2021SC@SDUSC
大素数产生的思想
在所有的密码算法中,甚至比大整数还要重要的就是大素数。在经典RSA算法中大素数起着至关重要的作用、SM9算法中所用到的有限域问题、数学方面的难解问题等,大都依托于素数特别是大素数,所以大素数的产生、验证、计算等都是密码学主要关注的问题,特别是在程序中代码的快速实现。
大素数的第一个特征就是“大”!
首先如何生成“大数”,也就是我上一篇提到的big number,就是一个非常值得研究的问题。在密码学中,为了保证安全性,这个生成的大数,不仅仅要“大”,而且还要“随机”。所以随机数生成器的构造,就一直在研究中。虽然高级编程语言中提供了rand函数,但是如果所需的数较大,就会发现所产生的数其实会进行循环,并没有实现真正的随机。现在有一些比较常用的伪随机发生器,例如Lehmer的
或者BBS发生器等……一般可以通过随机数的随机性和不可预测性检测,虽然没有实现真正的随机数,但在实际应用中运行快,在一定的条件下可以当做随机数使用。真随机数发生器也存在,只不过周期不定、运行速度慢等原因,并没有普遍的应用于实际场景中。
当产生了一个足够大的数之后,大素数的“大”已经满足,接下来就是“素”的判定。当前使用较为普遍的是Miller-Rabin的素性检测算法,下面的算法是NIST网站上面fips_186-3文档中提到的Miller-Rabin的素性检测算法,网站为:https://csrc.nist.gov/publications/detail/fips/186/3/archive/2009-06-25
执行一次Miller-Rabin算法,就有3/4的概率确定一个数有可能是素数。多执行几次,就可以概率上忽略一个数不是素数的可能,也就是说可以确定一个数是否为素数。在openssl的源码实现中,根据所生成的大数的位数不同,选择不同轮数的Miller-Rabin算法,就可以成功生成大素数了。
生成大素数的代码实现
Openssl生成大素数的步骤和大素数产生的步骤相同,即“生成大随机数——素性检测——确定为大素数”。
第一步,生成大随机数。\openssl-master\crypto\bn\bn_rand.c
在函数static int bnrand(BNRAND_FLAG flag, BIGNUM *rnd, int bits, int top, int bottom, unsigned int strength, BN_CTX *ctx)
中下面的函数片段,完成了第一步的内容,即产生了大素数。
/* make a random number and set the top and bottom bits */
b = flag == NORMAL ? RAND_bytes_ex(libctx, buf, bytes, strength)
: RAND_priv_bytes_ex(libctx, buf, bytes, strength);
if (b <= 0)
goto err;
第二步,使用miller_rabin素性检测的算法对生成的BIGNUM w进行检测
在openssl中,使用的是 FIPS 186-4文件中提到的Enhanced Miller-Rabin Probabilistic Primality Test,也就是加强版的Miller-Rabin素性检测。
文档中所指定的算法过程如下:
int ossl_bn_miller_rabin_is_prime(const BIGNUM *w, int iterations, BN_CTX *ctx,
BN_GENCB *cb, int enhanced, int *status)
{
int i, j, a, ret = 0;
BIGNUM *g, *w1, *w3, *x, *m, *z, *b;
BN_MONT_CTX *mont = NULL;
/* w must be odd */
if (!BN_is_odd(w))
return 0;
BN_CTX_start(ctx);
g = BN_CTX_get(ctx);
w1 = BN_CTX_get(ctx);
w3 = BN_CTX_get(ctx);
x = BN_CTX_get(ctx);
m = BN_CTX_get(ctx);
z = BN_CTX_get(ctx);
b = BN_CTX_get(ctx);
if (!(b != NULL
/* w1 := w - 1 */
&& BN_copy(w1, w)
&& BN_sub_word(w1, 1)
/* w3 := w - 3 */
&& BN_copy(w3, w)
&& BN_sub_word(w3, 3)))
goto err;
/* check w is larger than 3, otherwise the random b will be too small */
if (BN_is_zero(w3) || BN_is_negative(w3))
goto err;
/* (Step 1) Calculate largest integer 'a' such that 2^a divides w-1 */
a = 1;
while (!BN_is_bit_set(w1, a))
a++;
/* (Step 2) m = (w-1) / 2^a */
if (!BN_rshift(m, w1, a))
goto err;
/* Montgomery setup for computations mod a */
mont = BN_MONT_CTX_new();
if (mont == NULL || !BN_MONT_CTX_set(mont, w, ctx))
goto err;
if (iterations == 0)
iterations = bn_mr_min_checks(BN_num_bits(w));
/* (Step 4) */
for (i = 0; i < iterations; ++i) {
/* (Step 4.1) obtain a Random string of bits b where 1 < b < w-1 */
if (!BN_priv_rand_range_ex(b, w3, 0, ctx)
|| !BN_add_word(b, 2)) /* 1 < b < w-1 */
goto err;
if (enhanced) {
/* (Step 4.3) */
if (!BN_gcd(g, b, w, ctx))
goto err;
/* (Step 4.4) */
if (!BN_is_one(g)) {
*status = BN_PRIMETEST_COMPOSITE_WITH_FACTOR;
ret = 1;
goto err;
}
}
/* (Step 4.5) z = b^m mod w */
if (!BN_mod_exp_mont(z, b, m, w, ctx, mont))
goto err;
/* (Step 4.6) if (z = 1 or z = w-1) */
if (BN_is_one(z) || BN_cmp(z, w1) == 0)
goto outer_loop;
/* (Step 4.7) for j = 1 to a-1 */
for (j = 1; j < a ; ++j) {
/* (Step 4.7.1 - 4.7.2) x = z. z = x^2 mod w */
if (!BN_copy(x, z) || !BN_mod_mul(z, x, x, w, ctx))
goto err;
/* (Step 4.7.3) */
if (BN_cmp(z, w1) == 0)
goto outer_loop;
/* (Step 4.7.4) */
if (BN_is_one(z))
goto composite;
}
/* At this point z = b^((w-1)/2) mod w */
/* (Steps 4.8 - 4.9) x = z, z = x^2 mod w */
if (!BN_copy(x, z) || !BN_mod_mul(z, x, x, w, ctx))
goto err;
/* (Step 4.10) */
if (BN_is_one(z))
goto composite;
/* (Step 4.11) x = b^(w-1) mod w */
if (!BN_copy(x, z))
goto err;
composite:
if (enhanced) {
/* (Step 4.1.2) g = GCD(x-1, w) */
if (!BN_sub_word(x, 1) || !BN_gcd(g, x, w, ctx))
goto err;
/* (Steps 4.1.3 - 4.1.4) */
if (BN_is_one(g))
*status = BN_PRIMETEST_COMPOSITE_NOT_POWER_OF_PRIME;
else
*status = BN_PRIMETEST_COMPOSITE_WITH_FACTOR;
} else {
*status = BN_PRIMETEST_COMPOSITE;
}
ret = 1;
goto err;
outer_loop: ;
/* (Step 4.1.5) */
if (!BN_GENCB_call(cb, 1, i))
goto err;
}
/* (Step 5) */
*status = BN_PRIMETEST_PROBABLY_PRIME;
ret = 1;
err:
BN_clear(g);
BN_clear(w1);
BN_clear(w3);
BN_clear(x);
BN_clear(m);
BN_clear(z);
BN_clear(b);
BN_CTX_end(ctx);
BN_MONT_CTX_free(mont);
return ret;
}
该函数完全按照fips国际标准进行的,只要了解了Miller-Rabin的算法,代码对每一步分的比较详细,还有注释辅助理解,分析起来问题不大。
第三步,经过多轮素性检测的某个大整数,就可以当做素数参与其他密码算法了。例如RSA算法中的公钥私钥的计算等。
在\openssl-master\crypto\rsa\rsa_gen.c文件中,详细描述了RSA算法中密钥的生成。其中的static int rsa_multiprime_keygen(RSA *rsa, int bits, int primes,BIGNUM *e_value, BN_GENCB *cb)函数中的下面的代码片生成了对于RSA算法最重要的两个大素数p和q。
for (i = 0; i < primes; i++) {
adj = 0;
retries = 0;
if (i == 0) {
prime = rsa->p;
} else if (i == 1) {
prime = rsa->q;
} else {
pinfo = sk_RSA_PRIME_INFO_value(prime_infos, i - 2);
prime = pinfo->r;
}
此外,还有利用中国剩余定理进行加速运算的步骤:
if (!BN_mod(rsa->dmp1, d, r1, ctx)
|| !BN_mod(rsa->dmq1, d, r2, ctx)) {
BN_free(d);
goto err;
}
以上代码片段只是大素数在RSA中用到的部分有关大素数的函数。当然,RSA中有关大素数的代码实现还有很多,其他密码算法中大素数也扮演着至关重要的角色,大素数的运算效率问题也是非常值得研究的地方。
小结
大素数在密码学领域的重要性无需多言,故这次主要聚焦于大素数,介绍讲解了大素数有关的一些知识。
从需求出发进行分析,要想在密码的实际应用中安全地使用,就要保证密钥的随机性,保证随机性的一个重要组成部件就是随机数发生器,文章首先介绍了几种常用的随机数发生器;进一步,要产生大素数就要先产生“大整数”,这就对随机数发生器所产生的数据流的位数有了一定的要求——不能太短;产生了一个随机的大整数了之后,如何确定其为素数的问题,便进而引入了在国际上通用的标准Miller-Rabin素性检测的算法。
理论具备了之后,剩下的就是代码实现了。Openssl已经在源代码中为我们完全实现了一系列的函数算法,封装好之后,留出接口进行引用。
虽然口头上说一些算法步骤看起来比较简单,例如RSA,但是在实际的大算法实现过程中,一些提高运算速度的小算法,确实值得琢磨。大整数的加减乘运算在上篇文章已经有过说明,其实并不是想象的这么简单,或者利用中国剩余定理进行大整数的模运算,能较为显著的提高代码的运算效率。