RSA演算法原理(二)

阮一峰發表於2013-07-04

上一次,我介紹了一些數論知識

有了這些知識,我們就可以看懂RSA演算法。這是目前地球上最重要的加密演算法。

RSA演算法原理(二)

六、金鑰生成的步驟

我們透過一個例子,來理解RSA演算法。假設愛麗絲要與鮑勃進行加密通訊,她該怎麼生成公鑰和私鑰呢?

RSA演算法原理(二)

第一步,隨機選擇兩個不相等的質數p和q。

愛麗絲選擇了61和53。(實際應用中,這兩個質數越大,就越難破解。)

第二步,計算p和q的乘積n。

愛麗絲就把61和53相乘。

  n = 61×53 = 3233

n的長度就是金鑰長度。3233寫成二進位制是110010100001,一共有12位,所以這個金鑰就是12位。實際應用中,RSA金鑰一般是1024位,重要場合則為2048位。

第三步,計算n的尤拉函式φ(n)。

根據公式:

  φ(n) = (p-1)(q-1)

愛麗絲算出φ(3233)等於60×52,即3120。

第四步,隨機選擇一個整數e,條件是1< e < φ(n),且e與φ(n) 互質。

愛麗絲就在1到3120之間,隨機選擇了17。(實際應用中,常常選擇65537。)

第五步,計算e對於φ(n)的模反元素d。

所謂"模反元素"就是指有一個整數d,可以使得ed被φ(n)除的餘數為1。

  ed ≡ 1 (mod φ(n))

這個式子等價於

  ed - 1 = kφ(n)

於是,找到模反元素d,實質上就是對下面這個二元一次方程求解。

  ex + φ(n)y = 1

已知 e=17, φ(n)=3120,

  17x + 3120y = 1

這個方程可以用"擴充套件歐幾里得演算法"求解,此處省略具體過程。總之,愛麗絲算出一組整數解為 (x,y)=(2753,-15),即 d=2753。

至此所有計算完成。

第六步,將n和e封裝成公鑰,n和d封裝成私鑰。

在愛麗絲的例子中,n=3233,e=17,d=2753,所以公鑰就是 (3233,17),私鑰就是(3233, 2753)。

實際應用中,公鑰和私鑰的資料都採用ASN.1格式表達(例項)。

七、RSA演算法的可靠性

回顧上面的金鑰生成步驟,一共出現六個數字:

  p
  q
  n
  φ(n)
  e
  d

這六個數字之中,公鑰用到了兩個(n和e),其餘四個數字都是不公開的。其中最關鍵的是d,因為n和d組成了私鑰,一旦d洩漏,就等於私鑰洩漏。

那麼,有無可能在已知n和e的情況下,推匯出d?

  (1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。

  (2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。

  (3)n=pq。只有將n因數分解,才能算出p和q。

結論:如果n可以被因數分解,d就可以算出,也就意味著私鑰被破解。

可是,大整數的因數分解,是一件非常困難的事情。目前,除了暴力破解,還沒有發現別的有效方法。維基百科這樣寫道:

  "對極大整數做因數分解的難度決定了RSA演算法的可靠性。換言之,對一極大整數做因數分解愈困難,RSA演算法愈可靠。

  假如有人找到一種快速因數分解的演算法,那麼RSA的可靠性就會極度下降。但找到這樣的演算法的可能性是非常小的。今天只有短的RSA金鑰才可能被暴力破解。到2008年為止,世界上還沒有任何可靠的攻擊RSA演算法的方式。

  只要金鑰長度足夠長,用RSA加密的資訊實際上是不能被解破的。"

舉例來說,你可以對3233進行因數分解(61×53),但是你沒法對下面這個整數進行因數分解。

  12301866845301177551304949
  58384962720772853569595334
  79219732245215172640050726
  36575187452021997864693899
  56474942774063845925192557
  32630345373154826850791702
  61221429134616704292143116
  02221240479274737794080665
  351419597459856902143413

它等於這樣兩個質數的乘積:

  33478071698956898786044169
  84821269081770479498371376
  85689124313889828837938780
  02287614711652531743087737
  814467999489
    ×
  36746043666799590428244633
  79962795263227915816434308
  76426760322838157396665112
  79233373417143396810270092
  798736308917

事實上,這大概是人類已經分解的最大整數(232個十進位制位,768個二進位制位)。比它更大的因數分解,還沒有被報導過,因此目前被破解的最長RSA金鑰就是768位。

八、加密和解密

有了公鑰和金鑰,就能進行加密和解密了。

(1)加密要用公鑰 (n,e)

假設鮑勃要向愛麗絲髮送加密資訊m,他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這裡需要注意,m必須是整數(字串可以取ascii值或unicode值),且m必須小於n。

所謂"加密",就是算出下式的c:

  me ≡ c (mod n)

愛麗絲的公鑰是 (3233, 17),鮑勃的m假設是65,那麼可以算出下面的等式:

  6517 ≡ 2790 (mod 3233)

於是,c等於2790,鮑勃就把2790發給了愛麗絲。

(2)解密要用私鑰(n,d)

愛麗絲拿到鮑勃發來的2790以後,就用自己的私鑰(3233, 2753) 進行解密。可以證明,下面的等式一定成立:

  cd ≡ m (mod n)

也就是說,c的d次方除以n的餘數為m。現在,c等於2790,私鑰是(3233, 2753),那麼,愛麗絲算出

  27902753 ≡ 65 (mod 3233)

因此,愛麗絲知道了鮑勃加密前的原文就是65。

至此,"加密--解密"的整個過程全部完成。

我們可以看到,如果不知道d,就沒有辦法從c求出m。而前面已經說過,要知道d就必須分解n,這是極難做到的,所以RSA演算法保證了通訊安全。

你可能會問,公鑰(n,e) 只能加密小於n的整數m,那麼如果要加密大於n的整數,該怎麼辦?有兩種解決方法:一種是把長資訊分割成若干段短訊息,每段分別加密;另一種是先選擇一種"對稱性加密演算法"(比如DES),用這種演算法的金鑰加密資訊,再用RSA公鑰加密DES金鑰。

九、私鑰解密的證明

最後,我們來證明,為什麼用私鑰解密,一定可以正確地得到m。也就是證明下面這個式子:

  cd ≡ m (mod n)

因為,根據加密規則

  me ≡ c (mod n)

於是,c可以寫成下面的形式:

  c = me - kn

將c代入要我們要證明的那個解密規則:

  (me - kn)d ≡ m (mod n)

它等同於求證

  med ≡ m (mod n)

由於

  ed ≡ 1 (mod φ(n))

所以

  ed = hφ(n)+1

將ed代入:

  mhφ(n)+1 ≡ m (mod n)

接下來,分成兩種情況證明上面這個式子。

(1)m與n互質。

根據尤拉定理,此時

  mφ(n) ≡ 1 (mod n)

得到

  (mφ(n))h × m ≡ m (mod n)

原式得到證明。

(2)m與n不是互質關係。

此時,由於n等於質數p和q的乘積,所以m必然等於kp或kq。

以 m = kp為例,考慮到這時k與q必然互質,則根據尤拉定理,下面的式子成立:

  (kp)q-1 ≡ 1 (mod q)

進一步得到

  [(kp)q-1]h(p-1) × kp ≡ kp (mod q)

  (kp)ed ≡ kp (mod q)

將它改寫成下面的等式

  (kp)ed = tq + kp

這時t必然能被p整除,即 t=t'p

  (kp)ed = t'pq + kp

因為 m=kp,n=pq,所以

  med ≡ m (mod n)

原式得到證明。

(完)

相關文章