RSA加密算法

定义

  对任意明文m，取一个整数$N$，使得$N=pq$，其中$p、q$为两大素数，常超过200位；取正整数$e$，满足$(e,\phi (N))=1$；$d$满足$ed\equiv 1(mod\phi (N))$。则对于任意$1\le m<N$，若加密算法为$c\equiv m^e(modN)$，那么由密文c可通过$c^d(modN)$计算得明文m。
  其中公钥$PK:e、N$；私钥$SK:d、p、q$。

  由于大整数分解存在难题，十分耗时，因此只提供$N$而不提供其分解方式则要通过密文求明文将会很麻烦，几乎不可能实现，因此该加密方法是经典的加密算法。为何在不知$p、q$的情况下很难反解出明文，下面将具体描述加密和解密的过程。

加密

  显然，用户可使用公钥$PK:e、N$对明文m进行加密使其变为密文c，加密公式：
$$c\equiv m^e(modN)$$

解密

  因为有：
$$ed\equiv 1(mod\phi (N))$$  且由欧拉定理，对$(a,p)=1$有：
$$a^{\phi (p)}\equiv 1(modp)$$  所以将$p、q$分开考虑，对$c\equiv m^e(modp)$有：
$$c^d\equiv (m^e{)}^d\equiv m^{ed}\equiv m^{ed(mod\phi (p))}\equiv m(modp)$$  同理对$q$也有：
$$c^d\equiv m(modq)$$  又因为$(p,q)=1,N=pq$，因此有解密公式：
$$m\equiv c^d(modN)$$
  因为求解$d$的过程需要用到$\phi (N)$，又因$N=pq且(p,q)=1$，故有$\phi (N)=\phi (p)\phi (q)$。当不知密钥$p、q$时，先要对$N$进行分解才能求得$\phi (N)$，由于该过程耗时，所以安全有保障。而当知道$p、q、d$时，则很容易求解，因此解密会很轻松。
  由于$d、N$可能很大，因此，也可先求得：
$$\begin{gathered} d_p=d(modp) \\ {d}_q=d(modq) \end{gathered}$$  再令：
$$\begin{gathered} m_1\equiv c^{d_p}(modp) \\ {m}_2\equiv c^{d_q}(modq) \end{gathered}$$  又因
$$m\equiv c^d(modN)$$  所以有：
$$\begin{gathered} m\equiv c^d\equiv c^{d(mod\phi (p))}\equiv c^{d_p}\equiv m_1(modp) \\ m\equiv c^d\equiv c^{d(mod\phi (q))}\equiv c^{d_q}\equiv m_2(modq) \end{gathered}$$  由中国剩余定理可计算得：
$$m\equiv k_1{m}_1+k_2{m}_2(modN)$$

举例

  我们取较小数模拟RSA算法过程，但实际中是很大的数。
  令$N=pq=7\ast 13=91$，则$\phi (N)=\phi (p)\phi (q)=6\ast 12=72$，令$e=11$，显然$(e,\phi (N))=(11,72)=1$成立。

加密：
  取明文$m=5$，则通过加密公式加密后有密文：
$$c\equiv m^e\equiv 5^{11}\equiv 73(mod91)$$解密：
  因为：
$$ed\equiv 11d\equiv 1(mod\phi (N))\equiv 1(mod72)$$  所以：
$$d\equiv 59(mod72)$$  所以明文：
$$m\equiv c^d\equiv 73^{59}\equiv 5(modN)$$  解密成功！

参考资料

[1]. RSA加密原理解析
[2]. CTF中RSA攻击方法总结