公钥密码体制-RSA (二)

前言

有了上面的数论基础之后，我们就可以来看 RSA 算法的神奇之处了。

算法描述

我们先把整个加解密过程简单流程描述一下。加解密过程如下：
加密:$C=M^{e}modn$
解密:$M=C^{d}modn=(M^e{)}^{d}modn=M^{ed}modn$

其中，M 表示待加密的明文，C 表示加密后的密文，e,n,d 均为整数，如果能找到合适的这三个数能让上面的过程满足，就可以把PU = {e,n}当作公钥，PR = {d,n}当作私钥，进行公钥密码体制的加解密了。

计算方法

问题转化

问题：寻找 e,d,n 使所有 $M<n$, 能使 $M^{ed}modn=M$, 成立。
解：

• 先选定两个素数，$p,q$。
• 计算 $n=pq$
• 选定 e，使 $e,\varphi (n)$ 互素，这个一般会选 3, 7, 65537 等素数，也可以随机选择
• 可以计算得到 d, 使 $ed\equiv 1mod\varphi (n)$, 这个可以通过扩展欧几里德算法得到

这样 就得到了 $e,d$，那么选择出来的 $e,d,p,q,n$ 能使上式成立么？

证明

令 $\varphi (n)=k$,
因为 $ed\equiv 1mod\varphi (n)$, 即 $edmod\varphi (n)=1$
所以 $ed=tk+1$。
则：
$M^{ed}modn=M^{tk+1}modn=(M\ast M^{tk})modn$
$M^{ed}modn=[(Mmodn)\ast (M^{tk}modn)]modn$
$M^{ed}modn=[(Mmodn)\ast ((M^{k}modn{)}^{t}modn)]modn$
因为 $M^{k}modn=M^{\varphi (n)}modn$, 根据欧拉定理，当 M 和n 互素时，$M^{\varphi (n)}modn=1$，
所以 $M^{k}modn=1$。
$M^{ed}modn=[(Mmodn)\ast (1^{t}modn)]modn$
$M^{ed}modn=Mmodn$
因为 $M<n$, 所以 $Mmodn=M$
即 $M^{ed}modn=M$。
证明完毕，说明此时 e,d,n 满足 RSA 算法要求，就可以使用公钥PU={e,n}和私钥PR={d,n}了。

场景描述

假设通信双方是 Alice 和 Bob， Bob 想给 Alice 发消息如 88，场景是怎样的呢。

• Alice 选取两个素数 p,q，比如 17，11
• Alice 计算 $n=pq=17\ast 11=187$
• Alice 计算 $\varphi (n)=(p-1)\ast (q-1)=16\ast 10=160$
• Alice 选择一个小于$\varphi (n)$且与它互素的数，如 $e=7$
• 通过计算得到 d, 使 $de\equiv 1(mod160)$, 因为 $23\ast 7=161=1\ast 160+1$, 所以 $d=23$
• Alice 把 {7,187} 发给 Bob, 自己保存 {23,187}
• Bob 计算 $C=M^{e}modn$, 即 $88^{7}mod187=11$, 把 11 发给 Alice
• Alice 计算 $M=C^{d}modn$, 即 $11^{23}mod187=88$，得到原文。

安全性

攻击者拿到 e,n 要想算出 d, 即用公式 $ed\equiv 1mod\varphi (n)$, 此时如果知道 $\varphi (n)$即能用扩展欧几里德算法得到 d，并且如果知道 p,q 那么是可以通过$\varphi (n)=\varphi (pq)=\varphi (p)\ast \varphi (q)=(p-1)\ast (q-1)$计算得来的，但是从 n 分解出两个质因数除了暴力破解没有更加有效的算法，如果 n 选择较大的话，破解时间将以年计，所以我们认为该算法是安全的。目前要求较高的密钥选择在 $10^{75}$以上，对应的密钥长度可以达到 1024 位。