非對稱加密演算法-RSA演算法

  加密演算法分為對稱加密演算法和非對稱加密演算法，其中非對稱加密演算法作為計算機通訊安全的基石，在保證資料安全方面起著重要的作用。而相對於對稱加密演算法的易理解性，非對稱加密演算法存在一定的難度。下面通過對RSA演算法的剖析，讓我們更好的理解非對稱加密演算法的原理。

一、對稱加密演算法和非對稱加密演算法

1、對稱加密演算法

  對稱加密演算法：加密和解密都使用同樣規則（金鑰）的演算法。

  (1)、A選擇某一種規則對資訊進行加密；

  (2)、B使用同一規則(逆規則)對資訊進行解密；

2、非對稱加密演算法

  非對稱加密演算法：加密和解密可以使用不同的規則，只要這兩種規則之間存在某種對應關係即可。

  (1)、B根據演算法生成兩把金鑰（公鑰和私鑰），其中私鑰是保密的，公鑰是公開的，供要與B通訊的其它人使用；

  (2)、A從B處獲取公鑰，並用它來加密；

  (3)、B得到A加密後的資訊，用私鑰進行解密，完成通訊；

二、RSA演算法的數學基礎

1、互質關係

  互質又稱為互素，如果兩個或兩個以上的整數的最大公約數是 1，則稱它們為互質。比如7和10，他們最大的公約數是1，所以他們互質。8和10最大的公約數是2，所以他們不是互質。並不是只有兩個質數才能形成互質。
  根據互質關係，可以得出以下結論（後面尤拉函式會用到）：

• 兩個不同的質數一定互質。例如，2與7、13與19。
• 一個質數，另一個不為它的倍數，這兩個數互質。例如，3與10、5與 26。
• 1和任何一個自然數都互質。如1和9908。
• 2的冪和任何一個奇數都互質。如32和75、256與315。
• 相鄰兩個自然數互質。如15與16。
• 相鄰兩個奇數互質。如49與51。

2、尤拉函式

  尤拉函式指的是對正整數n，求小於或等於n的正整數中與n互質的數的數目，記作φ(n)。比如1至10中，與10形成互質關係的有1，3，7，9，所以φ(10)=4。
  尤拉函式通用公式為（除n=1外，φ(1)=1）：
\[ φ(n)=n(1-\frac{1}{p_1})(1-\frac{1}{p_2})......(1-\frac{1}{p_r}) \\ n={p_1}^{k_1}*{p_2}^{k_2}......{p_r}^{k_r}，其中p_1、p_2......p_r為質數 \]
  比如φ(20)=8計算過程如下：
\[ φ(20)=φ(2^2\times5)=20(1-\frac{1}{2})(1-\frac{1}{5})=8 \]
  尤拉函式證明如下：

• 當n=1時，φ(1) = 1

   因為1與任何數都構成互質關係，則 φ(1) = 1 。

• 當n是質數，φ(n) =n-1

   因為質數與小於它的每一個數，都構成互質關係，則φ(n) =n-1。如φ(5)=5-1=4。

• 當n是質數的某個次方，公式如下，其中p為質數，k為大於1的整數
  \[ φ(p^k) =p^k(1-\frac{1}{p}) \]
  因為質數的某個次方與除與質數的倍數外都形成互質關係，而質數的倍數1 * p、2 * p、3 * p、……、p^(k-1) * p，即有p^(k-1)個，則
  \[ φ(p^k) =p^k-p^{k-1}=p^k(1-\frac{1}{p})，如φ(5^3)=5^3(1-\frac{1}{5})=100。 \]

• 當n可以分解成兩個互質的整數之積，
  \[ φ({p_1}\times{p_2})= φ(p_1)φ(p_2) \]
  該定理用到中國剩餘定理即可證明，具體過程可參考其它文件。如φ(15)=φ(3 * 5)=φ(3) φ(5) =2 * 4 =8。
  根據以上推論，因為任意一個大於1的正整數，都可以寫成一系列質數的積，可以推匯出當n為大於1的整數時：
  \[ n={p_1}^{k_1}{p_2}^{k_2}...{p_r}^{k_r} \]

  \[ φ(n)=φ({p_1}^{k_1}{p_2}^{k_2}...{p_r}^{k_r}) \]

  \[ φ(n)=φ({p_1}^{k_1})φ({p_2}^{k_2})...φ({p_r}^{k_r}) \]

  \[ φ(n)={p_1}^{k_1}(1-\frac{1}{p_1}){p_2}^{k_2}(1-\frac{1}{p_2})...{p_r}^{k_r}(1-\frac{1}{p_r}) \]

  \[ φ(n)={p_1}^{k_1}{p_2}^{k_2}...{p_r}^{k_r}(1-\frac{1}{p_1})(1-\frac{1}{p_2})(1-\frac{1}{p_r}) \]

  \[ φ(n)=n(1-\frac{1}{p_1})(1-\frac{1}{p_2})...(1-\frac{1}{p_r}) \]

  以上即為尤拉函式的通用計算公式。

3、尤拉定理

  尤拉定理也稱費馬-尤拉定理，指的是：如果兩個正整數a和n互質，則n的尤拉函式 φ(n) 可以讓下面的等式成立。
\[ a^{φ(n)}=1(mod\ n) \]
  即a的φ(n)次方被n除的餘數為1，或者說a的φ(n)次方減1，能被n整除。如7和5互質
\[ 7^{φ(5)}-1=7^4-1=2401-1=2400，可以被5整除 \]

4、模反元素

  如果兩個正整數a和n互質，那麼一定可以找到整數b，使得 ab-1 被n整除，或者說ab被n除的餘數是1。這時，b就叫做a的模反元素。證明如下：
\[ a^{φ(n)}=a\times a^{φ(n-1)} = 1(mod\ n)，其中a^{φ(n-1)}就是a的模反元素 \]

三、RSA演算法過程

1、生成金鑰對（公鑰和私鑰）

• 隨機找兩個質數a和b（a和b越大越安全），並計算他們的乘積n

  比如 a = 5 ，b = 11。計算他們的乘積 n = 5 * 11 = 55 ，轉化為二進為 110111，該加密演算法即為 6 位。本例子中是為了計算方便，所以取的數比較小，實際演算法是 1024 位 或 2048 位，位數越長，演算法越難被破解。

• 計算n的尤拉函式m = φ(n)

  根據公式m = φ(55) = φ(5)φ(11) = (5-1)(11-1) = 40

• 隨機選擇一個整數e，條件是1<e<m，且e與m互質

  我們隨機選擇e=17

• 計算e對於φ(n)（即m）的模反元素d

  即找一個整數 d，使得 (e * d ) % m = 1。 等價於 e * d - 1 = y * m ( y 為整數） 找到 d ，實質就是對下面二元一次方程求解。 e * x - m * y = 1 。其中 e = 17，m = 40，17x - 40y = 1 這個方程可以用"擴充套件歐幾里得演算法"求解。具體求解過程略，算出一組整數解（x，y ）= （33，14），即 d=33。 到此金鑰對生成完畢。不同的e生成不同的d，因此可以生成多個金鑰對。

  本例中公鑰為（n，e) = (55 , 17)，私鑰為（n，d) = (55 ，33) ，僅（n，e) =(55 , 17)是公開的，其餘數字均不公開。可以想像如果只有 n 和 e，如何推匯出 d，目前只能靠暴力破解，位數越長，暴力破解的時間越長。

2、加密生成密文

  對明文z採用公鑰（n，e)進行加密，其中明文必須轉換為數字，且必須比n小。加密的公式如下：
\[ z^e=c(mod\ n) \]
  其中z為明文，n和e為公鑰，c為加密後的密文，所以c可以轉換為：
\[ c=z^e \% n \]
  假如明文為15，公鑰（n，e) = (55 , 17)，則加密後的密文c為：
\[ c=15^{17}\%55=5 \]

3、解密生成明文

  對密文c採用公鑰（n，d)進行解密，解密的公示如下：
\[ c^d=z(mod\ n) \]
  其中c為密文，n和d為私鑰，z為解密後的明文，所以z可以轉換為：
\[ z=c^d\%n \]
  根據上述條件，密文c為5，私鑰（n，d) = (55 ，33) ，則解密後的明文z為：
\[ z=5^{33}\%55=15 \]

四、RSA演算法有效性證明

1、有效性問題

  根據上述RSA演算法示例，要驗證RSA演算法的有效性，即驗證根據加密公式：
\[ z^e=c(mod\ n) \]
  可以推匯出，解密公式是有效的：
\[ c^d=z(mod\ n) \]

2、證明過程

  根據加密規則，可以推匯出：
\[ c= z^e - kn \]
  將上述式子代入解密公式，即求證以下式子成立：
\[ (z^e-kn)^d = z(mod\ n) \]

\[ z^{ed} = z(mod\ n) \]

• 當z與n互質時

  根據尤拉定理
  \[ z^{φ(n)} = 1(mod\ n) \]
  則可以推出
  \[ z\times {(z^{φ(n)})}^p=z(mod\ n) \]

  \[ z^{1+pφ(n)}=z(mod\ n) \]

  由於
  \[ ed = 1(mod\ φ(n)) \]

  \[ ed = 1+pφ(n) \]

  所以可以推匯出
  \[ z^{ed} = z(mod\ n) \]

• 當z與n不為互質時

  因為n=a*b，其中a和b都為質數。因為z和n不為互質，則z和n必定有一個公約數，由於n為兩個質數a和b的乘積，則z一定為a或b的倍數，記作ka或者kb。

  假定z=ka(a=kb同理)。由於b為質數，如果k為b的倍數，即k=hb，則z=hab，其中h為正整數，則推匯出z大於n，但是根據條件被加密的明文必須小於n，所以可以推匯出k不是b的倍數，由於b為質數，所以可以推斷出k和b互質，同理，推匯出ka與b互質，即z與b互質。

  根據尤拉定理，可知下列式子成立：
  \[ z^{φ(b)}≡1(mod\ b) \]
  可推匯出：
  \[ z^{φ(b)}=(ka)^{φ(b)}=(ka)^{b-1}≡1(mod\ b) \]
  對於一個數求餘結果為1，那麼它的n次方，求餘也為1。根據這個定理，可推匯出：
  \[ {[(ka)^{b-1}]}^{h(a-1)}≡1(mod\ b) \]

  \[ {[(ka)^{b-1}]}^{h(a-1)}\times ka≡ka(mod\ b) \]

  \[ {(ka)}^{ed}≡ka(mod\ b) \]

  \[ {(ka)}^{ed}=ka+ob \]

  由於兩名等式成立，且a與b互質，可以推匯出o一定為a的倍數，即0=ja，可推匯出：
  \[ {(ka)}^{ed}=ka+ob=ka+jab \]
  因為z=ka，n=ab，所以可以退出：
  \[ z^{ed}≡z(mon\ n) \]

五、RSA演算法的安全性

  RSA演算法的安全性，是基於目前的條件下，在空間和時間上，無法對它進行有效破解。

  根據上述推導，RSA演算法用到a、b、n、m、e、d六個數字。其中公鑰(n，e)是公開的，其餘的4個數字是保密的。其中金鑰d是演算法的核心。

• e*d ≡ 1 (mod m)。其中e是公開的，那就需要知道m，才能算出d。
• 根據公式φ(n)=(a-1)(b-1)=m，要計算出m，必須知道a和b。
• n=ab。只有將n因數分解，才能算出a和b。

  目前對於大數的因數分解，除了暴力破解，沒有更好的途徑。以現有的計算資源和能力，目前能被破解的最長RSA金鑰就是768位，所以只要保證RSA金鑰是1024位及以上，即可保證演算法的安全性。

六、總結

1、RSA演算法流程

2、RSA演算法安全性

  目前對於大數的因數分解，除了暴力破解，沒有更好的途徑。以現有的計算資源和能力，目前能被破解的最長RSA金鑰就是768位，所以只要保證RSA金鑰是1024位及以上，即可保證演算法的安全性。

3、RSA演算法應用

  在RSA演算法中，公鑰(n,e) 只能加密小於n的整數。對於大於n的整數，可以採用兩種方法。一是把長資訊分割成若干段短訊息，每段分別加密；另一種是先選擇一種對稱性加密演算法加密資訊，再用RSA公鑰加密對稱性加密演算法的金鑰。

  另外，由於RSA演算法效能問題，通常加解密都比較慢，所以通常和對稱性加密演算法一起配合使用。