深入理解RSA算法

作者: 风再起时ME | 来源:发表于2018-11-25 19:02 被阅读10次

    本文结构:

    • 一些基本的数学知识
    • RSA的具体过程
    • 为什么RSA的私钥解密一定能得到明文
    • RSA算法可靠吗
    • RSA算法的一些其他特征

    假设alice想要通过rsa算法在公网上,将消息加密传递给bob,他们应该怎么做呢?
    分为以下几个步骤:
    1.bob生成一堆共私钥,将公钥在网上公开,私钥自己保存
    2.alice通过bob的公钥加密明文消息m,得到密文c,并将密文c传递给bob
    3.bob用自己的私钥解密密文c,得到明文m

    一些基本的数学知识

    • 质数(素数)p:只有1和他本身能被自己整除。
    • 互质:如果两个正整数,除了1以外,没有其他公因子,我们就称这两个数是互质关系
      比如,15和32没有公因子,所以它们是互质关系。这说明,不是质数也可以构成互质关系。
    • 欧拉函数φ(n):小于n的正整数中,与n互质的整数的个数。例如φ(8)=4(因为小于8的正整数中只有1,3,5,7与8互质)
    • 若n为质数,则φ(n)=n-1
    • n如果可以分为两个质数(p,q)的乘积,则φ(n)=φ(p*q)=φ(p)φ(q)=(p-1)(q-1)
    • 欧拉定理:如果两个正整数a和n互质,则:

    a^φ(n)≡1 mod n。

    特别的,当n为质数时: a^(n-1)≡1 mod n

    • 模反元素: 如果两个正整数a和n互质,那么一定可以找到整数b,满足:

    a×b≡1 mod n

    (ab-1 被n整除,或者说ab被n除的余数是1)
    这时,b就叫做a的"模反元素"

    RSA的具体过程:

    秘钥的产生

    • bob选择两个保密的大质数p和q(这里假设是p=61,q=53)
    • 计算n=p×q=61×53=3233,φ(n)=φ(p*q)=φ(p)φ(q)=(p-1)(q-1)=60×52=3120
      这里 n的长度就是秘钥的长度 。3233写成二进制是110010100001,一共有12位,所以这个密钥就是12位。
    • 选一个整数e,满足1< e < φ(n),且e与φ(n) 互质。
      bob就在1到3120之间,随机选择了17。(实际应用中,常常选择65537。)
    • 求解e关于φ(n)的模反元素d(由于e与φ(n)互质,所以d一定存在)

    ed ≡ 1 (mod φ(n)) 等价于 ed - 1 = kφ(n),这里就是17d-1 =3120k
    很容易求得(d,k)=(2753,-15),即 d=2753。

    • n和e封装成公钥,n和d封装成私钥
      这个例子中 n=3233,e=17,d=2753,所以公钥就是 (3233,17),私钥就是(3233, 2753)。

    加密

    假设alice要向bob发送明文信息m,则用bob的公钥 (n,e) 对m进行加密。
    并且加密时必须将明文进行比特串分组,保证每个分组对应的十进制数小于n,即保证m<n。

    c ≡ m^e (mod n)

    这里m假设是65,那么可以算出下面的等式:65^17 ≡ 2790 (mod 3233)
    于是,c等于2790,alice就把2790发给了bob。

    解密

    bob拿到2790以后,就用自己的私钥(n=3233, d=2753) 进行解密。

    m ≡ c^d (mod n)

    现在,c等于2790,私钥是(3233, 2753),那么,bob算出
    2790^2753 ≡ 65 (mod 3233)
    因此,bob知道了alice加密前的原文就是65。

    为什么RSA的私钥解密一定能得到明文

    对于密文的解密运算为:

    m ≡ c^d (mod n)

    现在来证明上面的公式恒成立。将c ≡ m^e (mod n)代入右边,可得

    右边=c^d (mod n)=(m^e )^d(mod n) = m^(ed)(mod n)

    又由于ed ≡ 1 (mod φ(n))可知必有ed=kφ(n)+1,故有

    右边=m^(ed)(mod n) = m^(kφ(n)+1)(mod n)

    下面分两种情况证明 m^(kφ(n)+1)(mod n) = m
    1)明文m与n互质。那么由欧拉定理知

    m^φ(n) ≡ 1 mod n
    于是 m^( kφ(n) ) ≡ 1 mod n
    于是 m^( kφ(n) + 1 ) ≡ m mod n = m

    2)明文m与n不互质:
    m与n不互质,说明m与n有公因子。
    又因为n=pq,且p和q都为质数,所以n的因子只有p,q,那么m与n的公因子只能是p或者q。所以m为p或q的倍数
    假设m=tp,(t为一正整数),且t与q互质(若t与q不互质,假设t=kq,则m=tp=kpq=kn,违反了m<n)
    因为m=tp与q互质,由欧拉定理知

    m^φ(q)≡ 1 mod q

    两边同时取kφ(p)次方,得

    [m^φ(q) ]^(kφ(p)) ≡ 1 mod q
    ==> m^[kφ(q)φ(p)] ≡ 1 mod q
    ==> m^(kφ(n)) ≡ 1 mod q
    ==> m^(kφ(n)) = 1 + rq (r为一正整数)
    ==> m^(kφ(n)+1) = tp(1 + rq) = tp + tprq = m + trn (两边同时乘上m=tp)
    ==> m^(kφ(n)+1) ≡ m mod n

    m ≡ c^d (mod n) 得证。

    RSA算法可靠吗

    回顾上面的密钥生成步骤,一共出现六个数字:

      p(保密)
      q(保密)
      n(公开)
      φ(n)(保密)
      e(公开)
      d(保密)
    

    公钥用到了两个(n和e),私钥用到了两个(n和d)。
    那么,有无可能在已知n和e的情况下,推导出d?

    (1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。
    (2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。
    (3)n=pq。只有将n因数分解,才能算出p和q。
    

    结论:如果n可以被因数分解,d就可以算出,也就意味着私钥被破解
    但是大整数的因数分解是非常困难的,n越大,算法约安全,目前推荐用的rsa秘钥长度为2018及上。

    "对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。

    RSA算法的一些其他特征

    同秘钥RSA有乘法同态。
    简单来说:

    假设:明文m=m1 * m2 , 且c1位m1对应的密文,c2位m2对应密文。
    则:m对应的密文m=c1 * c2

    原理:

    若: A * B = C mod n
    则 :A^d ∗ Bd=Cd mod n

    同价加密的一些相关知识:https://yeasy.gitbooks.io/blockchain_guide/content/crypto/homoencryption.html

    相关文章

      网友评论

        本文标题:深入理解RSA算法

        本文链接:https://www.haomeiwen.com/subject/hgnpqqtx.html