник та два клерки, або тільки два заступники, або тільки
п’ять клерків. Якщо таку схему розподілу секрету розглядати як схему(5,16) Шаміра, то як
має бути розділений секрет між співробітниками компанії?
a) 6 частин – головному фармацевту, по 3 частини – заступникам; по 1 частині – клеркам;
b) 3 частини – головному фармацевту, по 2 частини – заступникам; по 1 частині – клеркам;
с) 16 частин – головному фармацевту, по 5 частини – заступникам; по 1 частині – клеркам;
d) 5 частин – головному фармацевту, по 3 частини – заступникам; по 1 частині – клеркам.
541. За (k,10)-пороговою схемою Шаміра розподілу секрету значення k може змінюватися

a) від 10 до 10+k;
b) від 2 до 9;
с) від 2 до 10;
d) від 10 до 10k .
542. Доведення з нульовим розголошенням можна використати як

a) схему розподілу ключів;
b) схему доведення цілісності інформації;
с) схему ідентифікації для інтерактивної системи доведення;
d) спосіб довести неможливість перехоплення переданої інформації.
543. У процесі доведення з нульовим розголошенням один учасник переконує іншого у

a) неможливості перехопити передану інформації;
b) надійності механізму закриття переданої інформації;
с) коректності свого твердження, відкриваючи виключно йому, як партнеру, всі кроки доведення
коректності твердження;
d) коректності свого твердження, не надаючи тому жодної інформації про те, чому це
твердження коректне.
544. У протоколі доведення з нульовим розголошенням, основаному на задачі про

ізоморфізм графів
a) обидва учасники протоколу знають ейлерів цикл у графах;
b) обидва учасники протоколу знають гамільтонів цикл у графах;
104
c) обидва учасники протоколу можуть обчислювально ефективно розв’язати задачу
розпізнавання ізоморфізму графів;
d) лише один з учасників протоколу може обчислювально ефективно розв’язати задачу
розпізнавання ізоморфізму графів;
e) один учасник переконує іншого, що графи ізоморфні.
545. Вкажіть кроки із схеми доведення з нульовим розголошенням, основаної на

складності задачі на пошук гамільтонового циклу у графі:
a) учасник А генерує випадкову перестановку вершин у графі;
б) учасник А генерує випадковий граф;
в) учасник В надсилає учаснику А випадкову перестановку;
г) учасник А надсилає учаснику В гамільтонів цикл у деякому графі.
a) б-а-в-г;
b) в-а-г-б;
с) а-г-б-в;
d) г-б-а-в.
546. Якщо людина підписала електронний цифровий документ за умови, що вона не

ознайомлена з його змістом, то така модифікація ЕЦП називається
a) доказом з нульовим розголошенням;
b) сліпим ЕЦП;
с) зашифрованим підписом;
d) маскою.
547. Абонент В використовує для електронного підпису документів схему RSA з відкритим
ключем (n, e) і секретним ключем d . Припустимо, що абонент А хоче, щоб В підписав
повідомлення M, не ознайомившись з його змістом. Згідно з протоколом сліпого цифрового
підпису абонент А вибирає випадкову величину r з умовою НСД(n, r)=1 і надсилає
абоненту В значення X = r e M mod n . Той підписує t = X d mod n отримане повідомлення і
повертає його абоненту А. Як далі абоненту А знайти електронний підпис S повідомлення
M?
a) S = (rt )−1 mod n ;
b) S = rt −1 mod n ;
с) S = r −1t mod n ;
d) S = r 2t mod n ;
e) S = r −1t 2 mod n ;
f) S = r −2t mod n .
548. Протоколи електронних платежів базуються на

a) груповому ЕЦП;
b) часових мітках платежу;
с) доведенні з нульовим розголошенням;
d) цифровому конверті;
e) сліпому ЕЦП;
f) хеші електронних грошей.
549. Мета криптографічного захисту електронних грошей
105
a) їх ототожнення з безготівковими грошима;
b) забезпечення анонімності покупця;
с) забезпечення неможливості повторного використання грошей;
d) введення персоналізованих механізмів поповнення електронного гаманця;
e) введення обмеження розміру електронного гаманця для запобігання інфляції.
550. Криптографічний протокол, що дає змогу двом його учасникам, які не довіряють один
одному, згенерувати спільний випадковий рівноймовірнісний біт, називається
a) протоколом з нульовим розголошенням;
b) протоколом чесного обміну;
с) схемою розподілу секрету;
d) протоколом підкидання монети по телефону.
551. Параметри протоколу підкидання монети на основі дискретного логарифма: p –

велике просте число; g – твірний елемент групи GF*(p) . Учасник А навмання вибирає
число x ∈ GF ( p ) і обчислює y = g x mod p . Визначте останній четвертий крок наведеного
протоколу:
1. Учасник А надсилає значення y учаснику В.
2. Учасник В надсилає учаснику А біт С=0, якщо його здогадка про те, що х – парне, і С=1,
якщо х – непарне.
3. Учасник А надсилає учаснику В значення х.
4. Учасник В визначає ... .
a) x = g y mod p , x=y?
b) y ′ = g x mod p , y ′ = y ?
с) g ′ = ( y ′)− x mod p , g ′ = y ′g ?
552. Нехай у протоколі прив’язки до біту P1 – імовірність того, що учасник, який підкидає
монету, зможе змінити вибраний біт після отримання здогадки від іншого учасника; P2 –
імовірність того, що учасник, який вгадує, зможе дізнатися значення біта, вибраного
іншим учасником, ще до об’яви своєї догадки; P3 – імовірність вибору учасником, що
підкидає монету, біта «1» щоразу при підкиданні монети. Вкажіть правильні твердження
щодо цих імовірностей.
a) P1 → 0, P2 → 0, P3 = 1/ 2 ;
b) P1 → 1, P2 → 1/ 2, P3 = 1/ 2 ;
с) P1 → 1, P2 → 1, P3 = 0 ;
d) P1 → 0, P2 → 1, P3 = 1 .
553. Встановіть відповідність між криптографічними примітивами і метрикою їхніх

параметрів безпеки.
І – блоковий шифр; а) довжина ключа;
ІІ – хеш-функція; б) довжина дайджесту;
ІІІ – НМАС; в) довжина шифротексту.
a) I – в; II – а; III – б;
b) I – а; II – б; III – б;
106
с) I – б; II – в; III – а;
d) I – а; II – в; III – б;
554. Впорядкуйте наведені шифри у відповідності з потужністю їхнього ключового

простору, починаючи з шифру з найменшою кількістю ключів. За необхідністю вважайте,
що використовується український алфавіт.
1. 3DES з трьома ключами k1 , k2 , k3 ;
2. АES із стандартним найбільшим за розміром ключем;
3. Шифр Віженера з періодом гами 16 букв;
4. RSA-1024;
5. DESХ.
a) 3,5,2,1,4;
b) 5,3,1,4,2;
с) 1,3,5,4,2;
d) 1,5,3,2,4.
555. Розділіть операції а) – з), що виконуються при обміні зашифрованими і підписаними

повідомленнями за допомогою PGP, на ті, що
І – здійснюються тільки на стороні відправника;
ІІ – здійснюються тільки на стороні отримувача;
ІII – здійснюються обома сторонами;
ІV – не виконуються жодною зі сторін.
а) генерування випадкового ключа;

б) доступ до закритого ключа;
в) декомпресія за допомогою алгоритму ZIP;
г) визначення хеш-образу повідомлення;
д) доступ до відкритого ключа;
е) визначення відкритого ключа перетворення на основі відкритого ключа отримувача;
ж) визначення відкритого ключа перетворення на основі відкритого ключа відправника;
з) верифікація сертифікату відкритого ключа відправника.
a) I – а; II – б, в, з; III – д, г; IV – е, ж;
b) I – д; II – а, в, е; III – б, з; IV – г, ж;
с) I – б, д; II – г, з; III – а, в, ж; IV – е;
d) I – е, з; II – а, г, ж; III – б, в; IV – д, з;
e) I – а, д, ж; II – б, е; III – г, з; IV – в.
Література
1. Інформаційна безпека. Навчальний посібник / Ю.Я. Бобало, І.В. Горбатий, М.Д.

Кіселичник, А.П. Бондарєв, С.С. Войтусік, А.Я. Горпенюк, О.А. Нємкова, І.М. Журавель,
Б.М. Березюк, Є.І. Яковенко, В.І. Отенко, І.Я. Тишик. – Львів: Видавництво Львівської
політехніки, 2019. – 580 с.
2. Кавун С. В. Інформаційна безпека. Навчальний посібник Ч. 1 / С. В. Кавун, В. В. Носов, О.
В. Манжай. – Харків: Вид. ХНЕУ, 2007. – 352 с.
107
3. Кавун С. В. Інформаційна безпека. Навчальний посібник. Ч. 2 / С. В. Кавун, В.В. Носов, О.
В. Манжай. – Харків: Вид. ХНЕУ, 2008. – 196 с.
4. Лужецький В.А. Основи інформаційної безпеки: навчальний посібник / В.А. Лужецький,
А.Д. Кожухівський, О.П. Войтович. – Вінниця: ВНТУ, 2013. – 221 с.
5. Гайворонський М.В. Безпека інформаційно-комунікаційних систем. – К.: Видавнича група
BHV, 2009. – 608 с.
6. Ковтунець В.В. Безпека систем підтримки прийняття рішень: навч. посібник / В.В.
Ковтунець, О.В. Нестеренко, О.І. Савенков. – К.: Національна академія управління, 2016.
– 190 с.
7. Технології захисту інформації [Електронний ресурс] : підручник / Ю. А. Тарнавський; КПІ
ім. Ігоря Сікорського. – Електронні текстові дані (1 файл: 2,04 Мбайт). – Київ : КПІ ім.
Ігоря Сікорського, 2018. – 162 с.
8. Остапов С. Е. Технології захисту інформації: навчальний посібник / С. Е. Остапов, С. П.
Євсеєв, О. Г. Король. – Х. : Вид. ХНЕУ, 2013. – 476 с.
9. Програмні технології захисту інформації: конспект лекцій для студентів за напрямом
підготовки 6.050103 «Програмна інженерія» факультету інформаційних технологій УжНУ
/ Розробник: к.т.н. Поліщук В.В. – Ужгород: 2018. – 80 с.
10. Інформаційна безпека та захист інформації: Методичні рекомендації до підготовки та
проведення практичних занять для студентів спеціальності 029 «Інформаційна,
бібліотечна та архівна справа». / Укл. О.М. Фендьо, О.І. Охмуш-Ковалевська, О.В.
Галицький. – К.: Вид-во НПУ імені М.П. Драгоманова, 2018. – 32 с.
11. Євсеєв С. П. Гешування даних в інформаційних системах : монографія / С. П. Євсеєв, О.
Ю. Йохов, О. Г. Король. – Х. : Вид. ХНЕУ, 2013. – 312 с.
12. Основи комп’ютерного захисту інформації / Г.М. Гулак, В.А. Мухачов, В.О. Хорошко,
Ю.Є. Яремчук; ред. В.О. Дружиніна. – Вінниця: ВНТУ, 2011. – 199 с.
13. Вербіцький О.В. Вступ до криптології / О.В. Вербіцький. – Львів: ВНТЛ, 1998. – 247 с.
14. Захарченко М. В. Асиметричні методи шифрування в телекомунікаціях: навч. посіб. / М.
В. Захарченко, О. В. Онацький, Л. Г. Йона, Т. М. Шинкарчук. – Одеса: ОНАЗ ім. О.С.
Попова, 2011. – 184 с.
15. Криптологія у прикладах, тестах і задачах: навч. посібник / Т.В. Бабенко, Г.М. Гулак, С.О.
Сушко, Л.Я. Фомичова. – 2013. – 318 c.
16. Глинчук Л.Я. Криптологія: навч.-метод. посіб. / Л. Я. Глинчук – Луцьк: Вежа-Друк, 2014.
– 164 с.
17. Козіна Г.Л. Криптографія від історії до сучасних стандартів: навч.посібник / Г. Л. Козіна.
– Запоріжжя : НУ «Запорізька політехніка», 2020. – 192 с.
18. Антоненко О.В. Криптографічні методи перетворення інформації: навч. посіб. / О.В.
Антоненко. – Бердянськ, "БДПУ", 2015. – 180 c.
19. Асиметричні методи шифрування в телекомунікаціях: навч. посіб. / М. В. Захарченко, О.
В. Онацький, Л. Г. Йона, Т. М. Шинкарчук. – Одеса: ОНАЗ ім. О. С. Попова, 2011. – 184 с.
20. Математичні основи криптографії: конспект лекцій / укладачі: В. А. Фільштінський, А. В.
Бережний. – Суми: Сумський державний університет, 2011. – 138 с.
21. Оглобліна О. І. Елементи теорії чисел : навч. посіб. / О. І. Оглобліна, Т. С. Сушко, Ю. В.
Шрамко. – Суми : Сумський державний університет, 2015. – 186 с.
22. Збiрник задач з теорiї чисел. [Навчальний посiбник для студентiв фiзикоматематичного
факультету] За редакцiєю I.О.Рокiцького, Вiнниця, 2003 – 140 с.
23. Опорний конспект лекцій з дисципліни «Криптографія» для студентів галузі знань 12 –
«Інформаційні технології» спеціальності 125 – «Кібербезпека» ступеня вищої освіти
«бакалавр» / Тернопільський національний економічний університет; Уклад. М.М.
Касянчук, І.З. Якименко–Тернопіль, ФОП Шпак В., 2020. – 64 с.
108

Збірник Тестів з БРІС

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Збірник Тестів з БРІС

Uploaded by

Copyright:

Available Formats

МIНIСТЕРСТВО ОСВIТИ І НАУКИ УКРАЇНИ

НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ "ЛЬВІВСЬКА ПОЛІТЕХНІКА"

ТЕСТИ З БЕЗПЕКИ РОЗПОДІЛЕНИХ ІНФОРМАЦІЙНИХ

для студентів спеціальності 126 “Інформаційні системи та технології”

Затверджено на засіданні кафедри

Укладач: Кравець П.О., канд. техн. наук, доц.

Відповідальний за випуск: Литвин В.В. д-р техн. наук, проф.

Рецензенти: Берко А.Ю., д-р техн. наук, проф.

Символ * позначає багатоваріантну відповідь. Такі відповіді оцінюються за

1. У яких з наведених нижче випадків використовується криптографічний захист

2. Як називається метод захисту інформації, коли секретна інформація приховується

4. Цілісність інформації – це неможливість

5. Забезпечення конфіденційності даних означає

7. Які властивості інформації розуміють під терміном автентичність?

8. Поставте у відповідність послуги із захисту інформації, що записані у нумерованому

a) 1-б, 2-а, 3-г, 4-в;

9. В алгоритмі симетричного шифрування секретним має бути

10. Криптосистема називається симетричною, якщо при шифруванні

11. Криптографія з симетричними ключами застосовує

12. У симетричній криптографічній системі обов’язково

13. У чому переваги симетричних криптосистем над асиметричними?

14. Які основні проблеми застосування симетричних криптоалгоритмів?

15. Які з наведених властивостей симетричних шифрів не відповідають дійсності?

17. Які з наведених видів криптосистем є симетричними?

18. За принципом Керкгоффса криптографічна стійкість шифру повинна визначатися

19. Археологи знайшли манускрипт, написаний невідомою мовою. Пізніше до них

22. Криптоаналітик перехопив електронний лист з невідомим для нього кодуванням.

23. Агент, який здійснював у компанії економічну розвідку, умовив її президента

24. Криптоаналітик виявив, що багато шифрованих листів, які фірма-виробник надсилає

25. Криптоаналітик, спостерігаючи за діяльністю торгівельного кооперативу, встановив,

26. Нехай abStwdRd; pVtrKRLp; iryzhToz; URbhhbEH; JEXHZmJ; zTDXJrZ – це попередні

27. Атаки за часом базуються на можливості високоточного вимірювання часу

28. Припустимо, зловмисник може виконувати 220 розшифрувань за секунду, а розмір

29. Припустимо, зловмисник може виконувати 220 розшифрувань за секунду, а розмір

30. Припустимо, зловмисник може виконувати 220 розшифрувань за секунду, а розмір

31. Яке твердження неправильне?

34. Шифрувальна машина «Енігма», що використовувалася у нацистській Німеччині у

38. За допомогою простої моноалфавітної підстановки зашифрували слова ГОРН, АРГО та

39. Використавши ключову фразу БУТИ ЧИ НЕ БУТИ? ОСЬ В ЧОМУ ПИТАННЯ як

40*. У чому полягає основна слабкість простої моноалфавітної підстановки?

a) перший (довший шифротекст);

45. Рівняння шифрування має вигляд yi = xi + k (mod m) , де , xi , yi – цифрові еквіваленти

46. Відкритий текст українською (алфавіт з 33 літер) спочатку шифрують за допомогою

47. Які умови накладаються на ключ шифрування k лінійного шифру з рівнянням

49. Якщо m – потужність алфавіту відкритого тексту, то ключ шифрування k і ключ

50. Нерухомою літерою відносно афінного шифру з рівнянням шифрування

53. Відкритий текст спочатку шифрують за допомогою афінного шифру

54*. Що допомагає при шифруванні за допомогою омофонної підстановки приховати

56. Коли у шифрі перестановки ключем зашифрування є (7 3 2 1 4 5 6),

57. Якщо фразу ОДНА ЛАСТІВКА ВЕСНИ НЕ РОБИТЬ зашифрувати за допомогою

58. Що допомагає при шифруванні за допомогою поліалфавітних шифрів приховати

59. Застосування тесту Казіскі до криптограми, отриманої за допомогою шифру Віженера,

60. Якщо слово ШПИГУН зашифрувати за допомогою шифру Віженера (алфавіт

61. Шифротекст ОТПБХ отримано зі слова МІДЯК за допомогою шифру Віженера

65. Відкритий текст українською (алфавіт з 33 літер) спочатку шифрують за допомогою

66*. Відкритий текст спочатку шифрують за допомогою шифру Віженера з ключем

67. Що називають індексом збігу у текстовому рядку?

68. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , n –

69. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , pi –

70. Нехай fi – частота появи у рядку x = ( x1 , x2 ,..., xm ) символа під номером i , pi –

71. Що називають взаємним індексом збігу двох текстових рядків?

73. Джерело відкритих текстів породжує текст із використанням алфавіту а, b, c, d, e,

77. При шифруванні за допомогою поліалфавітного шифру

79. У шифрі одноразового блокноту ключ вибирають