RSA算法原理(二)

上一次，作者介紹了一些數論知識。

有了這些知識，我們就可以看懂RSA算法。這是目前地球上最重要的加密算法。

我們通過一個例子，來理解RSA算法。假設愛麗絲要與鮑勃進行加密通信，她該怎麼生成公鑰和私鑰呢？

愛麗絲選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

愛麗絲就把61和53相乘。

n = 61×53 = 3233

n的長度就是密鑰長度。3233寫成二進位是110010100001，一共有12位，所以這個密鑰就是12位。實際應用中，RSA密鑰一般是1024位，重要場合則為2048位。

根據公式：

φ(n) = (p-1)(q-1)

愛麗絲算出φ(3233)等於60×52，即3120。

第四步，隨機選擇一個整數e，條件是1< e < φ(n)，且e與φ(n) 互質。

愛麗絲就在1到3120之間，隨機選擇了17。（實際應用中，常常選擇65537。）

所謂"模反元素"就是指有一個整數d，可以使得ed被φ(n)除的餘數為1。

ed ≡ 1 (mod φ(n))

這個式子等價於

ed - 1 = kφ(n)

於是，找到模反元素d，實質上就是對下面這個二元一次方程求解。

ex + φ(n)y = 1

已知 e=17, φ(n)=3120，

17x + 3120y = 1

這個方程可以用"擴展歐幾裡得算法"求解，此處省略具體過程。總之，愛麗絲算出一組整數解為 (x,y)=(2753,-15)，即 d=2753。

至此所有計算完成。

在愛麗絲的例子中，n=3233，e=17，d=2753，所以公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

實際應用中，公鑰和私鑰的數據都採用ASN.1格式表達（實例）。

回顧上面的密鑰生成步驟，一共出現六個數字：

p
q
n
φ(n)
e
d

這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d洩漏，就等於私鑰洩漏。

那麼，有無可能在已知n和e的情況下，推導出d？

（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。

（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。

（3）n=pq。只有將n因數分解，才能算出p和q。

結論：如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。

可是，大整數的因數分解，是一件非常困難的事情。目前，除了暴力破解，還沒有發現別的有效方法。維基百科這樣寫道：

" 對極大整數做因數分解的難度決定了RSA算法的可靠性。換言之，對一極大整數做因數分解愈困難，RSA算法愈可靠。

假如有人找到一種快速因數分解的算法，那麼RSA的可靠性就會極度下降。但找到這樣的算法的可能性是非常小的。今天只有短的RSA密鑰才可能被暴力破解。到2008年為止，世界上還沒有任何可靠的攻擊RSA算法的方式。

只要密鑰長度足夠長，用RSA加密的信息實際上是不能被解破的。"

舉例來說，你可以對3233進行因數分解（61×53），但是你沒法對下面這個整數進行因數分解。

12301866845301177551304949
58384962720772853569595334
79219732245215172640050726
36575187452021997864693899
56474942774063845925192557
32630345373154826850791702
61221429134616704292143116
02221240479274737794080665
351419597459856902143413

它等於這樣兩個質數的乘積：

33478071698956898786044169
84821269081770479498371376
85689124313889828837938780
02287614711652531743087737
814467999489
×
36746043666799590428244633
79962795263227915816434308
76426760322838157396665112
79233373417143396810270092
798736308917

事實上，這大概是人類已經分解的最大整數（232個十進位位，768個二進位位）。比它更大的因數分解，還沒有被報導過，因此目前被破解的最長RSA密鑰就是768位。

有了公鑰和密鑰，就能進行加密和解密了。

（1）加密要用公鑰 (n,e)

假設鮑勃要向愛麗絲髮送加密信息m，他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這裡需要注意，m必須是整數（字符串可以取ascii值或unicode值），且m必須小於n。

所謂"加密"，就是算出下式的c：

me ≡ c (mod n)

愛麗絲的公鑰是 (3233, 17)，鮑勃的m假設是65，那麼可以算出下面的等式：

6517 ≡ 2790 (mod 3233)

於是，c等於2790，鮑勃就把2790發給了愛麗絲。

（2）解密要用私鑰(n,d)

愛麗絲拿到鮑勃發來的2790以後，就用自己的私鑰(3233, 2753) 進行解密。可以證明，下面的等式一定成立：

cd ≡ m (mod n)

也就是說，c的d次方除以n的餘數為m。現在，c等於2790，私鑰是(3233, 2753)，那麼，愛麗絲算出

27902753 ≡ 65 (mod 3233)

因此，愛麗絲知道了鮑勃加密前的原文就是65。

至此，"加密--解密"的整個過程全部完成。

我們可以看到，如果不知道d，就沒有辦法從c求出m。而前面已經說過，要知道d就必須分解n，這是極難做到的，所以RSA算法保證了通信安全。

你可能會問，公鑰(n,e) 只能加密小於n的整數m，那麼如果要加密大於n的整數，該怎麼辦？有兩種解決方法：一種是把長信息分割成若干段短消息，每段分別加密；另一種是先選擇一種"對稱性加密算法"（比如DES），用這種算法的密鑰加密信息，再用RSA公鑰加密DES密鑰。

最後，我們來證明，為什麼用私鑰解密，一定可以正確地得到m。也就是證明下面這個式子：

cd ≡ m (mod n)

因為，根據加密規則

ｍe ≡ c (mod n)

於是，c可以寫成下面的形式：

c = me - kn

將c代入要我們要證明的那個解密規則：

(me - kn)d ≡ m (mod n)

它等同於求證

med ≡ m (mod n)

由於

ed ≡ 1 (mod φ(n))

所以

ed = hφ(n)+1

將ed代入：

mhφ(n)+1 ≡ m (mod n)

接下來，分成兩種情況證明上面這個式子。

（1）m與n互質。

根據歐拉定理，此時

mφ(n) ≡ 1 (mod n)

得到

(mφ(n))h × m ≡ m (mod n)

原式得到證明。

（2）m與n不是互質關係。

此時，由於n等於質數p和q的乘積，所以m必然等於kp或kq。

以 m = kp為例，考慮到這時k與q必然互質，則根據歐拉定理，下面的式子成立：

(kp)q-1 ≡ 1 (mod q)

進一步得到

[(kp)q-1]h(p-1) × kp ≡ kp (mod q)

即

(kp)ed ≡ kp (mod q)

將它改寫成下面的等式

(kp)ed = tq + kp

這時t必然能被p整除，即 t=t'p

(kp)ed = t'pq + kp

因為 m=kp，n=pq，所以

med ≡ m (mod n)

原式得到證明。

RSA算法原理（一）

文章來源：科學松鼠會

∑ 編輯 /豆汁