RSA算法原理(二)
有了這些知識,我們就可以看懂 RSA 算法。這是目前地球上最重要的加密算法。
六、密鑰生成的步驟
我們通過一個例子,來理解 RSA 算法。假設愛麗絲要與鮑勃進行加密通信,她該怎么生成公鑰和私鑰呢?
第一步,隨機選擇兩個不相等的質數p和q。
愛麗絲選擇了 61 和 53。(實際應用中,這兩個質數越大,就越難破解。)
第二步,計算p和q的乘積n。
愛麗絲就把 61 和 53 相乘。
n = 61×53 = 3233
</blockquote>n 的長度就是密鑰長度。3233 寫成二進制是 110010100001,一共有 12 位,所以這個密鑰就是 12 位。實際應用中,RSA 密鑰一般是 1024 位,重要場合則為 2048 位。
第三步,計算n的歐拉函數φ(n)。
根據公式:
φ(n) = (p-1)(q-1)
</blockquote>愛麗絲算出φ(3233) 等于 60×52,即 3120。
第四步,隨機選擇一個整數e,條件是1< e < φ(n),且e與φ(n) 互質。
愛麗絲就在 1 到 3120 之間,隨機選擇了 17。(實際應用中,常常選擇 65537。)
第五步,計算e對于φ(n)的模反元素d。
所謂"模反元素"就是指有一個整數d,可以使得 ed 被φ(n)除的余數為1。
ed ≡ 1 (mod φ(n))
</blockquote>這個式子等價于
ed - 1 = kφ(n)
</blockquote>于是,找到模反元素d,實質上就是對下面這個二元一次方程求解。
ex + φ(n) y = 1
</blockquote>已知 e=17, φ(n)=3120,
17x + 3120y = 1
</blockquote>這個方程可以用"擴展歐幾里得算法"求解,此處省略具體過程。總之,愛麗絲算出一組整數解為 (x,y)=(2753,-15),即 d=2753。
至此所有計算完成。
第六步,將n和e封裝成公鑰,n和d封裝成私鑰。
在愛麗絲的例子中,n=3233,e=17,d=2753,所以公鑰就是 (3233,17),私鑰就是(3233, 2753)。
實際應用中,公鑰和私鑰的數據都采用 ASN.1格式表達(實例)。
七、RSA 算法的可靠性
回顧上面的密鑰生成步驟,一共出現六個數字:
p
q
n
φ(n)
e
d
</blockquote>這六個數字之中,公鑰用到了兩個(n和e),其余四個數字都是不公開的。其中最關鍵的是d,因為n和d組成了私鑰,一旦d泄漏,就等于私鑰泄漏。
那么,有無可能在已知n和e的情況下,推導出d?
(1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。
(2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。
(3)n=pq。只有將n因數分解,才能算出p和q。
</blockquote>結論:如果n可以被因數分解,d就可以算出,也就意味著私鑰被破解。
可是,大整數的因數分解,是一件非常困難的事情。目前,除了暴力破解,還沒有發現別的有效方法。維基百科這樣寫道:
"對極大整數做因數分解的難度決定了 RSA 算法的可靠性。換言之,對一極大整數做因數分解愈困難,RSA 算法愈可靠。
假如有人找到一種快速因數分解的算法,那么 RSA 的可靠性就會極度下降。但找到這樣的算法的可能性是非常小的。今天只有短的 RSA 密鑰才可能被暴力破解。到 2008 年為止,世界上還沒有任何可靠的攻擊 RSA 算法的方式。
只要密鑰長度足夠長,用 RSA 加密的信息實際上是不能被解破的。"
</blockquote>舉例來說,你可以對 3233 進行因數分解(61×53),但是你沒法對下面這個整數進行因數分解。
12301866845301177551304949
58384962720772853569595334
79219732245215172640050726
36575187452021997864693899
56474942774063845925192557
32630345373154826850791702
61221429134616704292143116
02221240479274737794080665
351419597459856902143413
</blockquote>它等于這樣兩個質數的乘積:
33478071698956898786044169
84821269081770479498371376
85689124313889828837938780
02287614711652531743087737
814467999489
×
36746043666799590428244633
79962795263227915816434308
76426760322838157396665112
79233373417143396810270092
798736308917
</blockquote>事實上,這大概是人類已經分解的最大整數(232 個十進制位,768 個二進制位)。比它更大的因素分解,還沒有被報道過,因此目前被破解的最長 RSA 密鑰就是 768 位。
八、加密和解密
有了公鑰和密鑰,就能進行加密和解密了。
(1)加密要用公鑰 (n,e)
假設鮑勃要向愛麗絲發送加密信息m,他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這里需要注意,m必須是整數(字符串可以取 ascii 值或 unicode 值),且m必須小于n。
所謂"加密",就是算出下式的c:
me ≡ c (mod n)
</blockquote>愛麗絲的公鑰是 (3233, 17),鮑勃的m假設是 65,那么可以算出下面的等式:
6517 ≡ 2790 (mod 3233)
</blockquote>于是,c等于 2790,鮑勃就把 2790 發給了愛麗絲。
(2)解密要用私鑰(n,d)
愛麗絲拿到鮑勃發來的 2790 以后,就用自己的私鑰(3233, 2753) 進行解密。可以證明,下面的等式一定成立:
cd ≡ m (mod n)
</blockquote>也就是說,c的d次方除以n的余數為m。現在,c等于 2790,私鑰是(3233, 2753),那么,愛麗絲算出
27902753 ≡ 65 (mod 3233)
</blockquote>因此,愛麗絲知道了鮑勃加密前的原文就是 65。
至此,"加密--解密"的整個過程全部完成。
我們可以看到,如果不知道d,就沒有辦法從c求出m。而前面已經說過,要知道d就必須分解n,這是極難做到的,所以 RSA 算法保證了通信安全。
你可能會問,公鑰(n,e) 只能加密小于n的整數m,那么如果要加密大于n的整數,該怎么辦?有兩種解決方法:一種是把長信息分割成若干段短消息,每段分別加密;另一種是先選擇一種"對稱性加密算法"(比如 DES),用這種算法的密鑰加密信息,再用 RSA 公鑰加密 DES 密鑰。
九、私鑰解密的證明
最后,我們來證明,為什么用私鑰解密,一定可以正確地得到m。也就是證明下面這個式子:
cd ≡ m (mod n)
</blockquote>因為,根據加密規則
me ≡ c (mod n)
</blockquote>于是,c可以寫成下面的形式:
c = me - kn
</blockquote>將c代入要我們要證明的那個解密規則:
(me - kn)d ≡ m (mod n)
</blockquote>它等同于求證
med ≡ m (mod n)
</blockquote>由于
ed ≡ 1 (mod φ(n))
</blockquote>所以
ed = hφ(n) +1
</blockquote>將 ed 代入:
mhφ(n) +1 ≡ m (mod n)
</blockquote>接下來,分成兩種情況證明上面這個式子。
(1)m與n互質。
根據歐拉定理,
mφ(n) ≡ 1 (mod n)
</blockquote>得到
(mφ(n))h × m ≡ m (mod n)
</blockquote>原式得到證明。
(2)m與n不是互質關系。
由于n等于質數p和q的乘積,所以m必然等于 kp 或 kq。
以 m = kp 為例,考慮到這時k與q必然互質,則根據歐拉定理,下面的式子成立:
(kp)q-1 ≡ 1 (mod q)
</blockquote>進一步得到
[(kp)q-1]h(q-1) × kp ≡ kp (mod q)
</blockquote>即
(kp)ed ≡ kp (mod q)
</blockquote>將它改寫成下面的等式
(kp)ed = tq + kp
</blockquote>這時t必然能被p整除,即 t=t'p
(kp)ed = t'pq + kp
</blockquote>因為 m=kp,n=pq,所以
med ≡ m (mod n)
</blockquote>原式得到證明。
來自: 阮一峰的網絡日志