RSA算法介绍

1.基础知识

1.1模运算

模运算

$Z$是整数集，假设$a,r,m\in Z$，其中$m>0$，若$(a-r)|m$即存在$q\in Z$使得$(a-r)=q\cdot m$，则称$a\equiv rmodm$。我们称$a$与$r$模$m$同余，一般的我们称$m$为模数，$r$为余数。

一些结论

推论1 若$a\equiv bmodm$及$x\equiv ymodm$，则$a\pm x\equiv b\pm ymodm$以及$a\cdot x\equiv b\cdot ymodm$。(可加减乘)

证明：这里证明乘法部分，根据定义，存在$q_1$和$q_2$，使得$(a-b)=q_1\cdot m$和$(x-y)=q_2\cdot m$。
则$a\cdot x-b\cdot y$
$=a\cdot x-a\cdot y+a\cdot y-b\cdot y$
$=a\cdot (x-y)+(a-b)\cdot y$
$=a\cdot q_1\cdot m+q_2\cdot m\cdot y$
$=(a\cdot q_1+q_2\cdot y)\cdot m$，证毕。

推论2 若$a\cdot x\equiv b\cdot ymodm$，若$a\equiv bmodm$及$a$与$m$互质，则$x\equiv ymodm$。(可约)

证明：引用一个结论，若$a$与$m$互质，则存在$a$的逆$a^{-1}$使得$a^{-1}\cdot a\equiv 1modm$(证明参考2.1.2扩展欧拉算法)。
则根据 推论1
由$a\equiv bmodm$，根据可乘性得$1\equiv a^{-1}\cdot a\equiv a^{-1}\cdot bmodm$
由$a\cdot x\equiv b\cdot ymodm$，根据可乘性得$a^{-1}\cdot a\cdot x\equiv a^{-1}\cdot b\cdot ymodm$
由$x\equiv xmodm$和$a^{-1}\cdot a\equiv 1modm$，根据可乘性得$a^{-1}\cdot a\cdot x\equiv xmodm$。
同理由$y\equiv ymodm$和$a^{-1}\cdot b\equiv 1modm$，根据可乘性得$a^{-1}\cdot b\cdot y\equiv ymodm$。证毕。

推论3 若$a\equiv bmodm$，则若$n\ne 0$，则$a\cdot n\equiv b\cdot nmodm\cdot n$，反之亦然。

证明：根据定义证明，结论显然成立。

推论4 若$p$与$q$互质，则$a\equiv bmodp\cdot q$等价于$a\equiv bmodp$和$a\equiv bmodq$。

证明：根据定义，存在$n$和$m$使得$a-b=n\cdot p$和$a-b=m\cdot q$，所以$n\cdot p=m\cdot q$，因为$p$与$q$互质，则存在$n_1$使得$n=n_1\cdot q$，则$a-b=n_1\cdot p\cdot q$。证毕。

1.2费马小定理

费马小定理 若$p$是素数，则对任何整数$a$，有$a^p\equiv amodp$。

证明：
若$a=n\cdot p$，则$a\equiv 0modp$，则$a^p\equiv 0\equiv amodp$。
若$a$与$p$互质，则考虑序列1 { 1 , 2 , 3 , ⋯   , p − 1 } \{1,2,3,\cdots,p-1 \} {1,2,3,⋯,p−1}和序列2 { a ⋅ 1   m o d   p , a ⋅ 2   m o d   p , a ⋅ 3   m o d   p , ⋯   , a ⋅ ( p − 1 )   m o d   p } \{a\cdot 1 \ mod \ p,a \cdot 2 \ mod \ p,a\cdot 3 \ mod \ p,\cdots,a\cdot (p-1) \ mod \ p \} {a⋅1 mod p,a⋅2 mod p,a⋅3 mod p,⋯,a⋅(p−1) mod p}其中$amodp$ 的结果就是$a$除$p$的余数，则序列2是序列1的一个重排列。为证明这点只需证明序列2中的每个数都不相等，反证法，若$a\cdot xmodp=a\cdot ymodp$，则$a\cdot x\equiv a\cdot ymodp$，根据推论2得出$x\equiv ymodp$，因为$x$和$y$都小于$p$，则$x=y$，与我们计算过程中$x$与$y$不相等矛盾。
我们重写上述的结论如下：
$a\cdot 1\equiv p_{1}modp$
$a\cdot 2\equiv p_{2}modp$
$a\cdot 3\equiv p_{3}modp$
$\cdots$
其中序列 { p 1 , p 2 , p 3 , ⋯   } \{p_1,p_2,p_3,\cdots \} {p1​,p2​,p3​,⋯}是 { 1 , 2 , 3 , ⋯   , p − 1 } \{1,2,3,\cdots,p-1 \} {1,2,3,⋯,p−1}的一个重排列。
则根据可乘性
$a^{p-1}\cdot 1\cdot 2\cdot 3\cdots (p-1)\equiv 1\cdot 2\cdot 3\cdots (p-1)modp$
又$1,2,3,\cdots ,(p-1)$与$p$互质，根据可约性得$a^{p-1}\equiv amodp$，证毕。

2.RSA算法

2.1基础知识

2.1.1欧拉算法

最大公约数

给定两个正整数$r_0$和$r_1$，求它们的最大公约数，最大公约数记为$gcd(r_0,r_1)$。
我们称$a|b$为$a$整除$b$，若存在$q$使得$b=q\cdot a$，其中$a$和$b$为正整数。

一个有用的结论

若$r_0>r_1$，我们可计算$q$使得$r_0=q\cdot r_1+r_2$，其中$r_2<r_1$，则$gcd(r_0,r_1)$=$gcd(r_1,r_2)$。证明：若$g=gcd(r_0,r_1)$，则$g|r_0$且$g|r_1$，则$g|r_0-q\cdot r_1$，则$g|r_2$。

欧拉算法
伪代码

假设r0>r1为非负整数
while r1 !=0:
	r2= r0 % r1
	r0=r1
	r1=r2
return r0

Python测试代码

def gcd(r0,r1):
	r0=abs(r0)
	r1=abs(r1)
	if r0 < r1:
		temp=r0
		r0=r1
		r1=temp
	while r1 !=0:
		r2= r0 % r1
		r0=r1
		r1=r2
	return r0

2.1.2扩展欧拉算法

结论

给定两个正整数$r_0$和$r_1$，存在$s$和$t$使得$s\cdot r_0+t\cdot r_1=gcd(r_0,r_1)$，其中$s$和$t$是整数。

证明：直接用欧拉算法证明

假设r0>r1为非负整数
初始值r0和r1
初始值s0=1，t0=0 满足r0=s0*r0+t0*r1
初始值s1=0，t1=1 满足r1=s1*r0+t1*r1
while r1 !=0:
	r2= r0 % r1
	q= r0/r1 
	r0=r1  r1=r2
	s0_temp=s0 t0_temp=t0
	s0=s1 t0=t  #r0=r1=s1*r0+t1*r1 所以s0=s1 t0=t1
	s1=s0_temp-q*s1 t1=t0_temp-q*t1#r1=r2=r0-q*r1=(s0*r0+t0*r1)-q*(s1*r0+t1*r1)=(s0-q*s1)*r0+(t0-q*t1)*r1
return r0=s0*r0+t0*r1

扩展欧拉算法

Python测试代码

def exgcd(r0,r1): #r0和r1为正整数
    if r0 < r1:
        temp=r0
        r0=r1
        r1=temp
    #满足r0=s0*r0+t0*r1
    s0=1
    t0=0 
    #满足r1=s1*r0+t1*r1
    s1=0
    t1=1 
    while r1 !=0:
        r2= r0 % r1
        q= r0//r1 
        r0=r1
        r1=r2
        s0_temp=s0
        t0_temp=t0
        #r0=r1=s1*r0+t1*r1 所以s0=s1 t0=t1
        s0=s1
        t0=t1  
        #r1=r2=r0-q*r1=(s0*r0+t0*r1)-q*(s1*r0+t1*r1)=(s0-q*s1)*r0+(t0-q*t1)*r1
        s1=s0_temp-q*s1
        t1=t0_temp-q*t1
    return s0,t0#r0=s0*r0+t0*r1

重要结论

给定两个正整数$r_0$和$r_1$，若互质，则存在$s$和$t$使得$s\cdot r_0+t\cdot r_1=1$，其中$s$和$t$是整数.

若$p$是素数，求$r$的逆$r^{-1}$，使得$r\cdot r^{-1}modp$，其中$r$和$r^{-1}$为整数。

Python求逆测试代码

import math
def inverseP(p,r1): #p为正整数,r0为整数
#修正r0为0=<r0<p
    if r1<0 or r1>p:
        r1=r1-math.floor(r1/p)*p
    r0=p
    r1=r1
    #满足r0=s0*r0+t0*r1
    s0=1
    t0=0 
    #满足r1=s1*r0+t1*r1
    s1=0
    t1=1 
    while r1 !=0:
        r2= r0 % r1
        q= r0//r1 
        r0=r1
        r1=r2
        s0_temp=s0
        t0_temp=t0
        #r0=r1=s1*r0+t1*r1 所以s0=s1 t0=t1
        s0=s1
        t0=t1  
        #r1=r2=r0-q*r1=(s0*r0+t0*r1)-q*(s1*r0+t1*r1)=(s0-q*s1)*r0+(t0-q*t1)*r1
        s1=s0_temp-q*s1
        t1=t0_temp-q*t1
    if r0!=1:
        print("No inverseP")
        return 0
    else:
        if t0<0 or t0>p:
            t0=t0-math.floor(t0/p)*p #修正到0和p-1之间
        return t0

2.1.3欧拉函数

欧拉函数

对于正整数$m$，小于$m$的整数中与$m$互质的数的数目为$\Phi (m)$，$\Phi$称为欧拉函数。

引理1：若$p$与$q$互质，则$\Phi (p\cdot q)=\Phi (p)\cdot \Phi (q)$。
证明：定义小于$m$且与$m$互质的集合称为$Z(m)$，称这个集合为$m$的完全余数集合，显然$|Z(x)|=\Phi (m)$。
若$m=p\cdot q$，且$p$与$q$互质，则下面证明$Z(m)$与$Z(p)\times Z(q)$之间存在一一映射。定义映射$f$：$f(x)=(xmodp,xmodq)$，其中$x\in Z(m)$,$(xmodp,xmodq)\in Z(p)\times Z(q)$。
首先映射满足条件：若$x\in Z(m)$，则$x$与$m$互质，根据扩展欧拉算法知存在$x^{-1}$，使得$x^{-1}\cdot x\equiv 1modm$，则根据推论4有$x^{-1}\cdot x\equiv 1modp$ 且 $x^{-1}\cdot x\equiv 1modp$，则$xmodp\in Z(p)$且$xmodq\in Z(q)$。
其次满足单射：若$x_1\ne x_2$，则$f(x_1)\ne f(x_2)$。反证法，若$f(x_1)=f(x_2)$，则$x_1\equiv x_{2}modp$且$x_1\equiv x_{2}modq$，由于$p$与$q$互质，则$x_1\equiv x_{2}modp\cdot q$，则$x_1\equiv x_{2}modm$，则$x_1=x_2$。
最后满足满射：对任意$(x_p,x_q)\in (Z(p),Z(q))$，令$x=t\cdot q\cdot x_p+s\cdot p\cdot x_q$，其中$s\cdot p+t\cdot q=1$，因为$p$与$q$互质，由扩展欧拉算法可得，也即$t\cdot q\equiv 1modp$及$s\cdot p\equiv 1modq$，则$xmodp=t\cdot q\cdot x_{p}modp=x_{p}modp$，则$xmodp\in Z(p)$，同理$xmodq\in Z(q)$，另外$x\cdot x_p^{-1}\equiv t\cdot q\cdot x_p\cdot x_p^{-1}+s\cdot p\cdot x_q\cdot x_p^{-1}modp$，则$x\cdot x_p^{-1}\equiv t\cdot q\cdot x_p\cdot x_p^{-1}modp$，则$x\cdot x_p^{-1}\equiv 1modp$，则$x$与$p$互质，同理$x$与$q$互质，则$x$与$p\cdot q$互质。

定理1 若$m=p_1^{e_1}\cdot p_2^{e_2}\cdot p_3^{e_3}\cdots p_n^{e_n}$，$p_1,p_2,p_3\cdots p_n$互质，则$\Phi (m)={\prod }_1^n(p_i^{e_i}-p_i^{e_i-1})$。

证明：只需证明$\Phi (p^e)=p^e-p^{e-1}$，再根据引理1即可得出结论。因为p为素数，则$p^e$中形式为$n\cdot p$的数的个数为从$1$开始数，数到$p^{e-1}$结束，共有$p^{e-1}$个。

推论5 若$p$为素数，则$\Phi (p)=p^1-p^{1-1}=p^1-p^0=p-1$

2.1.4欧拉定理

定理2 欧拉定理 若$a$为整数，$m$为正整数，且$a$与$m$互质，则$a^{\Phi (m)}\equiv 1modm$。

证明：定义小于$m$且与$m$互质的集合称为$Z(m)$，则$|Z(x)|=\Phi (m)$，
令 Z ( m ) = { χ ( 1 ) , χ ( 2 ) , ⋯   , χ ( ϕ ( m ) ) } Z(m)=\{\chi(1),\chi(2),\cdots,\chi(\phi(m))\} Z(m)={χ(1),χ(2),⋯,χ(ϕ(m))}，则 a ⋅ Z ( m ) = { a ⋅ χ ( 1 ) , a ⋅ χ ( 2 ) , ⋯   , a ⋅ χ ( ϕ ( m ) ) }   m o d   m a \cdot Z(m)=\{a\cdot \chi(1),a\cdot \chi(2),\cdots,a\cdot \chi(\phi(m))\} \ mod \ m a⋅Z(m)={a⋅χ(1),a⋅χ(2),⋯,a⋅χ(ϕ(m))} mod m，下面证明$a\cdot Z(m)$是Z(m)的一个重排列，证明参考费马小定理的证明。

2.2RSA算法定义

加密算法

给定公钥 k p u b = { n , e } k_{pub}=\{n,e\} kpub​={n,e}，则明文$x$对应的密文$y$为$y\equiv x^{e}modn$，其中$x,y,e\in Z_n$。 Z n = { 0 , 1 , 2 , ⋯ ( n − 1 ) } Z_n=\{0,1,2,\cdots (n-1)\} Zn​={0,1,2,⋯(n−1)}

解密算法

给定私钥 k p r i = { n , d } k_{pri}=\{n,d\} kpri​={n,d}，则密文$y$对应的明文$x$为$x\equiv y^{d}modn$，其中$x,y,d\in Z_n$。 Z n = { 0 , 1 , 2 , ⋯ ( n − 1 ) } Z_n=\{0,1,2,\cdots (n-1)\} Zn​={0,1,2,⋯(n−1)}

2.3公钥e与私钥d的关系

密钥生成

step 1：随机选取两个素数$p$和$q$，计算$n=p\cdot q$，这里的$n$成为RSA的模。
step 2：$\Phi (n)=\Phi (p\cdot q)=\Phi (p)\cdot \Phi (q)=(p-1)\cdot (q-1)$，随机选取$e$，使得$0<e<\Phi (n)$且与$\Phi (n)$互质。$e$就是公钥，我们一般成为公钥指数。
step 3：计算$d$，$d$满足$e\cdot d\equiv 1mod\Phi (n)$，即$d$是$e$的逆。$d$就是私钥，我们一般称为私钥$d$。

算法正确性证明

证明：$x\equiv y^d\equiv x^{ed}modn$，又由$e\cdot d\equiv 1mod\Phi (n)$知存在$\lambda$使得$e\cdot d=\lambda \cdot \Phi (n)+1$，则$x^{ed}\equiv x^{\lambda \cdot \Phi (n)+1}modm$
情况1：若$x$与$n$互质，则根据欧拉定理结论显然
情况2：若$x$与$n$存在公约数，则公约数为$p$或者$q$，假设为$p$，则$x=r\cdot p$，则${(r\cdot p)}^{\lambda \cdot \Phi (p)\cdot \Phi (q)}\cdot xmodp\cdot q$，又${x\equiv (r\cdot p)}^{\lambda \cdot \Phi (p)\cdot \Phi (q)}\cdot xmodp$（$x\equiv 0modp$）且${x\equiv (r\cdot p)}^{\lambda \cdot \Phi (p)\cdot \Phi (q)}\cdot xmodq$(若$rp$与$q$互质，则根据欧拉定理可得；若$rp$与$q$有公约数$q$，则同上)，根据推论4得${x\equiv (r\cdot p)}^{\lambda \cdot \Phi (p)\cdot \Phi (q)}\cdot xmodp\cdot q$，证毕。

3.RSA计算相关

3.1中国剩余定理

线性同余方程组

考虑下述线性同余方程组($S$)
$$\{\begin{array}{l}x\equiv a_{1}mod{m}_1\\ x\equiv a_{2}mod{m}_2\\ \cdots \\ x\equiv a_{n}mod{m}_n\end{array}$$
若$m_1,m_2,\cdots ,m_n$互质，则对于任何正整数$a_i$，方程组($S$)有解。

证明二维情形

用构造法证明
考虑下述二维线性同余方程组($S^1$)，其中$m_1,m_2$互质
$$\{\begin{array}{l}x\equiv a_{1}mod{m}_1\\ x\equiv a_{2}mod{m}_2\end{array}$$
证明：
根据推论3重写方程组($S^1$)如下，记为($S^2$)：
$$\{\begin{array}{l}{m}_2\cdot x\equiv m_2\cdot a_{1}mod{m}_2\cdot m_1\\ m_1\cdot x\equiv m_1\cdot a_{2}mod{m}_1\cdot m_2\end{array}$$
又$m_1,m_2$互质，根据扩展欧拉算法知存在$s$和$t$使得$s\cdot m_1+t\cdot m_2=1$
则根据推论1重写方程组($S^2$)如下，记为($S^3$)：
$$\{\begin{array}{l}t\cdot m_2\cdot x\equiv t\cdot m_2\cdot a_{1}mod{m}_2\cdot m_1\\ s\cdot m_1\cdot x\equiv s\cdot m_1\cdot a_{2}mod{m}_1\cdot m_2\end{array}$$
根据推论1将方程组($S^3$)相加得到：
$(t\cdot m_2\cdot x+s\cdot m_1\cdot x)\equiv (t\cdot m_2\cdot a_1+s\cdot m_1\cdot a_2)mod{m}_1\cdot m_2$
继续简化：
$(t\cdot m_2\cdot x+s\cdot m_1\cdot x)\equiv (t\cdot m_2+s\cdot m_1)\cdot x\equiv xmod{m}_1\cdot m_2$
所以
$x\equiv (t\cdot m_2\cdot a_1+s\cdot m_1\cdot a_2)mod{m}_1\cdot m_2$
证毕。

3.2加快解密RSA

利用费马小定理和中国剩余定理加快RSA解密过程

重写解密函数

计算$x\equiv y^{d}modn$

计算$x\equiv y^{d}modn$，即$x\equiv y^{d}modp\cdot q$，因为$p$与$q$互质，则根据推论4，求解上述方程等价于求解下述二维线性同余方程组;
$$\{\begin{array}{l}x\equiv y^{d}modp\\ x\equiv y^{d}modq\end{array}$$

利用费马小定理改写上述方程组

计算$y^{d}modp$

因为p是素数，根据费马小定理，若$y$与$p$互质，则$y^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$，则$y^d\equiv y^{dmod(p-1)}modp$；若$y$是$p$的倍数，则$y^{p-1}\equiv 0modp$，则$y^d\equiv 0\equiv y^{dmod(p-1)}modp$，所以可得$y^d\equiv y^{dmod(p-1)}modp$，同理可得$y^d\equiv y^{dmod(q-1)}modq$。

改写方程组

改写上述线性同余方程组如下：
$$\{\begin{array}{l}x\equiv y^{dmod(p-1)}modp\\ x\equiv y^{dmod(q-1)}modq\end{array}$$

利用中国剩余定理计算上述方程组

直接写出答案：$x\equiv q^{-1}\cdot q\cdot y^{dmod(p-1)}+p^{-1}\cdot p\cdot y^{dmod(q-1)}modn$，其中$1\equiv p^{-1}\cdot pmodq$，$1\equiv q^{-1}\cdot qmodp$。

名词解释

通常RSA的解密函数中有几个参数
$p$ ：模$n$的两个因子之一
$q$ ：模$n$的两个因子之一
$dmp1$：$dmod(p-1)$
$dmq1$ ：$dmod(p-1)$
$iqmp$=$q^{-1}$ ：inverse of $q$，$q$的逆$q^{-1} $，即$1\equiv q^{-1}\cdot qmodp$。
$ipmq$=$p^{-1}$ ：inverse of $p$，$p$的逆$p^{-1}$，即$1\equiv p^{-1}\cdot pmodq$，一般没有这个参数，因为这个参数可以由$iqmp$快速计算出来。由 $1\equiv q^{-1}\cdot qmodp$，知存在$p^{\prime }$使得$(q^{-1}\cdot q-1)=p^{\prime }\cdot p$，则$-(q^{-1}\cdot q-1)=-p^{\prime }\cdot p$，则$-q^{-1}\cdot q=-p^{\prime }\cdot p-1$，即$-p^{\prime }\cdot p\equiv 1modq$，即$-p^{\prime }$为$p$的逆，所以$p^{-1}=(-q^{-1}\cdot q+1)/p$。

3.3快速指数运算

快速幂乘法

计算$c=a^{x}modn$ ，若$n$为素数，则令$x=xmod(n-1)$

x从左向右扫描，共有n位
c=1
for n to 1:
	c=c*c mod n
	if x[i]==1:
		c=c*a
x从右向左扫描，共有n位
c=1
d=a
for 1 to n:
	if x[i]==1:
		c=c*d mod n
	d=d*d mod n

蒙哥马利算法

利用$a\cdot bmodn=((amodn)\cdot (b\mathrm{m}\mathrm{o}\mathrm{d}n))modn$，此式可由推论1可得，因为$(a\equiv amodn)modn$，$(b\equiv bmodn)modn$，在做运算时可以随意进行取模运算。

Python测试代码

def fastModExp(base,exp,mod):
	c=1
	for bit in reversed(range(exp.bit_length())):
		c=c*c % mod
		if(exp & (1<< bit)):
			c=c*base % mod
	return c


def fastModExp1(base,exp,mod):
	c=1
	d=base
	for bit in range(exp.bit_length()):
		if(exp & (1<< bit)):
			c=c*d % mod
		d=d*d % mod
	return c

if __name__=="__main__":
	import math
	import random
	for i in range(0,100):
		base=random.randint(0,1000000)
		exp=random.randint(0,1000000)
		mod=random.randint(0,1000000)
		x=fastModExp(base,exp,mod)
		y=fastModExp1(base,exp,mod)
		z=pow(base,exp,mod)
		if x==y and x==z:
			pass#print("succ")
		else:
			print("fail")

常用的公钥指数

便于快速指数运算
3=101
65537=100001

待续

#参考
[1] Understanding Cryptography: A Textbook for Students and Practitioners，
Paar, Christof, Pelzl, Jan