密评多选题 — 陷阱名单（费曼自述法版）

密评多选题 — 陷阱名单费曼自述法版使用说明本文档从题库中归纳出27种常见陷阱模式用费曼自述法帮你真正理解每种陷阱的本质而不是死记硬背。建议做题前通读一遍做题时遇到不确定的选项回来对照。 费曼导读什么是题目陷阱打个比方出题人就像魔术师他不会直接骗你而是利用你的思维惯性和认知盲区让你自己骗自己。比如你看到AES-256加密四个字大脑会自动觉得这很专业、很安全、应该是对的——但题目问的是国家秘密信息保护不正确的是而国家秘密必须用核心密码/普通密码保护用商用密码AES-256反而是错的。所以陷阱的本质不是题目在骗你而是你的大脑在自动补全错误答案。下面我们按知识点模块逐一拆解这些陷阱。一、密码法律法规模块陷阱1-4 陷阱1不属于/不正确反向排除陷阱费曼讲解想象你在玩找不同游戏但规则反了——别人让你找一样的你却习惯性地找不一样的。这道题就是让你选错误的但你的大脑会惯性选正确的。陷阱本质利用惯性思维考生习惯选对的忘记题目要求选错的。典型例题题216问国家秘密信息保护不正确的是。干扰项使用AES-256加密保护看起来很专业很正确但国家秘密必须用核心密码/普通密码商用密码AES-256反而是错误选项。题185问密码管理部门设置不正确的是。干扰项国家、省级两级简洁合理实际是三级设置国家、省、设区的市。题159问密码管理部门制定的标准不属于什么。干扰项国家标准行业标准看起来都像标准分类但答案AB团体标准、企业标准才是不属于的。️ 防坑口诀看到不属于/不正确/错误→先画叉号→ 每个选项反向思考这句话本身对不对 →选错的不选对的。 陷阱2主体混淆陷阱张冠李戴费曼讲解就像公司里HR管招人、财务管发工资、IT管电脑。如果题目说HR负责发工资听起来也像回事儿但其实是错的。密码管理也是一样——不同部门管不同的事。陷阱本质把A部门的职责说成B部门的利用考生对部门分工记忆模糊。各部门职责速记部门管什么密码管理部门密码产品、检测认证、密评商务部门海关进出口许可和管制市场监管部门认证机构资质、事中事后监管网信部门网络安全、关键信息基础设施保密部门国家秘密保护配合指导监督典型例题题174问违反进出口管制规定的处罚部门。答案是商务部门海关不是密码管理部门。题197问商用密码检测认证监管机构。答案是国家密码管理局市场监管总局不是工商管理局已合并。️ 防坑口诀做题先问谁管什么事——密码产品找密码局进出口找商务部海关认证资质找市场监管。 陷阱3程度词陷阱“应” vs “宜” vs “可以”费曼讲解“应就像老板说你必须做”“宜就像前辈说建议你做”“可以就像朋友说你可以试试”。三个词的强制程度完全不同但题目故意把它们互换。陷阱本质将强制要求应说成推荐要求宜或将推荐要求说成强制要求。程度词等级速记等级身份鉴别机密性完整性密钥管理一级无要求无要求无要求无要求二级宜宜宜宜三级应应⚠️宜不是应应四级应应应应⚠️ 最大坑点三级系统的完整性要求是宜不是应很多考生以为三级全部是应。典型例题题3111三级系统所有技术层面完整性要求都是’应’“——错三级完整性是宜”。题3107哪些等级宜物理访问身份鉴别答案是二级、三级四级是应。️ 防坑口诀四级全应最严格三级应多但完整性是宜二级全宜一级不强制。看到完整性三级 宜 陷阱4层级混淆陷阱一级 vs 二级 vs 三级 vs 四级费曼讲解就像游戏里的难度等级——简单模式几乎没有要求普通模式开始有建议困难模式大量强制要求地狱模式全部强制。密评的四个等级也是这个逻辑。陷阱本质将低等级的要求说成高等级的或将高等级的要求说成低等级的。各等级核心差异要求项一级二级三级四级安全事件报告无无应应应急处置无无应立即启动应立即启动不可否认性无无应应视频监控存储完整性无无应应密码产品认证证书无应有应有应有人员背景调查无无无应典型例题题3100哪些等级应报告安全事件答案三级、四级一级二级不强制。题3157哪些等级未作要求不可否认性答案一级、二级。题3187哪些等级密码产品需要认证证书答案二级、三级、四级一级不要求。️ 防坑口诀一级最松几乎无要求二级开始有宜三级大量应完整性宜四级全部应最严格。不可否认性只有三四级有二、密码学基础理论模块陷阱5-8 陷阱5算法分类混淆陷阱费曼讲解想象一个大型超市——生鲜区、日用品区、电子产品区。如果你把手机放到生鲜区顾客就会困惑。密码算法也一样每种算法都有自己的归属区域题目故意把算法放错货架。算法分类树必须记住密码体制 ├── 对称密码 │ ├── 分组密码AES、SM4、DES、3DES、IDEA、Blowfish、RC5、RC6 │ └── 流密码序列密码ZUC、RC4 ├── 非对称密码公钥密码RSA、ECC、ElGamal、SM2、SM9、Rabin、DSA └── 杂凑函数哈希SM3、SHA-256、SHA-1、MD5、RIPEMD典型例题题635哪些属于公钥密码答案ABCRSA、ElGamal、ECC干扰项AES是对称密码。题807哪些属于分组密码答案ABCIDEA、Blowfish、RC5干扰项RC4是流密码。题981哪些属于序列密码答案ABZUC、RC4干扰项RC6RC5是分组密码。题1115哪些不是杂凑函数答案ABAES、SM4都是分组密码。️ 防坑口诀做题先定位——对称还是非对称分组还是流杂凑还是加密拿不准的查分类树。 陷阱6相似概念混淆陷阱费曼讲解“加密和签名就像锁门和签字”——锁门是防止别人进来机密性签字是证明你来过认证性。但很多人觉得签名也是一种加密这就混淆了。核心功能边界必须分清技术机密性完整性真实性不可否认性对称加密✅❌❌❌杂凑/MAC❌✅✅❌数字签名❌✅✅✅认证加密✅✅✅❌⚠️ 常见混淆点杂凑函数不能加密数据题1093/1103认证加密不提供不可否认性题851AH协议不提供数据保密性题1855消息鉴别不保护机密性题605️ 防坑口诀加密保密杂凑/MAC验真签名验真不可抵赖认证加密保密验真但不可抵赖。 陷阱7数字陷阱费曼讲解就像记电话号码——AES的轮数是10/12/14不是16SM4的分组长度是128位不是256位。这些数字看起来都差不多但差一个数字就是错。核心数字速记表算法密钥长度分组/输出长度轮数AES128/192/256位128位分组10/12/14轮SM4128位128位分组32轮DES56位64位分组16轮SM3—256位输出—RSA≥2048位——ZUC128位128位IV—初始化32轮其他关键数字商用密码产品认证证书有效期5年随机性检测1000个样本至少通过975个动态口令大窗口不超过±30分钟典型例题题855AES轮数答案10/12/14干扰项16轮是DES的。题861AES密钥长度答案128/192/256干扰项56位是DES的。题797SM4线性变换循环左移答案13、23不是24、8。️ 防坑口诀看到数字选项先验证量级——AES轮数个位数10/12/14SM4轮数两位数32DES密钥两位数56。量级不对直接排除 陷阱8古典密码 vs 现代密码混淆费曼讲解古典密码就像暗号凯撒移位、维吉尼亚方阵靠手算就能破解。现代密码就像电子保险箱靠计算机暴力破解也未必能打开。两者不能混为一谈。分类速记古典密码Caesar、Vigenere、Playfair → 方法只有代换和置换近代密码Enigma等机械密码现代密码DES、AES、RSA、SM系列 → 基于密钥的算法️ 防坑口诀看到Caesar“Vigenere”古典看到DES“RSA”“SM”现代。三、分组密码模块陷阱9-10 陷阱9工作模式特性混淆陷阱费曼讲解分组密码的工作模式就像快递打包方式——有的可以一批一起打包并行有的必须一个一个打包串行有的打包时一个箱子坏了不影响其他箱子无错误扩散有的会连累下一个箱子有错误扩散。五大模式对比表核心考点模式加密并行解密并行错误扩散需要填充类流密码ECB✅✅❌✅❌CBC❌✅✅2组✅❌CFB❌✅✅2组❌✅OFB❌✅❌❌✅CTR✅✅❌❌✅⚠️ 高频混淆点CBC加密不能并行但解密可以题799ECB没有错误扩散各分组独立题800CTR是唯一加密可并行且不需要填充的模式题824/843CBC密文损坏最多影响2个分组题823️ 防坑口诀ECB最简单但最不安全无扩散CBC最常用有扩散但加密串行CTR最灵活全并行不填充可预计算。 陷阱10SM4算法细节陷阱费曼讲解SM4是我国自主研发的分组密码就像AES的中国版。但它的内部结构和AES不同——SM4用的是SPN结构不是Feistel结构基本运算是异或循环移位不是模幂运算。SM4核心参数结构SPN不是Feistel分组长度 密钥长度 128位轮数32轮轮函数异或 非线性变换S盒 线性变换循环左移设计原则混淆 扩散不是自逆、不是对称⚠️ 与AES的区别AES有列混合SM4没有题831AES用字节代换行移位列混合轮密钥加SM4用异或S盒线性变换️ 防坑口诀SM4 SPN结构 128位 32轮 异或/循环移位。不要和AES混淆四、公钥密码模块陷阱11-12 陷阱11SM2 vs SM9算法功能混淆费曼讲解SM2和SM9都是国密公钥算法但SM2需要数字证书就像你需要身份证来证明身份SM9不需要证书你的邮箱地址本身就是你的公钥。核心区别特性SM2SM9基础椭圆曲线离散对数双线性对身份标识需要数字证书不需要证书基于标识密钥管理用户自己生成密钥对KGC密钥生成中心生成私钥辅助函数—签名不需要MAC密钥交换需要MAC典型例题题1281SM9特点——基于双线性对、基于标识。干扰项基于数字证书是SM2的。题1280哪些SM9算法不需要MAC答案签名、密钥封装、公钥加密只有密钥交换需要。️ 防坑口诀SM2证书派SM9标识派无证书。看到基于标识就选SM9看到数字证书就选SM2。 陷阱12数学难题与算法对应混淆费曼讲解每种公钥算法的安全性都建立在一个数学难题上。就像每把锁都有一个对应的开锁原理你不能搞混。算法↔数学难题对照表数学难题对应算法大整数分解RSA、Rabin有限域离散对数ElGamal、DSA椭圆曲线离散对数ECC、SM2、ECDSA双线性对SM9格问题NTRU典型例题题1312基于大整数分解答案RSA、Rabin。干扰项ECCElGamal是基于离散对数的。题1332基于离散对数答案SM2、ElGamal。干扰项RSA是基于大整数分解的。️ 防坑口诀RSA/Rabin分解ElGamal/DSA离散对数ECC/SM2椭圆曲线离散对数SM9双线性对。五、序列密码模块陷阱13 陷阱13ZUC算法参数混淆费曼讲解ZUC祖冲之算法是我国自主研发的流密码用于手机通信加密。它的内部结构就像一个三段式工厂——LFSR原料供应→ BR加工→ F成品输出。ZUC核心记忆点结构LFSR BR比特重组 F非线性函数初始化32轮不是64轮S盒8比特 × 4个不是2个密钥128位 IV 128位LFSR装入种子密钥 初始向量 16个15比特常数不是15个️ 防坑口诀ZUC 32轮初始化 4个S盒 16个常数。数字记错就是陷阱六、密码杂凑算法模块陷阱14 陷阱14杂凑函数安全属性混淆费曼讲解杂凑函数的攻击方法和加密算法的攻击方法是两套完全不同的体系。就像你不能用考数学的方法去考考英语——杂凑攻击用的是生日攻击加密攻击用的是差分攻击。攻击方法分类攻击对象攻击方法杂凑函数生日攻击、穷举攻击、中途相遇攻击加密算法已知明文攻击、选择明文攻击、差分攻击、线性攻击⚠️ 常见混淆“已知明文攻击”选择密文攻击是加密算法的攻击方法不是杂凑函数的题1096/1100“字典攻击”查表攻击不能用于MAC攻击题1107️ 防坑口诀杂凑攻击生日穷举中途相遇加密攻击已知明文选择明文差分线性。两套体系不能混用七、密钥管理与PKI模块陷阱15-16 陷阱15证书与PKI组件混淆费曼讲解PKI就像数字身份证办理系统——RA是前台审核你的身份CA是盖章处给你发证KM是档案室管理密钥。题目经常把前台的活说成盖章处的活。PKI组件职责组件职责⚠️ 常见错误CA签发证书❌ 不是RA签发RA审核注册❌ 不是CA审核KM管理密钥❌ 不是KDCKerberos的LDAP/CRL发布查询—⚠️ 高频错误证书里包含公钥但绝不包含私钥题1570证书是CA对公钥的签名不是加密题1565RA审核身份CA签发证书不能搞混题2500用户申请证书不需要提供私钥题2491️ 防坑口诀RA审核、CA签发、KM管密钥。证书有公钥无私钥。KDC是Kerberos的不是PKI的 陷阱16双证书体系混淆费曼讲解我国采用双证书制度——一把钥匙用来签字签名证书另一把钥匙用来锁文件加密证书。两把钥匙用途不同不能混用。证书类型用途私钥管理签名证书数字签名、验签长期保存不能备份加密证书数据加密、密钥协商可以备份恢复⚠️ 常见错误加密证书不能用于数字签名题1572“个人证书”公共证书不是按用途分类的题2483️ 防坑口诀签名签字画押不可备份加密锁保险箱可备份。签名证书不能加密加密证书不能签名八、密码协议与通信安全模块陷阱17-19 陷阱17SSL vs IPSec协议混淆费曼讲解SSL和IPSec都是安全协议但工作在不同的楼层——SSL在应用层就像给信件加密封套IPSec在网络层就像给整条运输通道加密。核心区别特性SSL/TLSIPSec工作层次应用层传输层之上网络层子协议握手记录报警AHESPIKE身份鉴别可单向可双向通常双向AH机密性—❌不提供题1855ESP机密性—✅ 提供⚠️ 常见混淆AH协议只提供完整性和数据源鉴别不提供数据保密性题1855SSL不一定实现双向鉴别题1467IKE是IPSec的子协议不是SSL的题1920️ 防坑口诀SSL应用层安全握手记录报警IPSec网络层安全AHESPIKE。AH无加密ESP有加密 陷阱19标准编号混淆GB/T vs GM/T费曼讲解GB/T是国家标准就像国家法律GM/T是密码行业标准就像行业规范。两者适用范围不同题目故意搞混。速记GB/T 国家标准GB/T 39786密码应用基本要求、GB/T 43206测评要求GM/T 密码行业标准GM/T 0028密码模块、GM/T 0009 SM2使用规范团体标准 T/开头不是GM️ 防坑口诀GB/T国标GM/T密码行标T/团标。GM不是团体标准九、密码产品与设备模块陷阱20-21 陷阱20密码设备功能与接口混淆费曼讲解密码产品就像工具箱里的不同工具——服务器密码机是瑞士军刀什么都能干签名验签服务器是签字笔只管签名智能密码钥匙是随身钥匙扣便携个人密钥。核心产品功能产品核心功能⚠️ 注意服务器密码机通用密码运算密钥管理至少支持3层密钥结构签名验签服务器只做签名验签功能较单一智能密码钥匙个人密钥存储便携运算不检测网络连接、OS配置密码卡硬件板卡级密码运算就绪状态不能生成设备密钥对时间戳服务器可信时间签名—️ 防坑口诀服务器密码机全能型签名服务器专用型智能钥匙便携型。功能别搞混 陷阱21密码模块安全等级混淆费曼讲解密码模块安全等级就像保险箱的安全级别——一级是普通铁皮箱二级加了防撬标记三级加了坚固外壳和身份验证四级是最高级别的防爆箱。等级递增记忆等级新增要求一级基础保护软件模块二级角色鉴别 可修改环境 拆卸存迹三级身份鉴别坚固外壳 非入侵式缓解四级EFP环境失效保护最高物理防护⚠️ 常见错误软件密码模块可运行在可修改环境是二级要求不是三级的题2992基于身份的鉴别是三级要求不是二级的题2954️ 防坑口诀每升一级在前一级基础上加要求。二级角色鉴别三级身份鉴别坚固外壳四级EFP。十、密码应用安全性评估模块陷阱22-24 陷阱22测评层面与指标归属混淆费曼讲解密评有六大层面就像一栋楼有六层——每层都有自己的住户指标。题目经常把三楼的住户说成五楼的。六大层面指标归属层面核心指标物理和环境电子门禁 视频监控网络和通信身份鉴别 机密性 完整性 访问控制信息完整性 安全接入认证设备和计算身份鉴别 远程管理通道 可执行程序完整性 日志完整性 系统资源访问控制信息完整性应用和数据身份鉴别 重要数据机密性/完整性 访问控制信息完整性 安全标记完整性 不可否认性密钥管理密钥生成/存储/分发/使用/更新/归档/销毁安全管理管理制度 人员管理 建设运行 应急处置⚠️ 常见混淆业务应用的数据访问控制列表属于应用层面不是网络边界题3116重要可执行程序完整性属于设备和计算层面不是应用和数据层面题3369安全接入认证属于网络和通信层面不是设备和计算层面题3421️ 防坑口诀做题先问这个指标属于哪个层面——物理看门禁视频网络看传输设备看服务器应用看业务数据。 陷阱23测评判定结果混淆费曼讲解测评判定有严格的游戏规则——就像考试60分及格、90分优秀。但密评的判定规则更复杂有符合“部分符合”“不符合”不适用四种结果汇总规则也有讲究。判定规则速记判定层级可能结果汇总规则单个测评对象符合/部分符合/不符合/不适用—测评单元符合/部分符合/不符合全符合→符合有不符合→看比例整体测评结论符合/基本符合/不符合⚠️ 没有部分符合⚠️ 最大坑点部分符合只是单元/对象级的判定不是整体测评结论题3446️ 防坑口诀整体结论只有三个符合、基本符合、不符合。没有部分符合这个整体结论 陷阱24密码产品合规性判定陷阱费曼讲解产品有认证证书 ≠ 系统通过密评。就像你买了合格的食材产品认证但不代表你做的菜一定好吃系统合规。核心逻辑产品认证是前提但不是充分条件产品有证书 ≠ 使用正确使用正确 ≠ 系统通过密评典型例题题3168产品全有证书也不一定通过密评。题3451密码机认证证书过期 → 密钥管理判定为不符合。️ 防坑口诀产品认证 ≠ 系统合规。证书过期 不符合。十一、综合高频陷阱陷阱25-27 陷阱25都正确但选最合适的陷阱费曼讲解就像做选择题——四个选项表述本身都没错但题目限定根据《密码法》那只有《密码法》里有的才能选。超出范围的即使正确也不能选。️ 防坑口诀注意限定词——“根据《XX法》”“根据《XX标准》”超范围的不选。 陷阱26部分与全部混淆陷阱费曼讲解法律规定涉及国家安全的商用密码产品应当检测认证但干扰选项说所有商用密码产品都应当检测认证——把部分扩大成全部就是错的。️ 防坑口诀注意所有“全部vs涉及……的”“列入目录的”。以偏概全是常见陷阱 陷阱27正向与反向表述转换陷阱费曼讲解正确的说法加上不字就变成了错误的说法但大脑需要多转一个弯才能反应过来。时间一紧就容易判断失误。️ 防坑口诀遇到否定题先对每个选项做去否定化处理——去掉不字理解原意再判断。 陷阱频率排行榜排名陷阱类型出现频率危险程度1不属于/不正确反向排除⭐⭐⭐⭐⭐ 极高2层级混淆一二三四级⭐⭐⭐⭐⭐ 极高3算法分类混淆⭐⭐⭐⭐ 高4主体混淆部门职责⭐⭐⭐⭐ 高5测评层面归属混淆⭐⭐⭐⭐ 高6工作模式特性混淆⭐⭐⭐⭐ 中高7程度词应/宜/可以⭐⭐⭐ 中8相似概念混淆⭐⭐⭐ 中9数字陷阱⭐⭐⭐ 中10PKI组件职责混淆⭐⭐⭐ 中 考前必做清单能默写出算法分类树对称/非对称/杂凑能默写出五大工作模式对比表能默写出四级系统要求对比表能默写出各部门职责对照表能默写出六大层面指标归属表能默写出SM2 vs SM9区别能默写出AH vs ESP区别能默写出核心数字轮数、密钥长度、有效期能默写出程度词等级应/宜/无费曼自述法核心提醒如果你能把每种陷阱用大白话讲给别人听让别人也能听懂那你就真正掌握了。如果讲不清楚说明还有盲区需要回头再看一遍。理解 记忆但考试需要两者兼备。本文档基于题库分析整理仅供参考学习使用。如有错误请以官方标准为准。